Как взламывают почтовые ящики знаменитостей
Информация в данной главе предоставлена исключительно в образовательных целях, чтобы побудить читателей более ответственно относиться к своим персональным данным и рассказать про примитивные методы безопасности в интернете. Авторы призывают читателей не совершать противоправные действия.
Многие известные люди пострадали из-за того, что они не соблюдали элементарных правил сетевой безопасности. Например, один из топовых видеоблогеров задал в настройках почтового ящика вопрос для восстановления пароля: «Кличка вашего первого домашнего питомца». А потом в одном из выпусков своего видеоблога ему задали вопрос про домашних животных, и он, сам того не понимая, дал подсказку: «Моей первой собакой была овчарка Зойка. Я очень переживал, когда она умерла». (Данный пример был опубликован деаноном в разоблачительном ролике на Ютубе).
Не стоит задавать простые вопросы для восстановления пароля, такие как: «отчество вашей матери», «кличка вашего первого питомца», «марка вашей первой машины», «ваше любимое блюдо» и т. д. — ответ в большинстве случаев можно найти простым подбором вариантов.
Часто злоумышленники используют методы социальной инженерии. Например, ответ на секретный вопрос от вашего почтового ящика могут хитрыми путями узнать у ваших знакомых и родственников. Поэтому желательно устанавливать такие вопросы, ответы на которые знаете только вы лично.
Еще одним слабым звеном является привязка аккаунтов различных социальных сетей к номеру мобильного телефона. Если вы потеряете ваш телефон или его украдут, то злоумышленник или новый владелец сможет получить доступ ко многим вашим аккаунтам. Поэтому желательно завести специальную сим-карту, которая будет лежать у вас дома и на которую будут зарегистрированы основные аккаунты. Если вы ведете несколько серьезных проектов, то лучше для дополнительной безопасности зарегистрировать их на разные номера телефонов и разные ящики электронной почты. Но не забывайте, что операторы блокируют сим-карты так называемых «неактивных абонентов», которые не совершают звонков и не пополняют баланс в течение нескольких месяцев подряд.
Самой актуальной в данный момент проблемой является возможность восстановления сим-карты по доверенности. К сожалению, с этим очень трудно бороться. Злоумышленники составляют поддельную рукописную доверенность, в которой действующий владелец номера якобы просит выдать злоумышленнику дубликат сим-карты в связи с утерей оригинала. Проверить, чья подпись стоит на доверенности, очень затруднительно, к тому же, иногда сотрудники сотовых компаний входят в сговор со злоумышленниками.
В интернете есть базы номеров телефонов, которые позволяют по имени и фамилии узнать телефон пользователя. Чтобы проверить правильность номера, злоумышленники могут ввести адрес вашей почты Вконтакте и инициировать восстановление пароля. На одном из этапов будет запрошен номер телефона, после чего будет показано имя и фамилия человека, к аккаунту которого привязан указанный телефон. Это еще один аргумент завести отдельную сим-карту исключительно для привязки разных аккаунтов: даже если кто-то узнает номер телефона, к которому привязан один из ваших аккаунтов, вы им не пользуетесь в обычной жизни, и вы ничего не потеряете, если телефон будет обнародован.
Внимательно изучайте ссылки во входящих сообщениях и присылаемые по электронной почте файлы: там могут быть трояны. Вам также могут прислать ссылку на подставной сайт, в адресе которого изменена одна буква (это называется фишингом).
Например, злоумышленники могут прислать письмо о том, что ваш аккаунт на Ютубе заблокирован из-за нарушения авторских прав. И внизу будет надпись: для восстановления доступа к аккаунту перейдите по ссылке.
Внешне ссылка может выглядеть надежно. К примеру, youtu.be/account. Но настоящий адрес, куда приведет нажатие по этой ссылке будет: youtv.be/account. Заметно? Изменена одна буква в названии сайта. И вы попадете не на сайт Ютуба, а на сайт злоумышленников, на котором у вас украдут логин и пароль от аккаунта. Чтобы проверить ссылку, нужно навести на нее курсор, и внизу окна браузера отобразится точный адрес, куда она ведет. Внимательно прочитайте адрес по буквам, и если у вас есть какие-то сомнения, ни в коем случае не переходите по ссылке.
Дополнительной (но не абсолютной) защитой почтового ящика служит двухфакторная авторизация. После подключения этого сервиса, чтобы зайти в вашу почту, будет недостаточно ввести логин пароль. На Яндекс. Почте, к примеру, для входа в аккаунт потребуется запустить специальное приложение на вашем мобильном телефоне, ввести там четырехзначный пин-код и сканировать отпечаток пальца (или QR-код). А на Mail.ru и Gmail для входа в почту вам каждый раз по СМС будет отправляться одноразовый пароль, который нужно вводить после ввода основного пароля.
