НОВОЕ

10 точек взлома вас и вашего компьютера

10 точек взлома вас и вашего компа

Сегодня я расскажу о наиболее распространенных кибератаках и точках взлома в современном мире. В этом списке не будет суперкрутых «хацкеров» с разными SQL/PHP инжекциями, все намного проще. Предлагаю внимательно ознакомиться с этим списком и подумать о своей безопасности уже сегодня.

Социальные сети

Публикация в социальных сетях индивидуальных подробностей: фото, видео, аудио, служебная, любая личная информация — все это провоцирует утечки данных, создает риски взломов и атак. Все это индексируется поисковыми системами, попадает в результаты поисковой выдачи (SERP), кэшируется (удалить данные потом не так легко) и оказывается в свободном доступе в интернете (Google Dorks). Что делать? Не публикуйте свои персональные и любые другие чувствительные данные в интернете без необходимости, особенно в соцсетях. Как обнаружить утечки данных я писал в статье: 10 поисковых систем, о которых вы не знали. Кроме того, нужно понимать, что интернет-соцсети сами регулярно сливают ваши данные, а иногда шпионят за вами. Поэтому, находится там не всегда безопасно.

Электронная почта

Обычная бесплатная электронная почта — идеальный способ для доставки и передачи различных вредоносных файлов, фишинговых писем и трекинговых ссылок. Например, бухгалтеры часто открывают файлы непонятного происхождения. А через несколько дней злоумышленник устанавливает цепочку заражения и появляются такие вирусы как NotPetya. Отсутствие банальной компьютерной грамотности способствует увеличению спама и фишинга, которые по данным аналитики, представляют наибольшую угрозу безопасности IT систем. Выход? Используйте корпоративную электронную почту на собственных MAIL-серверах (достаточно купить дешевый VPS и развернуть на нем почтовый клиент с поддержкой SpamAssasin). Если нет возможности — используйте такие проверенные почтовики как Proton, Yahoo или Gmail.

Интернет-мессенджеры

Разные вайберы, вотсапы, телеграммы и фейсбук мессенджеры также представляют угрозу вашей безопасности. Они идеально подходят для непосредственного контакта с жертвой в целях разведки, интернет-мошенничества, кардинга, и даже планирования APT-атак (Advanced Persistent Threat, целенаправленная кибер-атака). Часто меняете или выкладываете свои аватарки? «Чудесно», тем самым создаете материал для пробива (профайлинга) и подготовки досье на вас. Умелому OSINT’eру не составит труда вычислить вас и вашу геолокацию по фото, воспользовавшись технологией FaceID и добыв EXIF-данные. Что делать? Использовать защищенные интернет-каналы связи с алгоритмами шифрования, например Signal или Keybase. А вместо своих Ф.И.О. использовать никнеймы.

Мобильные звонки и SMS

Наверное, вам когда-нибудь приходили SMS-сообщения с предложениями купить что-нибудь по специальной только для вас цене, или наоборот бесплатно забрать «подарок»? Прозвоны по сотовым — еще один из наиболее популярных способов интернет-мошенничества 21 века. Якобы прикрываясь сотрудниками банков или бизнес-партнёрами, мошенники банально выманивают деньги с наивных людей или просто выведывают личные данные, ставя наводящие вопросы на которые вы совсем не должны отвечать. Бороться с таким невежеством помогут телефонные онлайн-справочники (telGuarder, ТелефоннийДовідник) и Call-ID определители номеров телефонов, например: GetContact, TrueCaller и NumBuster. Ну, а главной мерой предосторожности будет — не «светить» свой личный, финансовый номер телефона в интернете, использовать для этого отдельные или виртуальные SIM. Также, не отвечайте на неизвестные, непонятные телефонные звонки с private/unknown номеров. А если уж отвечаете — ставьте на запись все входящие.

Слабые пароли и авторизация

К сожалению, до сих пор актуальная тема. Когда логин совпадает с паролем (admin/admin) — это на 99% упрощает жизнь любому хакеру. Другой пример — пользователь создает пароль, составленный из своей личной информации, типа: oleg1964. Такой аккаунт с помощью brute-force перебора взламывается за 5 минут. Отсутствие двухфакторной (2FA, MFA, OTP, Yubikey) авторизации также очень часто является мостиком к взлому. Получить доступ к профилю пользователя с подтверждением входа через смартфон почти невозможно. Но почему-то много кто ленится включить всего лишь одну галочку 2FA в своем онлайн-кабинете или личном аккаунте. Также не забывайте после завершения интернет-сеанса, обязательно выходить из своей учетной записи (особенно если были на чужом или разных устройствах) и периодически чистить Cookies-браузера (там хранится ваша конфиденциальная информация).

Домашние компьютеры

90% пользователей до сих пор используют не лицензионные операционные системы Windows с разными «крякнутыми» программами в придачу, активированные так-называемыми «кей-логерами». Все они, конечно, содержат вредоносный код. Чем это опасно? Без вашего ведома и согласия эти программы используют ресурсы вашего компьютера (CPU/RAM), MAC и IP адреса в своих злодейских целях, открывают дорогу троянам, червям, руткитам, эксплойтам, бекдорам. а ваши персональные данные могут использоваться в качестве прикрытия (дипфейки). Что делать? Купить нормальную лицензионную Windows 10 и ставить только лицензионный софт, а если нет денег — просто установить себе Linux (для опытных пользователей подойдут — Kali Linux, Parrot; новичков — Ubuntu, Linux Mint).

Wi-Fi, IoT устройства

А что, если я вам скажу, что все ваши «умные розетки», Wi-Fi роутеры, IP-камеры являются прямыми точками взлома? К примеру, если вы используете старую прошивку и технологию WPS (заводской пин-код) на своем роутере, то оставляете шанс каждому несанкционированно проникнуть в вашу компьютерную сеть и делать там что угодно. Это могут быть и безобидные выходки — например подключиться к вебке какой-нибудь девушки, так и целые преступления с большими последствиями — например, вмешивание в работу водяных насосов, или установок по очистке воды (примеры: атака на ядерную инфраструктуру Ирана — вирус Stuxnet или недавняя кибератака на трубопровод Colonial Pipeline). Вариантов — множество. Для предотвращения атак — обновляйте прошивки всех своих устройств, отключайте WPS, включайте WPA-шифрование, а также фильтрацию устройств по MAC-адресам. И еще — желательно перейдите на защищенный DNS, например — Cloudflare DNS (улучшит конфиденциальность вашего интернет-трафика). А для самых заядливых — рекомендую развернуть свой собственный VPN-сервер, и выходить в интернет только через него.

USB-устройства, прослушки, «жучки»

Редко, но бывает. Особенно, в корпоративной отрасли, когда разные компании крадут в прямом смысле этого слова друг у друга информацию. Взломать конкурента можно просто подкинув ему флешку. Также это бывает когда вы отдаете свои компьютеры или смартфоны на ремонт непонятно кому. 10% вероятности — вам «вошьют» какую-то утилиту родительского контроля, которая будет отслеживать и прослушивать все, что творится на вашем смартфоне. Покупайте цифровые устройства в официальных торговых точках от проверенных производителей. Всегда осматривайте свои вещи, свое жилье и свою территорию на наличие странных посторонних предметов (звуков).

Социальная инженерия

Поменьше болтайте на улице с кем-то, или просто по телефону — по поводу и без повода, едя в маршрутке. Не включайте режим голосовой связи и GPS без надобности. Внимательно следите за кругом своих друзей, чтобы туда не попал кто-то, кто может вас скомпрометировать. Не раскрывайте никому свои «карты» и «секреты» — личные данные, предпочтения, планы, даты, имена, адреса, маршруты, не раскрывайте личные истории из своей жизни и жизни других, а также другую чувствительную информацию. Поверьте, вы и оглянуться не успеете, как в самый неожиданный момент недоброжелатели идентифицируют вас и используют вашу же информацию в своих целях. Например, подорвут репутацию вашего бренда, выставив какие-то ваши давние фото. Банальная социальная инженерия работала во все времена (аля «бабки в подъездах») и сейчас работает как никогда на службе мирового кибер-мошенничества и шпионажа. Вы не должны никому ничего сообщать без серьезного повода. Если не умеете молчать и очень разговорчивый или открытый человек — самый лучший способ — начать думать и действовать как безопасник. Представьте себя воином, за которым идет постоянная слежка. Это поможет изменить свой подход и выработать стальной характер, острый ум и сильную волю, которые обязательно вас спасут в жизни.

И в завершение

Если вы думаете, что никому не нужны и вам плевать на все эти взломы и атаки, то глубоко ошибаетесь. Сейчас настоящий бум информационных технологий. Это значит, что взламывают постоянно — всех и везде. И взламывают в самых разных ситуациях. Все бизнес-операции потихоньку перетекают в интернет. А вместе с ними адаптируются к новым условиям разное жульничество и воровство. Из-за чего, по данным глобальной статистики, не хватает приблизительно 3 миллиона специалистов по кибербезопасности. Раньше были карманники в автобусах, сейчас — телефонные аферисты и кардеры в интернете. И если вы еще не попались на их «удочку» — это дело времени. Многие из них ищут «подопытных кроликов», другие создают сети ботов, используя ваш компьютер, третьи просто воруют персональные данные и создают фейки для совершения краж и преступлений. Поэтому, задумайтесь и займитесь наконец-то своей защитой, соблюдайте информационную гигиену. Ну, а чтобы немного помочь я подобрал для вас ряд полезных программ и сервисов:

Хотите защитить себя? Вы всегда можете обратиться к проверенному и опытному IT специалисту, который проведет аудит безопасности ваших серверов, сайтов, IoT устройств, проанализирует их на уязвимость и настроит под конкретную защиту 365/24/7. Обращайтесь, кликнув по кнопке ниже:

Оценка:
( 2 оценки, среднее 5 из 5 )
Подписка на KRASHENININ.TECH

Получайте регулярные обновления на почту!


Виталий Крашенинин/ автор статьи
Digital-жрец блога Krasheninin.tech, публицист, исследователь веб-технологий. С 2011 года в IT. Сфокусирован на кибербезопасности, системном администрировании, создании сайтов и SEO.
Не забудьте поделиться материалом в соцсетях:
KRASHENININ.TECH - блог о веб-технологиях, и не только
Подписаться
Уведомление о
guest
0 Комментарий
Встроенные отзывы
Просмотреть все комментарии
0
Есть мысли? Прокомментируй!x
()
x
Читайте ранее:
Книги по кибербезопасности
20 лучших книг по этичному хакингу и кибербезопасности

Литература по этичному (белому) хакингу, информационной и кибербезопасности, которую я прочитал (или читаю), и советую другим. Фундаментальные основы, уникальные методики...

Закрыть