Главное меню
+7 (495) 055-13-58
(9:00-20:00)
Бесплатная консультация

Безопасность в интернете

от 3 марта, 2017
Категория: Интернет-бизнес, Мы в СМИ

Сегодня Артёма Кузнецова пригласили на телеканал “Мир” в качестве эксперта по взаимодействию в интернете в передачу “Доброе утро, мир!” и тема интервью была “Безопасность в интернете”. Эта тема будет интересна не только тем, кто хочет обезопасить себя от взлома, но и тем, кто хочет разобраться в мерах безопасности для своего веб-сайта.

Выступление Артема Кузнецова на телеканале Мир в передаче "Доброе утро, мир!"

Выступление Артема Кузнецова на телеканале Мир в передаче “Доброе утро, мир!”

Как обычно, в прямой эфир попадают не все материалы и мы публикуем тут как раз полный вариант интервью.

Насколько мы понимаем под прицелом хакеров наши мобильные. Кроме антивируса, что посоветуете?

Давайте рассмотрим виды угроз и способы защиты.

Прежде всего это фишинговые атаки

Атакующий пытается обмануть пользователей для кражи вводимых персональных данных, таких как пароли и информация о кредитной карте, отправляя им поддельные сообщения, которые кажутся подлинными.

Фишинговые атаки могут иметь множество обличий:

  • Поддельные приложения, похожие на подлинные.
  • Фальшивые электронные письма, отправителями в которых значатся подлинные источники, например, банки и другие финансовые учреждения.
  • SMS-сообщения, отправителями в которых значатся подлинные источники, например, ваш беспроводной провайдер.

Защита

  1. Устанавливайте приложения только из доверенных источников.
  2. Никогда не пересылайте ваши пароли, номера кредитных карт или другие персональные данные в сообщениях электронной почты или SMS. Если у вас спрашивают эту информацию, то скорее всего это мошенничество.

Во-вторых, атаки шпионского ПО

Ваше мобильное устройство может быть заражено шпионским ПО. При этом злонамеренное ПО может отправить ваши персональные данные на удаленный сервер без вашего ведома.

Информация, собираемая злонамеренным ПО:

  • Все нажатия клавиш.
  • Имена, номера телефонов и адреса электронной почты ваших контактов.
  • Информация с кредитной карты, если вы используете интернет-платежи.

Защита

  • Установите антивирусное ПО.
  • Не изменяйте настройки безопасности вашего телефона. Rooting или jailbreaking вашего устройства может сделать его более восприимчивым к атаке.
  • Регулярно обновляйте программное обеспечение вашего устройства.

И в-третьих, атаки спуфинга сети

Злоумышленники иногда охотятся на простодушных пользователей, которые подключаются к незащищенным сетям Wi-Fi. Если вы вводите свои персональные данные при наличии незащищенного соединения с сайтом (сайт не использует SSL), ваши данные могут быть похищены. Что вы можете случайно раскрыть:

  • Пароли к веб-сайтам.
  • Информацию о кредитной карте, передаваемую через незашифрованное соединение.

Защита

  • Если возможно, соединяйтесь только с защищенными сетями Wi-Fi.
  • Если вы вынуждены использовать незащищенную сеть Wi-Fi, регистрируйтесь только на тех сайтах, которые используют шифрование SSL (префикс сайта «https» в URL).

Недавно ко мне приезжал курьер и предложил расплатиться картой через странный гаджет, который подключался к его смартфону. Что меня более всего смутило, при оплате не понадобился пин код. Что это было и можно ли таким аппаратам доверять?

Да, доверять можно – это мобильный эквайринг.

Мобильный эквайринг — это одна из разновидностей приёма платежей с банковских карт посредством специальных переносных терминалов (mPOS), подключающихся и работающих с мобильными устройствами, такими как планшеты или смартфоны.

Считыватели (кард-ридеры) могут быть:

  • магнитные (выводятся из оборота как небезопасные; международные платежные системы переводят все банки на выпуск карт только с микрочипами),
  • для чипованных карт,
  • комбинированные.

Схема проведения оплаты выглядит следующим образом:

  1. Клиент изъявляет желание внести оплату с помощью банковской карты.
  2. Если платежный сервис работает с данным типом карт, работник ТСП подключает терминал к мобильному устройству (чаще всего это смартфон, может быть планшет) и запускает приложение.
  3. В целях безопасности доступ к приложению может блокироваться отдельным PIN-кодом. Выбирается пункт меню «Оплата» (или аналог).
  4. Вручную вводится сумма и при необходимости заполняется примечание к платежу (назначение).
  5. Считывается карта (в зависимости от ее типа — магнитной полосой или чипом).
  6. Приложение может запросить сверку последних цифр с номером карты.
  7. Запускается транзакция списания средств со счета клиента.
  8. Если денежные средства успешно списались — приложение выводит окно, где клиент должен поставить роспись (пальцем на сенсорном экране).
  9. Для отправки данных о платеже клиент сообщает свой номер телефона или e-mail адрес.
  10. Операция отражается в истории через личный кабинет сервиса или из меню мобильного приложения (некоторые сервисы позволяют отслеживать место проведения платежа).

Мобильный терминал (mPOS) позволяет принимать к оплате карты Visa и MasterCard везде, где ловит мобильный интернет: при доставке товара, в такси или на мероприятии. Работает без проводов и умещается в карман. Подходит для юрлиц и ИП, деньги зачисляются на счет компании.

mPOS состоит из трех частей:

  • смартфон или планшет (подходит большинство устройств на базе Android и iOS),
  • приложение 2can для Яндекс.Кассы (можно скачать в App Store или Google Play),
  • ридер для банковских карт.

Кто может работать с мобильным терминалом?

Юридические лица и индивидуальные предприниматели, которые подключили Яндекс.Кассу.

Пользоваться терминалом можно только на территории России, Азербайджана, Армении, Беларуси, Казахстана, Кыргызстана, Молдовы, Таджикистана, Туркменистана, Узбекистана, Украины.

Какие банковские карты можно принимать к оплате?

Через ридер можно принимать карты Visa и MasterCard (в том числе Visa Electron и Maestro), выпущенные в России, Азербайджане, Армении, Беларуси, Казахстане, Кыргызстане, Молдове, Таджикистане, Туркменистане, Узбекистане, Украине.

Как объяснить клиенту, что платеж через терминал безопасен?

Два аргумента:

  • данные карты не видно — ридер передает их приложению в зашифрованном виде;
  • после платежа данные карты не сохраняются ни в приложении, ни в смартфоне.

В сети прошла информация о считывающем устройстве, которое способно сканировать информацию через кошелёк и сумку. На сколько это возможно и как себя обезопасить?

  • Да, действительно можно считать данные карты с чипом, которая может совершать бесконтактные платежи: номер и срок действия с расстояния около 10 см. Всегда есть некий выбор между удобством и риском что-то потерять. 
  • Вы можете потерять до 1000 руб, примерно такая сумма установлена как лимит для бесконтактных операций. Вы также можете оспорить это списание, так как все ваши операции записываются. Для более дорогих покупок нужно знать CV-код и вводить разовый код подтверждения. (Хороший пример формы для ввода данных банковской карты

Защита

  • Защитные чехлы (поищите по запросу “RFID blocking wallet”)
  • СМС уведомления обо всех операциях
  • Одноразовые пароли на все операции

Поговорим о безопасности оплаты в интернете и онлайн платежах. Значок с замочком в адресной строке – это гарантия?

  • Гарантией безопасности может быть иконка защищенного соединения в адресной строке браузера: “Обычно это зеленый замочек в самом начале адреса сайта. Он говорит о том, что все данные, отправляемые вашим браузером, и ответы сервера шифруются и не могут быть перехвачены”. Для этого используют SSL-шифрование и https-протокол.
  • Необходимо всегда использовать безопасные версии сайтов, если они доступны – когда адрес сайта начинается не с “http://…”,  а с “https://….”.
  • Некоторые серьезные сайты рядом с иконкой замка прописывают имя компании, например https://online.sberbank.ru/. Такая надпись – дополнительная гарантия безопасности.

Сложные пароли сегодня актуальны?

  • Да, конечно. Нужно применять разные пароли в разных системах и на разных сайтах.
  • Пароль должен быть не менее 13 или 20 символов.
  • Нужно использовать буквы разного регистра, цифры и специальные символы, тогда можно использовать пароли короче – 8-9 символов.
  • Ещё лучше, чтобы пароль был длиннее 16 знаков. Чтобы подобрать такой пароль, злоумышленникам, владеющим современными программными средствами, понадобится больше 200 лет.

А аккаунты в соцсетях, как их защитить?

  • Не забывайте установить надёжный пароль для вашего аккаунта.
  • Чтобы избежать кражи аккаунта, желательно настроить на нём двухфакторную аутентификацию.
  • Не стоит заходить в соцсети с незнакомых устройств. Есть риск того, что вводимые на таких устройствах регистрационные данные могут попасть в чужие руки.
  • Если вам всё-таки пришлось зайти в свой аккаунт с чужого устройства, рекомендуем сменить пароль.
  • Пользоваться соцсетями — в том числе вводить логин и пароль — следует только через защищённое соединение (HTTPS). Злоумышленникам будет сложнее перехватить отправляемые вами данные. В Facebook такая опция стоит по умолчанию, во «ВКонтакте» её придётся настроить.

Какие мессенджеры наиболее безопасные?

Международная правозащитная организация Amnesty International опубликовала рейтинг защищенности мессенджеров с точки зрения защиты информации их пользователей от несанкционированного доступа. Эксперты Amnesty International изучили 16 наиболее распространенных в мире мессенджеров с точки зрения используемых их производителями стандартов шифрования и политики сохранения конфиденциальности данных. Особое внимание составители рейтинга уделили практике компаний по отношению к запросам правительственных и правоохранительных органов.

Современным критерием надежности сохранения конфиденциальности данных пользователя является использование в мессенджере end-to-end шифрования, когда “ключ” от переписки формируется на конечном устройстве, к примеру, смартфоне пользователя. Такой принцип шифрования может быть включен “по умолчанию” либо может быть активирован пользователем. Как пишет РБК, у 6 мессенджеров из 16, подробно изученных при составлении рейтинга, ключи от переписки по умолчанию хранятся исключительно на конечном устройстве – это WhatsApp, iMessage и FaceTime от Apple, Duo от Google, мессенджеры Line и Viber. Еще один важный момент при оценке мессенджера – использует ли его производитель так называемый “бэкдор” (ключ, позволяющий расшифровать переписку в мессенджере). По мнению Amnesty International, приверженность производителей мессенджеров к неиспользованию таких инструментов говорит о большей надежности сервиса.

Первые строчки рейтинга заняли принадлежащие Facebook сервисы Facebook Messenger и WhatsApp – 73 балла из 100 возможных.

Вторую и третью строчки поделили iMessage, Facetime и Telegram. Интересно, что сервис Telegram, разработанный создателем социальной сети “ВКонтакте” Павлом Дуровым, изначально позиционировался как высоконадежный с точки зрения конфиденциальности данных продукт. Однако авторы рейтинга так не считают, указывая, что end-to-end шифрование в Telegram не включено по умолчанию. При этом Павел Дуров неоднократно заявлял об однозначно отрицательной позиции сервиса раскрытия пользовательских данных третьим лицам, включая государственных чиновников.

Кстати, именно политика раскрытия данных пользователей по запросам государственных органов стала причиной низких позиций в рейтинге китайских QQ и WeChat, которые не предупреждают пользователей о возможных угрозах, не используют end-to-end шифрования и, скорее всего, имеют “бэкдор”-ключи.

Ненадежными с точки зрения технологий были признаны Blackberry Messenger (предоставляет end-to-end шифрование только за дополнительную плату), Hangouts от Google, Skype от Mircosoft и Snapchat – также не имеющие шифрования.

Можно ли догадаться, что нас читают?

Принято считать, что следить за нами начали уже в середине 90-х годов, когда были изобретены так называемые «куки» — они же «кукисы», они же cookies, что переводится с английского как «печенье». С кондитерскими изделиями они ничего общего не имеют (считайте это программистским юмором). Куки на самом деле — маленькие файлы, оставляемые на вашем компьютере (и телефоне, и планшете) почти каждым сайтом, на который вы зашли. Многие сайты оставляют сразу целый ворох кук (десятки!) с разными целями.

Зачем куки нужны? Изначально это был очень удобный способ сохранить некоторую информацию, полезную для пользователя. Скажем, вы настроили внешний вид любимого сайта под себя, либо ввели своё имя в анкету — и вам, конечно, хочется, чтобы при повторном посещении сайт это вспомнил, чтобы вам не пришлось вводить данные заново. Вот он и делает «печеньку», в которой пишет ваше имя и которую сохраняет к вам на компьютер.

Куки — не программы, они ничего сами делать не умеют и не могут, так что сами по себе они не опасны: всё равно что вырванная из блокнота страница. Главная проблема, с куками связанная, в том, что их можно использовать для изучения ваших привычек.

Представьте ситуацию: есть рекламное агентство X, которое заключило договора с несколькими миллионами сайтов о размещении на них рекламных банеров. И каждый раз, когда вы, путешествуя по Сети, натыкаетесь на банер, размещённый агентством X, оно (агентство) узнаёт вас по куке, оставленной на вашем компьютере при первой встрече. Таким образом X знает, какие сайты вы посещаете, на каких именно страницах бываете. Эту информацию оно скрупулёзно подшивает к заведённому на вас «личному делу», которое называется также «поведенческим досье».

Защита

  1. Используйте антивирусы.
  2. Не ставьте на телефон незнакомое ПО, тем более, мимо официальных магазинов приложений.
  3. Включите многофакторную аутентификацию везде, где она поддерживается.
  4. Проверяйте списки активных сессий в онлайн-сервисах и журнал последних входов, если он там ведется.
  5. Поставьте блокировщик рекламы. Да, многие сайты будут жаловаться, что живут они на рекламные доходы и вы не даёте им зарабатывать, а какие-то даже откажутся вас пускать. Но печальная правда в том, что именно через рекламные банеры собирается львиная доля информации для поведенческих досье.
  6. Поэтому загляните в список расширений/плагинов вашего браузера (для Chrome: Настройки -> Дополнительные инструменты -> Расширения) и выберите что-нибудь вроде Adblock Plus. Многие блокировщики позволяют настраивать своё поведение: выставьте максимально жёсткие настройки, чтобы «резать» не только рекламу, а и вообще всё лишнее.
  7. Смените сайты, которые следят за вами, на сайты, которые не следят или по крайней мере соблюдают приличия. Например, «Яндекс» не перлюстрирует почту. А поисковая машина DuckDuckGo не ведёт историю ваших запросов и не сдаёт данные о вас рекламодателям. И всегда отдавайте предпочтение российским разработкам.
  8. Пользуйтесь «приватным» режимом в браузере. Называется он по-разному («приватный» в Firefox и Edge, «инкогнито» в Chrome, «частный доступ» в Safari), но суть одна: в таком режиме браузер не сохраняет историю ваших перемещений, куки и некоторую другую информацию, которая могла бы быть позже использована против вас.
  9. Включите в браузере функцию Do Not Track («Не следить!»; вы найдёте её в настройках браузера). Это, по сути, вежливая просьба к каждому посещаемому вами сайту: пожалуйста, не собирайте информацию обо мне. Не все такую просьбу выполнят, но по крайней мере в развитых странах (прежде всего Евросоюз) идёт к тому, чтобы законодательно обязать интернет-предпринимателей её удовлетворять.
  10. Наконец, отключите куки, но настройте исключения. В Chrome вам нужно зайти в Дополнительные настройки -> Настройки контента, отметить «Не разрешать сайтам сохранять данные», но потом обязательно щёлкнуть «Настроить исключения» и добавить туда сайты, без которых вы обойтись не можете, но которые без кукисов работать отказались.

При подготовке материалов использовались источники

  • https://www.pcweek.ru/security/article/detail.php?ID=175069
  • https://mainmine.ru/mobilnyi-ekvajring и https://money.yandex.ru/doc.xml?id=526644&ncrnd=660
  • https://geektimes.ru/post/277238/
  • https://www.riatomsk.ru/article/20161216/tomskij-ekspert-o-kiberugrozah-i-zaschite/
  • http://guide.team29.org/privacy_chapter1
  • https://utro.ru/articles/2016/10/21/1301779.shtml
  • https://thequestion.ru/questions/4138/kak-uznat-chto-za-mnoi-sledyat-chitayut-moyu-perepisku-nablyudayut-za-mnoi-cherez-vebkameru-i-t-p
  • http://gosvopros.ru/format/poleznye-sovety/do-not-track/

Материалы по теме

Больше свежих новостей в нашем Telegram-канале. Подписывайтесь!