Ловчие сети. Каждый охотник желает знать где сидит простак.
О том, что на них идет охота, большинство пользователей узнает, только попав в киберсилки, причем неоднократно. Изрядно вляпавшись, пользователи зовут на помощь специалистов, специалисты приводят пострадавшие компьютеры в чувство — и все возвращается в привычный ритм до следующего наступления на грабли. Это все равно что активно вступать в случайные половые связи, не пользуясь элементарными средствами защиты, после чего проходить очередной курс лечения в кожвендиспансере и приниматься за старое, даже не пытаясь связать причину и следствие.
Что же делать?
Заповедь первая: поставьте комплексную защиту.
Универсальный совет "Включайте голову!", конечно, хорош, но без специальных знаний и навыков бесполезен. Поэтому первым делом следует озаботиться установкой на компьютер комплексной интернет-защиты — программы, в которую входит и антивирус, и другие полезные модули.
Да, это стоит денег, причем их придется тратить не один раз, а регулярно, все равно что платить зарплату телохранителю. Получше платить ежегодно долларов по тридцать, чем тратиться на вычистку компьютера от вирусов, отсылать злоумышленникам платные эсэмэски в надежде получить код, который снимет блокировку компьютера или уберет баннер с голой задницей, и постоянно подвергать себя риску кражи пароля к системе онлайн-банкинга.
Кстати, вполне возможно, что вы уже платите деньги за такую защиту, просто не пользуетесь ею, Внимательно проверьте условия своего тарифного плана у интернет-провайдера, Некоторые провайдеры заключают договоры с разработчиками антивирусов и предлагают их программы "бесплатно” (что на самом деле просто означает, что их стоимость включена в стоимость услуг провайдера).
Наибольшему риску подвергаются пользователи самых популярных программ: злоумышленнику выгоднее найти ’’дыру” в той программе, которая установлена на миллионе компьютеров, чем в той, которой пользуется всего тысяча человек. Это стоит учитывать при выборе программ. Не ленитесь: если к Windows прилагается браузер, это не значит, что не нужно попробовать конкурирующие программные продукты, тем более что практически все браузеры сейчас бесплатны.
Заповедь вторая: обновляйте программы
Старайтесь использовать в работе самые последние версии программ. Если программы умеют обновляться самостоятельно, не лишайте их такого удовольствия. В первую очередь обновлять нужно собственно операционную систему, интернет-браузеры, офисные пакеты и всевозможные браузерные надстройки и вспомогательные утилиты (Java, Adobe Reader, Flash).
Дело в том, что любая программа содержит ошибки. В том числе и те, которыми могут воспользоваться в корыстных целях всякие нехорошие хакеры. Такого рода ошибки называются уязвимостями или "дырами". Разработчики программ периодически обнаруживают эти "дыры” (нередко уже после того, как их обнаружат хакеры) и, если у них (у разработчиков, а не хакеров, конечно) будет хорошее настроение, заделывают. И выпускают обновления (патчи, "заплатки'’), надеясь на то, что пользователи их у себя установят. Так давайте же оправдывать эти надежды!
Заповедь третья: ждите подвоха
Легкая паранойя не повредит никому. Повремените нажимать на ссылку в соцсети или открывать присланный файл. Подумайте, действительно ли вам так уж необходимо немедленно посмотреть на обещанные сиськи. Если файл пришел от незнакомого человека, лучше сразу отправлять его в мусорную корзину. Если от знакомого — возможны варианты, ведь адрес отправителя, к сожалению, легко подделать. Не исключено также, что вскоре после того как вы откроете присланную ссылку или запустите программу, люди начнут получать аналогичные послания уже от вашего имени.
Если же у вас хватило ума нажать куда не следовало, это еще не конец. Да, можно подхватить виртуальный сифилис, просто открыв ’’левый” сайт. Но чаще злоумышленники рассчитывают, что беспечный пользователь сам откроет ворота троянскому коню.
Так, вам могут предложить ’’обновить Flash” или проделать для просмотра видеоролика с желанными сиськами что-нибудь еще. Разумеется, этого делать не надо. Если вам действительно захочется обновить Flash, не поленитесь зайти на официальный сайт компании Adobe и сделать это оттуда. И не удивляйтесь, если окажется, что у вас уже и так установлена самая последняя версия "флеша" и ничего обновлять не нужно.
Обращайте внимание на расширения файлов, которые скачиваете из интернета или получаете извне другим способом. Научитесь отличать файлы-документы от программ, т. е. исполняемых файлов: книга, фильм или музыка — это всего лишь данные в определенном формате, расширения ехе у них быть не может. Что делать, если вам просто позарез нужно открыть сомнительные ссылку или файл? Проверьте возможности вашей программы комплексной защиты. Не исключено, что в ней есть режимы безопасного запуска программ и просмотра сайтов. Это все равно что вскрыть подозрительную посылку в бронированной камере — даже если она взорвется, жертвы будут минимальными.
Windows по умолчанию скрывает расширения файлов. Этой рискованной "фичей” нередко пользуются злоумышленники, выдавая ЕХЕ-файлы, т.е. программы, за изображения или видеоролики при помощи двух расширений — скрытого настоящего и фиктивного. Поэтому надо попросить систему непременно показывать все расширения файлов. Уберите соответствующую галочку в настройках Проводника Windows или попросите об этом знакомого компьютерного "гуру”.
Заповедь четвертая: не ведитесь
Нежелательная почта делится на спам (непрошеная реклама), скам (мошеннические письма) и фишинг (письма-подделки). Благодаря спам-фильтрам большинство этих писем
до нас, к счастью, не доходит. Но кое-что все-таки просачивается.
Как реагировать на непрошеную рекламу — дело хозяйское, хотя правильнее спам попросту игнорировать. Что до писем от мошенников, то, хотя распознать их и несложно, всегда находятся наивные люди, которые обманываются и теряют деньги. Вы не из таких, случайно? Тогда на всякий случай: если вам пришло письмо от нигерийского принца в изгнании, которому нужно помочь с переводом нескольких десятков миллионов в обмен на щедрые проценты и орден Зеленого Змия на Красной Подтяжке, — это оно. Мошенничество в чистом виде. Можете иг норировать, а можете получить массу удовольствия, вступив с '’принцем" в затяжную переписку и разыграв из себя овечку. Главное — ни под каким видом не давать мошеннику ни копейки.
Наибольшую опасность для пользователя представляют фишинговые письма. Слово phishing, если закрыть глаза на орфографию, означает "рыбалка”. Как рыбак надеется, что рыба примет пластмассовую мушку за настоящую, так и фишер рассылает интернетчикам фальши вые письма в надежде, что те клюнут на подделку.
Фишингом может оказаться письмо якобы из социальной сети, онлайн-аукциона. банка — любого онлайнового сервиса или известной компа-
нии. Письмо будет практически неотличимо от настоящего. В нем будет убедительно написано, что в целях обеспечения безопасности вам следует подтвердить свой пароль или еще что-нибудь в этом духе. И еще там будет ссылка на сайт, очень похожий на настоящий, где вы должны будете ввести свои реквизиты. После этого вам непременно скажут спасибо, и скажут от всего сердца: ваши логин и пароль очень пригодятся злоумышленнику, которому тоже нужно кормить семью.
Чтобы не попасться на удочку, нужно понимать следующее.
Во-первых, солидные сервисы, особенно связанные с деньгами, обычно не рассылают в письмах никаких гиперссылок. И уж наверняка они не попросят у вас пароль через e-mail. К любым письмам, содержащим хотя бы намек на такую просьбу, следует относиться с подозрением.
Во-вторых, обращайте внимание на гиперссылки. В подавляющем большинстве случаев фишинговые странички располагаются на ’’левых” доменах: адрес будет хотя бы в одной букве да отличаться от настоящего. (Крайне редко злоумышленникам удается воспользоваться уязвимостью настоящего сайта и незаметно разместить там свою страничку.) Имейте также в виду, что если письмо пришло в HTML-формате, то текст ссылки может отличаться от самой ссылки. Наведите на ссылку мышкой и посмотрите, какой реальный адрес появляется во всплывающей подсказке.
Заповедь пятая: правильно выбирайте пароль
К советам по выбору паролей почти никто не прислушивается. Используют 111111, qwerty и "пароль", а при наличии некоторой фантазии — gfhjkm ("пароль” в английской раскладке). Многие лепят свои имена и даты рождения, максимум — данные своих любимых. Одни используют в качестве пароля названия сайтов, у других пароли совпадают с логинами... Иными словами, люди делают все, чтобы облегчить себе работу по запоминанию пароля — и заодно облегчить работу злоумыш ленника по его подбору. Конечно, запомнить пароль вроде ehTn45mNNdO или _NaMur6_09dTb, а именно такие жуткие комбинации считаются наиболее устойчивыми ко взломам, непросто. Но у пользователя есть несколько способов облегчить себе работу, не упрощая задачу потенциальному взломщику. Один из них — использование менеджера паролей. Это программа или веб-сервис, которые помнят все ваши пароли, сами умеют генерировать новые, "неподбираемые”, а главное, защищают их от чужих глаз. В этом способе имеются как плюсы, так и минусы. Например, список паролей часто защищается при помощи мастер-пароля, который должен запомнить пользователь. И горе ему, если он вздумает использовать пресловутый qwerty. Другой способ — запомнить три-четыре пароля и каждый из них использовать для разных уровней секретности. Один пароль — для сервисов, где потеря учетной записи некритична, другой — для более
личных случаев (например, социальных сетей), третий — для денежных операций. И если вам показалось, что кто-то узнал один из этих паролей, нужно немедленно поменять его на всех сайтах.
Отдельного разговора заслуживают пароли к почтовым ящикам. Вебсервисы с регистрацией обычно оборудованы системой восстановления паролей. Один из распростра ненных способов — отправка этого или нового пароля по электронной почте. Соответственно, если у злоумышленника имеется доступ к вашему почтовому ящику, он может достучаться с его помощью до других сервисов. В первую очередь это используется при целевых атаках (скажем, ревнивая жена хочет узнать, с кем вы там общаетесь на сайте знакомств), но при некоторых условиях этот принцип может быть и автоматизирован. Как следствие, крайне желательно для каждого почтового ящика иметь отдельный, трудно подбираемый пароль.
И, раз уж речь зашла о восстановлении паролей, скажем пару ласковых о так называемых контрольных вопросах. По какой-то загадочной причине большинство сервисов (включая, как это ни прискорбно, даже платежные системы) оперируют списком стандартных вопросов типа "Девичья фамилия вашей матери”. Не сомневайтесь: человек, затеявший целевую атаку, не поленится выяснить вашу подноготную. Поэтому, если сервис предоставляет возможность указать собственный вопрос, лучше выберите этот вариант и занесите в поля данные, которые не известны никому. Если же это невозможно, лучше, пожалуй, указывать неправильный ответ на контрольный вопрос — только не запутайтесь сами. А никто, между прочим, и не обещал, что будет легко!
И наконец, самое главное
Вы должны хорошо понимать, что все эти ваши ухищрения не будут стоить ломаного гроша, если вы подцепите шпионскую программу, выслеживающую пароли, или же собственноручно внесете его в форму фишингового сайта. Поверьте, компьютеру совершенно все равно, насколько сложный у вас пароль: в отличие от вас он одинаково хорошо запоминает как qwerty, так и alWElcdt6_RVm. Но как снизить риск заразить свой компьютер или попасться на удочку фишеров. вы уже знаете. Во всяком случае, очень хочется в это верить.
Если защита онлайновой платежной системы или системы онлайн-банкинга построена на одном лишь пароле, такой системой лучше не пользоваться. В системе, связанной с деньгами, должна быть предусмотрена так называемая двухфакторная идентификация — когда, помимо пароля, у пользователя явным или неявным способом запрашивается дополнительный код. Сейчас популярна защита в виде высылаемого цифрового кода на указанный пользователем мобильный телефон. Суще-
ствует и упрощенный вариант, при котором пользователи идентифицируются непосредственно по номерам своих мобильных телефонов (в таких случаях можно обойтись и без обычных паролей). Надо заметить, что обе такие схемы достаточно надежны, особенно если вы не имеете привычки терять мобильник. Помните только, что смартфон тоже может быть заражен каким-нибудь "трояном". Да-да. Жизнь вообще опасная штука. Виртуальная жизнь — тоже.
Комментарии
- Valdemar, (04.11.2011 13:13)
Думаю, что хакеров больше должны боятся компании, а рядовые пользователи должны поменьше рассказывать о своем личном в интернете и не покупаться на рекламу.
- Rooni, (04.11.2011 13:04)
Кстати, хакеров больше в России чем на западе, это обусловлено большей уязвимостью.
- ГопСтоп, (03.11.2011 12:06)
Truman, это похоже и я подхватывал. Сейчас, на заметку всем, много псевдо полезных приложений для вконтакте гуляет, которые тоже блокируют компьютер и требуют денежки за то что эта зараза исчезнет, но как правило и это не помогает :)
- Truman, (03.11.2011 12:04)
Ох, помню зацепил вредоносный плагин на браузер, за удаление которого требовали деньги отправить посредством sms, ну я за 2 часа справился самостоятельно с помощью советов людей, которые так же попались.
- Didi, (03.11.2011 12:02)
Хакеры найдут как обойти эти все мелочи для них. Если уж взламывают сервера спец служб, то что им обычный пользователь!?
- Kurdis, (03.11.2011 12:01)
Сейчас как раз нужно переустановить антивирус, на новую версию, а то уже месяц на старой, мало ли чего.
Добавить комментарий