/ новое на Freelancehunt

Как обезопасить себя в интернете и не стать жертвой взломщиков

Взлом аккаунта на сервисе фриланса вещь настолько же неприятная, как и взлом, например, почтового ящика или аккаунта в соцсети. Получая доступ к профилю, злоумышленник может как украсть средства, которые лежат на счету пользователя, так и начать выпрашивать деньги у всех, кто вел с ним переписки.

Чтобы получить доступ к вашему аккаунту, взломщику нужен пароль. Рассмотрим, какими способами удается его получить злоумышленнику, и как защититься от хищения.

Просим пробежать глазами информацию даже в том случае, если думаете, что она может быть вам известна. Вдруг вы все же что-то упустили, тогда исправьте ситуацию как можно скорее.

1. Простой пароль

Иногда пользователям не хочется слишком долго задумываться над паролем, они стараются как можно быстрее зарегистрироваться и уже начать работу на сервисе.

Первое, что приходит им в голову — использовать для пароля:

  • логин — мол, чем проще, тем лучше;
  • дату рождения — при этом ещё и указывают её в профиле;
  • свой адрес или телефон — даже если их не выложили в общем доступе, эту информацию могут получить люди, с которыми идет дальнейшее сотрудничество; к слову, некоторые пользователи иногда указывают в соцсетях телефон и другую конфиденциальную информацию, затем благополучно привязывают профиль к аккаунту на сервисе и не подозревают, что делать это небезопасно;
  • номер паспорта или номер расчетного счета;
  • название своего сайта или компании (пусть даже с добавлением даты основания) — это легко подобрать;
  • свой девиз, статус, слоган компании (переведенный на латиницу) — в этом также нет ничего сложного.

Запомните — никогда пароль не должен совпадать с личными данными, которые есть в общем доступе, или другой человек может получить через общение, подписание документов. Чем легче вам запомнить пароль, тем легче злоумышленнику его подобрать.

2. Сложный пароль, но один и тот же на разных сервисах

Некоторые пользователи думают, что достаточно придумать сложнейший пароль, допустим, из 16-25 символов, и его никогда не взломают. Самое удивительное, что этот пароль они используют везде… годами.

Но если вы ведете активную деятельность, находитесь у всех на виду, рано или поздно злоумышленники могут заинтересоваться, как получить доступ к вашим счетам. Взломав один профиль почты, Skype или аккаунт в соцсетях, он тут же попытается вскрыть все остальные.

Пожалуйста, никогда не используйте одинаковый пароль в разных аккаунтах, не меняя длительное время — даже если считаете его очень надежным, однажды его смогут подобрать.

3. След

Пользовались общедоступным компьютером и забыли выйти из аккаунта, а может нажали кнопку «сохранить мой пароль»? Что ж, действие это может оказаться опрометчивым. Даже если компьютером не будет пользоваться злоумышленник, человек, который в дальнейшем сядет за стол может оказаться не очень честным:

  • Студент из параллельного потока, сев за ваш стол, может просто поиграться.
  • Пользователь, который сел за компьютер после того как вы освободили его в каком-то компьютерном сервисе может подумать: «Вот счастье-то привалило!»

Но в итоге вам от этого легче не будет.

Работая за чужим компьютером помните, что нужно не только выйти из аккаунта на фриланс-сервисе, но и удалиться из почты, выйти из авторизации браузера.

4. Дублирование пароля

Есть ещё одна опасность использования одинакового пароля. Не факт, что злоумышленник следит за вашей активностью и мониторит все профили. Он просто может взломать одну из баз сервисов, где вы регистрировались ранее, затем сравнить профили и пройтись, проверить, можно ли открыть с помощью вашего пароля аналогичный профиль на другом сервисе.

Рецепт защиты тот же, что и в предыдущем случае — иногда менять пароли, не использовать одинаковые в разных аккаунтах.

5. Фишинг

A close-up of a fishing pole at a lake in East Sooke Park.

Так называется ещё один вид мошенничества в интернете. Слово произошло от английского fishing — рыбная ловля. Суть фишинга заключается в том, чтобы подбросить пользователям «наживку» — поддельный сайт с формой входа, в которой пользователь оставляет свой настоящий пароль.

Как можно отправить пользователя на такой сайт? Через письма на почту, сообщения в различных мессенджерах или SMS. В них может содержаться ссылка, похожая на сайт или ссылка с редиректом (то есть, перенаправляющая на другой ресурс).

Выглядеть сообщение может примерно так:
«Мы зарегистрировали подозрительную активность в вашем профиле. Если это были вы, пожалуйста, подтвердите свои данные… »

Рецепт безопасности в этом случае прост — помнить, что сотрудники любого ресурса никогда не запрашивают ничьих паролей. Также не забывайте поглядывать на ссылку, соответствует ли она домену сервиса, на котором вы обслуживаетесь.

Но это ещё не все. О том, что нахождение на сайте является безопасным, скажет надпись «Защищено» и значок в виде зеленого замочка рядом с адресной строкой. Если на него нажать, можно увидеть дополнительные сведения о сайте, действительность сертификата, настроить уведомления в браузере, запретить всплывающие окна.

---------------------

Кроме того, этот знак означает, что сайту выдан криптографический ключ, позволяющий зашифровать информацию, получаемую от пользователя. То есть, все, что вы пишите на таком ресурсе, таблицы, формы, которые вы заполняете, не доступны третьим лицам, а только вам и сайту. Это особенно важно, если вы пользуетесь общедоступной сетью Wi-Fi.

Однако не спешите расслабляться, поскольку наличие такого значка вовсе не означает, что сайт не является фишинговым. Злоумышленники иногда идут на затраты и приобретают сертификат, чтобы ввести в заблуждение пользователей сети, если речь идет о возможности «крупного улова». Поэтому обязательно проверяйте домен на соответствие, даже если внешне сайт ну очень похож на ресурс, которым вы привыкли пользоваться — это поможет вам защититься.

Другие надежные способы защиты

Чтобы по-настоящему чувствовать себя в безопасности, рекомендуется использовать следующие методы:

  • Программы-менеджеры паролей.
  • Многофакторная аутентификация.
  • Аппаратные решения — например, токены с поддержкой FIDO U2F.

Рассмотрим каждый из них подробнее.

Программы-менеджеры паролей

Это программное обеспечение, облегчающее работу с паролями. Применяя их, вам не нужно каждый раз вводить длинный и надежный пароль. Его сохраняет менеджер паролей.

Программ этих существует довольно много, они бывают нескольких типов:

  • портативные (хранят пароли на персональных устройствах или USB),
  • сетевые (хранят пароли онлайн, в браузерах),
  • в виде декстоп-приложений (пароли хранятся на жестком диске компьютера).

Мы рекомендуем использовать две из них: 1Password и LastPass. Несмотря на то, что они не являются бесплатными, использовать их выгодно. Ведь денежные потери при взломе аккаунтов могут быть значительно больше, чем небольшая фиксированная оплата за ваше спокойствие. Кроме того, их использовать намного удобнее, чем каждый раз вводить сложные пароли.

Именно эти менеджеры паролей привлекательны по следующим причинам:

  • 1Password — подходит для работы на iOS, Mac, Windows, Android. Количество домашних устройств, на котором можно использовать программу — не ограничено. Вы можете передавать пароли членам семьи или команды. Первый месяц использования программы бесплатный. Вы можете протестировать её в это время и определиться, насколько она удобна. Далее можно выбрать пакет для персонального ($2.99 в месяц), семейного ($4.99 в месяц), командного обеспечения безопасности ($3.99 в месяц) или пакет для бизнеса ($7.99 в месяц).
  • LastPass — в отличие от предыдущего сервиса, здесь есть русскоязычная версия. Пароли сохраняются не только в iOS, Mac, Windows, Android, но и в браузерах Chrome, Firefox, Internet Explorer, Safari. Есть тарифы для частных лиц (от $2 в месяц) и для бизнеса (от $2,5 в месяц). Также можно передавать пароли членам семьи. Есть возможность купить годовой абонемент от $24.

Двуфакторная аутентификация Google — надежно и бесплатно

Одним из самых надежных методов считается двуфакторная, многофакторная аутентификация Google. Примечательно то, что подключена она была ещё 7 лет назад, но пользуются ею пока очень мало — меньше 10% из миллиарда пользователей.

Её суть заключается в том, что идентификация пользователя проводится в несколько этапов:

  1. Сначала вводятся данные, на которые был зарегистрирован аккаунт — логин и пароль пользователя.
  2. После этого вводится динамически изменяющийся каждые 30 с пароль из Google приложения (их бывает несколько видов, к каждому аккаунту можно подключить одно приложение).
  3. Либо в приложении Google приходит запрос с двумя кнопками «Да, это я» или «игнорировать».
  4. Как альтернатива или дополнительный этап возможно подтверждение через СМС или почту, куда приходит одноразовый пароль.

Можно ли взломать двухфакторную аутентификацию?

Технически можно, например, перехватив контроль над номером телефона на уровне оператора. Однако метод не простой и дорогостоящий. Также злоумышленники могут использовать фишинг. То есть, фактически, если вы добровольно не сообщите пароль злоумышленникам, взломать такую защиту очень сложно. Просто не доверяйте сообщениям, написанным в стиле:

-------------------------

Запомните, если вы видите такие сообщения, не стоит на них реагировать!

Аппаратные решения токены с поддержкой FIDO U2F

Этот способ можно назвать усиленной защитой. Особенно подходит для бизнеса, когда взлом аккаунтов просто недопустим, и самому владельцу необходимо получать доступ к сервисам достаточно быстро.

В основе способа лежит использование USB токена, который помогает идентифицировать владельца и проверяет аутентичность сайта (на данный момент устройство работает только с сайтами Google), защищая от фишинговых атак и воровства Cookies.

В отличие от мобильных приложений, USB токен работает даже в случае, если телефон отсутствует. Использование такого ключа обойдется дешевле, чем стоимость менеджеров паролей, так как вам нужно будет купить устройство один раз. Цена его от $5,99.

USB------

Подведем итоги

Для того, чтобы обезопасить аккаунт, достаточно соблюдать несколько правил:

  1. Использовать сложный пароль.
  2. Пароли должны быть разными на всех аккаунтах.
  3. Не вводить данные на подозрительных сайтах, куда вы перешли из писем, SMS или сообщений в мессенджерах. Ещё лучше — игнорировать подобные сообщения.
  4. Подключить двухфакторную аутентификацию или использовать токены с поддержкой FIDO U2F.
  5. Использовать менеджеры паролей.

Кроме всех перечисленных способов мы рекомендуем время от времени проводить проверку статистики входов в ваш аккаунт. Это позволит вам убедиться, что с ним все в порядке или сменить пароль в случае необходимости.

Вот и все, что мы хотели рассказать сегодня. Надеемся, данная информация поможет вам защитить свой аккаунт и обезопасить себя в интернете!

Материал статьи был подготовлен по рекомендациям и при участии специалистов технического отдела.

Как обезопасить себя в интернете и не стать жертвой взломщиков
Поделиться

Подпишитесь на Просто о фрилансе и не только