Рекомендации по безопасности в интернете

Проблема

Использование легко угадываемых паролей (например, «123456», «password» или собственное имя) остаётся одной из наиболее распространённых ошибок пользователей.

Подобные комбинации часто выбираются с целью облегчить запоминание и ввод пароля на сайте, а также нередко используются один и тот же пароль для нескольких аккаунтов, включая доступ к финансовым сервисам.

Злоумышленники без особых затруднений подбирают такие пароли с помощью брутфорс-программ, применяющих автоматически сгенерированные словари паролей. В них, как правило, учитываются персональные данные пользователя (например, комбинации вида %имя% + %год рождения% + %текущий год%).

Кроме того, в брутфорс-атаках активно применяются словари, сформированные на основе ранее взломанных учетных данных и результатов прошлых атак, а также базы данных, полученные в результате утечек.

Пароли вроде «123456», «12345678» и «qwerty» по-прежнему входят в число самых часто используемых в мире.

Риски (пользователь -> жертва)

Взлом аккаунта пользователя предоставляет злоумышленнику широкий спектр возможностей для получения информации и совершения атак.

Доступ к электронной почте открывает прямой путь к восстановлению паролей от других сервисов, включая финансовые и социальные платформы.

Взлом аккаунтов в социальных сетях позволяет получить доступ к личным фотографиям, сканам документов, а также использовать профиль жертвы для рассылки фишинговых сообщений друзьям и родственникам.

Кроме того, компрометация любого сервиса часто приводит к утечке конфиденциальной информации о пользователе, что значительно упрощает последующие атаки на другие аккаунты.

Особую опасность представляет повторное использование одного и того же пароля. В случае утечки данных на одном из сервисов, что происходит регулярно, злоумышленники, как правило, незамедлительно проверяют полученные учётные данные на других платформах — такой метод известен как атака методом подбора учётных данных (credential stuffing). В результате один скомпрометированный пароль может стать причиной цепочки взломов сразу нескольких аккаунтов жертвы.

Решение

Для обеспечения безопасности необходимо использовать уникальные и сложные пароли для каждого аккаунта. Надёжный пароль должен содержать не менее 12 символов, включать в себя цифры, заглавные и строчные буквы, а также специальные символы. Чем длиннее и разнообразнее пароль — тем выше его стойкость к взлому.

Повторное использование одного и того же пароля на нескольких сервисах категорически недопустимо. Даже незначительная утечка с одного ресурса может поставить под угрозу другие ваши аккаунты.

Оптимальным решением является использование менеджеров паролей. Эти инструменты позволяют:

• безопасно хранить все пароли в зашифрованном виде
• автоматически генерировать надёжные пароли
• упростить процесс авторизации без необходимости запоминать десятки комбинаций.

Рекомендуется регулярно обновлять пароли для критически важных сервисов — электронной почты, банковских аккаунтов, рабочих и корпоративных систем. Особенно важно менять пароли незамедлительно в случае подтверждённой утечки данных или при любых подозрениях на компрометацию учётных данных.

Дополнительно рекомендуется:

• не хранить пароли в открытом виде (в текстовых файлах, заметках и т.п.)
• не передавать пароли третьим лицам
• использовать двухфакторную аутентификацию (2FA) для всех поддерживающих её сервисов.

Менеджеры паролей

Bitwarden - иностранный сервис с платным функционалом.

Vaultwarden (❤️) - аналог bitwarden для самостоятельного запуска на сервере. (Моим подписчикам Bruce Stars предоставляется бесплатно)

Google Password manager - иностранный сервис, предоставляется бесплатно для каждой учетной записи Google

Apple Password manager - иностранный сервис, предоставляется бесплатно для каждой учетной записи Apple

KeePassXC (❤️) - бесплатный сервис. Максимально надежный т.к. хранит данные локально в зашифрованном виде. Кроссплатформенный.

Yandex Password manager - отечественный сервис, предоставляется бесплатно для каждой учетной записи Yandex

❤️ - значок рекомендации.

Проблема

Одной из распространённых ошибок пользователей является отказ от использования двухфакторной аутентификации (2FA) по причине кажущегося неудобства. Однако 2FA существенно повышает безопасность, добавляя дополнительный уровень защиты при входе в аккаунт.

Двухфакторная аутентификация предполагает, что помимо пароля требуется ввести одноразовый код, полученный через SMS, мобильное приложение или аппаратный токен. Благодаря этому даже при компрометации пароля злоумышленник не сможет войти в систему без второго фактора.

Если двухфакторная аутентификация отключена, безопасность аккаунта полностью зависит от пароля. В случае, если он окажется слабым или станет известен злоумышленникам, доступ к аккаунту будет получен незамедлительно. Игнорирование этой меры лишает пользователя «второй линии обороны», существенно увеличивая риск взлома.

Риски (пользователь -> жертва)

Игнорирование двухфакторной аутентификации значительно повышает вероятность взлома аккаунта. Согласно статистике, подавляющее большинство скомпрометированных учётных записей не использовали 2FA. Иными словами, в большинстве случаев успешные кибератаки происходят там, где защита ограничивается только паролем.

Если злоумышленник получает доступ к паролю — будь то через фишинг, перебор (brute-force) или утечку данных, — он без особых препятствий сможет войти в аккаунт при отсутствии второго фактора аутентификации.

Решение

Для надёжной защиты аккаунтов рекомендуется включать двухфакторную аутентификацию (2FA) везде, где это возможно: в сервисах электронной почты, социальных сетях, банковских и финансовых приложениях, корпоративных системах и других платформах.

В качестве второго фактора могут использоваться:

• одноразовые коды из SMS.
• приложения-аутентификаторы (например, Vaultwarden, KeePassXC).
• аппаратные ключи (U2F, FIDO2, смартфон и другие).

Следует отдавать предпочтение приложениям-аутентификаторам или аппаратным ключам.

В отличие от SMS, которые могут быть перехвачены (SIM swap или атаки на мобильного оператора), эти методы обеспечивают более высокий уровень защиты.

Обязательно сохраните резервные коды, которые выдаются при настройке 2FA, в надёжном и безопасном месте. Они необходимы для восстановления доступа в случае потери устройства или сбоя приложения.

Важно

Злоумышленники часто пытаются выманить коды двухфакторной аутентификации, выдавая себя за сотрудников службы поддержки или банка. Ни одна легитимная компания никогда не попросит сообщить одноразовый код.

Подобные запросы всегда являются признаком мошенничества.

Проблема

Многие пользователи без раздумий подключаются к бесплатным Wi-Fi-сетям в кафе, торговых центрах, аэропортах и других общественных местах, считая их безопасными. Однако такие сети часто обладают рядом скрытых угроз.

Риски (скрытые угрозы)

В публичных сетях шифрование не обеспечивает должного уровня защиты. Ключи шифрования в таких сетях, как правило, известны всем подключённым пользователям (например, общий пароль размещён на стенде или в меню), а значит, злоумышленники внутри сети могут анализировать трафик и выполнять атаки на других участников.

Кроме того, злоумышленники могут создать поддельную точку доступа с тем же именем (Evil Twin) и перехватить весь трафик, включая логины, пароли и данные банковских карт. Пользователь в этом случае, сам того не зная, подключается не к реальной сети заведения, а к устройству атакующего.

Опасность кроется и в других методах: перехват трафика, подмена DNS-запросов, внедрение вредоносного контента и атаки типа «Man-in-the-Middle», позволяющие получить доступ к передаваемой информации даже в зашифрованных соединениях при неправильной настройке клиентского оборудования или ПО.

Особенно рискованно в таких сетях осуществлять финансовые операции, передавать конфиденциальные данные или вводить учётные данные для доступа к чувствительным сервисам.

Решение

Избегайте использования открытого Wi-Fi для передачи конфиденциальных данных
Интернет-банкинг, работа с электронной почтой, онлайн-покупки и другие действия, связанные с вводом логинов, паролей или платёжной информации, рекомендуется выполнять только через защищённые соединения — домашний интернет или мобильные сети (4G/5G).

Используйте VPN при работе в публичных сетях
Виртуальная частная сеть (VPN) надёжно шифрует весь ваш трафик, защищая его от перехвата даже в небезопасных Wi-Fi-сетях. VPN снижает риск атаки «Man-in-the-Middle» и других способов перехвата данных.

Отключите автоматическое подключение к известным сетям (IOS привет)
В настройках устройства рекомендуется отключить опцию автоматического подключения к знакомым Wi-Fi. Это предотвратит случайное подключение к поддельным или небезопасным точкам доступа с именами, имитирующими легитимные сети.

Проверяйте правильность сети
Перед подключением уточните у сотрудников заведения точное название Wi-Fi-сети. Наличие нескольких похожих сетей (например, Cafe_WiFi и CafeFreeWiFi) — повод насторожиться, так как это может быть признаком атаки с использованием поддельной точки доступа.

Всегда используйте HTTPS
При работе в публичной сети обращайте внимание на использование защищённого протокола HTTPS. Передача данных по HTTPS затрудняет перехват содержимого трафика. Проверяйте наличие значка замка в адресной строке браузера и избегайте посещения сайтов без защищённого соединения.

Проблема

Многие пользователи загружают программы, мобильные приложения и различные файлы с непроверенных сайтов или сторонних ресурсов. Стремление сэкономить или получить доступ к контенту быстрее часто приводит на пиратские и нелегитимные площадки: скачивание взломанного программного обеспечения, фильмов, кряков, а также установка мобильных APK-файлов, минуя официальные магазины приложений.

Дополнительную угрозу представляет неосторожное открытие вложений в письмах от незнакомых отправителей. Такие вложения могут содержать вредоносные файлы, способные нанести серьёзный ущерб устройству и данным пользователя.

Отдельный привет любителям открывать APK файлы из telegram от неизвестных отправителей.

Риски (пользователь -> жертва)

Крякнутые копии программ и сторонние приложения нередко оказываются заражёнными вредоносным скрытым кодом. Отсутствие самостоятельного контроля со стороны пользователя позволяет злоумышленникам встраивать в распространённые файлы шпионское или вымогательское ПО и распространять его под тем или иным предлогом.

Крякнутые программы и APK-файлы из неизвестных источников часто содержат вредоносный код, который может:

• похищать личные данные, включая пароли, банковские реквизиты, содержимое переписки. (Чтение буфера обмена или файловой системы)
• блокировать доступ к устройству или зашифровать файлы с последующим требованием выкупа. (доступ к файловой системе)
• предоставлять злоумышленнику удалённый доступ к устройству. (получение доступа к системе с повышенными привилегиями)
• рассылать спам и вредоносные ссылки от имени жертвы. (доступ к сети от имени жертвы)

Известны многочисленные случаи, когда под видом бесплатных версий популярных игр или офисных программ пользователи загружали трояны, способные перехватывать SMS, читать список контактов и даже полностью контролировать смартфон или компьютер.

Распространение вируса (примеры)

• Торрент сайты: adobe photoshop cracked, windows 10 pro.
• Активатор Windows (KMS).
• Сайт с взломанными APK играми.
• Социальные сети с предлогом открыть файл якобы со слитыми фото жертвы.
• Почтовые письма с предлогом списать все кредиты и долги.
• Сайты с корпоративными промокодами для wildberries и Ozon.

Решение

По возможности загружайте программы только с официальных сайтов разработчиков. Это наиболее надёжный источник, позволяющий получить актуальную и проверенную версию ПО.

Если установка возможна только через магазин приложений (Google Play, App Store и другие), пользуйтесь только ими, несмотря на то, что 100% гарантии безопасности они не дают. Никогда не устанавливайте приложения из сторонних или неизвестных источников.

Откажитесь от использования пиратских, взломанных или модифицированных версий программ. Экономия в таких случаях не оправдывает высоких рисков для безопасности данных и устройства.

Не открывайте вложения из писем, полученных от незнакомых отправителей. Если даже письмо пришло от знакомого, но вложение вызывает подозрение — уточните, действительно ли он его отправлял.

Используйте актуальное антивирусное программное обеспечение и регулярно обновляйте базы данных угроз. Антивирус способен обнаружить и заблокировать известные вредоносные программы ещё на этапе скачивания.

На мобильных устройствах близких родственников старшего поколения сохраняйте системные ограничения: не отключайте запрет на установку приложений из неизвестных источников, не рутуйте устройства и не снижайте встроенные уровни безопасности.

NOD32 триал ключи доступны бесплатно для подписчиков Bruce Stars.

Проблема

Одной из ключевых ошибок пользователей остаётся доверчивое открытие электронных писем или сообщений от мошенников и переход по содержащимся в них ссылкам. Фишинговое письмо обычно маскируется под уведомление от банка, популярного сервиса или даже знакомого человека. Его цель — заставить пользователя перейти по ссылке или открыть вредоносное вложение.

Часто такие письма содержат срочные и эмоциональные призывы:
«Ваш аккаунт заблокирован», «Новый полис ОМС готов», «Получите персональный промокод», «Розыгрыш от банка».

Поддавшись панике или любопытству, пользователь переходит по ссылке или открывает файл, в результате чего передаёт конфиденциальные данные злоумышленникам или заражает устройство вредоносным ПО.

Риски (пользователь -> жертва)

Фишинг остаётся одним из самых популярных методов проведения кибератак. По данным за 2024 год, более 60% киберпреступных групп использовали фишинг как основной способ получения первоначального доступа к системе. Большинство успешных атак начинаются именно с того, что кто-то из пользователей нажимает на ссылку или открывает вложение из фишингового письма.

Последствия могут быть крайне серьёзными:

• кража учётных данных (логины, пароли, PIN-коды, данные банковских карт).
• установка шпионского или вымогательского ПО.
• полный захват аккаунтов или заражение корпоративных сетей.
• утечка персональной или коммерческой информации.

Фишинговые письма часто оформлены очень убедительно: подделываются адреса отправителей, визуальный стиль, логотипы и даже ссылки. Пользователь может не сразу заметить подмену, если не проявит должной внимательности.

Решение

Проверяйте адрес отправителя
Мошенники часто используют адреса, похожие на настоящие (например, support@yandex1.ru вместо yandex.ru). Даже незначительные отличия — повод насторожиться.

Оценивайте содержание письма
Фишинговые сообщения часто содержат грамматические ошибки, нетипичный стиль, эмоциональный или запугивающий тон. Будьте осторожны, если письмо требует срочно перейти по ссылке или угрожает последствиями.

Не переходите по ссылкам напрямую
При получении письма с важной просьбой (подтвердить операцию, оплатить счёт) не кликайте на ссылки. Лучше самостоятельно откройте официальный сайт или приложение.

Не открывайте подозрительные вложения
Если получили вложение от незнакомого отправителя или сомневаетесь в его подлинности — перепроверьте через другие каналы связи. Даже «счёт» или «договор» могут оказаться вирусом.

Используйте спам-фильтры и антивирусное ПО
Современные почтовые сервисы и защитные решения умеют автоматически блокировать известные фишинговые сообщения и сайты.

Повышайте цифровую грамотность
Ознакомьтесь с примерами современных фишинговых атак и регулярно обновляйте свои знания по кибербезопасности. Это поможет быстрее распознавать опасные письма.

Проблема

В последние годы существенно возросло количество случаев телефонного и SMS-мошенничества. Злоумышленники выдают себя за сотрудников банков, правоохранительных органов, служб доставки, техподдержки или других «официальных» структур. Их цель — вызвать доверие, запугать или обмануть, чтобы получить доступ к личной информации или деньгам.

Многие пользователи, доверяя голосу в трубке или правдоподобному тексту, передают коды из SMS, данные банковских карт или даже переводят средства мошенникам.

Типичные сценарии:

• Звонок от «службы безопасности банка» с сообщением о взломе счёта и требованием срочно назвать код подтверждения или перевести деньги на «безопасный» счёт.
• Сообщение о выигрыше, требующее назвать "смс код из шторки".
• SMS с фальшивыми уведомлениями от имени служб доставки, содержащие вредоносную ссылку об отмене заказа на крупную сумму.
• Сообщения в мессенджерах с просьбой просмотреть видео с форматом APK с провоцирующим названием.
• Сообщения в мессенджерах от якобы коллег с предыдущего места работы с просьбой подписать некий документ (только с подписью жертвы документ будет актуален).
• EMAIL-сообщения с подделкой отправителя, якобы с работы от коллеги с фишинг ссылкой.
• Видеозвонок от «службы безопасности банка» по зеленому мессенджеру с аватаркой ФСБ. На видео подполковник-хохол с хромакеем и якобы официальной формой федеральной службы.

Риски (пользователь -> жертва)

Телефонные и SMS-атаки — один из наиболее опасных видов социальной инженерии. Последствия могут быть крайне тяжёлыми:

• Кража банковских средств.
• Утечка персональных данных.
• Установка вредоносного ПО через ссылки в сообщениях.
• Психологический стресс, утрата доверия и социальной безопасности.
• Идентификация (прохождение КУС) на криптобирже или регистрация банковскогох счета на втором аккаунте с целью отмыва средств.

Общий ущерб от действий телефонных и интернет-мошенников составляет сотни миллиардов рублей в год. При этом значительная часть пострадавших не обращается в полицию, считая возврат средств невозможным.

Решение

Не доверяйте незапрошенным звонкам.
Если вам внезапно звонят из «банка», «полиции» или «налоговой» и просят назвать личные данные, прекратите разговор. Перезвоните в организацию самостоятельно по официальному номеру — он указан на обороте банковской карты или на официальном сайте.

Никогда не сообщайте по телефону конфиденциальную информацию.
CVV-код, PIN-код, пароли из SMS, логины и пароли от аккаунтов — всё это строго личные данные. Ни один легитимный банк или сервис не запрашивает их по телефону. Или SMS код будет отмечен специальным комментарием, что он для сотрудника банка.

Игнорируйте сомнительные «выигрыши» и акции.
Если вы не участвовали в розыгрыше, сообщение о выигрыше — это ловушка. Не переходите по ссылкам, не сообщайте данных и не вносите предоплату. Бесплатных денег нет!

Осторожно относитесь к SMS со ссылками.
Не переходите по ссылке сразу. Лучше откройте приложение службы (банка, доставки и т.д.) самостоятельно или свяжитесь с их поддержкой напрямую.

Используйте функции блокировки и фильтрации.
Включите спам-фильтры, настройте блокировку подозрительных номеров и сообщений. Многие смартфоны и операторы связи предлагают встроенные инструменты защиты от мошенников.

Проинформируйте пожилых родственников.
Пожилые люди особенно уязвимы. Объясните им, что по телефону нельзя передавать личные данные или выполнять «срочные» просьбы от якобы официальных лиц. При сомнительных звонках — лучше сразу класть трубку и перезванивать близким.

Проблема

Желание быстро и без усилий заработать делает пользователей уязвимыми к уловкам мошенников. Финансовые пирамиды, фальшивые инвестиционные платформы, азартные игры с «гарантированным выигрышем», псевдо-криптобиржи и прочие сомнительные схемы активно распространяются в интернете.

Пользователей привлекают обещания крупной прибыли без риска:

• Инвестируйте $100 в memhash — получите $1000 за неделю
• Уникальный алгоритм заработка с доходностью 100% в месяц
• Наше обучение по тех анализу будет приносить миллионы на бычке
• Секретный способ пассивного дохода без вложений через перепродажи товара на Озон
• Срочно требуется курьер в вашем городе с высокой зарплатой
• Уникальный сайт для оформления заявки 13 налогового вычета
• Требуются люди на удаленную работу
• "Я нашел тебя в чате Пердулькина, ты покупал его курсы? Я знаю Писюлькина, который за те же деньги передает информацию о договорных матчах"

Такие предложения часто рассылаются через электронную почту, социальные сети, мессенджеры или размещаются в виде рекламы на ненадёжных сайтах. Поддавшись на уловку, люди передают личные данные, делают первый взнос или сразу вкладывают крупную сумму.

Риски (пользователь -> жертва)

Подавляющее большинство схем быстрого заработка — это мошенничество. На практике жертва сначала вносит деньги или предоставляет персональные данные, а затем сталкивается с дополнительными требованиями (оплата «комиссий», «налогов», «страховок», «увеличению денежного вклада»).

После нескольких транзакций злоумышленники либо перестают выходить на связь, либо продолжают обманывать до полного опустошения бюджета.

Последствия участия в подобных схемах:

• полная или частичная потеря вложенных средств.
• риск утечки персональных данных.
• возможность вовлечения в незаконные операции (например, отмывание денег).
• психологические последствия — стресс, потеря доверия к финансовым сервисам.

Решение

Проявляйте скепсис к обещаниям лёгких и быстрых денег.
Если схема обещает высокий доход без усилий и рисков — это почти всегда обман.

Проверяйте компании и проекты.
Изучите информацию о проекте, проверьте наличие лицензий и аккредитаций. Отзывы могут быть поддельными — ориентируйтесь на источники с хорошей репутацией и консультации финансовых специалистов.

Читайте оферту и не верьте всяким ИП. Особенно, если "говорящая бошка" рекламирует легкий заработок чуть ли не каждый день.

Не переводите деньги незнакомым лицам.
Любые предоплаты, взносы за «обслуживание», «страховку», «активацию счёта» — признаки мошенничества.

Остерегайтесь финансовых пирамид.
Если схема предполагает получение дохода за счёт привлечения новых участников — это классическая пирамида, которая неизбежно приведёт к потерям.

Проверяйте адреса сайтов.
Используйте только проверенные инвестиционные платформы. Будьте внимательны к поддельным сайтам с доменами, отличающимися от оригинала одной буквой или символом.

Проблема

Слишком поспешное доверие к неизвестным интернет-ресурсам становится одной из частых причин потери личных данных и денежных средств. Пользователи нередко переходят по ссылкам из рекламы, социальных сетей или сообщений и оказываются на поддельных сайтах, внешне неотличимых от оригиналов — например, страницах входа в интернет-банк, соцсети или онлайн-магазин.

Также распространена практика оформления заказов на малоизвестных сайтах с заманчивыми скидками, не проверив при этом надёжность продавца. В условиях, когда создание фальшивого сайта занимает считаные часы, число подобных мошеннических ресурсов стремительно растёт.

Риски (пользователь -> жертва)

Онлайн-мошенничество находится в числе лидеров по количеству зарегистрированных инцидентов.

Самые популярные способы обмана пользователей:

• Фишинговые страницы, на которых пользователь вводит свои логины, пароли и другую конфиденциальную информацию, не подозревая, что передаёт их злоумышленникам.
• Фальшивые интернет-магазины, принимающие оплату за несуществующий товар или подделку, после чего продавец исчезает, а деньги вернуть невозможно.

Мошенники создают сайты с качественным, но простым дизайном, каталогом товаров и формой оплаты. Часто они рекламируются через таргетированную рекламу в соцсетях и поисковых системах, что делает их видимыми даже для осторожных пользователей.

Риск также заключается в получении товара, который:

• Не соответствует описанию.
• Является подделкой.
• Вовсе не будет доставлен.

При этом сайт может быть зарегистрирован как однодневный проект, не имеющий юридического лица, гарантий или поддержки. Контактов на сайте не будет, или контакты будут скопированы с официального сайта.

Решение

Внимательно проверяйте адрес сайта.
Фишинговые ресурсы часто используют схожие доменные имена с незначительными отличиями (например, yandexx.ru вместо yandex.ru). Особенно осторожно относитесь к переходам по ссылкам из писем, рекламы или мессенджеров.

Изучайте информацию о магазине.
Перед покупкой проверьте:
– есть ли реальные контактные данные (телефон, адрес, ИНН)
– возраст домена (через WHOIS-сервисы)
– отзывы клиентов на независимых площадках.

Контактные данные могут быть скопированы с иного ресурса.

Возраст домена на год (namecheap) является красным флагом.

Отзывы с текстом и аватаркой - являются просто текстом на странице сайта.

Осторожно относитесь к «нереальным» скидкам.
Слишком низкая цена по сравнению с рыночной — один из признаков мошенничества. Мошенники часто приманивают пользователей акциями и «финальной распродажей».

Используйте безопасные способы оплаты.
При покупках в интернете предпочтительно использовать банковские карты с возможностью возврата средств (чарджбэк). Не переводите деньги напрямую на карты или криптовалютные кошельки — это исключает возможность оспорить платёж.

Используйте защитные инструменты.
Современные браузеры и антивирусы позволяют устанавливать расширения для выявления фишинговых и вредоносных сайтов. Активация такой защиты может предупредить вас о подозрительном ресурсе ещё до ввода личных данных. Некоторые антивирусы имеют базу рейтинга сайтов.

Проблема

Избыточное и неконтролируемое распространение личной информации в социальных сетях — одна из наиболее распространённых ошибок пользователей. В попытке делиться моментами из жизни многие публикуют открытые сведения: дату рождения, место работы, номера автомобилей, фотографии из дома или отпуска, имена домашних животных и другую персональную информацию в тех же Сторис или Рилсах или Шортсах.

Однако такая активность может стать источником информации для злоумышленников. Открытые профили позволяют собрать достаточно данных для проведения атак, основанных на социальной инженерии. По доступным постам можно легко узнать фамилию, семейное положение, круг общения, интересы, места, которые человек посещает, и многое другое.

Риски (пользователь -> жертва)

Оверсшеринг значительно упрощает работу мошенников. По статистике, более 84% пользователей публикуют личную информацию каждую неделю. А еще хуже: 42% пользователей выкладывают информацию ежедневно, что даёт злоумышленникам широкий доступ к актуальной информации.

Данные цифры легко подтвердить, проанализировав количество небольших каналов в мессенджерах. Ведение блога или тикток аккаунта с персональной информацией особенно популярно у подростков.

К каким последствиям это может привести:

• персонализированные фишинговые атаки с учётом интересов, привычек или круга общения жертвы
• успешное угадывание ответов на контрольные вопросы для восстановления доступа к аккаунтам (любимая кличка, девичья фамилия матери и т.п.)
• мошенничество с использованием данных о месте жительства, отпуске или материальном положении
• риск физического ограбления, если в социальных сетях публикуются сведения о длительном отсутствии дома или расположение камер
• репутационные потери — нежелательный контент может увидеть работодатель, потенциальные партнёры или клиенты.

Особую опасность представляют фото документов, билетов, банковских карт и другой информации, которую некоторые пользователи размещают, не задумываясь о последствиях. Такие публикации могут привести к прямым финансовым потерям или кражам данных.

Решение

Проверьте настройки конфиденциальности.
Ограничьте круг лиц, которые видят ваши публикации. Скрывайте от посторонних такие данные, как номер телефона, адрес электронной почты и дату рождения.

Будьте внимательны к содержимому публикаций.
Перед размещением информации подумайте, может ли её использовать злоумышленник или нежелательная аудитория. Не публикуйте данные, которые могут стать инструментом для мошенничества. Чувствительные данные можно заблюрить.

Минимизируйте персональные детали.
Например, не указывайте в публичных записях год рождения. Сочетание имени, даты рождения и другой информации — уже ценная находка для злоумышленника.

Не анонсируйте своё отсутствие.
Фото и отчёты из отпуска лучше размещать после возвращения. Это поможет избежать риска физического ограбления. А контент на каналах можно заранее загрузить с функцией отложенного постинга.

Осторожно относитесь к новым контактам.
Не принимайте в друзья незнакомых людей. Мошенники часто используют поддельные аккаунты, чтобы получить доступ к вашей информации.

Помните о долговечности информации в интернете.
Удалённые публикации могут сохраниться в виде скриншотов или в кэшах поисковых систем. Лучше изначально не публиковать ничего, что может быть использовано против вас.

ИТОГИ

Большинство киберинцидентов происходит не из-за сложных атак с применением передовых хакерских техник, а в результате элементарных упущений в цифровой гигиене самих пользователей.

Ситуацию усугубляет то, что современный киберпреступный ландшафт активно пополняется новичками. Значительную часть аудитории «хакерских» форумов составляют подростки 17–20 лет. Создать фишинговый сайт с якобы бесплатными промокодами или акциями с применением нейросетей сегодня несложно — подобный ресурс можно развернуть за несколько часов. Такие сайты часто действительно выдают случайные промокоды из открытых агрегаторов (pepper), но в обмен запрашивают логины и пароли от реальных аккаунтов в популярных интернет-магазинах или социальных сетях.

На практике даже базовые меры существенно снижают риск стать жертвой киберпреступников:

• Использование уникальных и надёжных паролей.
• Включённая двухфакторная аутентификация.
• Осторожность при переходе по неизвестным ссылкам и подключении к публичным сетям.
• Регулярное обновление операционной системы и программного обеспечения.

Важно развивать цифровую грамотность и соблюдать базовые принципы информационной безопасности:

• Критически оценивать поступающие сообщения. (Особенно, от неизвестных лиц)
• Проверять достоверность онлайн-сервисов перед вводом личных данных.
• Осознавать ценность и уязвимость персональной информации.

Осторожность и бдительность — ваши лучшие союзники в интернете.

Контакты:

TG канал: https://t.me/bruce_club

Автор статьи: https://t.me/pancakeboy