Следы взлома - это информация о действиях устройств и программ. На основании требований руководящих документов ФСТЭК контроль за подобными действиями возложен на подсистему регистрации и учёта.
Именно эта подсистема "знает" кто заходил в аккаунт, какие действия совершал и какие изменения внёс в профиль системы. Для уровня пользователей доступны различные журналы контроля и учёта действий.
Как использовать историю действий?
Пользователям рекомендуется в целях контроля безопасности аккаунта включить запись истории различных действий. Например, полезным может оказаться история входов в аккаунт, история действий устройств или приложений и другие учётные сведения.
Различные соцсети, блог-платформы, интернет-магазины сообщают пользователю о параметрах последнего входа в систему. То есть пользователю сообщается, время последнего входа пользователя, браузер/операционная система пользователя и IP-адрес.
Владельцу аккаунта (пользователю) может приходить СМС-уведомление о входе в систему на указанный номер или сообщение на электронную почту.
Используя эту контрольную информацию владелец аккаунта всегда будет информирован о чужом доступе к его аккаунту и сможет предпринять нейтрализующие защитные меры.
Взлом может происходить с целью совершения хулиганских действий, хищения денежных средств или совершения мошеннических действий под "маской" взломанного аккаунта.
При получении уведомления о входе посторонних в аккаунт, владельцу аккаунта нужно выполнить защитные действия, которые указаны в сообщении, предварительно убедившись, что сообщение действительно исходит от службы безопасности системы.
Обычно в сообщении указывается, что был произведён вход в систему и, если пользователь не входил в этот момент к себе в аккаунт, то нужно позвонить по телефону, отправить СМС или совершить другое действие.
Если пользователь получил уведомление о чужом входе в аккаунт, то нужно удостовериться, что сообщение прислано настоящей службой безопасности. Для этого нужно хорошо запомнить, как выглядит уведомление в том случае, когда пользователь заходит к себе в аккаунт в обычном режиме.
В случае совершения хулиганских действий злоумышленники могут оставить следы постороннего вмешательства в виде удаления данных пользователя, появления новых подписок на рассылки и другие проявления. В этом случае пользователю нужно:
- посмотреть информацию о дате предыдущего входа в систему и проверить совпадают ли эти сведения с его заходами;
- нужно сменить пароль входа в аккаунт;
- нужно сообщить о своих подозрениях в службу поддержки сервиса, соцсети, интернет-магазина или др;
- также нужно посмотреть список подключённых к аккаунту устройств и воспользоваться функцией "выйти на всех устройствах", хотя на многих платформах при смене пароля происходит автоматический выход на всех устройствах;
- в случае подтверждения службой поддержки факта получения посторонними доступа к данным аккаунта нужно обращаться с заявлением в полицию.
Что означает функция "выход на всех устройствах"?
Если пользователь, например, входил на рабочем компьютере в свою почту и забыл выйти из аккаунта, потому что по рабочим обязанностям нужно было срочно куда-нибудь отлучиться из офиса, а к компьютеру под учётной записью этого сотрудника могут иметь доступ другие лица, то можно зайти в аккаунт почты со своего планшета, смартфона или другого ПК и совершить "выход на всех устройствах" (иногда функция называется "завершить все сеансы").
В этом случае любое лицо открывшее рабочий компьютер с браузером чужой почты потеряет доступ к чужому аккаунту.
Вышеприведённый пример закрытия всех подключений сработает в том случае, если посторонний не успел сменить пароль на почтовом аккаунте, к которому получил столь лёгкий незаконный доступ.
ВЫВОД:
1) Не оставляйте открытыми личные аккаунты в местах доступа посторонних.
2) В настройках безопасности аккаунта на любых платформах подключайте уведомления о входе пользователя и историю учёта действий аккаунта.
3) Будьте внимательны и проверяйте подозрительные изменения в личном аккаунте, отслеживайте время и дату предыдущего входа в систему.
4) Подключите режим двухфакторной аутентификации в аккаунте (ввод одноразового кода доступа, полученного по СМС или почте), который повышает уровень безопасности, но не отменяет мер предосторожности, связанных с контролем уведомлений о действиях.
5) В случае получения сведений о доступе к вашим данным посторонних действуйте спокойно и в соответствии инструкциями специалистов.
29 мая 2020 года.
Автор: юрист Демешин Сергей Владимирович.
Участвуйте в обсуждении, пройдите опрос об интересных темах будущих публикаций (ссылка опроса в описании канала, также в описании указаны правила комментирования публикаций).