10 «глупых» вопросов по личной информационной безопасности и поведению в интернете

05 января 2023
«Белорусы и рынок»

Порой нам бывает неловко задавать вопросы, потому что они кажутся глупыми. И очень зря. В случае с информационной безопасностью лучше знать ответы вообще на все, чтобы не попасть в неприятную ситуацию.

Мы собрали десять «глупых» вопросов по личной информационной безопасности и поведению в интернете и задали их Дмитрию ТАРАНУ, руководителю отдела информационной безопасности компании hoster.by.

— Везде использую один пароль, ни разу его не менял. Никто меня никогда не взламывал. Получается, все советы по использованию разных и сложных паролей не работают?

— Если вам кажется, что вас не взламывали, это не значит, что так оно и есть. Вы просто можете об этом не знать, так как оказались не самой интересной жертвой для злоумышленника, и в списке слитых учеток были «рыбки покрупнее».

На практике вы можете узнать о взломе только тогда, когда с карты начнут списываться деньги или когда неожиданно вы не сможете попасть в свой аккаунт.

А проверить, попали ли вы в какую-то из слитых баз или был ли ваш пароль скомпрометирован, можно через специальные ресурсы, которые агрегируют утечки данных и проверяют их на уникальность. Из бесплатных — сервис от Google Password Checkup.

— Почему подобрать пароль от аккаунта бывшей (-его) легко, а от аккаунта финансового директора банка — трудно?

— На самом деле это очень спорное утверждение. Сложность любого взлома зависит не от профессии, а от уровня зрелости в плане информационной безопасности того человека, аккаунт которого хотят взломать.

Пароль можно подобрать двумя способами — ручным или через специальные программы. Ручной неплохо работает, когда вы хорошо знаете человека, которого пытаетесь взломать. Его предпочтения, важные даты вроде дня рождения или имени домашнего питомца.

Мошенники же чаще всего пользуются подбором логина и пароля через брутфорс — путем перебора данных по словарю, заданному алгоритму, страновому признаку и так далее. Но этот способ малоэффективен, если в системе или сервисе стоит хоть одна блокировка. Например, после пяти неудачных попыток ввода пароля нельзя вбить новый вариант хотя бы в течение 5–10 минут. Это как в банкомате: три неверных пин-кода — и ваша карта заблокирована. Но даже такая защитная блокировка не сработает, когда вас ломают целенаправленно.

— Правда, что самое уязвимое место в любой компании — инфобезопасник?

— И да, и нет. Самое уязвимое место в любой компании — люди. Больше всего проблем с безопасностью происходит из-за человеческого фактора. Инфобезопасник следит, чтобы другие не нарушали правила. Так что вряд ли он нарушает их сам.

— Храню пароли в GoogleDocs, очень удобно. Насколько это опасно?

— Это все равно что хранить все свои пароли на бумажке, которую вы всегда носите с собой. С ней же может произойти все что угодно. Даже если допустить, что Google хорошо защищает все свои сервисы, кто-то где-то может увидеть все ваши пароли. Например, если телефон украдут или кто-то попросит взять его в руки, чтобы посмотреть фото.

— Правда ли, что специалисты, разрабатывающие антивирусные программы, сами пишут вирусы?

— Это не совсем так.

Специалистам, которые создают программы против вирусов, нет смысла разрабатывать новые «зловреды». Им и так хватает работы. При этом переманить на сторону доб­ра хакера, который создает вирусы, — отличное решение. Его технические компетенции очень пригодятся, так как это априори мощный специалист. Если он знает, как создавать вирус, он точно знает, что нужно сделать, чтобы вирус не работал.

Самый известный случай из мировой практики — американский консультант по компьютерной безопасности и знаковая фигура в сфере

Кевин Митник. Изначально он был компьютерным хакером и даже отсидел в тюрьме, а потом помогал правительству США в расследованиях и проводил обучение сотрудников.

— Зачем кому-то графический ключ или код-пароль от моего телефона? Даже если мошенник их увидит, что он потом может сделать?

— Все зависит от того, стали ли вы мишенью мошенника.

Есть целенаправленные атаки на конкретных людей, главная цель которых — физически завладеть устройством, чтобы выманить из него конфиденциальные данные из переписок или фотогалереи. В этом случае первым этапом будет как раз разузнать ваш код-пароль или графический ключ, а уже потом в удобном месте завладеть самим устройством. Чаще всего это происходит в кафе, транспорте или на вечеринках.

— Говорят, надо иметь минимум две карты — основную и еще одну для оплаты в интернете. Зачем, если в случае чего я могу быстро заблокировать карту в приложении?

— Заблокировать можно, но это уже будет следующим шагом после того, как часть средств с карты уйдет мошеннику. Ведь только в этот момент вы поймете, что что-то пошло не так — по SMS о списании денег или при обновлении баланса карты в приложении.

Чтобы защитить свои деньги, рекомендую иметь основную карту, на которую приходят зарплата и другие доходы, и вторую — для онлайн-платежей. Тем более сейчас можно быстро открыть виртуальную без посещения отделения. Все ее данные сразу отобразятся в вашем смартфоне.

Работает это так: при оплате в интернете вы просто переводите нужную вам сумму на свою вторую карту. И эта сумма уходит с нее в момент онлайн-покупки. Даже если данные этой карты куда-то уйдут, мошеннику она будет неинтересна. На ней нет денег, красть с нее нечего.

— Написал пин-код на обратной стороне карты, чтобы не забыть. Ну и что, если потеряю? Быстро заблокирую ее в приложении, и никто никаких денег у меня не украдет.

— Вы не успеете это сделать, так как после потери или кражи карты до снятия с нее денег может пройти ровно одна минута. Владея картой с пин-кодом на обратной стороне, мошеннику или вору нужен только банкомат поблизости, чтобы снять с вашей карты все доступные деньги.

— Зачем банкам кодовое слово? Что они вообще могут по нему идентифицировать?

— Это дополнительный шаг аутентификации. Даже если вы потеряли паспорт или какие-то данные, вы все равно можете позвонить в банк и уточнить, какие счета у вас активны и какой по ним остаток. Банк обязан удостовериться, что звоните именно вы. Вместе с ответами на другие вопросы, которые они зададут, секретное слово окончательно подтвердит банковскому сотруднику, что это точно вы.

— Правда, что инфобезопасник меняет пароль каждый час?

— Вполне достаточно обновлять пароль раз в два-три месяца. Главное, чтобы он был достаточной длины и содержал буквы, цифры и спецсимволы.

СПРАВКА «БР»

Если пароль, то сложный.

Если используете много сервисов — задавайте для каждого разные пароли.

Не забывайте регулярно обновлять пароли и ни в коем случае не храните их в заметках или GoogleDocs.

Используйте отдельную карту для онлайн­платежей.

И никогда не оставляйте пин­код на обратной стороне карты.

Читайте нас в:

Подпишитесь на нашу газету

Только топовые новости у вас под рукой! Подписаться

Подписывайтесь на нас в соцсетях

Cамые свежие новости всегда с вами!