Максимальная защита в Интернете

[Kate]

Удобство ........................................................................................ Безопасность

Сделайте свой выбор на этой шкале — и поддержите себя действиями.

От вас хотят​

1. Деньги (опустошить счет, платные подписки, обман при покупке/продаже, в переписке, благотворительность и т.д.).
2. Информация (для подмены личности, атаки на вас, близких, для рекламы, слежки).
3. Эксплуатация устройства (майнинг, DDoS-атаки, скрытая накрутка рекламы, голосов, рассылка спама, заражение других устройств через ваше и т. д.).

Главная опасность для вас​

1. Иметь слабые пароли.
2. Заразить устройство вредоносной программой.
3. Ввод пароля в поддельном окне.
4. Отсутствие резервных копий.
5. Доверие (без проверки).

---

Пароли​

• 81% вторжений хакеров связаны со слабыми или украденными паролями пользователей (Verizon Data Breach).
• Критичные сервисы должны быть самыми защищенными (почта, банковские приложения, гос. услуги, соцсети)
  1. Взлом почты — позволяет восстановить все пароли к привязанным аккаунтам.
  2. Взлом банковских приложений — лишает вас средств на счетах.
  3. Взлом гос. услуг — делает возможным установить электронную подпись и открывает доступ к полному перечню государственных услуг, например, переоформление недвижимости. (Проверяйте периодически её отсутствие в личном кабинете).
  4. Взлом соцсетей — позволяет манипулировать близкими, заражать вирусами через посты и сообщения, похитить все файлы из переписок и т.д.
• Базы данных воруются, их методично расшифровывают и массово перебирают все аккаунты на популярных сайтах. Нужен сложный пароль!
• Ненадежные пароли делают бесполезной любую систему безопасности.
• В современном мире не нужно запоминать все пароли — только один!
• Для критических сервисов пользуйтесь спец. программой "Менеджер паролей". Нужно запомнить всего один пароль от входа (остальные генерируются автоматически и сохраняются в программе), но этот пароль должен быть максимально надёжным. Если забудете его, то просто восстановите все пароли уже на самих сервисах.
• Хранение паролей
  • Слабая защита — Мастер-пароль в настройках браузера (пароли шифруются). Подходит для неважных паролей и регистраций. Браузер очень ненадёжное место для хранения важных паролей.
  • Средняя защита — Менеджер паролей (онлайн, LastPass). Пароли зашифрованы и хранятся в Облаке (синхронизация между устройствами). Есть автоматическое заполнение форм, генерация паролей и журналирование входа на сайты.
  • Высокая защита — Менеджер паролей (офлайн-версия, KeePass). Это лучший выбор! Все пароли хранятся только у вас на устройстве в зашифрованном виде.
• Минимум 25 знаков на все пароли (сочетайте цифры, знаки и буквы разного РеГистрА).
• Пароль не должен включать в себя реально существующие слова или известные фразы.
• Не применяйте пароль повторно нигде (нет похожести!).
• Двухфакторная аутентификация всегда и везде (лучше многофакторная). При потере смартфона лицо можно подделать, используя 3D фото, и добраться так до всех приложений.
• Меняйте пароли обязательно — раз в 3 месяца (ведь их последовательно и автоматически расшифровывают).
• На "секретный вопрос" — давайте ложные ответы (но помните их).

Компания Cisco открывает путь к беспарольному будущему. В апреле 2021 г. Cisco представила беспарольную аутентификацию Duo. Она даст пользователям возможность отказаться от паролей и безопасно регистрироваться в облачных приложениях. Duo будет доступна для открытого предварительного тестирования летом 2021 г.

---

Почта​

• Почта — ключ ко всему.
• Завладев вашей почтой, можно сбросить пароли вашего банка, гос. услуг или соцсетей и захватить аккаунты.
• Пароль от почты вводить только на самой почте — больше нигде!
• По умолчанию любое письмо может быть опасным!!! Не считать безопасным любое пришедшее вам послание. Обычно начало всех историй одинаковое: «Жертва открыла фишинговое письмо, и тут началось!».
• Опасные действия (к которым вас призывают письма мошенников):
  • отправка данных
  • отправка денег
  • открытия вложения
  • установка приложения
  • переход по ссылки на сайт (сразу можно загрузить вредоносный код).
• Не нажимайте кнопку "Отписаться" (она может вести на вредоносный сайт).
• Удаляйте отправленные документы из папки "Отправленные" (ваши переданные файлы могут украсть при проникновении).

Проверяйте подлинность адреса Отправителя.Проверяйте подлинность любой ссылки в самом письме (даже от друзей).Проверяйте файлы (прикреплённые к электронным письмам).

• Отключите макросы в Word и Excel (перед открытием скаченного и даже проверенного файла). Это программный алгоритм действия, записанный пользователем.
• Проверяйте подлинность информации (по сторонним каналам), прежде чем предпринимать какие-то действия.
• Создайте 4 шт. для себя (домашняя почта, рабочая, для сайтов, для мусора). Не будет спама и риск взлома снизится. Для удобства можно настроить пересылку всех писем на один из аккаунтов. В идеале хорошо бы иметь и отдельный «мусорный» номер телефона.
• Не указывайте в адресной строке ФИО@, телефон@ или год рождения@. Меньше внимания и данных к привязки вашей личности.
• Проверяйте свой адрес почты в украденных базах → haveibeenpwned.com

---

Банковская карта​

• Никому и никогда нельзя пересылать фотографию или скан карты (видны другие данные помимо номера).
  1. Номер карты + ФИО + мм.ГГ = возможна оплата в некоторых интернет-магазинах.
  2. Номер карты + ФИО + мм.ГГ + CVV = бронь отеля/авто, привязка этой карты к Google Play, оплата на Литресе.
  3. Номер карты + ФИО + мм.ГГ + CVV + код (SMS) = любой платеж и перевод (без исключений).
• Зная номер карты, можно узнать Имя и Фамилию из соцсетей и подобрать механическим образом дату окончания действия карты. Теперь Интернет-магазины открыты для покупок, например Amazon.
• Заведите спец. карту с нулевым балансом только для получения переводов (в своём же банке).
• Установите суточный лимит по выводу и переводу средств (так вы обезопасите большую часть денег на счёте).
• Подключите SMS-оповещение о фактах списания (мошенники пользуются тем, что интернет-магазины позволяют делать покупки на небольшие суммы без кодового подтверждения по SMS, даже если подключена двухфакторная аутентификация).
• При списании средств без вашего ведома — успейте подать заявление в первые сутки!
• Там, где возможно, не оставляйте реквизиты карты (интернет-магазины, электронные кошельки). Данные часто утекают в Сеть.

Оплата​

• Опасным может быть абсолютно любой сайт.
• В России нашли более 1,5 тыс. фейковых банков за первые три месяца 2021 г. Подробнее...
• Изучите сайт, прежде чем оставлять на нём данные своей банковской карты. Проверти, когда он был создан (если недавно, значит подозрительный!) → reg.ru/whois/
• Признаки подлинного платежного сайта:
  1. Указаны системы защиты вашего платежа (Visa, VasterCard, SafeKey). После ввода реквизитов вас перенаправит на страницу банка-эмитента, где нужно ввести одноразовый пароль (SMS). Но не у всех такая технология.
  2. Есть возможность оплаты разными способами (злоумышленники не предлагают альтернатив).
  3. Проверьте поставщика платёжных услуг (скопируйте адрес/название и введите в поисковике).
• Внимание на "подписку по умолчанию" (мелкий шрифт и галочки-согласия на "автопродление"). Если сервис подразумевает обязательную подписку — заплатите с виртуальной карты с небольшим балансом (отказаться от подписок крайне трудно!).
• Если покупаете физический товар — выбирайте "оплата курьеру". Платите при доставке картой или наличными (избежите интернет-мошенничества).
• При оплате на заправках, в аптеках и прочее, не упускайте свою карту из поля видимости (могут "прокатать" карту через устройство, спрятанное под одеждой официанта или продавца магазина и снять её копию/дубликат). Лучше вообще не передавайте свою карту в чужие руки.
• При снятии наличных, при физической оплате картой — пользуйтесь встроенным микрочипом, а не магнитной лентой (прикладывайте карту к аппарату, а не вставляйте).
• Лучше всего использовать другие способы перевода и оплаты средств (где данные карты не передаются).
  • По номеру телефона.
  • Платежные сервисы (PayPal, WebMoney, Qiwi). Только не привязывайте к ним свою основную карту.
  • Виртуальная карта (в личном кабинете своего банка делается быстро). Можно привязать к отдельному счету и хранить там ограниченную сумму денег для покупки.
  • Бесконтактная оплата с телефона (NFC).
  • Оплата по QR.
  • Отпечаток пальца или скан лица.

Тёмные паттерны (их используют 11% интернет-магазинов).

Chargeback (чарджбэк) — это универсальная процедура отмены транзакции (по карте Visa, MasterCard, МИР). Если вы получили некачественный товар, услугу или вообще не получили ничего, или даже были обмануты мошенниками, вы в праве написать заявление в ваш банк на принудительный возврат денежных средств.
• Карту использовали без ведома владельца.
• Доступ к реквизитам карты получили мошенники.
• Продавец списал с карты затребованную сумму несколько раз.
• Сумма транзакции была произвольно изменена продавцом.
• После оплаты товара/услуги продавец перестал отвечать на запросы.
• Продавец не соглашается на возврат товара.
• Товар поставили со значительным опозданием.
• Заказанная вещь оказалась не соответствующей заявленному описанию.
• Товар оказался с дефектом или поврежденным, или низкокачественным и т.д.

---

Интернет (Web)​

Самые распространенные ошибки пользователей — лень и спешка. Эти две вещи, несомненно, ставят под удар нашу безопасность.

Признаки опасного сайтаСсылкиПО


ФайлыБраузер Облако ТоррентПоставщик Интернета

---

Социальные сети​

Потеря аккаунтаМеньше личной информации о себе Не стоит публиковать


ДокументыФотоРаботаЗагрузка


Существует две методики мошенничества1. Клон (ваш или друга)2. НезнакомецОбщие правилаВаши данные

Всё, что попадает в Сеть — остаётся там навсегда (kribrum.ru).

---

Безопасность компьютера (ПК)​

Физический доступАнтивирусОбновления


Вредоносное ПОУстановка ПО (программы)Wi-Fi настройки (в ПК)USB-устройства


Потеря ПКВеб-камера и микрофонРезервное копированиеРемонт ПК

Совет для иностранцев. Установите на компьютер русскую раскладку клавиатуры. Например, вирус-шифровальщик Sodinokibi (2019) проверял используемую раскладку клавиатуры и если был установлен русский язык (и ближнее зарубежье), то он не шифровал файлы жертвы. Китайцы уже используют этот лайфхак. ("Кто работает на RU — к тому приходят по утру").

---

Безопасность мобильных устройств​

Физический доступАнтивирусВредоносное ПОФайлы


ПриложенияОбновление BluetoothUSB-устройства


Резервное копированиеДополнительные настройкиПотеря или кражаОстерегайтесь фишинга по телефонуДжейлбрейк (jail break) и рутинг (root-права)Заводской бэкдор (лазейка для удаленного управления)eSIM — встроенная SIM-карта

По ритму походки и сигнатуре дневной активности можно идентифицировать любого человека в любой точки мира с новым (пустым) смартфоном в кармане. Используется пассивный сбор данных или поведенческая биометрия (160 параметров, Unify.id, BehavioSec.com).

---

Wi-Fi​

Когда речь идет о безопасности, «просто» не значит «надежно». А «по умолчанию» в мире киберугроз это обычно означает «надо срочно поменять».

Домашний Wi-Fi (он же маршрутизатор, роутер)Публичный Wi-Fi

---

Интернет вещей (IoT)​

• Убедитесь, что настроена аутентификация (есть пароль или подобное).
• Всегда меняйте пароли на более сложные.
• IoT-устройства лучше подключать к гостевой сети.
• Перезагрузка удаляет любой вредоносный код.
• Каждое "умное" устройство (лампочка, датчик, чайник и т.д.) хранит данные и ключи к вашей сети. При утилизации нужно очистить данные на смартфоне, а ещё лучше сломать пополам SSD-накопитель на самом устройстве (чип памяти).
• Серийный номер контроллера в умном доме (номер на небольшой коробочке) является главным ключом к системе умного дома и его надо хранить в тайне (не засветите на видео в YouTube). Контроллер — это мозг умного дома, он позволяет синхронизировать все гаджеты в вашем доме и централизованно управлять ими.
• Настройте в сети с IoT-устройствами DNS-прокси (для компаний).
• «Умные» колонки или дома постоянно соединены с Облаком, они всё время слушают звук и передают данные в Облако. Знайте, что результаты поиска, через колонку записываются и хранятся вечно. Вечно.
• TV — отключите в настройках "распознавание голоса". Имейте в виду, «умные» телевизоры распознают жесты, предметы, лица и слушают звук в комнатах.
• Каршеринг — при подключении смартфона к мультимедийной системе авто, открывается доступ к списку ваших контактов (для hands-free). Данные могут сохранятся безвозвратно.

---

Защита конфиденциальных данных​

Рабочая информацияУтечка данных на работеРаспечатанные документы


Передача документовЗащитаЭлектронная передача


Права доступаПравила в ОблакеПочтаМетаданныеУдаление

10 ЗАКОНОВ БЕЗОПАСНОСТИ (от Microsoft)
Закон №1. Если вы запустили на своем компьютере приложение злоумышленника, это больше не ваш компьютер.
Закон №2. Если злоумышленник внес изменения в операционную систему вашего компьютера, это больше не ваш компьютер.
Закон №3. Если у злоумышленника есть неограниченный физический доступ к вашему компьютеру, это больше не ваш компьютер.
Закон №4. Если злоумышленник смог загрузить приложения на ваш сайт, это больше не ваш сайт.
Закон №5. Ненадежные пароли делают бесполезной любую систему безопасности.
Закон №6. Безопасность компьютера напрямую зависит от надежности администратора.
Закон №7. Безопасность зашифрованных данных напрямую зависит от того, насколько защищен ключ расшифровки.
Закон №8. Устаревшее антивирусное приложение лишь немногим лучше, чем его отсутствие.
Закон №9. Абсолютная анонимность недостижима ни в жизни, ни в Интернете.
Закон №10. Технология не является панацеей.

Мы можем заранее подумать о нашей информации и осознать, что, даже если наши действия кажутся нам безобидными, публикуя фотографию, забывая сменить пароли (установленные по умолчанию), используя рабочий телефон для совершения личного звонка или создавая учетную запись Facebook для наших маленьких детей, мы принимаем решения, последствия которых будем ощущать ВСЮ ЖИЗНЬ. Поэтому действовать нам следует, исходя из этих соображений.

~ Кевин Митник. Самый известный хакер на планете, а ныне самый востребованный специалист по кибербезопасности.



Основной источник: обучающая платформа Kaspersky ASAP (k-asap.com).


Источник статьи: https://habr.com/ru/post/552126/#card