В цифровом мире каждый человек подвергается угрозам ежесекундно. Киберпреступники давно перестали охотиться на отдельных пользователей. Сегодня атаки совершаются на целые сервисы и крупные информационные системы. И их жертвами становятся все без исключения.

Мошенники из «Службы безопасности Сбербанка» ежедневно обзванивают тысячи пользователей, большинство из которых давно знают, что имеют дело с преступниками. Но, тем не менее, попытки поиска жертв не прекращаются. Ведь в тысяча первом случае телефонные бандиты смогут дозвониться «клиенту», который еще не слышал о телефонном мошенничестве.

То же самое происходит и в цифровой среде. Более того, атаки на пользователей здесь и проще, и быстрее.

Самым уязвимым местом пользователей остаются пароли, которые можно подобрать или украсть, и электронная почта, по которой отправляются миллионы мошеннических писем. Мы расскажем, как обезопасить себя от хакерских атак, в которых используются эти каналы нападения.

Что нужно знать о паролях

Основа информационной безопасности – пароли. За ними охотятся злоумышленники, их продают на биржах в даркнете, их постоянно пытаются взломать. И они остаются самым слабым элементом защиты от хакеров. Потому что, несмотря на то, что мы научились создавать пароли, которые трудно угадать человеку, это ничего не стоит машине. Сравним два пароля: ErTlOibv и °bYt23zK6_. Второй – в 100000 раз (буквально!) сложнее, и только за счет того, что помимо букв в нем используются цифры и специальные символы.

Сгенерированные случайные пароли, которые содержат специальные знаки, наиболее надежны. Например, практически невозможно будет взломать такой: °)Yt23zK6_M2KAuu!g0,*AcV94. Запомнить его практически невозможно, и, если вы не доверяете записным книжкам и предпочитаете держать пароли в голове, то можно использовать случайные слова в сочетании со специальными знаками. Например: Staples__Shoes;;Nails. 

Но нужно учитывать, что варианты, в которых содержатся даты рождения, номера документов, имена любимых артистов заведомо слабы. Примеры слабых паролей: ohn-210375, Football Team, M@NCH3ST3R, |-|@CK3r. Обратите внимание: все они, к тому же, содержат менее 9 символов. И уж совсем слабым будет пароль, в котором содержатся слова и цифры, которые имеют к вам прямое отношение (номера документов, почтовые индексы, адреса и т.п.). Например: PAUL NATHALIE LEA или В533ОМ177.

Хорошая новость в том, что создавать надежные пароли просто. Для этого лучше всего использовать менеджеры. Они предлагают сочетания, которые невозможно запомнить человеку и очень трудно подобрать специальному программному обеспечению. Из числа самых популярных сервисов можно порекомендовать Lastpass, Bitwarden, 1password или Keepass, – они считаются сегодня наиболее безопасными.

Можно воспользоваться функцией генерации паролей в браузере. Они не столь надежны, но вполне подойдут для аккаунтов на различных веб-сайтах.

В любом случае, недостаточно придумать самый сложный пароль. Необходимо еще и регулярно проверять, не был ли он украден во время хакерской атаки или инцидента, связанного с утечкой данных. Сделать это можно при помощи сервиса https://haveibeenpwned.com. Он, кроме того, предупредит вас, если такая кража случится. В качестве альтернативы можно порекомендовать сервис проверки паролей Google.

Какими бывают безопасные пароли

Если по каким-то причинам вы не можете воспользоваться менеджером паролей, то есть простой способ придумать вариант, который будет и запоминаем, и сложен для взлома.

Основное правило: используйте в пароле 9 и более знаков и обязательно специальные символы. Некоторые сервисы могут не допускать использование некоторых таких элементов. Не беда, просто замените их другими.

Пароли, которые придумываются самим человеком, можно разделить на четыре группы.

Первая – «базовые», которые допустимо использовать для аккаунтов на сайтах и сервисах, где не хранятся важные данные и не совершаются финансовые транзакции.

Вторая – «важные», они используются для аккаунтов на сайтах, где вводится важная для вас информация и совершаются платежи.

Третья группа – «профессиональные» пароли, их вы используете для доступа к корпоративным информационным системам.

И, наконец, четвертая группа – пароли «самые важные». Они применяются для защиты банковских аккаунтов, криптокошельков, важнейших интернет-сервисов (например, для аккаунта на «Госуслугах»). Внимание: вводить такие пароли можно только в том случае, если соединение осуществляется по защищенным протоколам, таким как SSL.

Как самостоятельно придумать надежный пароль

Для создания «базового» пароля можно выбрать известное вам корневое слово, добавить к нему несколько символов и название сайта, на котором он используется. Пример такого пароля – DireStraits_=_woodbrass, он содержит название любимой рок-группы и название сайта, разделенные специальными символами.

Того же принципа придерживаемся и при создании «важного» пароля, но усложняем конструкцию: меняем местами корневое слово и название сайта. Например: Amazon/-\R0llingSt0nes.

Корневое слово можно применять и для «профессиональных» паролей, но в них оно должно быть иным. Например, пароль DireStraits(°)Compta использует название любимой группы, название сайта, на котором у пользователя есть часто используемый аккаунт, и специальный символ в верхнем регистре.

А вот для «самых важных» паролей лучше использовать не набор сочетаний слов и символов, а целые фразы. Например, «A sentence is better than a password». Еще надежнее будет так: «@ sentence is better than a password».

Эти простые принципы позволят вам:

• никогда не использовать на разных сайтах и сервисах одинаковые пароли;
• применять только те пароли, которые трудно подобрать;
• создавать пароли, конструкция которых будет учитывать требования, которые существуют у большинства систем;
• не забыть придуманный пароль, при этом вам не придется запоминать десятки разных вариантов;
• заменить пароль на новый, просто поменяв корневое слово.

Предложенный способ создания паролей не идеален, но применять его – гораздо лучше, чем использовать один и тот же пароль для десятков разных аккаунтов. Ведь если один из них будет взломан или украден, то хакер наверняка попытается использовать его для доступа к разным вашим аккаунтам, в том числе критически важным. Кроме того, не исключен вариант, когда пароль будет использоваться для автоматической идентификации скомпрометированных учетных записей с вашим именем.

Как обезопасить себя от угроз через email

Электронная почта – еще один источник опасностей, которые грозят всем пользователям. Чтобы не стать жертвой киберпреступников, необходимо соблюдать несколько простых правил.

1. Всегда проверяйте отправителя и не открывайте письма, поступившие с незнакомых адресов.
2. Тем более нельзя открывать файлы, пересылаемые неизвестными отправителями. То же самое касается ссылок, которые содержатся в таких письмах, даже если URL-адрес выглядит вполне безопасно.
3. Никогда не выполняйте требований срочно совершить какие-то действия. Каким бы угрожающим не было послание, выдохните и подумайте: а можно ли вас будет обвинить в том, что вы не сделали этого немедленно.

Электронная почта часто используется мошенниками, которые рассылают «фишинговые» письма. Это название появилось из-за того, что они буквально ловят своих жертв, используя приманки, – так, как рыбак ловит рыбу, предлагая ей вкусного червячка, которого невозможно не проглотить. Помните: электронная почта – средство личного общения, а оно остается привилегией знакомых вам лично людей. И при малейшем сомнении проверяйте, знаете ли вы отправителя письма.

Сделать это несложно. Прежде всего, обратите внимание на подпись отправителя. Нет ли в ней нехарактерных ошибок, не используются ли посторонние символы, нет ли в ней лишних пробелов, корректно ли написан обратный адрес. Наконец, не отличается стиль письма от того, который используется в других письмах этого корреспондента.

Договоритесь с вашим ближайшим окружением об использовании «страхового» слова или словосочетания, которое можно уточнить при возникновении подозрений. Конечно, такое слово должны знать только те, с кем вы договариваетесь. Можно даже договориться о том, чтобы вставлять такое слово в текст письма. Например, выражение «Не могу дождаться нашей следующей встречи в баре» может означать, что на вашего корреспондента оказывается давление, и написанному им верить нельзя.

Наконец, не пересылайте электронной почтой конфиденциальную информацию. Разместите ее в защищенном хранилище, к которому имеет доступ ваш корреспондент, отдельным файлом.

Все это – не самые сложные принципы, использование которых поможет вам предотвратить атаку хакеров или мошенников. Помните, что их жертвой может стать не только крупная и богатая корпорация, но и любой человек. Преступники не имеют принципов и не погнушаются даже малой добычей, если получить ее просто. Вскрыть при помощи программы-переборщика пароль от онлайн-банка или отправить фишинговое письмо – дело нескольких секунд.

Берегите себя и свои тайны!