Не надо разбрасываться своими персональными данными
Как защитить данные в облаках?
В последнее время тема кибербезопасности становится все более актуальной, так как все больше пользователей Интернета доверяют свои личные данные облачным сервисам, к которым относятся и почтовые службы, и социальные сети. Данные этих сервисов могут храниться по всему миру, так как компании используют географически разнесенное резервирование, и это повышает риск утечек. К сожалению, защититься от утечек на 100% невозможно, однако их вероятность можно снизить.
Очень часто пользователи социальных сетей выкладывают на всеобщее обозрение всю свою жизнь: где, как и с кем живут, свой ежедневный распорядок, где, когда и как отдыхают. Очень часто люди даже не подозревают, к чему может привести подобный «информационный нудизм». Чтобы проиллюстрировать, насколько много данных есть в соцсетях в общем доступе, напомню о печальном событии, которое произошло в 2011 году. У сооснователя и руководителя «Лаборатории Касперского» Евгения Касперского похитили сына, и в своем блоге Евгений Валентинович написал, что преступники использовали открытые данные из социальных сетей: по его словам, профиль Вани «ВКонтакте» содержал более чем достаточно подробностей, чтобы понять распорядок его жизни, предпочтения и работу и спланировать преступление.
Мне могут возразить, что это частный случай. К сожалению, это не так. Социальные сети просматривают в поиске персональных данных во всем мире. Есть компании, которые строят бизнес на этих данных. При этом есть методики, которые позволяют определить, реальный ли человек скрывается за учетной записью (или только компьютер) и является ли он тем, за кого себя выдает.
Хорошо, предположим, что человек не хранит у себя в почтовом ящике сканы документов и на его страничке нет компрометирующих фотографий. Зачем еще может понадобиться взламывать аккаунт в соцсети или ящик электронной почты? К примеру, там можно найти сообщения с информацией о регистрации в разных системах. Эти письма, помимо имени пользователя, содержат пароль и ссылку для его восстановления. Мало того, многие даже не меняют первоначальный пароль – в этом случае злоумышленникам легко будет ознакомиться со списком ваших интересов, заказов, поездок и т. д. И до поры до времени вас никто не будет беспокоить, пока злоумышленники не решат, что создалась идеальная ситуация для шантажа или других противоправных действий.
Как вести себя в Сети?
Каждому пользователю надо помнить, что информация, попавшая в Интернет, остается там НАВСЕГДА. Как и когда ею воспользуются злоумышленники, а также потенциальные или текущие работодатели — неизвестно.
Выясните, какой уровень конфиденциальности обеспечивает соцсеть. Обычно об этом сказано в политике конфиденциальности. Из нее вы узнаете, какую информацию и как о вас собирает социальная сеть, кто имеет доступ к вашей информации, кому она может передаваться и как долго она хранится. Не поленитесь прочесть, какие параметры конфиденциальности предусмотрены в конкретной социальной сети, какие инструменты можно использовать, чтобы ее усилить. Это нужно, чтобы личные данные не попали в публичный доступ. Если этого не сделать, то о последствиях можно прочесть в предыдущем абзаце.
Кроме того, обращайте внимание на дополнительные программы, которые есть в социальных сетях. Особую опасность представляют те, которые предлагается установить на смартфон или планшет – это наименее защищенные устройства. Случалось, что бесплатные или даже платные программы из официальных магазинов Google Play или App Store заражали устройства. Так, в июне 2017 года произошло массовое заражение Android-смартфонов вирусом из Google Play. Хакеры избрали простую тактику: сначала загрузили в виртуальный магазин Google приложение, в котором не было никакого зловредного кода, а когда роботы проверили чистоту продукта, установили обновления, содержащие вирусы. Пока подвох был обнаружен, программа успела заразить более 50 тыс. устройств. Чтобы не попасть в такую ситуацию, установите на свое устройство антивирусное программное обеспечение от официальных и проверенных компаний: это поможет свести риски заражения к минимуму.
При установке обращайте внимание, к чему запрашивает доступ программа. Если вы считаете, что она просит доступ к слишком большому перечню данных, посмотрите, есть ли возможность ограничить (отредактировать) у программы права доступа. Если такой возможности нет, то, может, ее лучше не устанавливать?
Когда вы устанавливаете приложение на телефон или планшет, обращайте внимание, ЧТО именно вы устанавливаете. К сожалению, даже в таких магазинах, как Google Play и App Store, нередко появляются поддельные приложения. Например, недавно в Google Play размещалось приложение, которое выглядело как настоящий WhatsApp, только называлось Update WhatsApp Messenger. Этот поддельный мессенджер скачали более миллиона раз, сейчас он уже удален из магазина. Распознать подобные приложения непросто, но можно: внимательно смотрите на имя разработчика, опубликованные им ранее программы, комментарии пользователей и рейтинг приложения. Например, поддельный WhatsApp был скачан миллион раз, а настоящий мессенджер — более миллиарда. Отзывов на подделку было около 7 тыс., а на оригинальный продукт — более 60 млн.
Аккуратнее публикуйте информацию. В некоторых социальных сетях вашим контактам (друзьям) разрешено копировать и заново публиковать ваши записи. И может получиться, что совсем чужие люди увидят ваши приватные заметки.
Что однозначно не стоит хранить и публиковать в Сети:
1) Полную дату вашего рождения. Ответ на этот вопрос очень часто запрашивают в контактных центрах банков – зачем помогать мошенникам с информацией?
2) Копии своих документов. Вам же не нужен кредит, открытый мошенниками, или компания, открытая ими же по копии ваших документов?
3) Фото ваших банковских карт. К сожалению, некоторые интернет-магазины (и не только) принимают оплату картами, в которых указаны только фамилия владельца, номер карты и срок окончания ее действия. В России, где почти все карты содержат чип, картой с этими данными вряд ли воспользуются, а вот в остальном мире, где еще распространены карты только с магнитной полосой, — очень даже возможно. Так, мошенники часто используют чужие платежные карты.
4) Фотографии проездных билетов, особенно до отлета или отъезда. Это особенно касается авиабилетов, так как для их отмены на сайте можно указать только вашу фамилию и номер брони, который также указан на билете. А еще так преступники смогут узнать, когда вас не будет дома!
5) Не надо хвастаться фотографиями своих дорогих покупок.
6) Не надо в режиме онлайн сообщать, где вы находитесь (помните о пункте 4).
7) И самое важное: не стоит публиковать информацию о своих детях, их фото и их привычки.
Кроме того, подумайте, прежде чем выкладывать фото и посты, касающиеся вашей работы: не дискредитирует ли это вас и вашего работодателя, не размещаете ли вы непубличную информацию? В последнее время после таких публикаций у нас и за рубежом люди оставались без работы, а иногда и начиналось уголовное преследование.
И наконец, помните о том, как удалять информацию в социальных сетях. Различайте удаление своей учетной записи и ее деактивацию. Деактивация или удаление записи совсем не означает, что информация о вас исчезнет навсегда: она может еще долго появляться в поисковой выдаче. И помните, что ваша информация может сохраниться в базе данных соцсети, а еще дольше — в ее резервных копиях. Даже не знаю, что посоветовать в этом случае, так как большинство соцсетей и других популярных веб-сервисов приложат максимум усилий, чтобы не дать вам удалить всю информацию о себе. К примеру, ссылку на удаление профиля в Facebook почти невозможно найти.
Будет полезно, если вы предупредите детей, чтобы они были внимательны, публикуя приватную информацию в социальных сетях: это может сказаться немедленно или позже, а также ударить по родителям. Детям надо объяснить, что есть реальная жизнь, а есть виртуальная, и часто они пересекаются, когда ребенка начинают травить в Интернете, а развязка происходит в реальной жизни.
На ежегодном мероприятии «Дети в Сбербанке» для детей сотрудников банка мы проводим специальный курс о безопасном поведении в киберпространстве. Его цель — повысить уровень культуры кибербезопасности детей, научить их защищать свои персональные данные в сети и совершать безопасные покупки.
Работа с клиентами Сбербанка
Сбербанк уже несколько лет популяризирует среди клиентов культуру кибербезопасности, в том числе культуру безопасного поведения в Интернете. Мы рассказываем клиентам, что в Интернете необходимо быть внимательным и осторожным, соблюдать простые правила кибергигиены.
Насколько актуальны такие призывы, я ощутил на себе пару недель назад, когда вечером после работы решил проверить свой почтовый ящик на домашнем компьютере и очень обрадовался, увидев во входящих письмо от своего зарубежного приятеля. В письме он обращался ко мне по имени и делился ссылкой, и, поскольку я регулярно получаю от него письма, то уже собрался перейти по ней, но что-то меня отвлекло. Когда же я вернулся к компьютеру, то решил посмотреть, куда ведет ссылка. Адрес показался мне странным, и я не стал по нему переходить.
Вскоре выяснилось, в чем дело. Приятель написал письмо, в котором предупредил, что его почтовый ящик в Yahoo был взломан, и просил не открывать ссылку в приходящих от него письмах, так как переход по ней запустит загрузку вредоносного ПО: оно ищет на вашем устройстве личную информацию и отправляет ее злоумышленнику, который теперь следит за вашим устройством. Эта программа даже может зашифровать данные на компьютере или смартфоне и начать вымогать деньги! В моем случае письмо со ссылкой получили все контакты моего приятеля — а это несколько десятков человек. Не удивлюсь, если кто-то из них все-таки перешел по этой ссылке.
В новостях было сообщение: Yahoo вместе со сторонними экспертами установила, что хакеры получили доступ ко всем аккаунтам почты Yahoo на август 2013 года — а это три миллиарда почтовых ящиков! И заметьте, четыре года хакеры не пытались использовать полученные данные для крупной атаки — что-то выжидали, а может, незаметно для пользователей сканировали эти данные в поиске информации о платежных картах, паспортных данных и т. д.
К чему я это рассказал? Дело в том, что компьютерные преступники могут не заниматься подбором пароля конкретно для вашего почтового ящика, а взломать целиком почтовую систему и добраться до вашей информации на почтовом сервере с административными правами. Поэтому хранить в почтовом ящике копии документов не следует: преступники могут использовать их, чтобы открыть кредит, переоформить на себя ваш номер телефона и пользоваться мобильным банком — в крайнем случае даже украсть вашу личность, чтобы действовать от вашего имени.
Статистики по краже личности в России у меня нет, а вот в США этот вид преступлений в 2016 году составлял 7,1% общего количества утечек данных. Связано это с тем, что в Америке для удостоверения личности широко используется так называемый номер социального страхования — Social Security Number, SSN (это и внутренний паспорт, и водительские права).
Обмен информацией — это сильнейшее оружие против киберпреступлений. Поэтому, если вы хорошо ориентируетесь в кибермире, присоединяйтесь к нам и делитесь своими знаниями с теми, кто испытывает трудности. Предупрежден — значит вооружен!
Рис. Демонстрация VR-игры «Кибермиссия» на ежегодном мероприятии «Дети в Сбербанке»
Игорь СМИРНОВ,
бизнес-партнер по информационной безопасности
Центра внутрикорпоративного взаимодействия Сбербанка
Опубликовано 15.12.2017