(аудиоверсия )
Многие блоггеры жалуются, что их аккаунты крадут. Крадут их информацию. А некоторых даже вычислили в реальной жизни и преследуют уже на уровне физического насилия.
Что нужно сделать, чтобы затруднить злоумышленникам кражу ваших данных и аккаунтов.
В информационной безопасности первым делом разрабатывается модель угроз и модель нарушителя. Это могут быть довольно большие документы или даже целые группы документов.
Конечно, обычный пользователь не будет разрабатывать модель угроз и модель нарушителя. Но и ему стоит понять, что с ним может случиться плохого, для того, чтобы защититься от этого целенаправленно.
Мы рассмотрим только несколько наиболее распространённых проблем для оппозиционных блоггеров и для простых людей.
1. Преследования за политические воззрения незаконными или даже законными методами. Как со стороны правоохранительных органов, так и иных людей, в том числе, связанных с властью.
Обычные люди могут преследоваться в результате ссоры, сексуальных домогательств или просто навязчивыми людьми.
Так что преследования актуальны для всех.
2. Отслеживание деятельности для установления психологической составляющей с целью влияния через рекламу и прочее, а также с целью установления доверенного контакта или сбора дополнительных данных для атаки.
3. Утеря данных в результате атаки или сбоев
4. Хищение аккаунта с целью прекращения его работы или с целью выдачи другого лица за вас
5. Хищение денег, номера мобильного устройства или самого мобильного устройства с различными целями.
6. Постинг от вашего имени порочащих вас сообщений, совершение уголовных преступлений от вашего имени или с использованием вашего оборудования.
Атака злоумышленника начинается со сбора сведений. Например, он составляет список людей (аккаунтов), подлежащих атаке, если готовится преследовать их по политическим причинам. Аналогично, мошенник ищет, например, людей, которые собираются выехать за границу.
Для сбора политических сведений могут использоваться аккаунты людей в социальных сетях. При этом, поиск аккаунтов может происходить только по вашей фотографии или видео, на котором есть ваше лицо.
Если даже не найдут вас, могут найти групповые фотографии с вами и вашими друзьями в социальной сети и по ним уже найти вас, в том числе, связавшись с вашими друзьями под какой-то легендой.
Аналогично, сексуальный маньяк или надоедливый ухажор может искать симпатичных женщин в социальной сети.
Поэтому. Если для вас это приемлемо, лучше всего вообще удалить все фотографии с вами из интернета. Никогда не участвовать в групповых фотографиях, особенно, когда вас снимают со знаменитостями и эти фото, скорее всего, кто-нибудь выложит в сеть. Помните, по этому фото могут найти ваши контакты или использовать его как информацию о том, как вы выглядите для реального нападения с помощью наёмных преступников, не знающих вас в лицо.
Конечно, не все блоггеры будут сниматься в роликах в маске, как это делает ведущий канала "Быть или...". Но стоит задуматься об этой мере даже если кажется, что у вас нет недругов и вы не занимаетесь политикой и вообще не ведёте блоги. Как я уже сказал, по фото вас могут искать, например, потому что вы - симпатичная девушка. Или потому что вы - системный администратор или бухгалтер фирмы, на которую планируется нападение с целью рейдерского захвата. Вы можете подвергнуться похищению и пыткам.
Кстати. Поиск в социальных сетях по фото сейчас ведётся не вручную, а с помощью методов искусственного интеллекта и доступен каждому. Это просто и дёшево.
Съёмка в темноте с сильным контровым светом, когда на видео, как кажется, видны лишь ваши очертания, также может представлять опасность. Так как по этим очертаниям иногда возможно восстановить очертания вашего лица, хоть и в низком качестве.
Далее, одно из самых главных правил: не портите безопасность другим. Если вы собираетесь запостить групповую фотографию с другими людьми, посмотрите. Если у них нет фото в социальных сетях, возможно, их изображения стоит замазать.
Помните, что простое размытие изображений иногда может быть недостаточным. Современные методы искусственного интеллекта иногда позволяют восстановить фото человека по его размытым очертаниям. Замажте его совсем.
Никогда не постите фото других людей. Никогда не постите сообщения о том, с кем именно и куда вы едете. По крайней мере, делайте эти записи только для друзей. Так как в противном случае, на вас или вашего спутника может быть совершено нападение.
В частности, в момент, когда вы будете за границей, у вас могут украть ваш номер мобильного телефона и вашу банковскую карту.
Вы останетесь без средств к существованию в незнакмой чужой стране. В лучшем случае, вы будете знать, где рядом можно восстановить вашу крединтую карту в специальном представительстве платёжной системы и у вас будет резервная SIM-карта с включённым роумингом. Но отдых всё равно будет испорчен.
Разумеется, возможны нападения даже если вы находитесь рядом с домом в знакомой обстановке. Поэтому, никогда не пишите, с кем именно вы были в каких-либо местах, даже если вы из них уже ушли.
Далее. Скрывайте любую информацию о вас. Даже ваша фамилия, имя и отчество и краткое описание ваших должностных обязанностей может быть использовано для начала нападения на вашего работодателя. Поэтому, особенно если вы допущены к конфиденциальной информации, старайтесь не рассказывать о текущем месте работы и не указывайте его наименование в своём резюме, пока вы там работаете.
В резюме часто имеется ваш телефон, который злоумышленник также может найти, если знает вашу фамилию, например, из социальной сети. И будет вам названивать. В лучшем случае, с рекламой. Девушкам возможны звонки среди ночи с предложениями интимного характера. Разумеется, не разово, а постоянно. Выключение телефона на ночь, конечно, помогает, если вы не забываете его выключать и не используете как будильник. Однако звонки всё равно могут очень сильно напрягать, даже среди бела дня.
Поэтому в резюме лучше не давать телефон. Как вариант, вы можете купить SIM-карту для временного использования. Это может стоить порядка трёхсот рублей по нынешним ценам с тарифом без абонентской платы. Вам придётся лишь совершать не реже раза в 90 дней платную операцию (звонок, sms, в зависимости от вашего тарифного плана) и телефонный номер будет у вас столько, сколько вы захотите.
Аналогично, телефонный номер не стоит указывать нигде, где он явно не нужен. В частности, двухфакторная аутентификация (она же двухэтапная аутентификация) с телефонным номером по SMS даёт сайту информацию о вашем номере телефона. Если базу данных сайта украдут, что бывает не так уж и редко, то телефнный номер будет доступен всем, кто сможет купить краденную базу данных. Иногда, это довольно просто и дёшево и доступно даже школьнику, который имеет соответствующее желание и нарабатывает соответствующие связи.
Поэтому подумайте, что вам дороже: ваша приватность или безопасность вашего аккаунта. Если вы политический блоггер, возможно, для вас очень ценен ваш раскрученный аккаунт. С другой стороны, sms не является надёжной защитой. Ваш телефонный аппарат с SIM-картой могут украсть, неважно, что он выключен или заблокирован. Ваш телефонный номер могут украсть, причём различными способами. Например, с помощью уязвимостей протокола SS7 при включённом роуминге или с помощью перевыпуска вашей SIM-карты по факту её мнимой кражи. Для второго пункта могут быть использованы поддельные документы или их копии.
Часто сайты позволяют восстановить доступ к аккаунтам даже если вы не знаете пароль. Только по номеру телефона. Поэтому, если ваш сайт не знает вашего номера телефона, то и восстановить доступ с помощью украденного телефона злоумышленник не сможет.
В этом случае, парольная безопасность без указания номера телефона может обеспечивать существенно больший уровень безопасности, чем с указанием номера телефона.
В общем, необходимо проверять, что именно ваш сайт делает с вашим номером телефона. Позволяет восстановить доступ к аккаунту при утере пароля, позволяет использовать двухфакторную аутентификацию посредством SMS, использует для улучшения отслеживания ваших действий и нелегальной продажи информации о вас третьим фирмам.
Нужно очень осторожно относится к использованию двухфакторной аутентификации. Её нужно использовать только там, где это действительно необходимо. Очень часто это не необходимо нигде.
Сайты могут рекламировать двухфакторную аутентификацию, потому что им это выгодно. В частности, для отслеживания пользователей или снижения количество случаев мошенничества. Что не означает, что именно вы станете безопаснее. Ведь таким образом вы подвергнете риску хищения не только ваш аккаунт, но и ваш номер телефона.
Также, старайтесь не указывать верный домашний адрес на любых сайтах, если вы не собираетесь от них получать посылки или договоры по почте.
Помните, что хотя этот адрес нигде не публикуется, он может быть похищен вместе с базой данных сайта при взломе этого сайта. И затем доступен любому желающему на чёрном рынке.
Не стесняйтесь указывать неверный адрес, если видите, что его не будут проверять.
Естественно, никогда и никому не рассказывайте телефонов, адресов, мест работы и другой информации незнакомым или плохо знакомым вам людям. Какую бы легенду эти люди не указали. Сообщайте о фактах выспрашивания владельцу информации. Разумеется, если владелец информации не против, вы можете давать его контакты другим людям в целях, которые не противоречат разрешению владельца информации.
Например, если кто-то спрашивает, зовут ли вашего соседа так-то и так-то, не подтверждайте и не опровергайте данную информацию.
Вы всегда можете спросить номер телефона или e-mail данного человека или название организации, чтобы ваш сосед связался с ними сам.
Разумеется, типов конфиденциальной информации гораздо больше. Помните, что по тому, какую информацию вы указали и как вы это сделали, о вас могут составлять мнение работодатели, мошенники или рекламщики. Последние двое, чтобы попытаться вытянуть с вас больше денег за то, что вам не нужно.
Удаляйте вашу переписку после того, как она вам больше не нужна. Обязательно делайте это, если вас об этом просит или намекает ваш собеседник. Убедитесь, что вы оставили адреса и помните, чьи это адреса, с какой целью был контакт.
Помните, даже если социальная сеть будет хранит данную переписку вечно, это всё равно повышает безопасность вашего собеседника. Так как в случае несанкционированного доступа к вашему аккаунту хакер не получит доступа к удалённой переписке.
Старайтесь выполнять просьбы или намёки других людей в области безопасности. Даже если они вам кажутся глупыми. Делайте это постоянно, без их напоминаний. Уточняйте, если вы считаете, что что-то неправильно поняли.
Подведём итог этой части.
1. Уважайте других людей. Соблюдайте их безопасность, молчите о них. Не публикуйте никакой информации о них, в том числе групповых фото с ними, если они против. Если вы опубликовали групповое фото, отметьте всех людей, которых вы знаете, если это социальная сеть Вконтакте, чтобы люди знали, что их фото опубликовано.
2. Не публикуйте свои фото, если это возможно.
3. Не указывайте нигде свой номер телефона, особенно, в публично доступных резюме. Даже если потом они будут сокрыты.
4. Не указывайте свой домашний адрес и не подтверждайте, что другие люди живут по какому-то адресу или что им принадлежит какое-либо имущество.
5. Не указывайте вообще или указывайте только для друзей, куда и с кем вы едете. Даже постфактум лучше не указывать о том, с кем именно вы ездили, если человек сам не опубликовал это. Удалите записи с такой информацией, если они были опубликованы ранее.
6. По возможности, не указывайте даже вашу фамилию, имя и отчество. Указывайте ложные даты рождения.
7. Выполняйте просьбы по безопасности других людей, даже если они кажутся вам глупыми.
8. Уточняйте, если вы что-то непоняли. Общайтесь по безопасности