Когда-то отец американской разведки Аллен Даллес сказал, что 95% всей информации, необходимой разведчику, содержится в открытом доступе. В реалиях нашего времени, принимая во внимание усовершенствование технологий, изменение государственной политики в отношении открытия реестров и развитие социальных сетей, количество открытой информации стремительно приближается к 99%.
Наряду с открытыми источниками сбора данных существует так называемый черный рынок информации (DarkNet), предлагающий широкий спектр инструментов получения конфиденциальной информации. Да, это противоправно, антиконституционно, преступно, но так заманчиво. Ведь черный рынок предоставляет возможность получения того самого 1% конфиденциальных данных, которые злоумышленники могут обернуть не только против вас, но и против вашего бизнеса. О чем идет речь? О данных логистических компаний (типа «Новая почта»), банковских учреждений, телефонных трафиков, государственной фискальной службы, Пенсионного фонда и т. д. Но все они меркнут рядом с возможностью постановки вашего телефона на прослушку, получения доступа к мессенджерам и личной электронной почте.
Какой мессенджер самый безопасный?
В нашей стране бытует распространенное мнение, что самым безопасным мессенджером является Telegram. А я вам могу сказать, что он – едва ли не один из самых опасных. Ведь при получении злоумышленником доступа к вашему аккаунту, он так же получает возможность увидеть всю историю ваших переписок, если вы не воспользовались услугой «секретный чат».
Более того, летом 2018 г. Telegram добавил новый функционал, позволив пользователям скачать все данные, которые он о них хранит с начала регистрации аккаунта. Это личные сообщения за всю историю существования аккаунта, а также IP-адреса входа в Telegram за последние 12 месяцев и многое другое, в том числе данные о группах, в которых вы принимали участие, и ваших собеседниках. Чего точно вы не сможете найти в своем архиве, так это секретных чатов, удаленных сообщений, истории телефонных звонков и данных о заблокированных пользователях.
Но если вы все же являетесь нерушимым поклонником Telegram и у вас с ним полное обожание, то спасением для вас станет… банальная Nokia, которая на витрине магазина гаджетов не вызывает у обывателя восторга и блеска в глазах.
Правило первое: никогда не привязывайте свой мессенджер к основному номеру телефона. Используйте Nikname и помните: вы находитесь в безопасности, пока злоумышленник не знает номер телефона, к которому привязан аккаунт.
Правило второе и третье: откажитесь от обычных чатов в пользу секретных, а для звонков используйте связь Peer-to-peer.
Правило четвертое: воспользуйтесь услугой Telegram и установите на мессенджер код-пароль, отказавшись от Face ID.
А как же социальные сети?
Очень часто пользователи недооценивают силу социальных сетей, задавая встречный вопрос: «Ну, взломают мой аккаунт в Facebook и что?». И я обычно рассказываю историю одной судьи, которая попала в очень неприятный скандал, после того как злоумышленники получили доступ к ее личной странице в социальной сети. История произошла в прошлом году, прогремев на всю страну, и началась с того, что судья Шевченковского районного суда Киева Виктория Светлицкая призналась, что принимала судебные решения по делу об аресте имущества компаний народного депутата Дмитрия Святаша под угрозами. На своей странице она отметила, что неизвестные люди предложили ей «быть послушной девочкой и отменить арест в рамках этого дела, получая хорошую сумму, либо прощаться с должностью судьи». Пост практически моментально разлетелся по сети, судье посочувствовали более тысячи человек. А после ей позвонил якобы сам народный депутат и они договорились о свидании. Запись телефонного разговора попала в сеть и вызвала новую волну скандалов. Безусловно, это были проделки хейтеров, но репутация судьи уже была дискредитирована, и Шевченковский районный суд был вынужден выйти с опровержением.
Правило пятое: отвяжите социальные сети от своего основного номера телефона, установив двойную аутентификацию.
Gmail сделал то, что не удалось Чингисхану – захватил мир
Всем известно, что любой смартфон всегда потребует от вас создания аккаунта. В таком вопросе выбор часто падает на Gmail, так как он считается самым безопасным. Но как много пользователей слышали о существовании Google-архива? Что хранит о своих пользователях такой архив? Данные о перемещениях, историях запросов, контактах, содержании диска, закладках и т. д.
Безусловно, выгрузка подобного архива занимает значительную часть времени, но чаще всего в отличие от простого пользователя оно у злоумышленников есть.
Спешу развенчать существующий миф – взлом электронной почты Google вполне возможен. Методами, используемыми злоумышленниками, являются: phishing, горячий перехват и социальная инженерия. На каждом из методов мы остановимся подробнее.
Ловись, рыбка, большая и маленькая!
Наверное, 80% пользователей получали на электронную почту письмо: «Уважаемый пользователь, ты стал миллионным покупателем чего-то там, поэтому ты выиграл энное количество денег, пройди по ссылке, и будет тебе счастье». Пользователь переходит по ссылке, удивляется тому факту, что Google просит ввести еще раз данные, но в погоне за номиналом все же вводит. Все, с этого момента ваша почта вам более не принадлежит.
С развитием технологий развивались и злоумышленники, они больше не работают так топорно – многие из них стали использовать социальную инженерию (социальный шпионаж). Используя методы и технологии, они создают обстановку, при которой вы сами предоставляете необходимую информацию без каких-либо опасений.
Одним из таких методов является ваше незнание. К примеру, вам на почту приходит уведомление: «Уважаемый, вы вызваны на допрос в такую-то прокуратуру и в такое-то время просим явиться. При неявке будет осуществлен принудительный привод». Неужели не вздрогните? Неужели не кликнете по ссылке? Нет? А если вам при этом еще позвонит «следователь», который попросит проверить свою почту и ознакомиться с повесткой, зачитав статьи уголовного кодекса, которые вам грозят за неявку?
И если устоите вы, то устоит ли ваш бухгалтер? Поэтому вы должны помнить: любые предпринятые вами действия в отношении кибербезопасности абсолютно нивелируются незнанием, доверчивостью, а порой и халатностью вашего близкого круга.
Учитывайте, прежде чем начать с вами работать, социальные инженеры изучают ваши социальные сети и собирают информацию в открытых источниках – место работы, место проживания/регистрации, данные о ваших родственниках. То есть они ищут то, что может вас зацепить. К примеру, вы счастливая мать, которая делиться достижениями ребенка, ведь он сегодня окончил третий класс с отличием. И если на вашу почту вскоре придет письмо, в котором вам предложат пройти по ссылке и заполнить форму для участия вашего ребенка в конкурсе «Самых умных третьеклассников», неужели родительское сердце не дрогнет?
Горячее вскрытие
Как я уже отмечала, DarkNet предоставляет широкий спектр услуг, базирующийся на человеческих факторах: кто-то готов продавать информацию ради финансовой выгоды, кто-то – ради любопытства. Но существует и такая услуга, как постановка вашего телефона на прослушку. Тихой и темной ночью, пока вы ничего не подозревая мирно посапываете, злоумышленники не спят, и уже утром будут иметь доступ к вашей почте. Как этот метод работает? На ваш телефон приходит сообщение с кодом, который отправил Google для восстановления доступа к аккаунту. При пересылке сообщение с кодом зависает – передается злоумышленнику и только потом приходит к вам. Тут же меняется ваш пароль, осуществляется выход со всех активных сеансов и выкачивается ваш архив. Вам придется смириться с тем фактом, что вся ваша информация попала в руки злоумышленников, а вы, вероятнее всего, никогда не вернете доступ к своему аккаунту.
Пожалуй, страшнее всех этих фактов является то, что злоумышленники могут получить доступ к вашей почте и продолжать читать все ваши переписки в режиме онлайн, о чем вы не будете даже подозревать.
Джентльмены удачи
Google часто предлагает вам ответить на проверочный вопрос для восстановления доступа к аккаунту, типа «девичья фамилия вашей матери» или «ваше любимое блюдо». Как вы считаете, сколько стоят данные ЗАГС? Уж точно эти 300 гривен никто не пожалеет. А изучение ваших социальных сетей, если вы активный пользователь, даст исчерпывающие ответы на большую часть вопросов.
Что поможет? Ох уж эта палочка-выручалочка Nokia. Поэтому возвращаемся к правилу четвертому: отвяжите свою электронную почту от основного номера телефона и привяжите к тому, который будет известен только вам.
Правило шестое: установите двойную аутентификацию, используя этот номер, или воспользуйтесь, что более безопасно – Google Authenticator.
Правило седьмое: никогда не переходите по сомнительным ссылкам.
Если вам все еще кажется, что на вашей почте не хранится информация, которая может быть использована против вас, то поспешу вас огорчить: важно не то, что хранится, а то, в каком свете это будет представлено обществу.
Ярким тому подтверждением является история, связанная с судьей из Харькова – Владимиром Плетневым. После того как злоумышленники получили доступ к его личной электронной почте, они предали широкой общественности данные о том, что судья якобы является поклонником российских онлайн-казино. Данные факты привлекли внимание лиц с активной гражданской позицией, которые пришли к его дому. После в СМИ разразился нешуточный скандал, каждый пытался доказать свою правоту, но результатом стала отставка судьи.
Никому не интересны мои финансовые траты
Правда? Возможно, ведь порой, получая данные из банковских учреждений относительно вас, злоумышленники не ставят себе целью узнать, сколько вы тратите в ресторане. Иногда целью являются только номера счетов. Именно так когда-то были скомпрометированы все члены Антирейдерской комиссии при Министерстве юстиции Украины. Данная комиссия замечательна тем, что имеет полномочия фактически останавливать рейдерство с нажатия одной кнопки. Ведь когда еще будет решение суда, а они могут принять решение здесь и сейчас.
Но иногда мнение собственников идет в глубокий разрез с мнением комиссии, ведь отдавать кому-то нажитое непосильным трудом нравится далеко не всем, а именно от комиссии зависит, кому сегодня по факту будет принадлежать, к примеру, объект недвижимости.
Разрыв шаблона произошел в тот момент, когда все члены комиссии получили на свои банковские карты по 2 тыс. грн. А уже через час им пришло сообщение типа «Дорогой член комиссии, здравствуйте! Проверьте баланс по карте, так сказать, от «нашего стола вашему» с расчетом за ваш голос в комиссии. Отправляем авансом и номер жалобы». А уже вечером в реестре юридических лиц была зарегистрирована компания, которая входила в холдинг одной из сторон по жалобе. И вроде бы ничего страшного, но соучредителями компании без своего на то согласия, как собственно, наверное, и ведома стали все ближайшие родственники членов комиссии.
Если моя статья заставила вас хоть чуточку задуматься о своей кибербезопасности, но вы все еще не знаете, как это сделать, помните, японский министр Ёситака Сакурада, который отвечает за кибербезопасность, за 68 лет своей жизни никогда не пользовался компьютером и на вопрос «Используются ли на японских атомных электростанциях USB-накопители?» не смог ответить, сославшись, что за него способны ответить «специалисты».
Ольга Круглова, руководитель направления в Underdog The Unlawyers
