Черговий витік понад мільярда комбінацій поштових скриньок і паролів знову показав, що люди безтурботно ставляться до персональних даних. Отже, що можна зробити з логіном і паролем звичайного користувача насправді?
В ході прочитання може здатися, що все дуже погано. Це не так, але загроза реальна. Тому краще розуміти, чим ми ризикуємо і як можна себе убезпечити.
Сервіси
Більшість користувачів не розуміє, що пристрої і акаунти в мережі — це пропуск. Точніше, не враховують, що їх «нікому не потрібний» аккаунт використовується в відеосервісах як-от YouTube Premium, Netflix і Megogo. За які регулярно сплачуються гроші.
Забувають вони і про цифрові магазини, як той же Steam або PS Store. Чи не думають про сплачений музичний сервіс Apple Music, Spotify або «Play Музику». Або ModnaKasta Black з Rozetka Premium, які здешевлюють чи роблять безкоштовною доставку.
Uber, доставка продуктів, накопичення за програмою лояльності в «Сільпо», NOVUS і Fishka. Всі ці сервіси дають доступ до грошей користувача. Безпосередньо або опосередковано, до реальних підключених карток або накопичених балів, «здачі на карту» і так далі.
Невеликі гроші — теж гроші. І це не враховуючи, наскільки проблематично буде очистити аккаунт від таких нахлібників, без реєстрації заново.
Інші дані і особистість
Навіть якщо в сервісі не зберігаються критичні на перший погляд дані, можуть бути проблеми. Наприклад, обліковий запис в інтернет-магазині майже завжди зберігає адресу доставки. Так можна дізнатися, де точно живе власник акаунта.
Аналогічний перебір з тим же логіном (поштою) допоміг знайти аккаунт людини в Instagram або Facebook. Але навіть якщо в саму соцмережу зайти не вдалося (пароль інший), можна просто стежити, коли жертва викладе знімки з відпустки. Це сильно підвищить шанси на те, що в квартирі, адреса якої знайшлася в інтернет-магазині, нікого немає. А тому можна навести на неї злодіїв або обчистити самостійно.
Номер телефону, сімейний стан, імена і дати народження родичів — анкети на сайтах хочуть зібрати будь-які відомості для кращого орієнтування реклами. І тут вступає в силу соціальний інжиніринг. Наприклад, зловмисник потрапляє в акаунт Google Photos, підфотошоплює маму-брата-дочку-онука і виманює кілька тисяч гривень, «інакше буде біда».
Або прикинеться співробітником банку, який «знає занадто багато», щоб опинитися випадковим перехожим. Решту людина і сама розповість. І з більш повним набором інформації можна дзвонити в підтримку банку, щоб спробувати провести «терміновий платіж».
У соцмережах втратити аккаунт не лякає? Мовляв, «нічого, заведу новий»? Людина з доступом до обліківки від вашого імені може написати будь-кому будь-що. А потім нотаріально завірить скріншоти і піде в суд. Або умовить довірливих друзів і родичів скинути грошей.
Телефон
Телефон 2018 року — це засіб з надійними інструментами захисту. Дані шифруються найскладнішими ключами, трафік захищається браузером, не кажучи про фірмові інструменти. І як цим користуються люди? Вони не ставлять пароль.
Якщо взяти телефон без пароля, можна: перевести гроші з рахунку телефона, замовити Uber з оплатою без готівки або оформити замовлення в десятках інших сервісів від доставки їжі до інтернет-магазину, де підключена картка. Дізнатися номера телефонів важливих людей, з’ясувати особисті подробиці з фотографій рентгена або висновків лікаря в галереї, поспілкуватися від імені власника в соцмережах або SMS.
Пароль на екран блокування треба встановлювати всім і кожному. Розблокований телефон не тільки дає зручний доступ до всіх даних, згаданих вище. Він дозволить підтвердити банківську операцію, адже код перевірки прийде в SMS.
Сканер відбитка встановлюється навіть в найдешевші апарати, він зробить наявність пароля мінімально незручним. Майже таким зручним, як без нього. Навіть розпізнавання по обличчю через камеру добре захистить телефон. Саме такі прості речі стануть корисними і достатніми для захисту даних людей, яким «нічого приховувати».
Головна помилка
Перша і головна помилка — вважати, що вам нема чого ховати. Позиція «я нікому не потрібен» стимулює зловмисників обробляти таких безтурботних громадян. Вони не беруть якістю, а задовольняються кількістю.
Якщо на 30 тис. жертв хоча б 300 чоловік переведуть 100 грн за повернення аккаунта, вийде більше 1000 доларів доходу. Ще у сотні буде підписка на Netflix і Apple Music, акаунти викуплять по долару-два любителі заощадити. Нехай 20 обліківок забезпечать можливість раз-два безкоштовно проїхатися на Uber, це ще 3-5 доларів за кожну.
1500 доларів за просто перебір 30 тис. акаунтів — непогані гроші. А є ті, хто зберігає більш цінні дані. І сервіси втрачають акаунти не десятками тисяч, а мільйонами за раз. З усіх таких «я нікому не потрібен» можна зібрати на будинок і безбідну старість.
Місця витоку
Говорити про очевидні анкети в магазинах, які хтось потім руками переносить в табличку Excel, не доводиться. Це теж місце ризику, але вплив таких витоків мінімальний. Зазвичай трусить гігантів.
Колись найпопулярнішою соцмережею на території України був «ВКонтакте». Звідти, можливо, витекли 100 млн акаунтів. Було це всього три роки тому. Скільки вашому найстарішому паролю, який досі десь використовується?
А знаєте, що бази часто пускають в оборот не відразу, а через 5-6 років після реального витоку? Так було з Yahoo і трьома мільярдами обліківок. Twitter якось налажав зі зберіганням паролів, через що поставив під загрозу кожного свого користувача.
Нещодавно хакери спробували підібрати паролі користувачів техніки Apple. Скільки людей втратили доступ до куплених програм, телефонної книги і календаря, невідомо. Але саме це сталося з кожним, в чий акаунт зловмисники змогли зайти.
Незалежно від надійності і розмірів сервісу, дані можуть витекти. Не можна забувати і про звички: пароль краще не прив’язувати до домашньої адреси або важливої дати. І тим більше треба уникати таких паролів.
Злам
Чи не ігроніріруйте листи від сервісів, коли рекомендується поміняти пароль. Також перевірте, чи немає вашої поштової скриньки в базі сайту haveibeenpwned.com. Цьому ресурсу можна довіряти, але його база включає тільки відомі випадки витоків. Якщо пошта в базі не знайшлася, це підвищує шанси, що ваші дані в безпеці. Але 100-відсоткову гарантію все одно не дає.
Головний ворог реєстрації в будь-якому сервісі — один пароль на будь-якому сайті. Ніколи, за жодних обставин не використовуйте однакові паролі на різних ресурсах.
Більшість найпростіших зломів відбувається так:
- Якийсь сервіс втрачає значну базу логінів і паролів.
- Зловмисник купує цю базу за копійки і пробує пару логін-пароль на різних ресурсах.
- Аккаунт переходить в руки зловмисника з усіма даними.
Різні паролі захистять від більшої частини атак методом підбору. Не зайвим для цього використовувати складні паролі. Такі вміють генерувати спеціальні програми.
Менеджери паролів
Коли паролі від сумнівного форуму, який допустив витік даних, і Uber, Netflix, «Сільпо» не збігаються, це відмінно. Такий користувач вже захищений краще за більшість в інтернеті. Запам’ятовувати десятки комбінацій, по одній на кожен сайт і сервіс, не доводиться завдяки менеджерам паролів.
iCloud Keychain, а також мультиплатформенні 1Password, LastPass тощо створені спеціально для забезпечення зручності та безпеки. Це як персональна база даних з паролями з підвищеним захистом. І пам’ятати їх вже необов’язково.
Паролі та логіни в сучасних апаратах навіть копіювати-вставляти не доведеться. Автопідстановка працює відмінно.
Залишиться тільки підтверджувати введення сканером відбитка або майстер-паролем (він обов’язково повинен не використовуватися в жодному іншому місці).
До речі, такі сервіси можуть не тільки зберігати паролі засекреченими, а й генерувати складні комбінації. Це відмінний привід відійти від схеми «однаковий пароль з відмінною останньою буквою для кожного сервісу». Там паролі пропонуються по-справжньому складні:
Двофакторна/двоетапна аутентифікація
Другим масово доступним і відмінним способом захиститися буде двафакторна аутентифікація. Це такий спосіб перевірки, коли доведеться ввести не тільки пароль, але і додатковий код. Як при логіні в банківський застосунок, наприклад, приходить SMS з паролем — це той самий «другий фактор».
Хоча такий захист по SMS — краще за просто пароль, спеціальний застосунок використовувати ефективніше і зручніше. До таких відносяться Google Authenticator (iOS, Android), Authy (iOS, Android), Microsoft Authenticator (iOS, Android) і десятки інших. Двофакторна аутентифікація вмикається в налаштуваннях безпеки, вона є в більшості масових сервісах.
В Google треба перейти в аккаунт, на панелі навігації вибрати «Безпека», а в розділі «вхід в акаунт Google» натиснути «Двохетапна аутентифікація». У варіантах вибрати «Застосунок», якщо все-таки вирішили ставити додаткову програму, а далі слідувати інструкціям.
З переваг окремого застосунка: захист від підміни SIM-карти і перехоплення даних, не потрібен зв’язок або доступ до інтернету (коди автоматично генеруються прямо в телефоні).
Інший захист
Різні паролі для кожного сервісу, їх менеджер і двофакторна аутентифікація стануть відмінним захистом. Також завжди встановлюйте оновлення на комп’ютери і смартфони.
Пройдіться по налаштуваннях приватності в Facebook, Twitter та інших сервісах, де є така опція. Вимкніть зайве. Те ж саме зробіть в «дозволах» на смартфоні. Навряд чи всім мобільним іграм потрібен доступ до SMS і здійснення дзвінків (особливо актуально для Android).
Пройдіться по кожному пункту сторінки про безпеку в своєму Google-акаунті. Більшості цього буде достатньо.
Посилити приватність даних можна за допомогою VPN, браузерів з акцентом на анонімність (Firefox, Safari, Tor) і такими ж поштовими клієнтами (FastMail, ProtonMail). Пошукова система DuckDuckGo теж не стежить за користувачами. Спеціалізовані месенджери допомагають зберегти персональні дані. Але такі заходи потрібні не читачам цієї статті.
Поставте пароль на телефон. Встановіть менеджер паролів або скористайтеся вбудованим в систему. Поміняйте всі паролі на унікальні. І розкажіть знайомим і родичам про заходи захисту. Тоді вийде з максимальним комфортом користуватися благами інтернету і значно менше ризикувати власними даними і особистими коштами.