Методичка по кибер-безопасности. Защити себя в сети!

1. Как защитить свой аккаунт. Пароли

1. Придумывайте хорошие пароли и используйте их.
Вот примеры плохих паролей:

12345abc

Tanya1994

И т. д. Такие пароли легко угадываются взломщиком.

Как придумать хороший пароль? Лучше всего — использовать менеджеры паролей, например, KeePass2 и другие. Эти программы генерируют случайные сложные пароли и запоминают их на вашем компьютере (в зашифрованном виде). Однако это может быть сложно и неудобно. В таком случае придумайте сложный пароль, который легко запомнить.
Например, придумайте какую-нибудь глупую фразу:

486NoisyMonkeysLivesInMyHead (486 шумных обезьян живёт в моей голове)

IHave37FishRaisinCrackers (у меня 37 рыбных крекеров с изюмом)

tigers_love_1975_year (тигры любят 1975 год)

Чем длиннее и безумнее фраза — тем лучше! Только не забудьте её.
Чтобы легко восстанавливать такие пароли в голове, заранее придумайте способ, как сливать слова вместе (через CamelCase или snake_case), не путайте эти способы.
Интересный способ придумать сложный пароль - писать на русском языке в английской раскладке. Например:

GhbdtnVbh”)!(Ujlf (ПриветМир2019Года, при наборе 2019 зажать Shift)

RfrYt<snmJ,vfyensvDCtnb (КакНеБытьОбманутымВСети)

И т.д. Минус этого способа в том, что раскладки клавиатуры, вообще говоря, могут различаться на разных компьютерах. К тому же, такой пароль сложно написать с телефона.
Есть и третий способ придумать пароль - собрать его из запоминающейся фразы. Это может быть поговорка или отрывок из любимой песни. Например:

Yeah, I'm gonna take my horse to the old town road I'm gonna ride 'til I can't no more

Взяв первую букву из каждого слова, получаем:

YIGTMHTTOTRIGRTICNM

Чередуем строчные и заглавные буквы, добавляем год рождения автора песни в конце:

YiGtMhTtOtRiGrTiCnM2019

Защитите хорошим паролем не только аккаунт, но и вашу почту и телефон. Часто забытый пароль можно восстановить через почтовый ящик. Если пароль на почтовом ящике слабый — все ваши аккаунты становятся уязвимы! То же и с телефоном. Включите пароль на экран блокировки вашего смартфона.

2. Авторизуйтесь только на доверенных сайтах!

Не давайте свои логин и пароль сторонним сайтам и пользователям. Проверяйте ссылку, которую открываете. Злоумышленники создают копии популярных сайтов и размещают их на похожих адресах, чтобы красть ваши пароли. Например, https://vkk.com вместо https://vk.com, https://youtube.con вместо https://youtube.com и т. д. Мошенники иногда отправляют такие ссылки в личных сообщениях с текстом в духе «зайди, посмотри, смешная страница https://vkk.com/id24252345» и т.п. Это называется fishing.

3. Используйте только сайты с SSL-защитой.

Это сайты, которые начинаются с https:// (вместо http://). В браузере рядом с такими сайтами в адресной строке появляется иконка, зелёный замочек. Вы можете поставить расширение "HTTPS Everywhere" в свой браузер, чтобы всегда по-умолчанию заходить на сайты с SSL защитой.

2. Fishing

Самая уязвимая часть компьютера - это вы. Втереться в доверие, обмануть владельца аккаунта\банковской карты и "выпросить" конфиденциальную информацию у пользователя часто оказывается намного проще, чем взломать телефон, сайт или сам банк.

Чтобы выкрасть ваши данные, мошенник притворяется представителем банка, или представителем кассы какого-то магазина, где вам нужно внести оплату, или представителем других ресурсов. В простейшем случае это может быть личный звонок якобы от "Сотрудника Сбербанка" с просьбой сообщить номер карты, код из СМС или другие секреты.

Но бывают и более хитрые мошенники:

Пример 1
Вы познакомились с молодым человеком или девушкой на сайте знакомств. Спустя какое-то время приятного общения он (она) предлагает вам сходить в кино. Он (она) знает хороший кинотеатр неподалёку, отправляет вам ссылку на сайт, где можно купить билеты, обещает вернуть наличными при личной встрече. Например, https://cinemasecret.com/. Вы вносите оплату, после чего человек пропадает. Билеты вернуть нельзя, кинотеатр не отвечает. Оказывается, что сайт cinemasecret.com - сайт мошенников, а настоящий сайт этого кинотеатра - cinemasecret.ru; ваши деньги ушли на счета мошенников

Пример 2
Ваш друг или подруга пишет в личном сообщении "Смотри, нашла нашего общего старого друга" со ссылкой. Ссылка перекидывает вас на страницу ВК, где нужно авторизоваться. После авторизации ваш аккаунт попадает в руки мошенников. Оказывается, вашу подругу взломали, а ссылка, которую она отправила, ведёт на фейковый сайт ВК, контролируемый мошенниками.

Пример 3
Вы получили сообщение от незнакомца в Telegram. Он предлагает вам попробовать новую бесплатную программу, которая якобы может узнать все данные по номеру телефона (имя, фамилия, адрес и т.д.). Из любопытства вы отправляете программе свой номер телефона. Теперь незнакомец знает ваш номер телефона

И так далее.

Как не дать себя обмануть?

1. Проверяйте адреса сайтов, на которые заходите. Если друг прислал вам ссылку на сайт банка или магазина, убедитесь, что это официальный сайт: найдите этот банк\магазин в google, сравните ссылки. Если магазин малознакомый, поищите отзывы в Сети.
2. Меняйте пароли от аккаунтов только в приложениях или на официальном сайте (не через почту\SMS\сторонние сайты).
3. Обращайте внимание на адреса отправителей писем. Не доверяйте сообщениям от незнакомцев
4. Прежде чем переводить деньги друзьям\знакомым, проверьте, не взломали ли их. Спросите у человека что-то такое, что знает только он (и вы) Звонок или СМС с текстом "Мама, я попала в беду, отправь денег" с незнакомого номера - типичный приём мошенников. Не поддавайтесь панике. Убедитесь, что в самом деле имеете дело с родственником, и только потом помогайте.

3. Безопасность в социальных сетях и мессенджерах

3.1 Настройки безопасности VK

Мы не рекомендуем использовать VK как минимум потому, что вас смогут найти в списке подписчиков группы или события, даже если ваш аккаунт закрытый.

Если вы всё-таки решили использовать эту соц сеть, мы рекомендуем выставить особые настройки безопасности. Наведите курсор на правый верхний угол, кликните на аватарку, откройте настройки и выберите:

1. Общие

Настройки профиля -> Отключить комментирование записей

2. Безопасность

• Включаем двуфакторную аутенфикацию
• Оставляем только сеансы на устройствах, которые контролируем

3. Приватность

• Моя страница -> Только я (на всех пунктах)
• Записи на странице -> Только я (на всех пунктах)

Связь со мной

• Кто может найти меня при импорте контактов по номеру +7№?*:;*№?; -> Никто
• Все остальное -> Только друзья
• Истории -> Только я

Прочее

• Кому в интернете видна моя страница -> Только пользователям ВКонтакте
• Тип профиля -> Закрытый
• Какие компании могут отправлять мне сообщения по номеру телефона -> Никакие

4. Настройки приложений.

• Отключаем все

Безопасность

• Включаем двухфакторную аутентификацию
• Оставляем только сеансы на устройствах, которые контролируем

Приватность

• Моя страница -> Только я (на всех пунктах)
• Записи на странице -> Только я (на всех пунктах)

Связь со мной

• Кто может найти меня при импорте контактов по номеру +7№?*:;*№?; - Никто
• Все остальное -> Только друзья
• Истории -> Только я

Прочее

• Кому в интернете видна моя страница -> Только пользователям ВКонтакте
• Тип профиля -> Закрытый
• Какие компании могут отправлять мне сообщения по номеру телефона -> Никакие

Настройки приложений

• Отключаем все

3.2 Настройки безопасности Facebook

Нажимаем на стрелочку в верхнем, правом углу, настройки и конфиденциальность, настройки:

1. Безопасность и вход

• Укажите друзей, с которыми сможете связаться, если не будет доступа к аккаунту - если таковые числятся, то убираем
• Откуда вы вошли - здесь можно посмотреть активные сессии. Если там присутствует незнакомое вам устройство или место, выходим из него
• Использовать двухфакторную аутентификацию - ✔️
• Авторизованные входы - оставляем только наши устройства
• Получать уведомления о подозрительных входах - везде ставим на получение
• Выберите от 3 до 5 друзей, которые помогут вам в случае проблем с входом - если имеются - убираем
• Зашифрованные электронные письма с уведомлениями - по желанию можно давить этот дополнительные уровень защиты. Суть состоит в том, что расшифровать уведомления от Facebook сможете только вы, использовав ключ. Инструкция лежит на самом сайте.
• Восстановить внешние аккаунты - если имеются - убираем

2. Ваша информация на Facebook

• Здесь вы сможете отследить действия от имени своего аккаунта, если подозреваете, что его взламывали

3. Конфиденциальность

• Быстрые настройки - Проверьте некоторые важные настройки - Кто может видить ваши публикации - Информация профиля - все ставим на Только я - Публикации и истории - все ставим на Друзья и ограничиваем доступ к старым публикациям - Блокировка - добавляем нелициприятных людей - Как люди могут находить вас на Facebook - Запросы на добавление в друзья - Друзья друзей - Номер телефона и электронный адрес - Только я - Поисковые системы - ❌ - Ваши настройки данных на Facebook - Приложения и сайты - если имеются, удаляем

Следующие настройки будут дублировать предыдущие, но лучше убедиться что все на своих местах

• Ваши действия
• Кто сможет видеть ваши будущие публикации ? -> Друзья
• Как можно вас найти и связаться с вами
• Кто может отправлять вам запросы на добавление в друзья ? -> Друзья друзей
• Кто может посмотреть список ваших друзей ? -> Только я
• Кто может найти вас с помощью указанного вами адреса электронной почты ? -> Только я
• Кто может найти вас с помощью указанного вами номера телефона ? -> Только я
• Разрешить поисковым системам за пределами Facebook показывать ваш профиль в результатах поиска? - ❌

4. Хроника и метки

• Кто может размещать публикации в вашей хронике ? -> Только я
• Кто может видеть, что публикуют другие в вашей хронике ? -> Только я
• Разрешить другим людям делиться вашими публикациями в их историях ? - ❌
• Кто может видеть публикации, в которых вы отмечены, в вашей хронике ? -> Только я
• Кто может видеть публикации, в которых вы отмечены ? -> Только я
• Проверять метки, которые люди добавляют в ваши публикации, перед их размещением на Facebook? - ✔️

5. Истории

• Разрешить другим людям делиться вашими общедоступными историями в своих историях ? - ❌
• Разрешить людям делиться вашими историями, в которых они упомянуты ? - ❌

6. Геоданные

• Журнал геоданных - ❌
• Распознавание лиц - ❌

7. Общедоступные публикации

• Кто может на меня подписываться -> Друзья
• Комментарии к общедоступным публикациям -> Друзья
• Общедоступная информация профиля -> Друзья
• Имя пользователя Facebook -> лучше сменить на что-то неприметное
• Приложения и сайты -> удаляем все. Не должно остаться следов
• Моментальные игры -> тоже удаляем

3.3. Настройки безопасности Instagram и безопасное использование

Безопасное использование:

• Не стоит фотографировать места рядом с вашим домом. Не стоит фотографировать даже звёздное небо над домом: бывали случаи, когда сталкер находил жертву по положению звёзд на фотографии.
• Тем более не стоит подписывать геопозицию под фото.
• Не ведитесь на fishing (см. главу Fishing)
• Отпишитесь от сталкера и удалите его из подписчиков

Мы рекомендуем зайти в "Настройки" и выставить такие настройки безопасности:

1. Конфиденциальность

• Закрытый аккаунт - ✔️ (желательно)

Комментарии

• Разрешить комментарии от -> Люди, на которых вы подписаны или Никто

Метки

• Кто может отмечать вас - Люди, на которых вы подписаны или Никто
• Одобрять метки вручную - ✔️
• Упоминания -> Люди, на которых вы подписаны

История

• Разрешить репосты в историях - ❌
• Разрешить делиться - ❌

Сетевой статус

• Показывать сетевой статус - ❌

2. Безопасность

• Пароль - Придумайте хороший пароль (см. главу "Как защитить свои аккаунты от взломов")

Сохраненные данные для входа

• Сохранить данные входа - ❌
• Двухфакторная аутентификация
• SMS - ✔️ (или другой способ)

3.4 Настройки безопасности Telegram

В Telegram есть обширные настройки приватности, которыми надо пользоваться. Зайдите в раздел Настройки → Конфиденциальность. Мы рекомендуем выставить такие настройки:

1. Номер телефона:

• Кто видит мой номер телефона ? - Никто
• Кто может найти меня по номеру ? - Мои контакты

При таких настройках ваш номер будет виден только пользователям, которых вы добавили в контакты Telegram

2. Последняя активность

• Кто видит время моего последнего входа и статус в сети ? - Мои контакты/Никто

4. Фотографии профиля

• Кто видит мою фотографию ? - Мои контакты (важно чтобы вас было сложнее идентифицировать)

5. Пересылка сообщений

• Кто может ссылаться на мой аккаунт при пересылке сообщений ? - Мои контакты

6. Звонки

• Кто может мне звонить ? - Мои контакты
• Использовать peer-to-peer для звонков - Все

7. Группы

• Кто может приглашать меня в группы ? - Мои контакты

8. Код-пароль

• Ставим код пароль
• Выключаем разблокировку отпечатком пальца
• Автоблокировку желательно отключить
• Снимки экрана по ситуации

9. Двойная аутентификация

• Обязательно. Это очень важно

10. Активные сеансы

• Если вы подозреваете что вас взломали или могут взломать, воспользуйтесь этим разделом. Здесь отображаются текущие сессии телеграма. На скольких бы устройствах он не был открыт или установлен, все будут отображены здесь. Если вы увидите подозрительную активность, вы всегда сможете завершить сессию удаленно.

Контакт абьюзера и людей, которые могут подвергнуться его влиянию, должны быть УДАЛЕНЫ из контактов Telegram.

3.5 Настройки безопасности WhatsApp

Мы не рекомендуем использовать этот мессенджер. Однако, если вам всё-таки нужно использовать его, мы рекомендуем выставить такие настройки:

1. Аккаунт

• Конфиденциальность
• Был(-а) - Никто
• Фото профиля - Никто
• Сведения - Никто
• Отчеты о прочтении - ❌
• Кто может приглашать меня в группы - Контакты
• Геоданные - ❌
• Блокировка отпечатком пальца (если включена) - ❌
• Безопасность
• Показывать уведомления безопасности - ✔️
• Двухшаговая проверка - ✔️

2. Данные и хранилище

• Отключаем всю автозагрузку медиа (снимаем везде галочки)

3.6 Настройки безопасности Viber

КРАЙНЕ не рекомендуется к использованию. При любой возможности перейдите на мессенджеры, описанные выше. Итак, перейдем к настройкам:

1. Конфиденциальность

• В сети - ❌
• Просмотрено - ❌
• Отображать фото - ❌
• Использовать peer-to-peer - ✔️
• Разрешить рекомендации - ❌
• Настройки добавления в группы - Мои контакты
• Личные данные
• Персонализация контента - ❌
• Использовать геолокацию - ❌
• Реклама на основе ссылок - ❌

2. Вызовы и сообщения

• Вызовы viber-In - ❌

3. Данные и мультимедиа

• Сохранять в галереи - ❌
• Автозагрузка в сети GSM - ❌
• Автозагрузка по WIFI - ❌
• Проигрывать видео автоматически - ❌

4. Общие

• Синхронизировать контакты - ❌

3.7 Настройки безопасности Facebook Messenger

Нажмите на свою аватарку в левом верхнем углу и выставите такие настройки:

1. Конфиденциальность

• Секретные переписки - ✔️
• История - Только друзья
• SMS - ❌
• Контакты из телефона
• Загрузка контактов - ❌
• Чат-фото - ❌

4. Банковская карта и безопасность

Как пользоваться картой безопасно?

• Никому не передавайте карту
• Никому не сообщайте CVV/CVC код на обратной стороне карты, ПИН-код карты, а также коды из СМС, которые приходят их банка (кроме случаев, когда осознанно совершаете оплату на сайте)
• Оплату совершайте только на доверенных сайтах (см. глава "Fishing")
• Установите удобный вам суточный лимит на online переводы и платежи. Чем меньше лимит - тем меньше денег смогут увести мошенники в случае взлома
• Предпочтительнее использовать банкомат, который стоит на территории банка, в аэропорте или другом охраняемом месте.
• Перед использованием банкомата осмотрите его, нет ли модификаций в виде: второй "накладной" клавиатуры, микрокамеры у отверстия ввода карты и пр.
• В Сбербанк Онлайн рекомендуем выставить такие настройки безопасности:
• Подтверждение входа в веб-версию Сбербанк Онлайн - При каждом входе в веб-версию
• Вход по Fingerprint - ❌
• Инкогнито - ✔️
• Скрыть содержание экрана - ✔️
• Скрыть ленту уведомлений до входа в приложение - ✔️
• Не ведитесь на Fishing (см. глава "Fishing")
• Не привязывайте карту к приложениям, лучше каждый раз вводите данные заново
• Поставьте пароль на телефон и на приложение, которое пользуется банком. Эти пароли должны быть разными.

Как отвязать карту от всех приложений?

Позвоните в банк и скажите, что потеряли карту. Скорее всего, вам восстановят её бесплатно; старая карта станет недействительной. Старую карту сжечь. Либо: порезать на мелкие кусочки, выбросить в разные мусорные баки.

Если есть подозрение, что "сталкер" знает какие-то данные вашей карты - обновите карту как описано выше.

5. Безопасность в браузерах

Мы рекомендуем установить в браузер такие расширения (если они доступны в вашем браузере):

• Canvas Defender- помогает "менять" ваш цифровой след и усложняет работу сталкера
• No script - запрещает выполнение "подозрительных" скриптов в браузере
• AdGuard - блокирует баннеры, в т.ч. фишинговые всплывающие окна
• HTTPS Everywhere - автоматически открывает HTTPS версию сайта вместо HTTP

Браузеры с высоким уровнем безопасности (рекомендуем пользоваться одним из них):

• Brave
• Opera
• Tor Browser (высокий уровень анонимности, но есть неудобства при использовании)
• Waterfox

Правила безопасного использования браузера:

• Не устанавливайте незнакомые\сторонние расширения
• Не сохраняйте в браузере пароли, если браузер не защищает их своим паролем (такой браузер предлагает вам ввести "пароль от связки ключей" при автозаполнении паролей на сайтах)
• Обновляйте свой браузер. Современные браузеры сами предлагают установить обновления безопасности, либо устанавливают их автоматически

6. VPN

Зачем нужен VPN?

Причин может быть множество, основных две:

1. Скрыть свой реальный адрес в интернете (да-да, вычислить по IP можно)
2. Зашифровать свой трафик

• Без ВПН:

• С ВПН:

Первое может быть нужным если мы заходим на сайты или сервера злоумышленника. Второе нужно если мы сидим в публичной сети или WiFi. Однако, в целом, использовать VPN считается хорошим тоном, если вам нужно сохранить инкогнито в интернете. Не всегда сайты зашифрованы, не всегда от надежных источников; в конце концов, мы просто можем забыть включить VPN! Поэтому хорошим правилом будет постоянно держать его включенным.

Как выбрать VPN? Условно можно выделить четыре типа VPN:

Быстрые и платные

1. ZenMate - удобные клиенты для всех платформ. Максимум пять клиентов одновременно. Постоянно "временные" скидки, так что вполне можно купить за 3$ в месяц, это примерно 2700 рублей в год, что мало за быстрый и удобный VPN. Обещают безопасность и полную анонимность.
2. NordVPN - неплохой, проверенный и очень популярный VPN.
3. PrivateVPN - дешевый и быстрый.

Быстрые и бесплатные

1. TunnelBear - в бесплатной версии 500Mb трафика в месяц, чего не хватает на регулярный серфинг, но достаточно для доступа через публичный WiFi или доступа к небезопасным сайтам.

Бесплатные, надежные и медленные

1. Самый известный такой VPN - это Tor. Он надежный, бесплатный, безлимитный, но медленный. Иногда очень медленный. Его используют преступники для покупки запрещенного товара и доступа к теневому интернету, так что его надежности вам хватит. Из-за большой популярности этого VPN среди роботов, скорее всего, вам придётся на разных сайтах много раз "доказывать, что вы не робот". Самый простой способ использовать этот VPN - установить Tor Browser.

Собственный сервер

1. Самый легкий способ поднять свой VPN это Outline - проект дочерней компании Google. Простая инструкция есть на habr

VPN Крепости

Проект "Крепость" планирует запустить свой VPN для участников и участниц проекта. Для использования обратитесь к администратору.

Итог

Использование VPN на постоянной основе очень помогает сохранить анонимность в сети, однако бесплатные решения не обеспечивают такой скорости и безопасности. Имеет смысл потратить немного денег на приглянувшийся VPN

7. Слежка через веб-камеру

Простейший способ избежать слежки через вебкамеру и микрофон компьютера - отключить устройства физически. Альтернативно можно заклеить камеру изолентой или отключить устройства в операционной системе. Отключить устройства в Windows:

• Панель управления (можно открыть с помощью сочетания клавиш win+R, в открывшемся окне набрать control и нажать Enter, либо с помощью поиска меню Пуск в Windows 10)
• Оборудование и звук (в режиме просмотра "Категория", в других сразу возможен переход в диспетчер устройств)
• Диспетчер устройств
• В открывшемся окне нужно найти пункты "Камеры", "Устройства обработки изображений", "Звуковые, игровые и видеоустройства", найти среди них свою вебкамеру и микрофон (обычно отмечены понятными значками), нажать на них правой кнопкой мыши и выбрать пункт "Отключить устройство"

Как обнаружить слежку

Можно проверить, используются ли в данный момент ваши веб камера и микрофон. Проверять стоит после закрытия всех программ, которые могут использовать камеру с вашего разрешения (Skype, Discord и т.д.) Для этого вам понадобится приложение для отслеживания процессов, скачать его можно здесь: https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

• Перейти в диспетчер задач, найти камеру и микрофон.
• С помощью правой кнопки мыши перейти в Свойства.
• В закладке Сведения в выпадающем меню выбрать "Имя объекта физического устройства" и скопировать его.

После получения адреса устройства, нужно запустить файл procexp64 от имени администратора, который и позволит обнаружить программы, использующие ваши устройства.

• С помощью кнопки Find на панели инструментов выбрать пункт "Find Handle or DLL"
• В открывшемся окне вставить полученный адрес устройства и нажать кнопку Find

В нижней части окна будут указаны процессы, использующие камеру в данный момент. Если вы не открывали программы, которые могут использовать камеру, но программа что-то нашла - нажмите на найденный процесс и используйте кнопку Process - kill process tree, после чего обязательно проверьте компьютер на вирусы

8. Антивирусы

Если вы используете Windows, мы рекомендуем установить один из бесплатных антивирусов:

• https://www.kaspersky.ru/free-antivirus
• https://free.drweb.ru/
• https://www.avast.ru/free-antivirus-download#pc

9. Процедура обновления

Если вы разорвали опасные отношения и боитесь преследования, мы рекомендуем вам максимально "обновиться" в информационном пространстве. А именно:

• Обратиться в салон сотовой связи, купить новый телефонный номер, старый уничтожить
• В настройках телефона найти "сбросить до заводских настроек". Сбросить до заводских настроек. Все данные, приложения и пр. будут удалены с телефона
• Уничтожить банковские карты: сжечь или разрезать на кусочки, выбросить по разным мусорным бакам. Прийти в банк с паспортом и сообщить об утере карты: скорее всего вам сделают новую бесплатно
• Переустановить операционную систему на компьютере, с удалением всех предыдущих программ.
• Рекомендуется сменить браузер, чтобы немного поменять ваш fingerprint. Т.е. если раньше использовали FireFox, То теперь Opera или Chrome, или другой.
• Рекомендуется сменить Интернет-провайдера, чтобы получить новый IP адрес. Если ранее использовали конкретный адрес VPN, сменить VPN
• Удалить все аккаунты в соц. сетях. Зарегистрировать новую почту, все новые аккаунты привязывать к новой почте и новому телефону
• После обряда "обновления" стараться соблюдать рекомендации этого руководства, чтобы не скомпрометировать новые телефоны\банковские карты\аккаунты и т.д.

Если вы столкнулись в проблемами кибер-сталкинга, травли и преследования на почве домашнего насилия и самоидентичности, обращайтесь в "Крепость" за помощью.