Достаточно пароля почты
- Если ваш телефон оказывается в руках злоумышленников хотя бы на короткое время, то они могут получить доступ к банковскому счету, аппликациям с сохраненными данными кредитных карт, фотографии паспорта, к электронной почте, рабочим документам, личным фотографиям и видео, - поясняет специалист по безопасности CERT Гинтс Малкалниетис. - В общем, потери вас могут ожидать самые разные - от испорченной репутации из-за распространения чего-то личного, до прямой потери денег. И много времени для этого не надо - даже если кто-то на вечеринке на минуточку заглянул в ваш смартфон, вам это может дорого обойтись.
Однако, как уже сказано, средний латвиец об этом не думает. Согласно исследованиям, проводившимся в 2015 году, 92% пользователей не используют шифровку данных телефона, так что они находятся в совершенно открытом доступе для тех, кто завладеет аппаратом, а 34% вообще не устанавливают на телефон пароли.
С рабочими "девайсами" ситуация чуть лучше - в целом 52% пользователей использует хоть какую-то защиту от проникновений. (От себя отметим, что зачастую такая защита - требование работодателя). Однако 1/6 часть все равно не пользуется никакой защитой, подвергая опасности корпоративные данные.
Что же чаще всего хотят получить хакеры, проникая тем или иным способов в ваше устройство? По словам Гинтса Малкалниетиса, львиная часть взломов приходится на пароли. Злоумышленники знают, как их применить.
Например, "слив" пароля от электронной почты грозит огромными потерями. Так, в Латвии сейчас активно используется так называемый "директорский обман". Когда взламываются почтовые ящики конкретной организации, мошенники их внимательно читают, а затем от имени директора посылают бухгалтеру счет, очень похожий на какую-нибудь стандартную сделку. Могут "выслать счета" и партнерам фирмы.
- Сумма будет выглядеть "как обычно", а вот банковские реквизиты - другие, - говорит г-н Малкалниетис. - У нас, конечно, не принято часто менять банковские счета, хотя за границей, например, это совершенно обычная практика. Но все равно люди переводят деньги.
Фальшивый гугл и бесплатный iPhone
Малкалниетис показал и несколько примеров того, как выманивают пароли. Для этого по-прежнему актуальные "фишинговые" письма (от английского phishing он же fishing — рыбная ловля, выуживание).
Вот, например, стандартное письмо на английском, якобы отправленное самим Google: "Атакующие, похоже, пытатся украсть ваш пароль. Возможно, это ложная тревога, но мы верим, что хакеры с государственной поддержкой пытаются обхитрить вас и получить пароль к вашему Google-аккаунту. Мы не можем раскрыть то, что навело нас на эту мысль, потому что тогда хакеры адаптируются. Если у них получится, они смогут следить за вами, получить доступ к вашим данным или произвести другие действия, используя ваш аккаунт. Мы рекомендуем сменить пароль".
И далее следует ссылка, которая даже вроде бы содержит знакомое сочетание google.com. Правда в том, что так ссылка выглядит только в письме. Редко, кто заглядывает в адресную строку. А в данном случае было бы полезно, чтобы узнать: адрес "Google-команды" весьма далек от известной конторы. В конкретном случае те, кто пройдет по ссылке с мобильного телефона окажутся вдвойне уязвимее: большинство браузеров мобильных телефонов сделаны так, чтобы не тратить место на адресную строку. Так что пользователь вообще не сможет понять, что попал на сайт мошенников.
По словам Малкалниетиса, в латвийском интернете также весьма распространены фальшивые лотереи и плата "за ничего". Так, например, можно попасться и поставить антивирус, за очень выгодную цену - всего 3 евро в месяц. И ничего, что этот антивирус вообще бесплатный.
Лотереей с бесплатным iPhone пользователей не только "разведут" на непонятную абонентскую плату, но ещё и попросят контакты друзей и знакомых, которым следует эту лотерею порекомендовать.
Любимое число
А теперь пример нашей с вами, уважаемые читатели, доверчивости.
На улицах Риги провели эксперимент: журналисты с камерой подходили к обычным прохожим и просили высказаться о безопасности паролей. Прохожие с удовольствием делились своим мнением и в процессе интервью приводили примеры того, что они берут за основу паролей. Кто пользуется своей фамилией, кто-то - улицей, на которой жил, кто-то кличкой домашнего животного, кто-то именем крестницы. Все бы ничего, но когда журналсты через пару вопросов просили назвать имя домашнего питомца, крестницу или улицу - прохожие соглашались. Дальше оставалось узнать только цифры, которыми они усложняли пароли. Но и тут ничего сложного не было. Ведь респонденты всегда давали подсказку вроде: "Обычно добавляю своё любимое число".
- Моё любимое число - 7, - сообщал тогда журналист.
- Моё тоже! - радостно соглашалась девушка на улице. - Ой, вы же теперь знаете мой пароль! - догадывалась она.
- Я обычно подставляю цифры подряд - 123, - объявлял журналист другому прохожему.
- Да, и я так делаю, - соглашался пользователь.
Когда парень сообщил, что добавляет первые 4 цифры от старого телефона, интервьюер спросил:
- Первые же обычно 29?
Парень согласился и уже сам добавил:
- Да, 29, потом ещё 29.
Вот так простые рижане, сами того не подозревая, рассказывали совершенно незнакомым людям свои пароли.
Похожий эксперимент был проведен и онлайн: сотрудникам участвовавших предприятий оправили э-мейлы с просьбой, либо проверить пароль на безопасность, либо пройти по ссылке. Очень многие попались и поделились личными данными.
Как себя обезопасить
Рекомендации для тех, кто не хочет оказаться жертвой мошенников:
- Защитить телефон паролем;
- Не делиться паролями с сомнительными страницами;
- Не взламывать защищенное оборудование;
- Регулярно обновлять операционную систему телефонов;
- Не устанавливать программы и аппликации из непроверенных источников;
- Защищать уже имеющуюся информацию, шифруя её;
- Пользоваться возможностью заблокировать телефон удаленно.
Интернет-банки с 1 апреля: защита станет круче
Каспар Цикмачс, руководитель IT отдела Citadele, напомнил, что с 1 апреля во всех банках повышаются требования к безопасности электронных денежных переводов. При перечислении через интернет-банк сумм свыше 30 евро, кодовой карточки будет недостаточно. Придется вводить ещё и код, который отправят на мобильный телефон.
В связи с этим он рекомендовал пользоваться мобильной аппликации банка, которая делает перевод денег намного проще.
-- Не надо искать кодовую карточку, жать смс, - говорит г-н Цикмачс. -- Мы проводили соревнования среди сотрудников, как быстро они смогут сделать перевод. Рекорд на мобильной аппликации составил 18 секунд вместе со временем, чтобы подойти к столу и взять телефон. При этом, телефонные аппликации даже безопаснее, чем переводы через стандартный интернет-банк. Для перевода средств используются более защищенные протоколы обмена данными, сами данные шифруются. Кроме того, отсылается код, который действует только одну минуту и только на конкретную транзакцию. Так что "лишнего" перевести не получится.
Николай Кудрявцев, "Сегодня" ("Вести сегодня")