Как крадут ваши аккаунты

05.10.2010

Это не первый раз, когда взламывается аккаунт знаменитости, и вряд ли это не случится в будущем. Барак Обама (Barack Obama), Бритни Спирс (Britney Spears), British Petroleum и «Нью-Йорк Таймс» — лишь несколько громких имен и брендов, которые через это прошли. Как правило, аккаунты, представляющие компании и знаменитостей, управляются людьми с отличными навыками общения, а не айтишниками, и уж тем более не специалистами по IT-безопасности. В общем, отсутствие процесса обучения пользователей и жесткой политики в отношении онлайн-безопасности нередко приводят к нежелательным последствиям. Если вы управляете каким-либо официальным Twitter-аккаунтом или своим личным, то вам следует знать, как эти аккаунты могут быть взломаны, чтобы защитить себя.

Об основных способах атаки расскажет Стефан Танас (Stefan Tanase), старший научный сотрудник по вопросам безопасности «Лаборатории Касперского».

Итак, вот три основных способа:

1. Слабый пароль

Не используйте обычные пароли! Подумайте о чем-то менее тривиальном, о чем никто больше не догадается. Добавление чисел к стандартным комбинациям — плохой вариант, «admin123» никогда не будет безопаснее простого «admin», а если вы добавите еще и непечатные символы, то, проснувшись в один прекрасный день, не сможете их вспомнить. Вот вам хороший совет. Подумайте о фразе, которая достаточно уникальна и проста в запоминании, например, «etyfrazuprostozapomnit». Убедитесь, что этой фразы нет в словарях, используемых при брутфорс-атаках. Кроме того, через несколько дней вы наловчитесь печатать ее быстро.

2. Фишинговые страницы

Если хакер не может угадать пароль, он попробует взять его без вашего ведома. Вас должно насторожить, если по электронной почте приходит письмо с просьбой сбросить пароль к вашему аккаунту, особенно если вы его не запрашивали.

Будьте осторожны с ссылками, на которые вы щелкаете. Сервисы коротких URL, типа bit.ly, делают «доброе дело», маскируя реальную ссылку. Вы можете неожиданно попасть на сервер, который занимается хостингом фишинговых страниц или распространением вредоносного ПО.

3. Заражение компьютеров

«Ой, мой компьютер заражен, но все в порядке, я же еще могу работать», — говорят беспечные люди. Да, вы все еще можете работать, но знаете ли вы, кто еще работает на вашем компьютере, перехватывая сессии в браузере и занимаясь кейлоггингом (отслеживанием нажатий клавиш)? Почаще обновляйте ваши приложения — операционную систему, антивирус, плагины к браузерам, вообще все. Если даже вы используете Google Chrome, но при этом не обновляете Windows, то вы все еще можете быть заражены. «Защита» состоит из нескольких слоев.

Этот совет может быть расширен до всей онлайн-активности в целом, не только в социальных сетях. Вы должны позаботиться о защите своего аккаунта электронной почты, особенно если она использовалась при регистрации журнала в соцсети. Вообще, скомпрометированные e-mail-аккаунты открывают новые горизонты для плохих парней, которые могут получить доступ и к вашим другим учетным записям. Операция сброса пароля обычно приводит к появлению ссылки для подтверждения этого в вашем ящике электронной почты.

Хотелось бы закончить эту короткую инструкцию очень простым советом, который обычно игнорируют большинство пользователей Интернета. Не используйте публичные компьютеры (например, в интернет-кафе) для доступа к своим личным учетным записям. Никаких интернет-терминалов в аэропортах, никаких бизнес-центров в отелях, ничего. Понятно, что бывают ситуации, когда необходимо быстро проверить электронную почту на компьютере друга — просто не делайте этого. Вы же не знаете, что в действительности запущено на этой машине.