Современные технологии сделали нашу жизнь гораздо комфортнее, но даже с ними мы постоянно стремимся упростить всё что возможно. Каждый из нас хочет как можно удобнее лазить по интернету, управлять умными устройствами дома, отправлять сообщения в мессенджерах и тому подобное. Но чаще всего «упрощение» и «комфорт» — это синонимы небезопасности, которой совершенно точно захотят воспользоваться киберпреступники. У хакеров есть не меньше 5 направлений (их собрала британская программистка Алисия Сайкс), по которым они могут попытаться взломать обычных пользователей интернета. Но каждое можно довольно просто защитить, при этом не сильно усложнив себе жизнь.
💡 Эта статья создана для простых людей, но некоторые пункты могут быть полезными даже опытным пользователям — такие отмечены белыми маркерами. Главное, не только знать правила, а не лениться применять их на практике.
Авторизация
В 2021 году около 61% взломов организаций произошли из-за украденных или слабых паролей [источник]. В сегменте обычных людей доля такого хакинга явно не меньше, поэтому авторизация — первое и главное уязвимое место любого простого пользователя, которое нужно защитить.
- Придумывайте длинные и сложные пароли
Короткие комбинации из букв и цифр легко взломать методом простого подбора — можете проверить, насколько быстро мощный компьютер рассекретит ваш пароль. Нужно использовать длинную комбинацию со специальными символами и буквами разного регистра — такой и не взломать, и не угадать.
- Не ставьте один и тот же пароль на разные сервисы
На практике это нереально, но поступайте так хотя бы с важными учётными записями — если в одном из сайтов будет утечка (а они происходят каждые 39 секунд[источник]), хакеры не смогут воспользоваться украденными данными для доступа к другим ресурсам. Также можете подписаться на популярные сервисы, которые исследуют крупные утечки и сообщают, если ваш Email среди них: Firefox Monitor, Have I Been Pwned и Breach Alarm.
- Настройте двухфакторную аутентификацию
Это когда после ввода логина и пароля вам нужно указать одноразовый код, отправленный по SMS, на почту или другим способом — даже если злоумышленник узнает ваши данные учётной записи, их будет недостаточно.
- Не используйте SMS для двухфакторной аутентификации
В теории SIM-карту можно подменить или перехватить, но так не получится сделать со специальным приложением (наподобие Google Authenticator) или аппаратным ключом. К тому же SMS-код зависит от сигнала — сообщение может отправляться с задержкой или вовсе не прийти, если нет связи.
- Не сохраняйте логины и пароли в браузере
Они не всегда зашифрованы, а значит, могут быть украдены. Лучше использовать отдельный менеджер паролей: BitWarden, KeePass или LessPass.
Сёрфинг в интернете
Ради показа наиболее подходящей рекламы (для увеличения её кликабельности и, следовательно, повышения своих доходов) большинство сайтов применяют различные формы слежки за посетителями, наиболее популярны cookie-файлы и цифровой отпечаток пользователя. Собираемая информация довольно точна: разработчики видят разрешение дисплея, размер монитора, язык системы, часовой пояс, шрифты и прочее — всё это может быть не только неприятным, но и опасным, если попадёт в плохие руки (тогда личность посетителя будет довольно легко раскрыть).
- Не устанавливайте первые попавшиеся расширения
Браузерные дополнения могут видеть всё, что вы делаете в интернете. Поэтому крайне важно устанавливать расширения только из официального каталога браузера, и предварительно искать информацию о нём — нет ли на него жалоб.
- Реагируйте на предупреждения браузера
В популярные браузеры встроены всевозможные системы защиты. Если при открытии веб-страницы или скачивании файла вы видите предупреждение об опасности, дважды подумайте о своём решении. Можно перепроверить надёжность сайта в Virus Total URL Scanner, IsLegitSite и Google Safe Browsing Status.
- На чужом устройстве активируйте режим инкогнито
Приватный режим не сохраняет историю и авторизацию на сайтах — это очень полезно, к примеру, на рабочем компьютере, которым может пользоваться кто-то ещё. Но помните, что это не делает вас полностью анонимным.
- Не активируйте встроенный в браузер переводчик
При посещении иностранного сайта популярные браузеры предлагают автоматически перевести страницу (например, в Chrome задействуется «Google Переводчик»). Это небезопасно[источник]: при переводе Google собирает все данные (включая поля ввода логина/пароля) и информацию о пользователе.
- Включайте контейнеры для разных сессий
Если вы и работаете на конкретном браузере, и используете его в личных целях, рекламные платформы смогут детальнее создать ваш цифровой профиль. Лучше разграничить это: например, с помощью контейнеров Firefox, банально разными браузерами для работы и личных целей, а также использованием профилей в Chromium-браузерах.
Электронная почта
Это один из самых лакомых кусочков для хакеров, ведь с помощью него можно сбросить пароли на других сайтах (то есть получить к ним доступ), рассылать спам и красть личные данные.
- Имейте важный и побочный электронные адреса
Чем в большем количестве мест вы указываете Email, тем больше вероятность, что на него будут отправлять спам, осуществлять фишинговые атаки и, в целом, пытаться взломать. Создайте для важных сервисов отдельную почту, которую нигде более не будете указывать.
- Не подключайте электронную почту к другим сервисам
Этим вы собственноручно предоставляете непонятно кому полный доступ к вашим письмам и их содержимому. Также не используйте различные расширения для «упрощения работы с почтой».
- Отключите автоматическую загрузку удалённого контента
В электронные рассылки часто встроены невидимые маячки (пиксельные теги), с помощью которых отслеживается факт открытия письма, сколько времени его читали, какие у пользователя система и браузер, IP-адрес и прочее. Избавиться от этой слежки можно отключением автоматической загрузки контента из удалённых источников.
- Перейдите на защищённую почту
У многих популярных сервисов плохая репутация: Gmail ловили на предоставлении третьим лицам полного доступа к почте пользователей[источник] и отслеживании всех их покупок[источник], а Yahoo сканировала письма в реальном времени для американских спецслужб[источник]. Присмотритесь к сервисам с акцентом на конфиденциальность: ProtonMail и Tutanota.
Компьютер и смартфон
Большинство из нас постоянно используют ПК, ноутбук, планшет или смартфон — естественно, злоумышленники могут сделать ставку на это и попытаться хакнуть нас именно через гаджеты. Поэтому стоит позаботиться о цифровой гигиене и взаимодействовать с устройствами так, чтобы не подставлять свою спину киберпреступникам.
- Доверяйте только официальным магазинам приложений
Это базовое правило всего интернета, которого следует придерживаться хотя бы с важными приложениями для работы и личной жизни — в установочных файлах из интернета могут быть вирусы.
- Устанавливайте обновления системы
В патчах безопасности и обычных обновлениях разработчики постоянно устраняют дыры в безопасности, которые могут использоваться хакерами. Если не устанавливать их или использовать неподдерживающееся устройство, вы сильно рискуете стать лёгкой жертвой киберпреступников.
- Избегайте использования сторонних клавиатур на смартфонах
Клавиатура может фиксировать всё, что вы набираете с помощью неё, поэтому доверие стороннему приложению — не самая хорошая идея. Лучше всего используйте встроенную клавиатуру (или другую, но от именитых IT-корпораций). И заблокируйте ей доступ к интернету, ненужные разрешения и сбор статистики.
- Деактивируйте неиспользуемые подключения
Если вы не используете в конкретный промежуток времени Wi-Fi, Bluetooth, NFC и прочие технологии связи, их лучше отключить. Известны несколько распространённых угроз, которые атакуют именно эти протоколы.
- Регулярно перезагружайте устройство
На протяжении многих лет существуют уязвимости, связанные с дырами в безопасности памяти. Перезагрузка гаджета (не реже одного раза в неделю) очистит состояние приложений, кэшированных в ней.
Человеческий фактор
Как известно, самая большая угроза для компьютера и какой-либо системы — его пользователь. Именно человек чаще всего качает вредоносные приложения, ведётся на уловки мошенников и собственноручно ослабляет безопасность. Поэтому нужно помнить часто банальные, но всё же важные правила.
- Перепроверяйте входящие письма
Злоумышленникам не очень сложно подделать электронные письма и выдать себя за кого-то другого. Если пришёл Email с требованием сделать что-то, касающееся конфиденциальности, нужно перепроверить его на подлинность — хотя бы внимательно посмотреть на адрес отправителя и ссылку, находящуюся внутри.
- Не доверяйте всплывающим уведомлениям
Поддельные баннеры — популярный у киберпреступников крючок для пользователей. На подозрительные уведомления следует обращать пристальное внимание, особенно если в них говорится об обнаружении вируса или необходимости обновить пароль.
- Обращайте внимание на разрешения приложений
Запуская новую игру или программу, не соглашайтесь сразу со всеми запросами — часто приложения могут требовать доступ к абсолютно не касающимся их вещам (например, к камере или GPS).
- Используйте виртуальные карты для оплаты в интернете
С каждым вводом данных своей банковской карты на сайтах вероятность кражи средств с неё возрастает. Этого можно легко избежать, если оформить отдельную виртуальную карту и прямо перед покупкой перечислять на неё ровно столько денег, сколько нужно для оформления заказа.
- Шифруйте свои резервные копии
Файлы восстановления могут послужить не вам, а злоумышленникам — если хакеры заполучат к ним доступ, все ваши сохранённые данные окажутся в распоряжении киберпреступников. Выручают шифровальщики, которые можно применить к флешкам, самим устройствам и даже к облаку.