2. Для всех критичных учетных записей обязательно использование двухфакторной аутентификации. Последние исследования в области информационной безопасности показали, как просто перехватить SMS сообщение с кодом подтверждения, которое доступно практически всему миру, так как передается посредством протокола SS7. По сути, к любой системе можно получить доступ через SMS с кодом подтверждения, даже при включенной двухфакторной аутентификации.
Как защититься:
– откажитесь от двухфакторной аутентификации с помощью SMS, когда код подтверждения приходит в текстовом сообщении. Лучше использовать приложение для генерации.
3. Публичные Wi-FI сети.
Элементарная атака с переустановкой ключа приводит к тому, что роутер подключается к сети хакеров. Все данные, загруженные или переданные при подключении к сети, включая приватные ключи, становятся доступны хакерам. Особенно это актуально в аэропортах, отелях и других общественных местах с большим скоплением людей.
Также любой человек с мобильным телефоном или ноутбуком может раздать свою сеть, сделать ее свободной и с помощью нехитрых манипуляций собирать многие данные, включая критичные, такие как номера карт, реквизиты документов, пароли и так далее. Например, в аэропорту Стамбула злоумышленник может переименовать свою личную сеть в «Istanbul_Wi-Fi_Free» и раздавать ее бесплатно. Многие люди будут подключаться к ней, не задумываясь о каких-либо мерах безопасности.
Как защититься:
– никогда не проводите критичные действия используя сети публичного Wi-Fi, особенно если эта сеть не запаролена;
– регулярно обновляйте прошивку своего собственного роутера, так как производители постоянно выпускают обновления для усиления защиты от подмены ключа.
4. Использование различных ботов в мессенджерах, в том числе по денежным переводам или покупке-продаже криптовалюты.
Чаще всего такой бот уведомляет пользователя о проблеме с его криптоактивами, пытаясь заставить пользователя перейти по ссылке и ввести приватный ключ, тем самым владелец навсегда потеряет свои средства.
Как защититься:
– игнорируйте активность ботов, обдумывайте каждое свое ответное действие на предложение;
– защищайте свой канал в мессенджере с помощью антивирусного программного обеспечения;
– жалуйтесь администраторам на любую подозрительную активность.
5. Различные плагины и расширения в браузере.
Современные браузеры предлагают различные решения пользователю для более комфортной работы. И проблема не только в том, что расширения могут читать все, что вы печатаете, пока пользуетесь интернетом, большинство из них написаны на языке JavaScript, который особенно подвержен кибератакам.
Как защититься:
– не скачивайте никакие сторонние расширения;
– используйте только лицензированные официальные браузеры.
6. Фальшивые приложения.
Жертвами часто становятся владельцы Android устройств, которые не используют двухфакторную аутентификацию, так как она требует не только имени и пароля, а также дополнительную информацию, известную только пользователю.
Как защититься:
– не устанавливайте незнакомые мобильные приложения без особой необходимости;
– включите двухфакторную аутентификацию для всех приложений в вашем смартфоне;
– обязательно проверяйте ссылку на приложение на официальном сайте.
7. Неизвестные флеш-карты или иные носители информации.
Не секрет, что во многих организациях вообще отсутствуют какие-либо устройства ввода или вывода информации, связанные с возможностью записи или ввода информации с внешних носителей. Имеются в виду всевозможные разъемы для дискет, флеш-карты, иных носителей. Но такие требования применяются не везде и связаны в основном с режимными объектами или государственными структурами. Многие финансовые учреждения такую практику не имеют. Злоумышленник может заказать изготовление, например, нескольких флеш-карт с логотипом какого-либо известного банка и в разных отделениях незаметно их оставить. Расчет на то, что какой-либо сотрудник примет эту флеш-карту за корпоративную и попробует посмотреть, что там. На самом носителе можно разместить вредоносное программное обеспечение, замаскированное под какой-нибудь похожий на служебный файл, например простой документ с названием «Стратегия развития Компании на текущий год». Или «Зарплаты сотрудников Департамента информационной безопасности». Расчет сделан на человеческий интерес. Есть вероятность, что кто-то из сотрудников откроет файл.