«Восьмизначный пароль можно взломать за 48 минут»: как защититься от хакеров в интернете?

Российский пользователь vs хакеры и утечки данных

Эксперты отмечают, что чаще всего целями злоумышленников становились государственные учреждения и СМИ. Но не стоит забывать, что рядовой российский пользователь тоже оказался в крайне незавидном положении.

По данным аналитиков Positive Technologies, число атак на частных лиц в прошлом году увеличилось на 44%, и в 64% случаев злоумышленникам удавалось украсть данные. В основном это были учетные данные (41% среди украденной информации), а также персональные (28%) и платежные (15%) сведения.

Одновременно российские пользователи стали жертвами множества утечек данных, которые произошли в крупных компаниях и популярных сервисах, в числе которых Яндекс.Еда, «ВкусВилл», Whoosh, «СДЭК», Delivery Club, «Гемотест», DNS. По данным Роскомнадзора, с начала 2022 года произошло не менее 60 крупных утечек персональных данных, содержащих более 230 млн записей с личной информацией граждан, а пострадали от этого почти 100 млн человек.

Утечки перекочевали и в наступивший 2023 год: в конце января хакеры выложили в сеть 45 гигабайт исходных кодов российского интернет-гиганта «Яндекс». Речь о кодах большей части сервисов компании – почтовых, музыкальных, облачных, а также агрегатора такси. Нынешний инцидент не связан с персональными данными напрямую, однако утечка данных исходников может способствовать нахождению «дыр» в сервисах компании, а затем привести к взлому и краже личных данных.

«Утечки 2022 года позволят злоумышленникам совершенствовать схемы атак с использованием социальной инженерии, проводить атаки более точечно, располагая детальной информацией о действиях жертвы в скомпрометированных сервисах. Также вырастет число атак на пользователей в социальных сетях и мессенджерах. К этому стоит добавить кражи учетных паролей в мессенджерах, соцсетях, почтовых клиентах, банковских приложениях», - рассказали в Positive Technologies.

Как нас взламывают?

Как отмечают эксперты, опрошенные «Татар-информом», основной инструмент злоумышленников — различные приемы социальной инженерии. Для организации таких атак они создавали фишинговые сайты (56%), отправляли вредоносные письма по электронной почте (39%), искали жертв в социальных сетях (21%) и мессенджерах (18%). Также использовались банковские трояны (23%). Кроме этого, источником заражения вредоносным ПО становятся сайты — 40% случаев за прошлый год.

Отдельное внимание стоит уделить тому, как взламывают наши пароли. По словам заместителя руководителя Центра противодействия киберугрозам Innostage CyberART Максима Акимова, одним из способов, который наиболее часто используют злоумышленники, являются атаки типа «брутфорс».

«Доступ к информации пользователя хакеры получают путем перебора возможных комбинаций паролей. Эта операция не требует от них серьезных усилий. Автоматизированные утилиты можно найти в открытом доступе. Именно поэтому число атак этого типа только увеличивается, - рассказывает эксперт. - В брутфорс-атаках злоумышленники все активнее пользуются растущей производительностью видеокарт: с их помощью можно осуществить атаку проще и быстрее. К примеру, недавно вышедший флагман NVIDIA GeForce RTX 4090 в разы сократил время подбора пароля к аккаунту. Восьмизначный пароль можно взломать всего за 48 минут. Хотя еще совсем недавно на это ушло бы 80 дней. Пятизначный пароль можно подобрать совсем быстро — всего за 24 секунды».

Примечательно, что зачастую мы сами облегчаем злоумышленникам работу. Исследователи в области информационной безопасности проанализировали 170 млн учетных данных, утекших в сеть, и обнаружили 7 млн одинаковых паролей «123456». Следующими по популярности были «123456789», «password», «qwerty», «12345678». Используя такие комбинации, пользователи сами приглашают «гостей» в свои аккаунты.

Как выстроить защиту?

Все перечисленное требует более осторожного поведения в сети и внимательного обращения со своими данными. Во-первых, не переходим по сомнительным ссылкам (кто бы их вам ни присылал – друг во «ВКонтакте» или какой-нибудь сервис в СМС-сообщении). Во-вторых, не бросаемся переводить деньги, увидев сообщение из серии «Саня, привет! Я попал в больницу, помоги парой тысяч на лекарства» от друга детства, соседа и даже родного брата.

В-третьих, используем сложные пароли для всех ресурсов, периодически их меняя. По словам Максима Акимова, простому пользователю целесообразно менять пароль раз в три месяца. Если мы говорим о бизнесе, особенно с критической инфраструктурой, то здесь требуется более частая смена пароля — раз в месяц.

«Еще большую безопасность обеспечит многофакторная аутентификация. При многофакторной аутентификации злоумышленникам очень сложно получить доступ к данным пользователя, так как для этого им нужно знать, например, его электронную почту или номер телефона. Поэтому в большинстве случаев проникнуть в учетную запись пользователя у них не получается. В качестве первого фактора аутентификации можно использовать пароль, второго и третьего — пин-код и биометрию», - советует эксперт.

Главная проблема со сложными паролями – их запоминание. Аналитики Innostage дают несколько советов на этот счет.

Первый способ – придумать один сложный пароль длиной 15-20 символов, например *DjPmVbCgJkRbGbHj:jR@2*, и ключ, который вы будете добавлять к паролю для хранения в записной книжке, например qwer**123@. Пароль в записной книжке будет выглядеть так: qwer*DjPmVbCgJkRbGbHj:jR@2*123@. В случае если информация из записной книжки с паролем утечет, злоумышленники не смогут им воспользоваться, так как лишние символы знаете только вы.

Второй способ, наиболее рекомендуемый, – придумать базовое тело пароля (константу), например всё тот же *DjPmVbCgJkRbGbHj:jR@2*, и добавлять изменяемую часть в зависимости от ресурса, на котором применяется данный пароль, к константе в известное только вам место – в начале, в середине или в конце базового тела пароля. Например: профессиональная деятельность — job*DjPmVbCgJkRbGbHj:jR@2* или *DjPmVbCgJkrabotaRbGbHj:jR@2*; социальные сети VK —*DjPmVbCgJkRbGbHj:jR@2*vkontakte; видеохостинг YouTube – you*DjPmVbCgJkRbGbHj:jR@2*tube.

О паролях и утечках

«С точки зрения злоумышленника, неважно, какое слово или набор символов вы придумаете и добавите к константе. Пароль перебирается автоматизированно, злоумышленник не анализирует каждый введенный пароль на смысловую нагрузку. Ключевую роль играет длина, наличие регистра (большие и маленькие буквы), цифр и спецсимволов, - комментирует Максим Акимов. - Необходимо начать пользоваться схемой. Пересилить себя и начать генерировать пароли. Первое время, возможно, придется их восстанавливать, но менять нужно опять же на тот, который должен быть по схеме».

Рекомендации на случай, если ваши данные утекли вместе с очередным «сливом» того или иного сервиса, дают эксперты Positive Technologies.

«Традиционно мы рекомендуем соблюдать особую бдительность в период распродаж, с осторожностью относиться к любым предложениям, связанным со значимыми общественными и культурными событиями, премьерами фильмов и сериалов, спортивными событиями. Распространение готовых комплектов для проведения массовых фишинговых атак еще больше увеличит активность злоумышленников в отношении частных лиц, особенно в отношении клиентов онлайн-банков и других онлайн-сервисов», - сообщили в ИТ-компании.