Система хранения паролей: как не потерять на компьютере

Как злоумышленник может украсть ваш пароль?

Самое печальное, что это не может быть одинаковым для всех и всех и во все времена. Даже если вы изобрели что-то совершенно уникальное и неразрушимое. Позвольте мне рассказать вам, почему? Дело в том, что программисты, обслуживающие те сайты, которые вы время от времени посещаете и где требуется регистрация, периодически закрываются. В то же время у них часто есть неприятная привычка копировать базы никнеймов и назначенных им ключей доступа. Это очень востребованный и дорогой продукт на пиратском рынке. После первой продажи эти фонды распространятся по сети как лесной пожар. После этого любой, кто хочет легко открыть не только ссылку ника лично вам, но и получить ваш «универсальный» код доступа, ко всему… Итак — разные коды для разных сайтов, это аксиома! Периодичность смены — раз в полгода, максимум — раз в год.

Еще один способ украсть пароль — это простая догадка, основанная на наших стандартных представлениях о «хорошем» пароле. Я писал об этом в начале: мы часто думаем стереотипно, и это позволяет нам раскрыться.

Затем есть воздушная акробатика из арсенала первоклассных хакеров. Для этого вам необходимо получить доступ к исходному коду страницы регистрации и активировать хакерскую программу для генерации случайных символов и символов в строке входа в систему и кнопку «войти». В этом случае необходимо отключить защиту от таких действий. Помните R2D2 из «Звездных войн»? Он поступил точно так же. Спешу успокоить, таких мастеров во всем мире единицы, и, как правило, их сильно ловят. На вас это вряд ли поднимется, на вашем счету у них другой масштаб — банки.

Как подбирать и где хранить

Как я уже сказал, как только мы загораемся перед выбором, мы сразу попадаем во власть устоявшихся стереотипов и алгоритмов. Киберпреступники, как оказалось, это прекрасно понимают. Поэтому, учитывая необходимость частой смены ключа и его разнообразие для разных ресурсов, есть только один разумный выход: генератор случайных ключей. Оптимальный размер — 8 символов, чем больше не нужно, тем он менее уязвим. Этот генератор хорош тем, что предлагает на выбор несколько вариантов. В то же время он не знает, какой из них вы выберете.

Если вы параноик, и это нормально, жизнь доказывает, что они живут дольше. Так что зайдите на этот сайт с помощью анонимайзера, VPN-сервисов или браузера TOR. В последнем случае помните, что этот браузер был создан с помощью Министерства обороны США, а значит, неизбежные уши АНБ торчат оттуда. Спасибо, Сноуден! Поэтому, если вы собираетесь использовать его для шифрования тайн Родины. Не стоит этого делать. Ну а ваша личная переписка с любимым человеком их вряд ли заинтересует. Все эти службы предназначены для сокрытия вашего IP-адреса, и служба генерации не сможет вас идентифицировать.

Фишинговые ресурсы

Теперь мошенники стали изобретательнее создавать фишинговые электронные письма. Сообщения замаскированы под уведомления от государственных, банковских и налоговых структур, коммерческие сообщения, запросы на активацию определенной учетной записи на сайте, на котором вы, предположительно, давно не были. Распознать подделку по адресу сложно: профессионалы умеют так организовать письмо, чтобы не возникло ни малейшего сомнения в его оригинальности. Есть сайты, где можно бесплатно или за плату ввести любой адрес отправителя. Любой, кто имеет навыки работы с почтовыми серверами по протоколу SMTP, может изменять данные с помощью программного кода.

По данным РБК, пандемия и массовый исход привели к увеличению количества поддельных сайтов кредиторов. Только за первый квартал 2021 года в Интернете появилось более 1,5 тыс. Фейковых банковских активов на русском языке, что на 20% больше, чем годом ранее. Поддельный портал распознать практически невозможно — он полностью идентичен оригиналу. Если вы введете свою платежную информацию на таком сайте, данные вашей кредитной карты немедленно перейдут к мошенникам.

Одинаковые пароли для разных ресурсов — прямая угроза безопасности

По статистике производителя антивирусов Avast, более 55% пользователей продолжают использовать одни и те же пароли на разных сайтах, ошибочно полагая, что информация на их устройствах не может быть интересна хакерам. Утечка данных может происходить с самого безобидного ресурса: форума, на котором вы общались с единомышленниками, или игрового сервера, на котором вы когда-то регистрировались, чтобы опробовать интересный продукт.

Как только база аккаунтов попадает в руки киберпреступников, в игру вступает автоматизированная система, которая пытается взломать популярные почтовые сервисы, социальные сети, электронные кошельки и банковские системы с вашими данными. Если робот войдет в вашу учетную запись электронной почты, у злоумышленников будет вся ваша личная переписка, история ваших регистраций на сайтах, ваши профили в интернет-магазинах и многое другое.

Даже если информация в ваших электронных письмах полностью безвредна и вы используете двухэтапную аутентификацию для входа в банк, злоумышленник может многое получить от доступа к вашей электронной почте:

  • продать свой почтовый ящик спамерам;
  • организовывать фишинговые рассылки со своего адреса;
  • предложить восстановить доступ к вашей электронной почте или учетной записи в социальных сетях.

В любом случае будьте уверены, что все электронные письма будут проверяться на предмет информации, представляющей интерес для злоумышленников. Даже если контент не содержит информации о пароле социальной сети, ваша учетная запись будет легко обнаружена, и вас могут попросить изменить комбинацию по электронной почте. Как только вы получите доступ, ваше имя, фамилия и телефон обязательно попытаются использовать для взлома банковских систем. Они либо публикуют рекламу от имени вашего профиля, либо рассылают письма с просьбой о финансовой помощи всем вашим друзьям и знакомым.

Фишинг

Часть концепции фишинга обсуждалась ранее. Этот термин скрывает практику рассылки массовых ссылок на вредоносные сайты. Кроме того, мошенники в основном используют почтовые адреса известных этим компаний или зашифрованы под последними.

screenshot_4

В таких случаях сложно распознать действия злоумышленников, так как электронная почта действительна. Мошенники нередко называют потенциальную жертву своим именем, что повышает доверие пользователя к получаемым сообщениям.

Чтобы защитить свои персональные данные от подобных схем, рекомендуется не обращать внимания на выгодные предложения и проверять полученную информацию перед переходом по ссылке.

Клавиатурные шпионы

Злоумышленники могут использовать специальные программы, считывающие информацию, введенную с клавиатуры. Такие приложения также сложно идентифицировать. Эти программы не могут найти популярные антивирусы. В результате введенная пользователем информация о логине и пароле, открывающая доступ к личному кабинету в онлайн-банке, доходит до мошенников.

screenshot_5

В этом случае можно снизить риски, если установить более эффективный антивирус и использовать двухфакторную проверку при доступе к сайтам с личными финансами. Последнее снижает эффективность кейлоггера.

Переходим к настоящему взлому. MITM-атаки

MITM (Man-in-the-middle) — атаки Man-in-the-middle. Чаще всего снифферы, такие как Intercepter-NG, используются для перехвата паролей и файлов cookie с использованием этого типа атаки.

Перехваченные данные позволяют вам получать доступ к чужим учетным записям, просматривать загруженные файлы и т.д. Кроме того, приложение позволяет принудительно удалять файлы cookie пользователя, заставляя их повторно авторизоваться.

Раньше инструмент мог даже перехватывать пароли от iCloud. Но разработчики Apple уже решили эту проблему.

Есть и другие способы перехвата трафика (в том числе пароли). Даже если это пароли от HTTPS-ресурсов. Главное, чтобы устройство жертвы находилось в той же сети Wi-Fi, что и устройство хакера.

Даже скриншоты выдадут ваш пароль

Технически ваш компьютер может сделать снимок экрана в любое время, даже если вы введете свой пароль. Феликс Краузе, основатель Fastlane Tools, открыл эту возможность в ноябре 2017 года.

Снимок экрана взят из функции CGWindowListCreateImage. Не требует авторизации пользователя.

Вирус, который делает снимки экрана, может работать в фоновом режиме. Он по-прежнему будет иметь доступ буквально к каждому пикселю.

Способы кражи

Помня о том, что мошенники чаще пытаются украсть данные банковских карт, такие как PIN- и CVV-коды и другие секретные данные, совершенно необходимо знать о методах, которые они используют.

Для начала стоит помнить, что любой, кто может оказаться мошенником, не обязательно будет кем-то на другом конце телефона, выдавая себя за сотрудника банка и запрашивая у вас некоторые данные. Угроза может исходить от друзей и даже от близких людей.

Среди наиболее распространенных методов специалисты чаще всего выделяют следующие: попытка угадать или угадать пароль, получение важных данных из-за того, что вы ввели логин и пароль от учетной записи или других личных сервисов на поддельном сайте, пренебрежение со стороны пользователя из-за явно неправильного способа запоминания пароля. Последнее можно отнести к ситуации, когда браузер запрашивает разрешение на сохранение в нем данных и получает утвердительный ответ.

Кроме того, причиной потери информации может быть вредоносное программное обеспечение или получение личной информации от человека посредством общения с использованием различных методов манипуляции.

Как защититься от таких хардкорных методов

1. Не оставляйте смартфон экраном вверх. Так что ни тепловизор, ни фото с экрана вас не боятся.

2. Не вводите пароли в публичных сетях Wi-Fi. Использование надежной платной VPN снижает риск, но не исключает полностью взлома.

3. При вводе паролей в приложениях не включайте функцию их просмотра. В противном случае пароль можно быстро сфотографировать или вирус сделает снимок экрана.

4. При вводе рисунка закройте экран рукой. Рекомендуется устанавливать ключ, который не заводится от угла дисплея. А еще лучше выбирать смартфоны со сканером отпечатков пальцев или другим методом биометрической идентификации — так надежнее.

5. Не вводите пароль и PIN-код рукой, на которой вы носите умные часы или фитнес-трекер. Здесь все ясно.

Также существуют приложения, которые автоматически отправляют данные о злоумышленнике, который ввел неверный пароль с вашего смартфона. Некоторые из самых популярных — Prey Anti-Theft для iOS и Lockwatch для Android. Они молча делают снимок и отправляют его вам по электронной почте вместе с координатами GPS. Главное, чтобы был включен GPS и доступ в Интернет.

Ваш пароль может «слить» сеть Wi-Fi

Бывший технический директор SpringSource Адриан Коллиер объяснил, как перехватить PIN-код с помощью анализа сигналов Wi-Fi. Он назвал технологию WindTalker.

Коллиер обнаружил, что движения пальцев по экрану влияют на сигнал Wi-Fi. Если злоумышленник создаст точку доступа, он сможет отследить эти микропомехи.

В одном из экспериментов Коллиеру удалось взломать аккаунт Alipay, платежную систему Alibaba. Приложение предложило ему три варианта пароля, и появился один.

Точность метода 68%. Чем больше данных будет, тем точнее будет анализ. Чем большее количество попыток входа разрешено приложением, тем больше шансов, что оно введет правильный пароль.

Как проверить свои аккаунты

Портал LeakCheck поможет вам убедиться, что ваши логины и пароли не попали в Интернет. Сервис накапливает данные доступа к аккаунтам пользователей на взломанных сайтах. Сотрудники сайта регулярно отслеживают форумы, где публикуют расшифровку украденных массивов и добавляют информацию, чтобы пользователи LeakCheck могли быстро проверить свою электронную почту или телефон на предмет утечек.

Последние новости об обновлениях размещаются на отдельной странице, поэтому вы можете увидеть, был ли взломан сайт, на котором вы когда-то регистрировались. Например, последнее дополнение к базе данных — это расшифровка данных, украденных с портала ZeusGame.me, поэтому, если ваша учетная запись находится на этом ресурсе и вы использовали свой типичный пароль для входа в систему, все остальные ваши профили подвергаются большому риску.

Сервис предлагает пользователю бесплатный пробный доступ и расширенный пакет услуг по выбранному тарифу. Функционал сайта позволяет искать не только по электронной почте, но и по ключевому слову, логину и номеру телефона.

После регистрации вам будет доступно пятнадцать бесплатных проверок. Вы можете проверить свои адреса и номера телефонов, чтобы узнать, есть ли они в базах данных портала. Результат мониторинга будет представлен в несколько урезанном виде, но данных достаточно для определения дальнейших действий.

Платная подписка дает вам расширенные возможности. Вы сможете отследить источник утечки, увидеть все взломанные пароли и попросить администрацию удалить вашу личную информацию из сервиса. Базовый план стоит 2,99 доллара в день — небольшая плата за безопасность ваших данных.

Движения фитнес-трекера или умных часов тоже «сдают» пароль

Если хакер установит специальный сканер рядом с вашим рабочим местом, банкоматом или терминалом, он может получить пароль или PIN-код, отслеживая движения ваших рук на фитнес-трекере или умных часах.

Эксперимент проводили сотрудники Технологического института Стивенса и Бингемтонского университета (США). Они разработали сканер, отслеживающий электромагнитное излучение от датчиков умных часов и трекеров. Данные сканера передавались по Bluetooth.

Результаты сканирования были обработаны в приложении, которое обнаруживает до 5000 движений клавиш. Для создания алгоритма были задействованы два десятка пользователей, две модели умных часов и фитнес-браслет со стандартным девятиосевым акселерометром.

При первой попытке пароль распознавался в 80% случаев, при второй (если пользователь вводит одну и ту же комбинацию дважды) — в 90%. Чем больше датчиков в носимом устройстве (гироскопы, магнитометры, акселерометры), тем выше точность. Положение руки на это не влияет.

Вообще, графический ключ Android – самый небезопасный

Исследователи говорят, что чем сложнее модель, тем легче ее распознать. Достаточно сесть сбоку от жертвы на максимальном расстоянии 5 метров и отснять процесс разблокировки на видео — тривиальная задача.

Затем видео загружается в специальное приложение. Он анализирует движения пальцев и предлагает до пяти основных опций. В 95% случаев один из этих ключей правильный.

Можно вычислить пароль по масляным следам

Камера высокого разрешения способна сделать качественный снимок, на котором вы сможете распознать масляные следы ваших пальцев на экране смартфона. В 2010 году специалисты из Пенсильванского университета описали этот метод.

Сегодня на это под силу даже любительский фотоаппарат или хороший смартфон. Нетрудно представить, что вы снимаете за обедом не смартфон коллеги, а свою еду в Instagram.

Этот метод лучше всего подходит для распознавания следов от ввода рисунка, немного посложнее — ПИН-кода или буквенно-цифрового пароля. Если это не слово, предложение или дата рождения, будет слишком много вариантов в порядке букв и цифр.

Советы от экспертов

Чтобы не допустить возникновения вышеперечисленных ситуаций, необходимо придерживаться ряда простых, но в то же время очень важных правил. Во-первых, не создавайте пароль, представляющий собой слово на том или ином языке, лучше использовать комбинацию слов со специально допущенными ошибками, например «асбуКа» или «карондаж».

На разных сайтах необходимо устанавливать разные пароли, это поможет избежать ситуаций, когда, угадав один пароль, злоумышленник угадывает все остальные.

Кроме того, специалисты по кибербезопасности рекомендуют чаще менять пароли (не реже одного раза в три месяца).

Если вы находитесь на знакомом сайте, который требует от вас имени пользователя и пароля, обязательно сначала проверьте ссылку, так как это может быть только полная копия этой услуги.

В Интернете, где бы вы ни находились, никогда не переходите по незнакомым ссылкам, особенно от людей, которых вы совершенно не знаете — скорее всего, это может быть вирус, который украдет все ваши данные с вашего компьютера, которые он сможет найти.

Всегда помните, что PIN-код и пароль от вашего личного банковского счета никто, кроме вас, не знает и не должен знать, это ваша личная информация, которая, если она попадет в чужие руки, может вам навредить.

Атака «человек посередине»

В этом типе мошенничества, известном как MITM-атака, участвует посредник между вами и банком. Этот «человек посередине» контролирует информацию, проходящую через незащищенный сервер. В этих случаях данные, открывающие доступ к личным финансам, попадают к мошеннику путем сниффинга.

screenshot_6

Также эту схему можно реализовать, отправив кеш DNS для подмены реального сайта поддельным. То есть, зайдя на сайт банка, «жертва» автоматически переходит на ресурс злоумышленника.

Чтобы обезопасить себя от таких мошеннических методов, вам необходимо:

  • избегать доступа к сайтам с личными данными через незащищенные сети;
  • перед вводом данных проверьте наличие HTTPS в адресной строке;
  • доступ к сайтам с личной информацией с помощью VPS.

Последний вариант актуален, когда человек использует незащищенную сеть для онлайн-банкинга.

screenshot_7

Подмена SIM-карты

В связи с тем, что SMS-проверка используется для доступа к большинству сайтов, содержащих конфиденциальную информацию и открытый доступ к деньгам людей, киберпреступники научились заменять SIM-карту. Для этого мошенники связываются как бы от имени владельца и сообщают об утере карты. Если информация, предоставленная злоумышленником, убедит оператора, он заменит SIM-карту на новую.

screenshot_8

Взлом через письма: способы и последствия

Если поддаться искушению и щелкнуть вредоносную ссылку, результат будет зависеть от цели злоумышленников. Самый печальный исход событий — вам будет предоставлен троянский конь, и весь компьютер станет доступен хакерам. Вам повезет, если устройство будет использоваться только как инструмент для DDoS-атак, но последствия, как правило, более серьезны. Все ваши логины и пароли, сохраненные в вашем браузере, могут быть украдены, включая логины вашей финансовой системы. Хакер может извлечь конфиденциальную информацию из памяти или лишить вас возможности управлять системой и запрашивать деньги для восстановления работоспособности устройства.

Поддельные письма из банков или государственных учреждений делают их максимально реальными. Вас могут попросить перейти по ссылке, чтобы запросить информацию о долге, получить возврат налога или уточнить важную информацию. В июле 2021 года пользователи портала госуслуг начали массово жаловаться на действия онлайн-мошенников, которые взламывают аккаунты с помощью фишинговых писем, меняют логины и пароли, а затем берут микрозаймы от имени зарегистрированных граждан. Доказать мошенничество в этом случае очень сложно, поэтому государство призывает пользователей быть осторожными.

В последнее время среди киберпреступников стал популярен другой тип списков рассылки, предназначенный для психологии человека. На почту приходит письмо с сообщением о том, что якобы компьютер давно взломан и за его владельцем постоянно следят. Программист сообщает, что фиксирует частые посещения пользователем порносайтов, компрометирует видеоматериалы через встроенную камеру устройства и предлагает заплатить за их уничтожение. Сумма обычно указывается в биткойнах. Хотя этот метод обмана уже хорошо известен, некоторые люди верят мошенникам и платят деньги за устранение несуществующих компрометирующих улик.

Читайте также: Защита изображений от копирования: как поставить блокировку от скачивания

Оцените статью
Блог про сайтостроение