Аналитик Ульянов рассказал, как испортить жизнь хакерам

Пожалуй, самым надежным способом защиты учетных записей, доступных современному пользователю, является двухфакторная аутентификация – человек вводит пароль от своего аккаунта, после чего на его телефон или электронную почту приходит одноразовый код, с помощью которого он подтверждает свою личность. Предполагается, что при такой цифровой «обороне» злоумышленник не сможет получить доступ к личной информации жертвы даже если завладеет паролем от ее «учетки».

Впрочем, как отмечает руководитель аналитического центра компании Zecurion, эксперт по кибербезопасности Владимир Ульянов, двухфакторная аутентификация не дает 100%-ной защиты аккаунта от взлома. Он указал, что с помощью различных схем мошенники могут получить удаленный доступ к устройству жертвы и считать одноразовый код дистанционно, либо просто-напросто украсть это устройство. О том, как повысить защиту своих учетных записей и найти баланс между безопасностью информации и удобством доступа к ней, эксперт рассказал Общественной службе новостей.

«Чем сложнее мы самим себе делаем жизнь в рамках использования аккаунтов и ввода пароля, тем сложнее будет злоумышленнику».

«Даже такой простой пример, как сохранение паролей в браузере. Я знаю, что многие пользователи любят так делать. Это очень удобно, не нужно каждый раз вводить логин, пароль, доставать бумажки, считывать, переписывать из файлика. Ничего такого, просто один клик – все сразу зашло. Но о какой безопасности может идти речь, если злоумышленник, получив доступ к одному устройству, сможет воспользоваться всеми сохраненными паролями?», — говорит собеседник издания.

Для обеспечения информационной безопасности необходимо найти баланс между защищенностью своих аккаунтов и удобством доступа к ним, подчеркнул эксперт.

Так, большинству аккаунтов нужны сложные пароли, которые злоумышленник не сможет подобрать. При этом для некоторых «учеток» – например, в системе розничного магазина – витиеватые пароли не требуются, так как их взлом вряд ли причинит пользователю серьезный вред. Вместе с тем, каким бы сложным ни был пароль от почты или соцсетей, всегда существует риск утечек, в результате которых коды доступа попадут в руки мошенников. Подстраховкой в таком случае будет двухфакторная аутентификация, которая не пустит злоумышленников в систему даже при наличии пароля.

«Каждый пользователь сам должен оценивать риски».

«Понятно, что [двухфакторная аутентификация] может быть не очень удобной, но каждый пользователь сам должен оценивать риски. В какие-то аккаунты есть смысл заходить не только по логину и паролю, но и так, чтобы подтверждение приходило на телефон или куда-то ещё», — отметил Ульянов.

Однако двухфакторная аутентификация не всегда дает 100%-ю гарантию того, что учетная запись не будет взломана. Так, если пользователь получает код подтверждения на тот же смартфон, с которого вводит пароль, то мошенники, получив доступ к его устройству, смогут овладеть сразу всем необходимым для проникновения в аккаунт жертвы, говорит эксперт. Поэтому надежность такого метода защиты аккаунтов во многом зависит от самого пользователя и сервисов, которыми он пользуется.

«Мошенники предлагают обновить приложение, которого в официальном магазине нет».

Собственно, получить доступ к личному устройству пользователя злоумышленники могут двумя путями: физическим и удаленным. Первый способ стар как мир – это кража, либо подбирание чьего-то выпавшего смартфона. Об удаленном проникновении в устройство жертвы Ульянов говорит:

«Всегда существуют риски для устройств, которые так или иначе активны в сети – к ним можно подключиться откуда-то снаружи. Это один из векторов угроз в рамках сложных мошеннических схем. Мошенники не всегда звонят от лица службы поддержки банка и напрямую просят продиктовать ПИН-код. Они могут быть чуть похитрее. Похожий сценарий – злоумышленники, представившись службой поддержки банка, предлагают обновить приложение, которого в официальном магазине нет. Пользователи сейчас к такому привыкли, и такой заход может быть достаточно нативным и эффективным, к сожалению. При этом они говорят: вам вообще ничего не нужно делать, просто установите программу удалённого управления, и мы у вас на глазах проведем все действия, а потом отключимся. Если установить такое приложение, конечно же, оно даст злоумышленникам возможность делать с телефоном практически все, что угодно».

В дальнейшем такая программа-шпион позволит мошенникам устанавливать на смартфон жертвы дополнительные программы и считывать всю информацию, включая сохраненные пароли и коды подтверждения.

Поэтому, чтобы защититься от мошенников и усложнить им жизнь, сегодня пользователям нужно не только придумывать сложные пароли и включать двухфакторную аутентификацию, но и соблюдать правила цифровой гигиены, указал Ульянов.

Так, людям следует регулярно обновлять операционную систему и установленные приложения, поскольку часто обновления включают в себя устранение уязвимостей. Кроме того, имеет смысл пользоваться антивирусными программами, особенно на компьютерах и ноутбуках. Пользователям также не стоит бездумно переходить по незнакомым, сомнительным ссылкам, не отвечать на спам-звонки. Важно соблюдать осторожность и при обновлении приложений, которых нет в официальном магазине – перед скачиванием нужно убедиться, что это официальная программа, а не троянский конь.

Ранее в разговоре с ОСН эксперт по информационной безопасности Владимир Ульянов предупредил об опасности использования ботов в мессенджерах.