Мы живем в цифровую эпоху, когда практически все наши данные находятся в удаленном доступе. И знаете, есть такое негласное правило — «любое устройство, которое подключено к интернету, считается потенциально уязвимым». То есть в теории наши данные могут «утечь» куда угодно. Притом мы оставляем большое количество данных — переписка, личные фотографии, платежные реквизиты и многое другое. Воспользоваться ими могут злоумышленники, хакеры для разных целей. В статье мы детально разберемся, как и куда утекают наши данные.
Наверняка вы слышали хоть раз в новостях — «База данных клиентов логистической компании попала в открытый доступ». И вот раньше в подавляющем большинстве таких случаях был виноват человеческий фактор — какой-то сотрудник компании попросту скопировал данные на флешку, данные с которой оказались скомпрометированы на зараженном вирусом устройстве. Или же сотрудник попросту продал базу данных в теневом интернете за деньги. Сейчас такие случаи очень редки — вышел ряд законов, по которым крупные компании штрафуют на большие суммы за утечку данных. И после этого компании стали подходить лучше к хранению данных — используют современный софт и методы защиты информации.
Это был первый пример, как утекают наши данные. Второй — уже технические моменты. Бывает, что даже в самом совершенном программном обеспечении уязвимости. Как правило, серьезное программное обеспечение надежно защищено, но все-таки потенциально уязвимо. Если данные на удаленных серверах зашифрованы, защищены и обслуживаются профессионалами, то, например, клиентское программное обеспечение сотрудника фирмы может быть скомпрометировано.
В моей практике был случай, когда я обслуживал один интернет-магазин. База данных клиентов находилась на удаленном сервере и была в принципе надежно защищена. И тут произошла утечка данных всей базы — ее вообще случайно обнаружили в продаже. Начали разбираться, а как такое вообще возможно? Провели расследование, и выяснилось, что доступ к базе данных был с помощью программы, которую написал какой-то фрилансер. Фирма просто решила сэкономить и заказала софт у человека, который работает в одиночку. Софт он создал, только вот не уделил внимание безопасности.
Просто написал оболочку, которая работала по API с базой данных. И что вы думаете? На компьютере обнаружился вирус, который нашел доступ именно к этому API удаленного сервера и просто «слил» все данные. По идее, если грамотно проектировать подобное приложение, то оно не должно давать доступ обычному менеджеру сразу ко всей базе — только через поиск по данным клиента и со строгим ограничением, допустим, не более 50 запросов в день. Но не всегда работают эти правила безопасности, поэтому могут быть утечки.
Если пользоваться современным ПО для хранения данных от мировых разработчиков, то технические причины утечки данных сводятся к нулю. А вот различные «кастомные» программы часто ведут к тому, что ненадежно защищены. И в этом случае может случиться так называемый адресный взлом. Допустим, хакеру заказали получить доступ к какой-либо базе данных клиентов крупной организации. Злоумышленник будет искать различные способы получения доступа к компьютерам фирмы или к серверам. А там уж как пойдет — получится или нет, все зависит как от программного обеспечения, так и от человеческого фактора.
На практике был интересный случай, когда сотрудник взял с работы флешку, на которой хранились зашифрованные ключи доступа к данным компании. Да, это оплошность — такого вообще не может быть. Флешка с такими данными у ключевых сотрудников хранится в сейфе, и они несут за это ответственность. Но тут вышло как вышло — человек решил из дома поработать, а домашний компьютер был заражен. Ключи оказались в руках у злоумышленников, и они смогли получить доступ к базе данных.
На самом деле хакеры — прагматичные люди, они создают вирусное программное обеспечение, которое может заниматься самыми различными «темными делами». И вот эти все вирусы с помощью различных уязвимостей программного обеспечения. А потом, как рыбак, который вытащил невод из реки, начинает рассматривать добычу. А вдруг среди тех данных, что собрал вирус, попадется что-то интересное? А вдруг вирус как раз и «собрал» какие-нибудь ключи шифрования? А вдруг он смог получить доступ к компьютеру известного человека и его можно шантажировать таким образом?
Здесь сразу можно провести ремарку — обычному человеку, который живет неприметной жизнью, бояться, например, шантажа не стоит. А вот известной личности — да, таких примеров были сотни, когда злоумышленники получают пикантные фото и просят деньги за то, что не будут публиковать материалы в интернете. И часто получают свое «вознаграждение».
Вообще, вариантов утечки данных очень много. Возьмем, например, «фишинг», что с английского переводится как «рыбалка». Представим себе ситуацию, что вам приходит сообщение от какого-либо сервиса с просьбой срочно войти. Вы, не думая, переходите по ссылке, вводите свой логин и пароль. А как в нашем любимом фильме — «Царь-то ненастоящий!». Но не царь, а сайт. Внешне сайт, который вы открыли по ссылке, похож на ваш знакомый ресурс, но внутренне нет. После ввода логина и пароля эти данные тут же оказываются скомпрометированы, то есть уже сохранены. И теперь злоумышленники могут ими воспользоваться, зайдя в ваш аккаунт. А что там они будут делать? А все зависит уже от самого сайта и конечной цели — от банальной рассылки спама до шантажа и мошенничества.
Здесь работает простое лекарство: везде, где можно, подключайте двухфакторную авторизацию. После ввода логина и пароля нужно будет подтверждать доступ с помощью SMS-сообщения. Это защищает очень хорошо, если, конечно, вы сами не скажете код из сообщения незнакомому человеку. А чтобы получить доступ к SMS, это нужно иметь или дорогостоящее оборудование, или своего человека у провайдера. Впрочем, мировая практика показывает, что такие случаи, когда SMS-сообщение перехватывается, редки. За исключением одного случая.
Представим себе ситуацию, что в вашем смартфоне есть приложение-вирус, которому вы разрешили доступ к SMS-сообщениям. Оно читает все ваши SMS и может отправлять их куда угодно. И в этом случае даже двухэтапная авторизация вас не защитит. Сразу можно дать советы:
- Загружайте приложения на смартфон только из официальных магазинов приложений. Смотрите на отзывы — неизвестные приложения лучше не загружать;
- Анализируйте внимательно, какому объекту вы даете доступ к SMS-сообщениям. Понять, что делает приложение с SMS, вы все при всем желании не сможете.
А что еще может? Существуют даже утечки через публичный Wi-Fi. В теории злоумышленники могут получить доступ к публичному Wi-Fi, например, в кафе и сканировать различные данные. Например, у вас старенький смартфон, который уже давно не обновляется — в операционной системе имеется уязвимость. И что мы получаем? А мы ничего не получаем, это хакер получает доступ к нашим данным. Здесь совет: если у вас устаревшее устройство, то лучше избегать публичных Wi-Fi-точек.
Есть еще одна интересная фишка. Многие сайты предлагают вход, например, через Яндекс, Google, мессенджеры и прочих крупных сервисов. Представьте себе ситуацию, что злоумышленник получил доступ к этому «ключу» — он может войти на все ресурсы, которые вы посещаете. Поэтому, как было уже написано выше, везде включайте двухэтапную авторизацию по SMS или звонку.
Можно еще в рамках этого небольшого исследования рассказать про так называемую социальную инженерию. Многие сервисы до сих пор для восстановления пароля предлагают нам задать контрольные вопросы. Притом вопросы почему-то достаточно примитивные — в стиле «как зовут вашу собаку» или «девичья фамилия матери». Да, понятно, почему примитивные — чтобы пользователь сам не забыл ответ на вопрос в случае утери пароля.
Но эта фишка работала в те годы, когда интернетом пользовалось мало народу и не было социальных сетей, где люди выкладывают чутьли не каждый шаг своей жизни. И здесь вот как раз работает социальная инженерия. Девичью фамилию матери злоумышленник может разгадать, найдя ее в ваших друзьях, а кличку собаки вы, скорее всего, сами расскажете в посте «Как подрос мой Тедди». Здесь опять совет: двухфакторная авторизация и лучше, конечно, вообще не выкладывать никакие данные о себе. С их помощью можно в теории много чего заполучить.
Вообще, утечки бывают разными — если перечислять все варианты, то вы заскучаете, и будет очень долго. Основы мы разобрали. Стоит понимать, что не всегда вы сможете себя застраховать от утечек — если происходит взлом базы данных какого-либо сайта или сервиса, где есть ваши данные, то сделать вы ничего не сможете. Максимум — поменять пароли и заблокировать банковскую карту.
Но по итогу можно дать несколько советов:
- Всегда на любом аккаунте устанавливайте двухэтапную авторизацию через SMS-сообщение или мессенджер;
- Для оплаты товаров и услуг пользуйтесь виртуальной банковской картой. Виртуалку всегда можно быстро заблокировать, а при оплате на нее класть только ту сумму, которую нужно потратить;
- Если вы работаете с важными данными или у вас большие суммы на банковском счете, используйте для SMS и звонков-подтверждений кнопочный телефон без интернета;
- Не пишите лишнюю информацию о себе в социальных сетях;
- Не переходите по ссылкам от незнакомых отправителей. Да и от знакомых также нужно опасаться — а вдруг ваш друг или родственник взломан?
Ну как-то так. Есть у кого чем дополнить? Напишите в комментариях 👇
Чтобы не пропустить ничего важного, подписывайтесь на наш канал в мессенджере MAX