Правила личной кибербезопасности

Что нужно делать, чтобы потом не пришлось срочно блокировать все аккаунты и банковские счета? Вместе с экспертом из команды кибербезопасности мы составили подробную практическую инструкцию о том, как защитить свои данные.

Wi-Fi

Сеть Wi-Fi — привычный для всех способ выхода в интернет. Практически всегда можно найти поблизости открытую точку Wi-Fi. В то же время публичные сети часто уязвимы, потому что через них злоумышленник может легко получить доступ к трафику пользователей.

Старайтесь не пользоваться публичными Wi-Fi, гораздо безопаснее выходить в интернет через SIM-карту: раздавать сеть со смартфона или подключать USB-модем.

Наличие пароля у публичной сети Wi-Fi также не означает, что сеть безопасна. Злоумышленники легко могут его узнать, создать одноименную фальшивую сеть и перехватывать трафик ничего не подозревающих пользователей. Если никаких альтернатив нет, при работе с публичными Wi-Fi нужно соблюдать следующие правила:

1. Установите VPN и подключайтесь к публичной сети Wi-Fi только через него. Как правило, надежные VPN со стойким шифрованием платные. Выбрать VPN помогут рейтинги и отзывы в интернете. Также существуют VPN-сервисы с моделью freemium, где небольшое количество трафика предоставляется бесплатно.
2. При подключении через публичные сети не передавайте данные своей карты. Если вам нужно что-то купить в интернет-магазине, расплачивайтесь с курьером при получении заказа.
3. Сведите к минимуму авторизацию в соцсети и корпоративные ресурсы, так как высок риск, что логины, пароли и личные данные могут перехватить злоумышленники.

Домашняя Wi-Fi сеть безопаснее, однако и здесь есть несколько правил, которые помогут свести к минимуму риск взлома.

1. Смените стандартную комбинацию логин/пароль при установке домашней Wi-Fi сети, по которому происходит доступ в меню настроек вашего роутера — обычно по умолчанию это admin/admin.
2. Смените стандартное название домашней Wi-Fi сети «из коробки», чтобы злоумышленники не смогли узнать производителя роутера и подобрать соответствующий эксплойт (вредоносный код). Также регулярно обновляйте прошивку роутера, поскольку в них производитель устраняет найденные уязвимости.
3. Обращайте внимание на тип безопасности, по которому работает точка Wi-Fi: WEP — небезопасно, WPA2 — необходимый уровень, лучше — WPA2 Enterprise. Посмотреть эту информацию можно в свойствах подключения к Wi-Fi сети.
4. В настройках роутера отключите функцию WPS, иначе это значительно упрощает взлом домашней Wi-Fi сети.
5. Для друзей и знакомых создайте гостевой доступ к вашей Wi-Fi сети, чтобы снизить риск подключения уже зараженных устройств. Если у вас есть IoT-устройства — умный чайник, умные лампочки, смарт-телевизор и пр. — их также следует подключать к Wi-Fi через гостевой доступ.

Почта

Злоумышленники могут использовать взломанные почтовые аккаунты для кражи информации, получения доступа к корпоративным ресурсам и Supply Chain атак (атаки на цепочку поставок).

Одной взломанной почты сотрудника может быть достаточно, чтобы компания понесла многомиллионные убытки. Как можно себя обезопасить?

1. Настройте двухфакторную аутентификацию. Регулярно проверяйте активные сессии в настройках аккаунтов. Это позволит вовремя обнаружить попытку взлома и предотвратить ее.
2. Сервисы, которые заботятся о безопасности своих клиентов, могут высылать одноразовые коды не только с помощью SMS, но и через специальные приложения — например, Яндекс ID. Даже если злоумышленники смогут перехватить ваши SMS-сообщения, доступ к аккаунтам им получить не удастся.
3. Ресурсы с большим количеством пользователей регулярно подвергаются атакам с целью получения доступа к данным. Поэтому проверяйте свои почтовые аккаунты на факт утечки. Сделать это можно с помощью сайта «have i been pwned?».

Пункты для гиков:

Заведите несколько почтовых аккаунтов.

• Мусорный: для подписок, рассылок, регистраций на сайтах и страницах мероприятий.
• Публичный: для деловых переписок и связи.
• Основной внешний: почта, которая указывается в соцсетях и при регистрации на «немусорных» сайтах.
• Основной внутренний: почта, на которую происходит переадресация всех сообщений с основного внешнего почтового адреса.

Если ваш почтовый клиент позволяет, настройте переадресацию с удалением для основной внешней почты. Так, при регистрации на сайтах вы сможете указывать почту mail1@megafon.ru, а все сообщения будут уходить на внутреннюю почту mail2@megafon.ru, адрес которой никто, кроме вас, не знает. В случае взлома внешней почты mail1, злоумышленники увидят пустой ящик.

Пароли

Пароль — основной способ защиты данных. Чем он сложнее — тем надежнее вы защищены. Поэтому к составлению пароля выдвигаются особые требования:

1. Для каждого аккаунта — свой пароль. Желательно не меньше двенадцати символов, с использованием букв разного регистра, цифр и спецсимволов. Для создания паролей лучше всего использовать генератор.
2. Используйте парольный менеджер. Выбрать парольный менеджер помогут рейтинги, отзывы и обзоры. Рейтинг PCMag рекомендует такие парольные менеджеры как Keeper, LastPass и 1Password.
3. Если вы не доверяете парольным менеджерам, существует несколько способов придумать надежный пароль так, чтобы его можно было легко запомнить. Например, составить его из первых букв слов из отрывка стихотворения или составлять пароли-фразы, в которых слова сочетаются по принципу, например, «Персонаж-Место-Объект-Действие».
4. В дополнение к паролю настраивайте двухфакторную аутентификацию для всех сервисов, которые поддерживают такую возможность.
   

Фишинг

Фишинг — тип мошенничества, целью которого является получение доступа к конфиденциальным данным (логинам и паролям) и, как следствие, кража денег, информации, заражение систем компании. Большинство кибератак начинается с фишинга. Ниже — несколько правил, как не попасться на удочку злоумышленников.

1. Будьте внимательны. Прежде чем перейти по ссылке в письме или скачать вложенный файл, наведите курсор, чтобы убедиться в корректности URL-сайта или расширении файла. Не скачивайте файлы с неизвестным расширением или расширениями вида .exe .com .pif .scr. Не вводите свои данные в предложенные в письме формы. Подозрительное письмо лучше скопировать и вложением отправить в службу безопасности почтового сервиса или компании, от имени которой оно пришло. Сайты злоумышленников могут выглядеть почти так же, как официальные сайты банков или провайдеров услуг. Поэтому при малейшем подозрении закройте такой сайт и сообщите о нем в службу безопасности компании, под которую маскировались злоумышленники.
2. Обращайте внимание на содержание письма. В фишинговых письмах часто используются фразы, которые требуют от вас незамедлительных действий — перейти по ссылке или скачать файл. Например, «У вас есть ровно 15 минут на оплату услуг по договору!», «Срочно перейдите по ссылке, чтобы получить доступ к файлу!» и т.п.
3. Голосовой фишинг также распространен. Помните, что сотрудники компаний никогда не попросят вас назвать пароль, логин или код — как правило, любой вход или подтверждение транзакции происходит через сайт, приложение или SMS. Возьмите за привычку перезванивать сотруднику банка при совершении любых операций по телефону.

Банковские карты

Киберпреступники могут успешно выводить деньги с чужих счетов несмотря на системы подтверждения транзакций и распознавания подозрительных переводов. Главная проблема — люди часто сами отдают свои данные или отправляют деньги мошенникам. 

1. Помните, что при переводе денег между физическими лицами достаточно номера телефона или номера банковской карты. Полные реквизиты карты ни в коем случае передавать нельзя. В большинстве случаев люди теряют деньги, потому что сами передают данные карты мошенникам.
2. Банкоматы — одно из самых уязвимых мест с точки зрения безопасности. Всегда будьте внимательны при использовании этих устройств: визуально проверяйте клавиатуру и картоприемник на наличие повреждений или дополнительных устройств. По возможности используйте банкоматы, которые находятся внутри отделений банков.
3. В кафе и ресторанах передавайте карту официантам, только если оплата производится при вас и карту не уносят на стойку, где находится терминал.
4. Отключите Siri или Google Assistant на заблокированном экране — ранее хакерам удавалось получить доступ к данным пользователей через голосовых помощников. Перед установкой банковских приложений на Android смартфон установите антивирус.
5. Для покупок в интернете заведите отдельную виртуальную карту — как правило, ее можно оформить бесплатно — и переводите на нее деньги непосредственно перед покупкой. Даже если злоумышленники получат к ней доступ, они не смогут украсть ваши деньги.
6. Старайтесь совершать покупки только на сайтах проверенных интернет-магазинов. Для всех банковских карт включите оповещения через SMS или Push-уведомления.

Компьютеры

При работе с ноутбуками и персональными компьютерами также есть несколько простых правил, которые помогут вам обезопасить свои данные от несанкционированного доступа.

1. Даже если вы отходите от своего рабочего места всего на пару минут, не забывайте блокировать компьютер. Сделайте это привычкой.
2. Используйте лицензионную версию операционной системы и вовремя ее обновляйте — в новых версиях устраняются найденные уязвимости, а в пиратских версиях операционных систем могут быть заложены бэкдоры. Не забудьте установить антивирус и настроить регулярную проверку компьютера.
3. Сохраняйте бдительность при подключении внешних устройств. Не подключайте незнакомые устройства, особенно это касается USB-накопителей. Отключите функцию автозапуска устройств.
4. При работе с данными на облачном хранилище используйте сложный пароль и двухфакторную аутентификацию.
5. Защитите данные на компьютере с помощью шифрования диска, чтобы их нельзя было прочитать, физически вытащив HDD или SSD из компьютера и подключив к другому устройству.