На «чёрном рынке» интернета покупается и продаётся всё. И один из самых востребованных товаров — пароли к email-адресам и аккаунтам на разных сайтах. Если злоумышленник получит доступ к «живому» адресу электронной почты, у него есть шанс завладеть аккаунтами жертвы в соцсетях, интернет-магазинах, платных сервисах. В этой статье мы расскажем, как это происходит, и как не стать жертвой взлома.
Как моя знакомая «заказала себе» технику на $1400
Однажды Света позвонила мне в панике. Вчера её почту взломали, зашли в аккаунт на Ebay, к которому был привязана карта, и от её имени накупили дорогой техники. Адрес доставки где-то в Канаде — разбираться не поедешь.
Света девушка ранимая: больше потери денег её расстроило, что кто-то мог прочитать её переписку на почте и в соцсетях. Ничего крамольного там не было, но «это же личная жизнь, её узнали чужие люди».
Оказалось, что во всех старых аккаунтах на самых разных сайтах у Светы стоял один и тот же пароль, и все они были привязаны к одной почте. Она придумала пароль давно, и по привычке использовала его везде. Скорее всего, мошенники получили базу с данными от какого-то «левого» сайта и подбирали эту же связку логин-пароль к важным ресурсам. К сожалению, им «повезло».
Как пароли попадают в открытый доступ
Периодически появляются новости о том, что в сеть слита очередная база данных паролей пользователей Mail.ru / LinkedIn / Steem и прочих сервисов. Слита кем? И как? Хакерами, которые ищут (и находят) уязвимости сайтов, подбирают пароли автоматическим перебором.
Но взломать сервисы условного Yandex гораздо сложнее, чем простого сайта. Часто воры сначала получают доступ к паролям пользователей на нишевых ресурсах. Это могут быть интернет-магазины, сайты знакомств, файлообменники, онлайн-библиотеки и пр.
Хорошо, если пароли во взломанных базах оказались зашифрованными. Но часто сайты средней руки хранят пароли в том виде, как их указали пользователи. С зашифрованным паролем, который может выглядеть например так — 7)2iD7@45Na§ke689dmpf84zh — злоумышленники не смогут войти в аккаунт. С открытым паролем вида «privetmir!777» — легко.
Несмотря на предупреждения о том, что пароль должен быть сложным и уникальным, миллионы людей игнорируют это правило. Придумав один пароль, они используют его и на всех других ресурсах, на которых регистрируются. «А зачем запоминать новые? Этот и так нормальный!». В результате часть украденных паролей от аккаунтов на каком-нибудь форуме или в магазине подходит и к указанным почтовым ящикам.
Злоумышленник, пользуясь легкомысленностью людей в этом вопросе, попробует залогиниться с этой же связкой логин-пароль на других сайтах: в соцсетях, почтовых клиентах. Если ему повезёт, и пароль подойдёт к email-аккаунту, вор сможет найти письма от банков, платёжных систем, магазинов вроде Amazon. Дальше он попытается поменять пароль, вывести ваши деньги или оплатить свои покупки вашими картами, привязанными к аккаунтам.
Эксперты по кибербезопасности анализируют базы украденных адресов и паролей. Их данные говорят, что в среднем 75% паролей используются авторами более одного раза.
Что делать, чтобы не оказаться на месте Светы?
- Придумывайте сложные пароли. Лучший вариант — бессмысленные комбинации больших и маленьких букв, цифр и специальных символов.
Lifeisgood1 — плохой пароль
Dkw@739(&#hiQMw6^!89dh*91 — хороший (даже слишком :) )
Вариант «dktcehjlbkfcmtkjxrf» выглядит надёжным? Это строчка из песни «в лесу родилась ёлочка», набранная в латинской раскладке клавиатуры. Пароль встречается в базах украденных данных 874 раза. Если вы пользуетесь подобными «хитростями», придумайте что-то получше.
Не используйте для пароля и кличку своего домашнего питомца — «barsik» был найден в базах 18375 раз. Своё имя, даже в комбинации с цифрами — тоже плохая идея. «Alex123» был найден 1923 раза.
- Во всех возможных случаях подключайте двухфакторную аутентификацию (2FA). Это дополнительная защита вашего аккаунта: для входа недостаточно будет ввести правильный логин и пароль. Понадобится ещё указать код из СМС-сообщения или приложения вроде Google Authenticator. Для этого злоумышленнику придётся завладеть и вашим телефоном.
- Периодически меняйте пароли. Даже сложные комбинации можно подобрать (это вопрос времени и мастерства хакеров), и даже серьёзные сервисы вроде Yahoo! становятся жертвой взломщиков.
Если вы думаете, что такие сайты хранят пароли пользователей, как зеницу ока, вы ошибаетесь. На днях Facebook признал, что хранил пароли к учётным записям миллионов аккаунтов незашифрованными, т.е. в таком виде, как их указали пользователи. По оценкам эксперта Брайана Кребса, речь идёт о 200-600 млн паролях. Потенциально к ним имели доступ тысячи сотрудников соцсети. - Не регистрируйте все важные аккаунты на один адрес электронной почты. А те адреса, которые привязаны к таким профилям, не «светите» на ненадёжных сайтах. Пароли от интернет-банкинга, хостинга, соцсетей и т.п. — в одну корзину, от сайтов доставки еды, билетных операторов и торрентов — в другую.
- Если подключаете «ответ на контрольный вопрос», делайте его сложным. Указывать в качестве любимого блюда пиццу, свою дату рождения или девичью фамилию матери — плохая идея. Если пользуетесь этой функцией, придумывайте свой вопрос и давайте на него максимально неочевидный ответ из нескольких слов, букв и символов.
- Подключите СМС-уведомления о важных действиях с аккаунтом — авторизации из необычного места, смене пароля и т.п.
- Соблюдайте основные правила цифровой безопасности. Не скачивайте и не открывайте сомнительные файлы, не переходите по ссылкам вида zarabotok1000000.ru/redirect/hby3u3h8794rihiur/yu2673j3hrhjjfg4/…/.exe. Ни в коем случае не распаковывайте ненадёжные архивы и не запускайте исполняемые файлы. Последние отличаются нетипичным расширением —их название заканчивается на .exe, .bat, .bin, .com, .mz, .ne, .lx и пр.
- Срочно блокируйте карты по телефону, если подозреваете взлом. По возможности отзывайте платёж, если мошенники уже успели купить что-то с вашей карты. Сразу после этого — меняйте пароли к скомпрометированным аккаунтам.
Оперативно отреагировать поможет СМС-уведомление о списании денег. Не поскупитесь и подключите эту функцию к своей карте — она обойдётся буквально в несколько десятков рублей в месяц. - Не сообщайте пароли для проверки / замены посторонним. Равно как и коды из СМС-сообщений или писем, которых вы не запрашивали. Мошенник может позвонить и эмоционально рассказывать, что он по ошибке указал ваш номер, и ему срочно нужен код из СМС, иначе деньги пропадут… Не ведитесь, прекращайте разговор.
Где можно проверить надёжность своего пароля
Одна из возможностей нашего проекта — проверка почты на взлом. Сервис ищет соответствие с вашим адресом или паролем в украденных базах данных. Это безопасно: он шифрует информацию, которую вы указываете, и проверяет совпадение с ней. Попробуйте ввести свой пароль или вариант, который кажется безопасным.
Проверьте свой пароль на стойкость. Наш сервис примерно определит, сколько времени понадобится злоумышленникам на автоматический подбор комбинации на обычном компьютере. Не обольщайтесь, мощные сервера и специальные программы справятся быстрее!
Где хранить пароли
Ни в коем случае не храните их в текстовом виде на компьютере, особенно в файлах «пароли», «passwords», «pass». Для этого есть защищённые программы и мобильные приложения. Самые популярные и надёжные: 1Password, LastPass, Dashlane, eWallet KeePass. Выберите то, что подойдёт вам по функциональности, дизайну, стоимости (среди них есть и бесплатные).
Пароль можно запомнить в браузере. При условии, что это не самый важный аккаунт, на котором лежат деньги, и вы соблюдаете правила цифровой безопасности. Не делайте этого, если общаетесь с компьютером на «вы».
Записать пароли в блокнот — «дедовский», но весьма надёжный способ. Пишите внимательно, обращайте внимание на регистр букв, отличайте буквы О и l от цифр 0 и 1.
Будьте в безопасности!
