Оказывается, Россия в 2021 году заняла первое место в мире по числу утечек паролей на душу населения – почти 20 на человека.
Получив доступ к учетной записи, злоумышленники могут:
- украсть деньги с банковских счетов, аккаунтов на биржах, криптовалютных площадок и депозитов в онлайн-магазинах;
- похитить аккаунты в соцсетях и других личных кабинетах, чтобы проворачивать аферы, направленные на пользователей из списка контактов;
- получить контроль над персональными устройствами, если пользователь применяет один и тот же пароль на все случаи жизни.
Основные способы кражи паролей
- Фишинг. Злоумышленники пользуются невнимательностью и доверчивостью людей, маскируя вредоносные письма под рассылку от известных компаний или сообщения от близких жертвы. При переходе на поддельные сайты из таких писем и попытке авторизоваться, личные данные вместе с паролями становятся добычей мошенников.
- Вишинг (телефонное мошенничество). Аферисты звонят жертве, представляются сотрудниками банка, социального фонда или иной организации. Под различными предлогами мошенники пытаются выведать конфиденциальную информацию.
- Вирусное ПО. Существует множество разновидностей вредоносных программ для хищения личных данных, среди которых кейлогеры, трекеры пользовательской активности, отслеживание скриншотов и т.д. Иногда достаточно кликнуть на сомнительный баннер в интернете, чтобы вредонос попал на устройство.
- Брутфорс (подбор пароля). Обилие учетных записей в разнообразных сервисах провоцирует пользователей на создание простых небезопасных паролей или использование одинаковых ключей. Это играет на руку злоумышленникам, поскольку позволяет использовать подбор комбинаций для угадывания чужого пароля. Перебор осуществляется в автоматическом режиме, а для ускорения процесса используются шаблоны из ранее взломанных аккаунтов.
- Угадывание. Иногда для взлома пароля даже не требуется специальное ПО, потому что пароль можно просто угадать. Самым популярным паролем с 2020 года остается «123456», за ним следует «123456789», на третьем месте оказался «picture1», на четвертом — «password».
- Плечевой сёрфинг (подглядывание). Эта классическая техника не теряет актуальность в цифровую эпоху. С помощью скрытого наблюдения за действиями человека в общественных местах можно узнать не только PIN-код от банковской карты, но и пароль от соцсети и других аккаунтов. К более технологичному варианту такой атаки можно отнести метод «человек посередине», когда злоумышленник перехватывает конфиденциальные данные при подключении к публичным Wi-Fi. Для этого мошенники создают собственную Wi-Fi сеть с названием торгового центра или транспортного терминала.
Инструкция по защите паролей
- всегда используйте надежные пароли с большим количеством символов;
- никогда не используйте один и тот же пароль для разных аккаунтов;
- включите двухфакторную аутентификацию для всех учетных записей;
- используйте менеджер паролей с хорошим рейтингом для безопасного хранения паролей и удобной авторизации;
- никогда не сообщайте по телефону учетные данные, даже если собеседник представляется сотрудником известной организации и располагает вашей персональной информацией;
- сразу же меняйте пароль, если администрация сервиса сообщает, что ваши данные могли быть взломаны;
- для авторизации используйте только сайты, поддерживающие протокол HTTPS с шифрованием данных;
- не переходите по ссылкам и не открывайте вложения в подозрительных сообщениях;
- загружайте мобильные приложения только из официальных магазинов;
- используйте проверенное антивирусное ПО для всех ваших устройств;
- регулярно обновляйте операционные системы, программы и приложения, а также сетевое оборудование;
- остерегайтесь излишне любопытных сторонних наблюдателей в общественных местах;
- не входите в учетную запись, если вы подключены к общественному Wi-Fi.