Один звонок. Три минуты. И человек теряет всё.
Именно столько времени потребовалось мошенникам, чтобы в прошлом году опустошить счёт жителя Екатеринбурга. Никакого взлома банка. Никакой хитрой технологии. Просто один файл на смартфоне с названием «пароли.txt».
Этот файл нашли за восемь секунд.
Знаете, что самое страшное? Такой файл прямо сейчас лежит у каждого третьего человека, читающего эту статью. Он называется по-разному: «важное», «данные», «для себя», «логины». Но суть одна.
Вы сами открыли дверь в свою жизнь.
Почему это работает против вас
Мозг человека устроен рационально. Когда нужно запомнить десятки паролей, он ищет самое простое решение. Записать. Куда? Туда, где всегда под рукой.
Это не глупость. Это нормальная реакция на ненормальную задачу. Проблема в том, что мошенники изучили эту реакцию лучше, чем большинство людей изучили собственные привычки.
Существует целая индустрия поиска паролей на устройствах. Специальные программы за секунды сканируют телефон в поисках файлов с характерными словами. Они ищут «пароль», «password», «код», «pin», «логин». Ищут в заметках, в галерее, в мессенджерах, в почте. Ищут везде, где обычный человек думает, что прячет.
Разберём каждое место по порядку.
Заметки на телефоне — самое опасное место
Приложение «Заметки» на Android и iPhone создано для удобства. Именно поэтому оно первым попадает под удар.
Стандартные заметки на большинстве Android-смартфонов не шифруются. Совсем. Если телефон попадёт в чужие руки хотя бы на несколько минут, данные из заметок можно скопировать специальным кабелем за две-три минуты. Пин-код экрана при этом не нужен.
На iPhone ситуация чуть лучше: заметки синхронизируются через iCloud и защищены паролем Apple ID. Но именно Apple ID чаще всего и воруют. Получив его, злоумышленник видит все заметки на всех ваших устройствах сразу.
Многие думают: «Я напишу пароли без названий, просто цифры». Не поможет. Программы распознают паттерны. Строчка «79161234567 / Qwerty2023» выглядит для алгоритма абсолютно очевидно, даже без заголовка.
Фотографии паролей — ловушка для осторожных
Казалось бы, умный ход: сфотографировать листок с паролями, листок выбросить. Фото в галерее — не файл, не текст, его сложнее найти.
Именно так думают многие. Именно на это и рассчитывают мошенники.
Современные смартфоны автоматически обрабатывают фотографии с текстом. Функция распознавания текста на фото встроена в iOS начиная с 15-й версии, в Android с версии 9. Это значит: ваша галерея буквально читает текст на всех снимках и делает его доступным для поиска.
Попробуйте прямо сейчас. Откройте галерею, нажмите поиск и напишите слово «код» или «пароль». Система найдёт все фотографии, где эти слова встречались.
А теперь представьте, что это сделал не ваш поиск, а чужая программа.
Кроме того, большинство людей включили автосинхронизацию галереи с облаком. Google Фото, iCloud, «Яндекс Диск». Ваши фотографии паролей давно хранятся на серверах и доступны через браузер с любого устройства в мире.
Таблицы Excel и документы Word — иллюзия порядка
Аккуратная таблица с колонками «сайт», «логин», «пароль» выглядит как признак организованности. На деле это самый удобный для мошенника формат.
Такой файл содержит структурированные данные. Злоумышленнику не нужно ничего расшифровывать или угадывать. Открыл, скопировал, закрыл.
Особенно опасно хранить такие файлы в облачных папках: на «Яндекс Диске», Google Drive, в папке OneDrive. Если вы хоть раз переходили по фишинговой ссылке и вводили логин от облака, доступ к вашей таблице паролей открыт. Прямо сейчас. Без вашего ведома.
Люди иногда ставят на такой файл пароль архиватора. Это чуть лучше, но большинство использует для этого простые комбинации. Или, что ещё хуже, записывают пароль от архива в той же папке.
Больше о безопасности в сети мы рассказываем в нашем Мах-канале Pochinka. Присоединяйтесь!
Мессенджеры и электронная почта
«Я отправлю себе в ТГ, в избранное». Этот способ популярнее, чем кажется.
Мессенджеры — цель номер один для взломщиков именно потому, что там хранят всё. Если взломан аккаунт TГ или WA, злоумышленник получает не просто переписку. Он получает все файлы, все сообщения «самому себе», все пересланные данные за годы.
Номер один в статистике угонов аккаунтов в России сегодня — именно Telegram. Схема простая: вам приходит сообщение якобы от службы безопасности, вы вводите код подтверждения, и через несколько секунд в «Избранном» уже роется чужой человек.
С электронной почтой ещё хуже. Большинство людей не меняли пароль от почты годами. Почта привязана ко всем аккаунтам. Через неё можно сбросить любой пароль. Если письма с паролями хранятся прямо в ящике — вы построили из них лестницу для вора.
И здесь есть ещё один важный момент: пароли редко воруют отдельно. Обычно всё начинается со звонка, сообщения или ссылки, где человека заставляют сделать первое действие самому. Перейти, ввести код, открыть файл, перезвонить. Я подробно разбирал похожую телефонную ловушку в статье «Не перезванивайте на такие номера: мошенники списывают деньги через один гудок». Там схема другая, но принцип тот же: мошеннику не нужно ломать защиту, если можно заставить человека открыть дверь своими руками.
Браузер без мастер-пароля
Это отдельная история, о которой почти не говорят.
Встроенные менеджеры паролей в Chrome, Firefox, «Яндекс Браузере» удобны. Нажал «сохранить», и всё запомнилось. Но в большинстве случаев эти пароли хранятся без шифрования прямо в системных папках компьютера.
Если кто-то получил доступ к вашему компьютеру, скопировать все сохранённые пароли из Chrome занимает буквально одну минуту. Для этого существуют бесплатные утилиты, их не нужно искать в тёмном интернете.
Пароли из браузера регулярно утекают целыми базами через вирусы типа «инфостилер». Такой вирус проникает в систему, собирает все сохранённые данные и отправляет их на сервер злоумышленника. Ничего не тормозит, ничего не мигает. Вы узнаете об этом, когда с карты пропадут деньги.
Что делать вместо всего перечисленного
Хорошая новость: защититься проще, чем кажется. И не нужно помнить сто разных паролей наизусть.
Специализированные менеджеры паролей созданы именно для этого. KeePass, Bitwarden, 1Password хранят все данные в зашифрованном виде. Даже если файл попадёт в чужие руки, без вашего мастер-пароля он бесполезен. Bitwarden бесплатен и работает на Android, Windows и iPhone.
Принцип простой: вы запоминаете один сложный мастер-пароль. Остальные генерирует и хранит программа. Вам не нужно их знать.
Двухфакторная аутентификация закрывает большинство дыр даже в случае утечки пароля. Включите её везде, где важны деньги: в банке, в госуслугах, в почте, в мессенджерах.
Физический блокнот в вашем доме, в ящике стола, лучше многих цифровых способов, если речь идёт о самых важных паролях. Его не взломают через интернет. Главное — не называть его «пароли» и не держать рядом с компьютером.
Проверьте прямо сейчас
Откройте заметки на телефоне. Напишите в поиске слова «пароль», «код», «логин», «PIN».
Если что-то нашлось — удалите это сегодня. Не завтра.
Откройте галерею. Поищите там же.
Проверьте, нет ли у вас файла с паролями в облачном хранилище.
Это займёт десять минут. Именно столько времени нужно, чтобы закрыть дверь, которую вы, возможно, держали открытой годами.
Мошенники не взламывают замки. Они заходят в незапертые двери. Не давайте им такой возможности.
Если статья оказалась полезной — сохраните её. И перешлите тому, кто точно хранит пароли в заметках.