Не существует универсальной кнопки: “включить безопасность”. Да и полного сервиса или гайда тоже не может существовать, просто потому что каждый человек видит опасность в своём: кому-то важно не потерять данные своей карты, кому-то важнее информация из паспорта, кто-то не хочет делиться геолокациями. И всё это – относится к кибербезопасности! Хочешь разобраться в “кибербезе для простых смертных”? Ныряй в гид от наших экспертов.
Кибербезопасность: что это такое?
Кибербезопасность (или компьютерная безопасность, или информационная безопасность) – это система методов, да и практик защиты от атак злоумышленников для компьютеров, серверов, данных, мобильных устройств, электронных систем и сетей.
В кибербезопасности существует много направлений, раньше ей в основном занимались разработчики, когда создавали для тебя приложения, базы данных и чинили поломки от хакеров и других злоумышленников.
А как же юзеры?
Но нас с тобой интересует: повышение осведомлённости – или обучение тебя, то есть пользователя 🙂 Потому что нет ничего более опасного и непредсказуемого, чем обычный человек. И даже если разработчик сайта прописал в него все защиты мира, это мало поможет, если твой пароль одинаковый на всех сайтах и его можно взломать за 20 секунд.
“Не открывай письма с вложениями с незнакомых почт, не переходи по ссылкам, приходи на тренинги по безопасности на работе, вообще забей на меры предосторожности, да кому ты нужен”, – в сети очень много совсем разной информации о безопасности 🙂
Мы составили свой гайд на основе вопросов, которые все вы нам задавали полтора года 🙂
И будем вместе рассматривать, как обезопасить те программы, устройства и приложения, которыми ты пользуешься в реальной жизни каждый день.
Электронная почта
- Почтовый сервис: ру или не ру?
Вопрос риторический. Российские почтовые сервисы собирают много данных о пользователях и делятся ими по первой необходимости. Нужно ли тебе это? Не думаем.
Чтобы зайти на Госуслуги и иже с ними, пока не обязательно использовать домены в зоне РУ, так что ты смело можешь выбирать привычные почты Google, Proton, и менее известные: Tutanota, etc. Они находятся в безопасных юрисдикциях и бережно относятся к персональным данным.
- ИМЯ ПОЧТЫ: что в имени тебе моём?
Само имя может дать слишком много информации злодею. OSINT-расследователи очень часто начинают составлять досье по адресу почты.
А если это твои имя и фамилия? Это дополнительная информация для злоумышленников.
А если это еще и логин? Адрес не должен быть логином ко всем (или даже нескольким) твоим аккаунтам. Иначе по одному e-mail злоумышленники смогут сделать подборку всех твоих аккаунтов, к которым логин уже известен. Останется только пароли подобрать.
- Защита аккаунта: пароль и 2FA
Никакие псевдонимы не помогут, если твой пароль 112233. Современные системы взламывают простые пароли за считанные секунды, так что стоит придерживаться простых правил: смешивать заглавные и прописные буквы, добавлять цифры и знаки, сделать пароль хаотичным и длинным.
Дополнительно подключи и двухэтапную аутентификацию: это одноразовый код, который приходит на любое другое твоё устройство. И если сервис позволяет отвязать аккаунт от номера телефона – обязательно сделай это! Кстати, Гугл позволяет 🙂
А ещё отличным вторым фактором может быть генератор временных кодов, например, Hardware tokens или Google Autentificator.
А сколько почт нужно для счастья?
Давай подсчитаем!
- “Государственная” – куда будут стекаться письма от Госуслуг и другие официальные уведомления
- Личная почта: для друзей, семьи, котиков и личных покупок и путешествий 🙂
- Рабочая почта: Столько, сколько нужно!
- Подписки, скидки и шоппинг: хочешь получить скидку от зоомагазина? Получай ее на отдельную почту, туда же будут идти регистрации на сайтах, новости, промо-акции и прочий полезный спам. Так и спама в рабочей и личной почтах будет поменьше
Псевдонимы или как спрятать всё
Используй почтовые сервисы с псевдонимами! Они позволяют пользователям создавать альтернативные адреса электронной почты, их ты сможешь использовать при регистрации, они будут оставаться в базах данных разных сайтов. А информация с них будет стекаться в твой основной аккаунт 🙂
Тогда, если утечет, то только информация о псевдониме.
Эта фишка есть в:
— Hide my email в iCloud+
— Private Duck addresses (DuckduckGo Privacy essentials),
— ProtonPass (до 10 псевдонимов в бесплатной версии),
— Firefox Relay (до 5 псевдонимов бесплатно),
— или Tutanota (только в платной версии).
А ещё, если захочешь поиграть в расследователя, всегда сможешь узнать, какой именно сервис слил данные.
Мессенджеры: популярные и не очень
Мессенджер – это средство связи, которое не может быть абсолютно безопасным. Чтобы не потерять связь с миром (Земля, приём!), но и не забыть про безопасность, стоит обратить внимание вот на что:
- Убери свой номер телефона:
Если есть возможность, то тебе стоит убрать поиск по номеру телефону (такое есть только в Signal и Telegram). Скрыть свой номер можно за псевдонимом. Так и спама будет меньше, и данных о тебе будет собираться меньше.
- Защита от угона.
Если есть возможность включить двухэтапную аутентификацию, то мы бы советовали сделать это. Помнишь раздел про генератор временных кодов?
- Сохранить – нельзя вырезать. Или резервное копирование
Многие популярные мессенджеры предлагают резервное копирование чатов. Чтобы сохранить свои переписки в секрете, поставь облачный пароль или защити мессенджер пин-кодом. И естественно, пин-код разблокировки телефона не должен совпадать с кодом для запуска мессенджера или кодом активации. Ну и пароль резервного копирования тоже должен быть уникальный.
- Шифрование: что это?
Во многих мессенджерах есть загадочная строка: сквозное шифрование (или E2EE — end-to-end encryption). Это означает, что “третий лишний” не сможет перехватить незашифрованные сообщения, даже если он перехватит открытые ключи шифрования в момент обмена ими между собеседниками.
Если хакер взломает сервер с твоей перепиской, что он увидит? Только ключи. Даже Whatsapp не будет знать, о чём ты переписываешься.
- Не открывай подозрительное!
Внимание, подозрительные сообщения. Будь осмотрителен, когда получаешь ссылки, файлы и прочие заманчивые сообщения. Различные спам-рассылки, вредоносные ссылки и зараженные файлы – это всё тоже процветает в мессенджерах. Ссылки можно проверять в онлайн сервисах вроде virustotal.com, а над внезапными сообщениями, побуждающими скорее “бежать, кликать, вводить данные или переводить деньги” лучше лишний раз подумать.
- Хорошо по умолчанию
Используй встроенные функции мессенджеров: это могут быть proxy-серверы или другие решения для создания безопасного канала связи. Они помогут тебе получить доступ в свободный и безопасный интернет
- Альтернативные мессенджеры
Это мессенджеры, которые не так популярны. Многие работают с открытым исходным кодом (это значит, что практически каждый может увидеть, что там под капотом), и многие не хранят твоих данных.
На случай шатдаунов всегда стоит присмотреться к не самому популярному мессенджеру и заранее установить его себе, семье, друзьям и знакомым – надо же с кем-то общаться в чате 🙂
Совсем неизвестные для чувствительных переписок мы не советуем. Если мессенджер долгое время плохо развивается и не набирает популярность, то велика вероятность, что у него есть дырки и уязвимости, на постоянное устранение которых у разработчиков просто нет ресурсов.
Мобильный телефон
Твой мобильник знает о тебе больше, чем твоя мама или партнёр. Поэтому тебе стоит позаботиться о его безопасности:
- Используй сильный пароль, 2FA и биометрию
Настрой сложный PIN-код или пароль. Также активируй функцию разблокировки с помощью отпечатка пальца или распознавания лица, если твой телефон поддерживает такие методы.
- Обновляй ОС и приложения регулярно
Убедись, что на твоем устройстве установлены последние
версии операционной системы и приложений. С каждым обновлением разработчики исправляют обнаруженные ошибки и улучшают систему безопасности.
- Шифрование данных
Включи шифрование устройства, если оно не включено по умолчанию. Это защитит твои данные, даже если телефон потеряется!
- Блокировка экрана
Обрати внимание, через сколько твой экран блокируется: 30-60 секунд — нормальное значение, не увеличивай его. Так же проверь, всплывают ли уведомления на заблокированном экране так, что их можно прочитать, не вводя пароль. Это тоже можно настроить!
- Осторожнее с разрешениями приложений!
Проверьте, какие разрешения запрашивают твои приложения. Не давай приложениям доступ к личным данным, таким как контакты, камера или микрофон, если это не необходимо для их работы.
- Скачивайте приложения только из официальных магазинов!
Используй только Google Play или App Store для загрузки приложений, чтобы избежать скачивания вредоносного ПО. Если ты скачиваешь что-то из альтернативного стора, например F-droid – будь вдвойне внимателен к тому, что скачиваешь.
- Геолокация
Это не враг, если служит только тебе. Поэтому нужно провести инвентаризацию и отключить ненужные разрешения приложениям. Оставить только те, которые могут тебя выручить в трудную минуту, чтобы не потеряться или иметь возможность сбросить своё местоположение своему доверенному контакту.
Кроме точной геолокации есть ещё “грубая” (приблизительная), которая осуществляется по данным от оператора сотовой связи (триангуляции) или по IP-адресу. Если вдруг тебе нужно пропасть с радаров, то достаточно отключить GSM/3G/4G модем (включить “режим полёта”), а GPS при необходимости можно оставить включенным (если нужно воспользоваться картами). Ну и приложения для навигации (карты) лучше использовать те, что не собирают твои данные.
- Осторожно, Wi-Fi!
Будь осторожнее с общественными Wi-Fi сетями. Не стоит ими пользоваться, чтобы делать важные дела, например, банковские транзакции. Если очень нужно – обязательно включи VPN!
- Основной Google или iCloud аккаунт
Android и iOS устройства чаще всего связаны с каким-то аккаунтом (Google или iCloud). По умолчанию много важных данных смартфона (контакты, пароли, сообщения, фото и тп) копируются в облако, связанное с аккаунтом. По сути, это автоматическое резервное копирование, что очень удобно. Но если аккаунт не достаточно защищен от несанкционированного доступа, то это очень большая уязвимость. Злоумышленник, получив доступ к аккаунту, получает доступ ко всем данным.
Помимо настроек безопасности входа (пароль и 2FA), нужно проверить, каким сторонним сервисам и приложениям разрешено взаимодействие с аккаунтом. Проверить это можно в том же разделе настроек безопасности. Если аккаунт используется давно, то с большой вероятностью есть очень много связей со сторонними сервисами. Устанавливаются такие связи всякий раз, когда ты выбираешь “войти с помощью Google или Apple”. Следует провести ревизию!
- Стереть и заблокировать
Активируй удаленную блокировку и удаление данных. Включи функции типа «Найти мой телефон» (например, через Google или Apple ID), чтобы заблокировать или стереть данные с устройства, если ты его потеряешь или его украдут.
- Не забывай про сохранение!
Регулярно делай резервные копии данных. Так, если ты потеряешь или сломаешь телефон, информация останется с тобой.
Фишинг: как не попасть на крючок
Не попасться на удочку – та еще задача! Фишинг – это способ мошенничества, когда злоумышленники вытаскивают у тебя данные. Актуальной статистики нет, но, судя по обращениям наших пользователей, на мобильных устройствах юзеры попадаются на крючок фишинга гораздо чаще.
- Сообщения и уведомления
Внимательно читай сообщения и не переходи по сомнительным ссылкам. Мошенники часто создают фальшивые уведомления от банков, служб доставки или популярных сервисов, чтобы заставить вас перейти по вредоносным ссылкам.
- Проверяй адреса ссылки!
Всегда проверяй URL в браузере или приложении. Злоумышленники могут создать сайты, которые выглядят похожими на официальные (например, “bank-xyz.com” вместо “xyzbank.com”).
- Никогда не разговаривай с незнакомцами
Человек просит денег на операцию для собаки? Возможно, он говорит честно, но именно так часто ведут себя мошенники. Мы не советуем жертвовать деньги на неподтвержденные сборы, и, тем более, переводить их по сомнительным ссылкам.
- Осторожно с QR-кодами:
Не сканируй QR-коды из подозрительных источников, так как они могут направить тебя на фальшивые сайты, которые пытаются украсть твою личную информацию.
- Доверяй, но проверяй
А если ты получаешь сомнительный файл или ссылку, то можно воспользоваться онлайн-сканером, например, www.virustotal.com
Персональные данные и пылесосы данных
Очень много данных о себе мы оставляем в сети сами. Пылесосом наших данных часто становятся мобильные приложения, которым при скачивании и установке мы сами же и даем разрешения. Но не все важные для приватности разрешения в операционных системах требуют акцепта от пользователя. Поэтому, гораздо безопаснее проверять набор запросов разрешений, заложенный разработчиком приложений, ещё до установки и использования.
Как проверять, не устанавливая? Для пользователей Android есть веб-версия проекта Exodus Privacy, в разделе Check an app есть репорты уже проверенных приложений, среди которых можно найти интересующее тебя https://reports.exodus-privacy.eu.org/en/, а можно и свежий анализ заказать. Главное, чтобы приложение было в маркете Гугла или F-droid. В отчёте можно и полный список запрашиваемых разрешений посмотреть, и наличие в коде приложения элементов трекеров. По общей картине можно сделать выводы о приложении и разработчике. К сожалению, для iOS такого инструмента нет. Но логично, что если у разработчика ПО есть аппетиты, то это будет распространятся как на Android-пользователей, так и обладателей iOS-устройств.
Обрати внимание, что за данными охотятся почти все, даже разработчики антивирусного ПО. Все антивирусы для своей эффективной работы просят права полного доступа к диску. Чтобы давать полный доступ ко всей файловой системе — это нужно очень доверять разработчику и сервису.
То же самое касается и очень востребованных приложений VPN-сервисов. Всегда проверяй, безопасен ли сервис, перед тем, как его установить.
Так где юзеры раскидывают данные?
— при регистрации аккаунтов,
— лишние разрешения от приложений
— связки аккаунтов, когда мы входим в одни аккаунты с использованием других (при этом устанавливаются долгосрочные автоматические связи с различного уровня разрешениями).
— даже безобидные тесты в соцсетях – это на самом деле приложения, получающие доступ к аккаунту в соцсети через API с возможностью дальнейшего просмотра, как минимум, списка друзей, постов и информации профиля. Всё это бигдата, детка!
Биометрические данные
Это твои уникальные характеристики, которые невозможно изменить или подделать
- отпечатки пальцев;
- характеристики речи;
- радужная оболочка глаза;
- изображение лица и др.
Их часто собирают в банках или полиции: если ты открываешь счёт или берёшь кредит – то считай, твои данные есть в Единой Биометрической системе. Мы советуем удалить свои биометрические данные отовсюду, где это возможно.
*Из Сбербанка:
Ты можешь это сделать через приложение СберБанк Онлайн. Зайдите в приложение, далее нажмите → «Профиль» → «Данные и Сбер ID» → «Управление Сбер ID» → «Сайты и приложения». Выберите необходимый сервис в списке → «Согласие на обработку персональных данных» → «Подробнее о согласии» → «Отозвать согласие».
*Из МФЦ:
Можно отозвать согласие и через МФЦ с личным визитом. Соответствующие поправки в положение закона об идентификации и аутентификации физлиц с использованием биометрии вступили в силу с 1 июня 2023 г. Согласно изменениям, гражданину для того, чтобы отозвать свои биометрические данные, необходимо прийти в МФЦ и отказаться в письменной форме. При себе иметь паспорт и СНИЛС
*Из других банков
Ты всегда можешь уточнить, есть ли твои биометрические данные в системе банка через официальный саппорт. Что важно, тебе нужно обязательно запросить письменное подтверждение того, что твои данные удалены.
Метаданные и геолокации
Многие файлы, которые создаются на твоём устройстве содержат метаданные. Это данные об устройстве, времени и авторе, а иногда даже геолокация. Выкладывая фотки или другие файлы, ты оставляешь возможность злоумышленникам поковыряться в этих данных.
Если информация чувствительная, то мы бы советовали пользоваться средствами очистки метаданных. К примеру — https://github.com/szTheory/exifcleaner/ или https://mat.systemli.org/
Как пользоваться госсайтами и госприложениями: можно, нужно и зачем?
Если ты не можешь решить свои вопросы с государством через МФЦ, то мы рекомендуем использовать web-сайты, а не приложения. Мобильные приложения, как правило, получают намного больше данных от устройства, чем браузер. Можно использовать отдельный браузер с защитой от трекинга и сбора лишних данных (например Vivaldi, Brave или DuckDuckGo, да и Tor browser тоже подойдёт для безопасного серфинга в обычном Web).
Если интересующая госуслуга (например, ипотека) доступна только в мобильном приложении, то нужно убедиться, что приложение не требует лишних и чувствительных разрешений.