Пароли, многофакторность, обновление: база киберзащиты от мошенников
В мире, где искусственный интеллект умеет генерировать фишинговые письма лучше людей, мы почему-то до сих пор забываем о главном: в основе цифровой безопасности – обычная дисциплина
Забота о своих персональных электронных данных должна стать естественной потребностью каждого, уверен специалист по цифровой безопасности Сергей Самедов. Он предлагает несколько очень простых средств, которые надежно защитят ваши данные и позволяют жить спокойно.
"Можно установить самый дорогой защитный софт, нанять крутую команду специалистов, но оставить открытыми "парадные двери" - устаревшее программное обеспечение, слабые пароли, отсутствие двухфакторной аутентификации. И этого будет вполне достаточно, чтобы вас сломали", - говорит Сергей Самедов.
Один пароль – это ловушка
"Нет ничего хуже одного и того же пароля для различных сервисов. Как только один из них будет скомпрометирован — все остальные становятся открытыми. И в этом случае совершенно неважно, насколько этот пароль сложен: если он "засветился" в слитой базе, его просто проверят в других популярных сервисах. Это называется credential stuffing," говорит Сергей Самедов.
Пароли должны быть уникальны для каждого ресурса. Да, их будет много, но для этого и существуют менеджеры паролей — генерирующие, хранящие и автоматически подставляющие пароли инструменты, шифруя их локально или в облаке. Есть платные и бесплатные варианты — выберите подходящий, но никогда не храните пароли в браузере или в заметках на телефоне.
Идеальная частота смены паролей зависит от критичности сервиса:
- для банковских аккаунтов, почты, работы с конфиденциальными данными – раз в 2–3 месяца;
- в случае подозрения на утечку или компрометацию – меняйте немедленно;
- для менее чувствительных сервисов – раз в полгода или в случае потери доступа к устройству.
"Но главное: не меняйте пароль "на что-то подобное". Например, с "Qwerty2023!" на "Qwerty2024!" - это не новый пароль, а его симуляция, и опытные злоумышленники это учитывают", - говорит Сергей Самедов.
Многофакторная аутентификация (MFA)
"Создание второго фактора - это минимальный стандарт современной безопасности. Но он должен быть качественным. SMS уже давно не считается защищенным методом. Атаки на мобильные сети, перехват сообщений, подмена SIM-карт - все это реальные сценарии", - говорит Сергей Самедов.
Вместо этого используйте:
- TOTP-приложения (Google Authenticator, FreeOTP, Aegis, Raivo OTP и т.п.);
- физические ключи безопасности (типа Yubikey, их можно купить в Интернете);
- биометрические способы, где поддерживается (с учетом риска биометрического трекинга).
MFA сегодня должна быть защищена от фишинга, то есть такой, которую нельзя просто ввести на подставной странице, подчеркнул эксперт.
Без обновлений — все остальное не имеет смысла
Парольная гигиена важна, но без обновлений программного обеспечения абсолютно бесполезна. Уязвимость в старом приложении или системной библиотеке позволяет злоумышленнику обойти даже самую надежную аутентификацию. Обновлять нужно не только Windows или Android. Следует:
- обновлять все приложения, даже те, которыми не пользуетесь регулярно;
- системные прошивки (firmware) – для роутеров, BIOS/UEFI, IoT-устройств;
- обновления безопасности (патчи) — особенно для корпоративных систем, CRM, VPN и любого программного обеспечения, имеющего сетевой интерфейс.
"Во многих системах есть отдельное понятие "патч безопасности", и именно они первыми должны быть установлены. В идеале - автоматически, а в случае невозможности автоматического обновления - запланировано регулярное ручное обновление. Один день задержки иногда может стоить компании миллионы", - говорит Сергей Самедов.
Безопасность – это не технология. Это привычка
"Большинство современных инцидентов происходит не из-за новых технологий атак, а из-за старых привычек пользователей: те же пароли, отключенные обновления, доверчивость, игнорирование базовых настроек защиты. Наиболее защищенные системы - это не те, где внедрили новейший защитный продукт, а те, где каждый участник - от ИТ-отдела до бухгалтера". дисциплина, а также это – ваша персональная ответственность. Гигиена цифровой безопасности – не сложная, не исключительная. Она лишь требует внимания и регулярности.
В рамках кампании #ШахрайГудбай Минсоцполитики вместе с Нацбанком, Киберполицией и Госспецсвязи делится советами, как распознать мошенников и не попасть в ловушку. Информатор приводит основные правила защиты от мошенников ваших банковских карт.
Если вы стали жертвой мошенников, напишите заявление в Киберполицию по этой ссылке или сообщите о вашем случае по телефону: 0 800 505 170.
Следите за нами в Viber
ЧИТАЙТЕ ТАКЖЕ:
- Женщина допустила ошибку в реквизитах при оплате и не может подать заявку на возврат денег онлайн - реакция Ощадбанка
- Зарубежный контрагент оказался мошенником: инструкция от налоговой, как не попасть под санкции в Украине
- Самые популярные схемы, по которым мошенники воруют деньги с ваших банковских карт
- Нацполиция задержала экснардепа и его пособников из-за мошенничества с недвижимостью
