Как хакеры воруют пароли

В СМИ постоянно появляются заголовки о том, как хакеры со всего мира похищают персональные данные. Чаще всего кражи связаны с применением троянского ПО, фишингом и "социальной инженерией" – способами получения данных пользователей, основанных на психологии людей. Кроме того, не редки случаи попадания реестров с персональными данными граждан в руки мошенников – последний зафиксированный эпизод кражи 27 млн. рублей с карт пользователей связан с продажей на "черном" рынке базы данных сим-карт абонентов.

 

Как хакерам удается похищать персональные данные пользователей, Dni.Ru рассказал независимый эксперт IT-отрасли Павел Терентьев.

 

Как ни банально, это происходит в первую очередь из-за отсутствия элементарных методов защиты данных в интернете. Так, недавний случай с появлением личной информации людей в поисковой выдаче Яндекса связан с неверным подходом к установке параметров индексации данных на страницах сайта банков и агрегаторов для защиты от DDoS атак и взломов. Часто на сайтах компаний отсутствуют специальные защитные файлы и данные становятся доступными широкой аудитории. Кроме того, сотрудники разных ведомств и организаций периодически продают реестры с личной информацией своих клиентов. Действующее законодательство при этом не предполагает существенных санкций за нарушение закона "О персональных данных". В связи с этим, пользователям остается только усилить контроль над безопасностью данных.

 

Для того чтобы повысить уровень безопасности своих устройств, аккаунтов и адресов электронной почты необходимо использовать сложные комбинации цифр, букв и символов в пароле. Например, применить так называемую pass-фразу. Пользователь придумывает предложение из 5 и более слов, первые буквы которых использует в качестве пароля, разбавив их цифрами – например, значимыми датами. Помимо разработки сложного пароля, необходимо пользоваться системой двухфакторной аутентификации, которая подразумевает под собой подтверждение входа в почту, на сайт и в приложение посредством ввода одноразового SMS-пароля.

Рекомендуется хранить данные по банковским картам, электронным кошелькам и прочую информацию, которая представляет высокую ценность для владельца, на отдельном адресе электронной почты и не указывать его при регистрации на сторонних ресурсах, при получении дисконтных карт в магазинах и при участии в любых бонусных программах. Кроме того, можно воспользоваться USB-токеном для настройки входа только с одного устройства.

 

Не стоит скачивать лишние приложения на смартфон, которые не нужны для работы: через установленную программу третьи лица могут легко получить доступ ко всем данным в памяти устройства. Не смотря на всю популярность "облачных" сервисов, не рекомендуется хранить в них ценную информацию: лучше оставлять ее в телефоне.

В случае поступления сообщений с вложениями и ссылками от неизвестных лиц, особенно в мессенджерах по типу WhatsApp и Viber, не стоит переходить по ним, чтобы не "заразить" смартфон фишинговым ПО. Что касается разблокировки смартфона, то лучше использовать пароль, чем сканер отпечатка пальца или лица: в теории технологии True Depth и FaceID могут быть использованы разработчиками приложений для сбора биометрических параметров пользователя, да и в случае кражи девайса, взломать его не составит труда, воспользовавшись отпечатками, оставленными на устройстве.

Выходит, в наши дни не существует универсального механизма защиты данных. Главное, что нужно запомнить пользователю: по возможности избегать хранения ценной информации в интернете – лучше воспользоваться памятью смартфона или бумажным носителем, несколько раз подумать, прежде чем устанавливать дополнительные программы или оставлять информацию на сомнительных ресурсах и ни при каких обстоятельствах не передавать данные третьим лицам, даже если их запрашивают сотрудники банка.