Безопасность

«В 64% взломов хакеры охотятся на ваши персональные данные»: эксперт по кибербезопасности – о том, где хранить пароли, и что делать, если вас взломали

30 сентября 2020   
 103
«В 64% взломов хакеры охотятся на ваши персональные данные»: эксперт по кибербезопасности – о том, где хранить пароли, и что делать, если вас взломали

В XXI веке информация – это все. Если злоумышленники завладеют вашими персональными данными, они могут вас ограбить, шантажировать, использовать информацию против вас или вашего бизнеса. Лучше этого не допустить, чем разбираться с последствиями.

О том, как хакеры воруют личную информацию пользователей интернета, чем опасны такие утечки и как защитить свои данные в сети, редакция OLX расспросила Михаила Чайкина, международного консультанта по кибербезопасности, технического советника по кибербезопасности и диджитализации американского фонда CRDF Global.

Каждую вторую компанию когда-либо взламывали

Как говорят специалисты по кибербезопасности, хороший взлом – тот, о котором еще никто не знает. К примеру, в 2017 году украинский бизнес пострадал от вируса Petya: он проник в инфраструктуру компаний после обновления программы M.E.Doc. По инсайдерской информации, хакеры готовили эту атаку около двух лет. То есть M.E.Doc взломали заранее, но до последнего момента никто ни о чем даже не подозревал.

Из-за этого невозможно привести точную статистику, как часто бизнес страдает от действий киберпреступников. По данным одного закрытого исследования, около 50% всех компаний когда-либо сталкивались с инцидентами, связанными с информационной безопасностью.

Эти цифры меняются в зависимости от размера бизнеса. Маленькие компании, как правило, меньше вкладываются в киберзащиту – и для них процент взломов доходит до 70%. У больших корпораций, наоборот, показатели ниже.

Но и в крупных компаниях случаются форс-мажоры. К примеру, три года назад корейские хакеры взломали 11 банков из Юго-Восточной Азии через систему банковских переводов SWIFT. Преступникам удалось «увести» около $80 млн.

Другой пример. В июле этого года мошенники получили несанкционированный доступ к 130 учетным записям знаменитостей в Twitter: Илона Маска, Билла Гейтса, Барака Обамы и других американских бизнесменов и политиков. На их страницах появились сообщения с просьбой перевести деньги на Bitcoin-кошелек и обещанием вернуть переведенную сумму в двойном размере. Таким образом мошенники собрали около $100 тыс.

Казалось бы, и у азиатских банков, и у Twitter огромные бюджеты на информационную безопасность – но их взламывают. Это означает, что даже самый «серьезный» бизнес не может считать себя абсолютно защищенным.

По моему опыту, примерно 30-40% компаний недооценивают риски по кибербезопасности. Это приводит к негативным последствиям: они не вкладывают деньги в технические решения по защите данных вроде лицензионных антивирусных программ, не проводят аудиты безопасности, не обращаются к экспертам, которые могут имитировать взлом и таким образом выявить «бреши» в IT-инфраструктуре.

По статистике, в 64% взломов цель хакеров – украсть персональные данные пользователей: ФИО, дату рождения, домашний адрес, номер телефона, электронную почту, финансовые данные и т. д. В 31% случаев злоумышленники «стараются», чтобы потом вымогать деньги, и еще в 5% – ради «спортивного» интереса.

Данные пользователей продают в даркнете за тысячи долларов

Одна из самых распространенных «точек» взлома – электронная почта. Из личного архива писем можно «поживиться» самой разной информацией: от паспортных данных жертвы – до банковских реквизитов, через которые можно вывести деньги. Из корпоративных переписок хакеры узнают инсайдерскую информацию о бизнесе, например, о кредитах компании, будущих сделках и т. д.

К тому же через почту можно получить доступ к другим сервисам, которые привязаны к этому электронному адресу, – например, к соцсетям, личному кабинету в онлайн-банкинге или на других онлайн-платформах. А при взломе корпоративной почты легко «выйти» на базы с данными о клиентах компании, системы по управлению производственными процессами, получить доступ к внутренним чатам и документам.

Украденную информацию злоумышленники продают в даркнете. Иногда – за сотни миллионов долларов. К примеру, из больницы можно украсть базу с данными о заболеваниях пациентов – а затем продать ее компании, которая занимается разработкой лекарств. Так бизнес будет знать, кому и какие препараты рекламировать.

Из банка можно украсть информацию о паспортных данных и платежных картах пользователей – и продать их мошенникам, которые оформят на них онлайн-кредиты.

Свежий пример из жизни: сейчас в даркнете за $3 тыс. продают украинскую базу ГАИ. Благодаря таким данным мошенники могут, к примеру, сделать дубликат техпаспорта на авто и таким образом легализовать машины, которые угнали из-за рубежа. Или даже попробовать переоформить авто без ведома владельца. К сожалению, государственные организации, как правило, уделяют киберзащите еще меньше внимания, чем бизнес.

Если не технический взлом, то социальная инженерия

Еще 10-15 лет назад пароли в основном были короткими и простыми – вроде «123456». Поэтому хакеры создавали программы, которые генерировали различные комбинации букв или цифр, – и за несколько минут или часов подбирали подходящую.

Сейчас большинство сайтов требуют более длинные и сложные пароли – с цифрами, прописными буквами и спецсимволами. Подобрать их можно только в одном случае – если это одна из нескольких сотен самых распространенных комбинаций: «Qwerty123», «Qwerty_123», «Qw-123456» и т. д.

Если же вы придумали уникальный пароль минимум из десяти никак не связанных между собой символов – вроде «2;H8d90-kS13» – его можно считать надежным. В теории подобрать можно любую комбинацию, но для этого нужны месяцы или годы, и вряд ли хакер захочет тратить столько времени.

При этом не стоит использовать одинаковый пароль везде, каким надежным он бы ни был: для каждой учетной записи нужно придумывать свой. Иначе, если хакер каким-то образом узнает один, то получит доступ сразу ко всем вашим данным.

Доверять важные комбинации специальным программам для хранения паролей я не рекомендую – ведь их тоже можно взломать. Лучше хранить все в голове. Но понимаю, что это не всегда удается. В крайнем случае можно использовать менеджер паролей от Google или сервис «Связка ключей» от Apple: огромные корпорации уделяют кибербезопасности больше внимания, чем мелкие компании-разработчики.

Если хакеры не могут подобрать пароль техническими средствами, они переключаются на методы социальной инженерии – с помощью психологических манипуляций. Например, вы гуляете с собакой. К вам подходит человек, который уже давно за вами следит, и в непринужденной беседе узнает, как зовут вашего питомца. А имя животного – это распространенный вариант кодового слова, по которому можно получить доступ к почте и другим сервисам. Иногда для этого даже не надо выходить на улицу: жертва сама обо всем рассказывает на своей странице в соцсетях – достаточно просто подробно изучить ее посты.

Поэтому не стоит публиковать что-либо, что можно использовать против вас, паспортные данные, фото с номерами вашего автомобиля и т. д. Также не нужно рассказывать, что вы уезжаете в отпуск и квартира будет пустой – в это время ее могут ограбить.

Важно быть бдительным и не раскрывать любую личную информацию незнакомым людям. К примеру, если вам звонит якобы менеджер вашего банка и говорит: «На ваш счет пришел платеж, назовите PIN-код вашей карты, чтобы мы могли его принять» – этого ни в коем случае нельзя делать. Лучше самому перезвонить на официальную линию поддержки вашего банка или зайти в отделение лично, чтобы уточнить детали.

Еще один пример из жизни: несколько недель назад мошенники рассылали SMS-сообщения от имени компании АТБ – о розыгрыше купона с 79% скидкой на покупку мобильного телефона Huawei P40. Якобы для того, чтобы его получить, необходимо пройти предложенный опрос. Так жертва в игровой форме сама раскрывает личные данные и добровольно передает их злоумышленникам. Перед тем, как участвовать в подобных акциях, нужно зайти на официальный сайт компании или ее страницу в соцсетях и перепроверить информацию.

Что делать, если вас взломали

О том, что кто-то получил доступ к вашей учетной записи, можно узнать по уведомлениям о действиях, которых вы не совершали. Например, на почту приходит письмо с подтверждением покупки, о которой вы слышите впервые. Также большинство онлайн-платформ или сервисов показывают историю ваших посещений: когда вы авторизировались и с какого устройства.

Например, на OLX о взломе могут говорить такие признаки:

– в вашем профиле исчезли объявления;

– появились чужие публикации;

– появились сообщения, которых вы не отправляли;

– изменились контактные данные.

Если вы подозреваете, что вас взломали, я рекомендую сразу же изменить пароль и написать в службу поддержки платформы или сервиса. Если к учетной записи были привязаны финансовые данные, то стоит позвонить в банк и попросить заблокировать скомпрометированную карту.

Также можно написать заявление в Киберполицию, но, как показывает опыт, такие обращения не часто заканчиваются поимкой преступников. Дело в том, что большинство интернет-сервисов, которыми пользуются украинцы, – это продукты других стран. У нашей Киберполиции нет полномочий оперативно получать информацию из заграничных офисов таких компаний. Пока следователи дожидаются ответ на свой запрос, хакеры успевают «замести следы».

Иногда сам ресурс отправляет пользователю письмо: «Ваша учетная запись могла быть скомпрометирована. Пожалуйста, поменяйте пароль». В таком случае стоит следовать инструкциям, не игнорировать такое сообщение. Но сначала убедитесь, что письмо пришло от администраторов ресурса, а не от злоумышленников, которые маскируются под них. Для этого посмотрите, с какого почтового домена вам написали: он должен совпадать с URL-адресом компании. К примеру, официальные уведомления от OLX приходят только с [email protected]

Как компаниям защитить своих пользователей

Один из самых эффективных методов защиты от взлома – двухфакторная аутентификация. Это работает так: для входа в учетную запись пользователь вводит свой логин, пароль, а также одноразовый код, который приходит ему в SMS или мобильном приложении. Таким образом хакер не сможет получить доступ к аккаунту жертвы, если не завладеет ее мобильным телефоном. Последнее намного сложнее, чем просто подобрать или «выудить» пароль, поэтому системы с двухфакторной аутентификацией принято считать надежными.

Главная сложность такого решения с точки зрения бизнеса – это стоимость внедрения. Речь идет о десятках тысяч долларов. Также компаня должна иметь развитую инфраструктуру, чтобы можно было технически интегрироваться с необходимыми сервисами.

С точки зрения пользователей главная загвоздка такого решения – если платформа разрешает отключить двухфакторную аутентификацию и пользоваться обычной, то люди сами часто выбирают этот вариант, чтобы «не тратить лишнее время и заходить на платформу быстрее». Но такая беспечность может стоить им утечки личных данных.

Помимо двухфакторной аутентификации, я советую компаниям внедрять строгие требования к паролям сотрудников и пользователей, регулярно проводить аудит и тестирования своей IT-инфраструктуры «на прочность», обучать команду азам кибергигиены. Хоть полностью предотвратить взломы невозможно, но чем лучше защищены данные – тем выше вероятность, что хакер пройдет мимо и выберет более неподготовленную жертву.

Текст: Валентина Шимкович