Но чаще на практике злоумышленники используют более агрессивные методы, которые вынуждают вас совершить то, что необходимо мошеннику.

Подготовка к атаке

Первым шагом злоумышленник запускает специальный скрипт, который выполнит почти всю работу.

Как видите, список социальных сервисов внушительный. Обратите внимание Gmail, Twitter, VK, Telegram, YouTube, Yandex, Mail, Apple и другие популярные сервисы. Но это не единственный существующий скрипт. Существует большое количество аналогичных программ – для банковских, почтовых и других сервисов.

Рассмотрим действия на примере социальной сети Instagram (соцсеть запрещена в РФ; принадлежит корпорации Meta, которая признана в РФ экстремистской).

После выбора необходимого сервиса злоумышленник получает готовые фишинговые ссылки, которые остается только передать невнимательному пользователю.

Чтобы передать готовую ссылку пользователю и заставить пройти по ней, мошенник пользуется безобидным сервисом для создания и рассылки красивых писем, которые вы скорее всего получаете пачками. Задача злоумышленника – создать письмо, которое якобы отправлено вам с официального сервиса.

Заметим, что слово «ссылка» является активной ссылкой, ведущей на тот самый ресурс, сгенерированный скриптом. По тексту письма жертве предлагается пройти именно по этой ссылке «для подтверждения своего аккаунта и блокировки стороннего входа». И в этом вся тонкость. При такой агрессивной формулировке пользователь руководствуется не просто любопытством, а сохранением своих данных в безопасности.

После этого злоумышленник вводит адреса жертв, которые получат это письмо, выполняет отправку и просто ждет.

Атака

В качестве невнимательного пользователя снова выступлю я сам.

На электронную почту получил сообщение, якобы от социальной сети.

В этот момент я совершаю 2 ошибки:

1. Не обращаю внимания на отправителя письма.

2. Не обращаю внимания на адрес, на который ведет ссылка (посмотреть это можно, просто наведя курсор на ссылку).

Перехожу на сайт для «подтверждения своего аккаунта».

После ввода данных на сайте меня перебрасывает на официальный сайт Instagram (соцсеть запрещена в РФ; принадлежит корпорации Meta, которая признана в РФ экстремистской), но при этом ничего больше не происходит.

Итоги атаки

Что же в этот момент происходит на стороне злоумышленника?

В момент моей попытки авторизации на фишинговом сайте злоумышленник получил мои логин, пароль и даже пароль из СМС. Если вы не используете двухфакторную авторизацию, то зайти в ваш аккаунт не составит труда. Если же у вас включен второй фактор, то воспользоваться вашим логином и паролем будет сложнее, но технически также возможно.

Теперь вы знаете, как могут действовать мошенники на обычных пользователей. Почему этот метод является более агрессивным? Потому что он принуждает вас к сиюминутным активным действиям. Когда человек видит, что ему угрожает опасность (неважно в жизни или в интернете), он начинает действовать тут же, иногда необдуманно.

ВНИМАНИЕ! ДЕЙСТВИЯ ВЫПОЛНЯЮТСЯ СПЕЦИАЛИСТОМ, НЕ РЕКОМЕНДУЮ ПОВТОРЯТЬ САМОСТОЯТЕЛЬНО.

Не так давно в моем личном аккаунте под видеороликом был оставлен комментарий: «Год назад ты же нормальной была… Что с тобой случилось?». С одной стороны комментарий явно подозрительный, так как написан в женском роде, а с другой стороны можно проявить невнимательность и начать сразу выяснять кто этот комментатор и что ему нужно. Или аналогичный комментарий может быть оставлен представительнице женского пола и тогда он будет уже не столь подозрительным.

Представим, что я все-таки невнимательный пользователь и пытаюсь разобраться почему такой резкий комментарий мне оставлен. Перехожу в аккаунт комментатора, но он закрыт, а добавляться в друзья мне явно не хочется. На этом можно было бы остановиться, но «вот везение» на странице есть ссылка на «профиль в VK».

Я, как невнимательный пользователь или просто от переполнения чувств возмущения, не обращаю внимания на важный момент – ссылка указана вовсе не на vk.com.

При попытке перейти по указанной ссылке браузер сообщает, что я пытаюсь перейти на поддельный сайт, но я настолько уверен в своих действиях, что игнорирую риски и перехожу дальше.

Далее уже антивирус предупреждает меня о том, что сайт, на который я захожу, является опасным, и что на него не стоит заходит. Также игнорирую предупреждение.

И вот передо мной сайт визуально похожий на официальную страницу сети VK, но для продолжения необходимо войти в свой профиль. Так как я в полной уверенности, что я на сайте VK, смело указываю «свой» логин в виде номера телефона.

На самом деле в этот самый момент, после нажатия кнопки «Продолжить», выполняется отправка логина и пароля злоумышленнику. Все, моя учетная запись скомпрометирована.

И такое может произойти с любой соц. сетью, любым другим ресурсом в сети.

Если вдруг вы обнаружили, что попались на подобную уловку злоумышленника, срочно меняйте пароль от учетной записи. Только убедитесь, что для смены пароля используете официальный сайт ресурса.

Разберем какие ошибки были совершены.

1. Невнимательность. Я не придал значения тому, что комментарий оставлен явно не мне.
2. Невнимательность. Я не придал значения тому, что ссылка на профиль на стороннем ресурсе абсолютно не относится к этому ресурсу.
3. Безответственность. Я проигнорировал оповещение о рисках входа на сайт дважды.
4. Невнимательность. Я не обратил внимания, что страница, на которой ввожу логин и пароль является поддельной.

Невнимательность и безответственность становятся причиной многих негативных событий.

А вообще, если вам оставлен неприемлемый комментарий от неизвестного человека, то не пытайтесь выяснить кто и зачем это сделал, просто удалите, ведь на уловку злоумышленника можете попасться не только вы, но и ваши друзья, читающие комментарии.

Разработчики не сразу согласились признать и исправить уязвимость. Спустя полторы недели под напором экспертов по информационной безопасности уязвимость была все-таки исправлена в версии 2.53.1.

Как выглядел экспорт базы данных в версии 2.53

Нажимаем File – Export…

Выбираем формат и место для экспорта.

После этого создается файл со всеми логинами и паролями в открытом виде.

Как стал выглядеть экспорт базы данных в обновленной версии 2.53.1

Собственно процесс экспорта в версии 2.53.1 выглядит точно так же, как в версии 2.53, за исключением одного очень важного шага – запрос мастер-пароля от базы данных на последнем шаге. Только после ввода этого пароля выполнится экспорт.

Помните, что следить за обновлениями программ важно, а также использовать только лицензионное программное обеспечение. Информационная безопасность – это важный аспект нашей жизни, и каждый из нас должен принимать соответствующие меры для ее обеспечения.

А в этой статье хочу наглядно показать почему так важно иметь сложный пароль, и каким образом злоумышленники подбирают пароли.

Некоторые думают: «Зачем мне сложный пароль? Я его могу забыть. Кому вообще нужен мой аккаунт?». Как показывает практика, сложный пароль является хорошей превентивной мерой защиты учетных записей, и лучше забыть пароль, потратить время на восстановление, чем быть взломанным.

Перед написанием этой статьи я провел эксперимент, и готов поделиться результатами.

Неделю назад я сделал специальный тестовый сайт (так называемый honeypot – система, которая имитирует реальные ресурсы и может быть использована для отслеживания и анализа действий злоумышленников, а также для сбора информации об их методах). Принцип такой, что сайт очень похож на вполне реальный, за исключением того, что на нем установлены специальные мониторы, фиксирующие попытки атак и взломов.

Итак, сайт управляется администратором «fedor». Логин администратора на сайте нигде не отображается. Также есть пользователь «igor», от имени которого на сайте опубликовано 2 новости.

Сайт намеренно не добавлен в поисковые системы – найти его каким-либо образом невозможно, если только не знаешь прямого адреса.

Спустя неделю получились следующие результаты.

В течение семи дней существования сайта его пытались взломать 2079 раза. А пока я писал эту статью в течение нескольких часов, количество еще увеличилось до 2235.

Но как злоумышленники узнали об этом ресурсе? Никак. Для подобного подбора используются специальные боты, которые в автоматическом режиме перебирают все интернет-ресурсы и пробуют выполнить вход в административные панели. В случае успешного входа бот сообщает хакеру ресурс и данные для входа. То есть все, что необходимо сделать – это запустить необходимую программу.

Для входа боты используют наиболее популярные логины и пароли, а также данные из различных утекших баз.

В моем случае рейтинг логинов, которые подбирались, выглядит так:

1. admin
2. administrator
3. igor

Можно заметить, что для подбора используются логины, которые используются в системах по умолчанию (admin и administrator), а также учетная запись «igor», которая открыто отображается в публикациях на сайте.

Наиболее популярные пароли:

1. admin
2. 123456
3. password

Выводы:

• абсолютно все ресурсы в интернете подвергаются атакам и попыткам взлома;
• не используйте административные логины по умолчанию;
• административные логины следует использовать исключительно для настройки ресурса – никаких открытых публикаций логина администратора;
• используйте сложные пароли.

Это значит, что операционная система перестанет получать любые обновления. Обновления драйверов, библиотек, модулей безопасности. Даже если в ОС обнаружат какие-либо уязвимости, разработчики не будут предпринимать никаких действий для устранения. Если пользователь не обновит версию, то окажется в зоне риска. Имеется риск нестабильной работы, а также потери данных.

Проверить версию установленной у вас версии Windows можно следующим образом:

Одновременно на клавиатуре нажмите кнопки Win + R (Win – кнопка снизу слева, между Ctrl и Alt). В открывшемся окне введите «winver» и нажмите OK.

Откроется информация о версии операционной системы. Если ваша Windows окажется версии 8, то вам необходимо установить обновление, самостоятельно или с помощью специалиста.

В этой статье я хочу поделиться несколькими методами создания и запоминания сложных паролей.

Парольная фраза

Для создания пароля можете использовать, так называемую, парольную фразу. Это не словарные слова целиком, а только их часть из фразы. Для запоминания пароля, нужно будет запомнить не случайный набор символов, а простую фразу.

Пример 1

Предположим, что нужен надежный пароль для электронной почты, чтобы он всегда был в голове, и мы могли воспользоваться им в любой момент для входа.

В качестве пароля можно загадать следующую парольную фразу «Яндекс лучше Мэила» (это не реклама, можно и наоборот «Мэил лучше Яндекса»).

От каждого слова из парольной фразы берем по 3 символа и получаем «ЯндлучМэи». Полная бессмыслица, которой не найдете в словарях для взлома. Следующим этапом добавим цифры и запишем пароль на английской раскладке. Получим хороший стойки пароль – «ZylkexV’b1232». Как видим, в пароле используются большие и маленькие буквы, цифры и специальные символы («э» в английской раскладке дала символ «‘»), длина пароля 13 символов. Сервис по проверке паролей сообщает, что пароль стойкий, что его нет в базах утекших паролей, а на взлом потребуется 11 веков.

Пример 2

Создадим еще один пароль. Например, для онлайн-банка. В качестве парольной фразы загадаем «В сумке много денег». Возьмем по 3 буквы каждого слова, получим «Всуммноден». Добавим цифры и специальные символы, запишем в английской раскладке – «(159)Dcevvyjlty». Прекрасно, пароль получился длиной 15 символов, удовлетворяющий всем требованиям, но легкий для запоминания. Проверим его на стойкость – на взлом потребуется 3261 век. Неплохо.

К парольной фразе вы можете добавлять любые цифры, любые специальные символы, в любом месте. А чем абсурднее будет сама парольная фраза, тем лучше и быстрее вы ее запомните.

Менеджер паролей

Менеджер паролей – это приложение для компьютера или телефона. Отличный инструмент для создания и хранения паролей. Существует большой выбор менеджеров: облачных и локальных, платны и бесплатных, с различным дополнительным функционалом и без. Основной принцип у всех одинаковый. В менеджере паролей создается защищенный контейнер, в который записываете все ваши логины и пароли. Сам контейнер шифруется мастер-паролем. Мастер-пароль рекомендуется делать длиной не менее 20 символов. А чтобы его не забыть, можно воспользоваться парольной фразой.

Фактически при использовании менеджера паролей вам нужно запомнить только один максимально сложный пароль, остальные вы просто берете из контейнера в нужный момент.

Из контейнера удобно копировать необходимые данные или воспользоваться автозаполнением полей «Логин» и «Пароль», большинство менеджеров паролей это умеют. При этом менеджер копирует пароль в память устройства только на несколько секунд, что защищает вас дополнительно. Я пользуюсь KeePass. Он работает с самыми популярными операционными системами – Windows, MacOS, Linux, Android и iOS. Интерфейс интуитивно понятен, с поддержкой большого количества языков, а самое главное (для меня), что защищенный контейнер располагается не где-то в облаке, а локально на устройстве.

Пароль в книге

Данный метод является наиболее экзотическим. Некая альтернатива менеджеру паролей. Чаще всего я рекомендую его применение в организациях, где строго запрещена любая установка стороннего программного обеспечения. Суть метода не в том, чтобы записывать пароли в вашем ежедневнике, а в том, что у вас возле компьютера лежит книга (художественная, научная – неважно), которая и является сборником паролей. Вы открываете любую страницу, а далее выбираете алгоритм выбора буквенных символов для пароля. Разберем пример.

Открываете книгу на любой странице, выбираете фрагмент откуда возьмете, например, первые буквы для создания буквенной части пароля. Никакие выделения символов в книге при этом делать не нужно.

Получаете «Пдсдоинп». Книга объемом 447 страниц. Для удобства можно использовать цифры 4, 4, 7 как цифровые символы. Добавьте специальный символ, и запишите все в английской раскладке. Получается хороший пароль «Glcljbyg+447». Готово.

При использовании этого метода вам даже не требуется запоминать пароль, нужно лишь запомнить выбранную страницу.

В качестве заключения

Как видите, есть разные способы для создания, запоминания, хранения паролей. Вы даже можете придумать собственный метод. Главное, чтобы внешне пароль представлял из себя случайную последовательность символов. А алгоритм, по которому эти символы выстраиваются, был известен и понятен только вам.

Пользоваться исключительно одним методом будет проблематично, так как запомнить более 20-ти парольных фраз будет сложно, мастер-пароль от менеджера пароля должен быть особенно сложный и его всегда нужно держать в голове, книгу с собой постоянно носить не будете. А вот комбинировать описанные подходы удобно.

ТЕХНИЧЕСКИ ВОЗМОЖНО ВЗЛОМАТЬ ЛЮБОЙ ПАРОЛЬ. Вопрос только в затраченных силах и времени на этот взлом. Например, пароли password123, qwerty123456, qazZAQ1, ckj;ysqgfhjkm246 (на кириллице «сложныйпароль246») могут быть подобраны в течение нескольких минут на обычном домашнем компьютере. Это плохие пароли, они никак не защитят вашу информацию. Однако, если к моменту подбора пароля информация, которую он защищает, потеряет свою актуальность, то считается, что пароль надежный.

Все пароли условно можно разделить на две группы: стойкие и нестойкие к взлому.

Нестойкие пароли

В интернете можно найти огромное количество специальных словарей, которые содержат в себе миллионы возможных комбинаций паролей. С помощью них злоумышленник может взломать пароль за относительно небольшой промежуток времени, от недели до месяца.

Некоторые пользователи в качестве пароля или так называемого контрольного вопроса указывают личную информацию (свои имена, имена родственников, знаменательные даты, клички питомцев, девичьи фамилии и прочее). Такие пароли также являются ненадежными, потому что узнать информацию подобного рода не составляет труда. Приведу два примера.

Пример 1

Ревнивый муж хочет получить доступ к электронной почте своей жены (кстати, это НЕ ЗАКОННО). Он знает, что контрольный вопрос для восстановления пароля от почты жены «Кличка первого питомца». За ужином муж заводит разговор на тему домашних животных и узнает, что в детстве его супруга очень любила свою первую собаку по кличке Маня. На следующий день благодаря «Мани» муж меняет пароль и получает полный доступ к электронной почте жены.

Пример 2

Руководитель компании зовет к себе ИТ-шника из-за проблем с компьютером. В определенный момент руководителю требуется ввести пароль. Он ошибается в символе, пароль, естественно, не применяется. На предположение ИТ-шника, что пароль забыт, руководитель говорит, что он не может его забыть, так как в качестве пароля установлено имя его ребенка и год рождения. Через пару дней, за обедом, этот самый руководитель на специально заготовленный вопрос ИТ-шника «как дети?» рассказал ему всё, в том числе имена и даты рождения всех своих троих детей.

Надеюсь, что мне удалось показать важность использования ненадежных паролей.

Стойкие пароли

При создании стойкого пароля следует руководствоваться следующими правилами:

Если вы хотите создать себе надежный пароль, то используйте все эти условия ОДНОВРЕМЕННО.

Важно помнить, что единоразовое создание надежного пароля не гарантирует сохранность ваших данных на 100%. Как я писал выше, технически возможно взломать любой пароль, вопрос только в затраченном времени и в актуальности информации после взлома. Но, например, для аккаунтов электронной почты и интернет-банка нет понятия срока актуальности информации – в них она актуальна постоянно. Даже если злоумышленник потратит на их взлом 3 года, для вас это будет критично. Поэтому пароли в наиболее критичных для вас сервисах необходимо менять каждые 3-4 месяца. При этом новый пароль должен значительно отличаться от предыдущего, как минимум, половиной символов.

При создании пароля вы можете проверить его на специальном сервисе от Касперского. На этом сервисе можете проверить насколько пароль стойкий и числится ли он в утекших базах.