Благодаря соцсетям, общество вошло в эпоху чрезмерной информационной открытости, произведя на свет новейшие методы соц. инженерии, слежки и взлома.
В нашем современном, цифровом мире, чекин или обновление статуса в соц. сети становится непременным, практически ритуальным атрибутом любого бизнес ланча. Социальные сети сегодня затрагивают практически каждый аспект нашей жизни, и с каждым днем, все больше и больше людей сливают туда свою личную информацию. С другой стороны, очень модным стало переживать о слежке со стороны властей, особенно на фоне недавнего скандала с АНБ и заявлениями Эдварда Сноудена.

Большинству людей, недалеких от информационной безопасности до сей поры не ясно, как можно с одной стороны переживать о слежке, а другой рукой в это же время переписываться с кем-то Вконтакте, или рассылать твиты? Большинство из нас отдают свои данные добровольно, а также сливают информацию о своем окружении. Мы хотели бы рассмотреть, достаточно ли сегодня защищать «закрытую» информацию от утечек, в то время как простой анализ «открытых» данных может рассказать о человеке гораздо больше?

В последние пару лет, сама концепция информационной безопасности значительно расширилась, ведь общество вошло в эру избыточной информационной открытости, приоткрыв тем самым ящик Пандоры, создав миллионы новых угроз IT безопасности в сети. Сегодня мы обсудим самые серьезные из них, а также посмотрим, можно ли их избежать.

Основная проблема активных пользователей соц. сетей в том, что они не задумываясь делают свою личную жизнь достоянием широкой публики. При этом, никто не может сказать наверняка, кто получит доступ к этой информации, а самое главное, как именно он, или они будут ее использовать. Пользователи не скрывают свои данные, даже зная о том, что спецслужбы уже давно используют крупные социальные сети для слежки.

Такие активные пользователи также значительно облегчают «работы» квартирных воров. Во-первых, по открытым фотографиям можно судить о финансовом положении владельца профиля, а статусы, или фотографии с отпуска могут подсказать злоумышленникам, когда именно «идти на дело».

Стоит отметить, что каждому пользователю стоит оценивать проблемы, которые они вполне могут заиметь с работодателем, благодаря соц. сетям. К примеру, довольно откровенные фотографии с последней вечеринки могут показаться Вам вполне безобидными, однако для владельца компании, которая дорожит своей репутацией это может быть неприемлемо, и даже послужить причиной увольнения.

Боссы очень не любят соц. сети не только потому, что они значительно снижают продуктивность труда сотрудников, но также и потому, что они - основная причина утечек закрытой информации. Отличным примером могут стать несколько бойцов ВМС США, которые запостили несколько фотографий на Faceboоk, находясь на секретном задании. Именно поэтому большинство крупных компаний ограничивает доступ в социальные сети, а иногда может прибегнуть даже к блокировке Wi-Fi и мобильного интернета.

Некоторые, особо активные сотрудники, в ответ на блокировку доступа к их любимой соц. Сети начнут пользоваться своими смартфонами, а быть может даже принесут свою портативную точку доступа, которая умеет раздавать мобильный интернет по Wi-Fi. Поэтому большие компании часто используют глушилки сотовых телефонов и мобильного интернета , для защиты от утечек информации. Именно поэтому не стоит удивляться, если в большом офисном центре внезапно пропадет сигнал мобильной сети.

Стоит признать, что несмотря на все свои недостатки и подводные камни - социальные сети никуда не денутся, общество просто не сможет от них отказаться. Необходимо всего-лишь научится правильно и безопасно их использовать. Самое главное, о чем всегда стоит помнить - это контроль за тем, какие данные вы доверяете соц. сети. Ведь все, что попадает в интернет, остается там навсегда.

Сегодня СС являются неотъемлемой частью личной жизни многих людей, о чем свидетельствуют цифры статистики:

Facebook насчитывает более 5 млн. пользователей в России и 700 млн. профайлов по всему миру;

Ежедневная аудитория самой популярной у россиян социальной сети "ВКонтакте" насчитывает 12 млн. человек; "Одноклассники" - 7,2 млн.; 5,3 млн. - сеть "Мой мир, Facebook с 1,2 млн. посетителями из России в день

Аналитики говорят, что россиянин в среднем проводит почти 10 часов в месяц в социальных сетях. Этот показатель является самым высоким в мире и превышает среднемировое значение в 2 раза. За Россией следует Израиль (9,2 ч) и Турция (7,6 ч).

Очень часто, если работодатель этого не запрещает, пользователи просматривают социальные сети прямо на рабочем месте.

С точки зрения преступников, СС - удачное место для распространения вредоносных программ. Конечная цель преступлений - получить доступ в корпоративную сеть.

Пути проникновения:

• 1. Размещение ссылок на «стене». Под видом интересных видео или милых фотографий преступник закладывает мину мгновенного действия. В конечном счете, вместо фото или видео пользователь открывает странные сайты, на которых его ожидают вирусы попутной загрузки (они загружаются на компьютер во время перехода на другой сайт), которые ориентированы на кражу определенной информации. По статистке каждый 4-й открывает ссылки, в независимости от того, знаком или нет ее отправитель;
• 2. Использование методов социальной инженерии. Преступники нередко прибегают к созданию фейковых (поддельных) профилей, с помощью которых они связываются с заранее выбранной жертвой и пытаются добыть конфиденциальную информацию. И не всегда таинственных "друзей" интересует только цвет глаз пользователя, иногда они задают вопросы о его месте работы, о корпоративной культуре, о руководстве, что также может стать причиной серьезной утечки для компании;
• 3. Фишинг. Например, пользователь на рабочем месте получает сообщение от Facebook, которое графически весьма похоже на реальное сообщение (а по сути, является качественно выполненной подделкой) и которое просит подтвердить личные данные. Ни о чем не подозревающий пользователь вводит логин и пароль, которые уже отправляются к мошеннику. А потом по старой отработанной схеме - в корпоративную сеть.
• 4. Сбор личных данных. Когда игра или какой-либо другой сервис запрашивает разрешение на доступ к вашим личным данным, то, скорее всего, это приложение занимается сбором информации, чтобы в дальнейшем предложить вам контекстную рекламу;
• 5. Скаммер-технологии. Это взлом и похищение профайлов для распространения информации среди большого круга пользователей. Этот тип мошенничества основан на доверии к друзьям.

Около 25% компаний имели дело хотя бы с одним случаем сетевой атаки, средний ущерб которой составляет от 50 тыс. до 125 тыс. долларов в месяц.

Большое бедствие таит в себе привычка использовать одни и те же имена пользователей и пароли в корпоративной сети и во внешних социальных ресурсах. В результате взлом такой пользовательской записи СС значительно повышает риск проникновения к корпоративным ресурсам от имени одного из сотрудников компании.

Запрещать выход в СС работодателям бессмысленно. Во-первых, это вызовет недовольство. Во-вторых, работник всегда найдет возможность выйти с СС анонимно. Существует масса программ-анонимайзеров, пропускающих трафик по шифрованному каналу через прокси-сервер. Кроме того, работник может использовать свой собственный планшетник или смартфон.

Кто активно использует СС в своих, часто корыстных целях:

СС сети активно используют коллекторы для поиска неплательщиков. Причем коллекторы чаще заводят женские профайлы, что повышает эффективность «знакомства».

Также СС используют рекрутеры, для проверки потенциальных соискателей.

Гадалки, которые получают информацию из СС и затем предоставляют ее «клиенту» за деньги.

Меры предосторожности при работе в СС:

• 1. Меняйте свой пароль хотя бы раз в месяц, при этом желательно его усложнять.
• 2. Не выходите из сети, просто закрыв страницу - всегда делайте logout.
• 3. Будьте осторожны с видеофайлами, особенно, если вы не знаете того человека, который это видео разместил.
• 4. Обращайте внимание на подозрительные сообщения, особенно если они призывают вас перейти по какой-то ссылке.
• 5. Делайте закрытый доступ к своей странице и фотографиям;
• 6. Не помещайте конфиденциальной информации на «стену», ни домашнего адреса, ни телефона;
• 7. Избегайте «дружеского» стиля общения в СС, добавляя в друзья незнакомых.

Уже существуют адекватные средства защиты, позволяющие снизить риск использования соцсетей в бизнесе до приемлемого уровня. Для защиты от внешних угроз подходят современные межсетевые экраны, антивирусы, средства обнаружения и предотвращения атак.

Для защиты от утечек можно использовать современные DLP-системы (англ. Data Loss Prevention).

DLP-система - программный, либо программно-аппаратный комплекс, предотвращающий утечку конфиденциальных данных.

Защита конфиденциальной информации осуществляется DLP-системой при помощи использования следующих основных функций:

• 1. Фильтрация трафика по всем каналам передачи данных;
• 2. Глубокий анализ трафика на уровне контента и контекста.

Наиболее распространены два способа определения конфиденциальности документа: путём анализа специальных маркеров документа и путём анализа содержимого документа. В настоящее время более распространен второй вариант, поскольку он устойчив перед модификациями, вносимыми в документ перед его отправкой, а также позволяет легко расширять число конфиденциальных документов, с которыми может работать система.

Защита конфиденциальной информации в DLP-системе осуществляется на трех уровнях: Data-in-Motion, Data-at-Rest, Data-in-Use.

Data-in-Motion - данные, передаваемые по сетевым каналам:

• 1. Web (HTTP/HTTPS протоколы);
• 2. Интернет - мессенджеры (ICQ, QIP, Skype, MSN и т.д.);
• 3. Корпоративная и личная почта(POP, SMTP, IMAP и т.д.);
• 4. Беспроводные системы (WiFi, Bluetooth, 3G и т.д.);
• 5. FTP - соединения.

Data-at-Rest - данные, статично хранящиеся на:

• 1. Серверах;
• 2. Рабочих станциях;
• 3. Ноутбуках;
• 4. Системах хранения данных (СХД).

Data-in-Use - данные, используемые на рабочих станциях.

Защита конфиденциальной информации включает в себя организационные меры по поиску и классификации имеющихся в компании данных. В процессе классификации данные разделяются на 4 категории:

• · Секретная информация;
• · Конфиденциальная информация;
• · Информация для служебного пользования;
• · Общедоступная информация.

Современные DLP-системы основаны на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При выявлении в потоке конфиденциальной информации срабатывает защита, и передача сообщения (пакета, потока, сессии) блокируется или отслеживается.

В настоящий момент на нашем рынке представлено около двух десятков отечественных и зарубежных продуктов, обладающих некоторыми свойствами DLP-cистем. Вот некоторые из них:

• 1. DLP 9.0
• 2. Code Green
• 3. Monitorium;
• 4. Дозор-Джет;
• 5. DeviceLock.

Основная проблема западных разработчиков на рынке DLP - это языковая проблема.

Помимо своей основной задачи, DLP-системы также хорошо подходят для решения ряда других задач, связанных с контролем действий персонала, а именно:

• 1. Контроль использования рабочего времени и рабочих ресурсов сотрудниками;
• 2. Мониторинг общения сотрудников с целью выявления «подковерной» борьбы, которая может навредить организации;
• 3. Контроль правомерности действий сотрудников (предотвращение печати поддельных документов и пр.);
• 4. Выявление сотрудников, рассылающих резюме, для оперативного поиска специалистов на освободившуюся должность.

Статистика говорит, что около трети всего трафика США расходуется на социальные сети, такие как Facebook, Myspace и LenkedIn. Социальная сеть – это способ общения, поддержания связи со своими старыми друзьями, бывшими коллегами и т.д.

Основное преимущество соц. Сетей в том, что они имеют возможность объединять некоторое количество людей, у которых схожие интересы. Они могут создать свою группу, и вести в ней различного рода дискуссии на свою тему. Так же соц. Сети предоставляют возможность обмена информацией: фотографии, аудиозаписи, видеоролики. Так как соц. Сети довольно массовое явление, то и об их недостатках тоже необходимо вспомнить, дабы предостеречь многих от опасности. Как вы уже догадались, исходя из названия статьи, речь пойдет как именно об опасностях социальных сетей.

Основные правила

При регистрации вам необходимо указать ваше настоящее имя, фамилию и электронный адрес, за которым будет закреплена ваша учетная запись (в большинстве соц. Сетей емайл используется в качестве логина). Запомните, как и в любом другом случае, в качестве постоянного лучше использовать пароль более 6 символов, желательно случайных. Помните, что пароль вашей учетной записи в социальной сети и электронной почты не должен совпадать, так как если у хакеров получится раздобыть что либо одно, то они автоматически получат доступ и ко второму. А в случае, если пароли разные, то вы сможете выслать пароль ко своей учетной записи на емайл.

Минимум риска.

Операционная система Windows, установленная на вашем компьютере, поможет управлять безопасностью вашего компьютера настолько, насколько позволят ваши познания этой ОС. А вот сервера социальных сетей располагаются далеко, и при помощи *nix систем, для всех пользователей, кроме администратора, выставляются специальные права. Таким образом, вы можете заботить о своей безопасности настолько, насколько вам позволяет социальная сеть. Есть несколько советов, которые помогут снизить уровень риска:

• Пользуйтесь известными браузерами, и устанавливайте последние версии обновлений Windows и своих браузеров.
• Используйте последний брандмаузер для вашего компьютера, а так же последнюю версию антивируса, что б своевременно узнать о нежелательном программном обеспечении на вашем компьютере.
• Не принимайте и не устанавливайте неизвестные файлы от неизвестных людей, а так же не читайте их письма, в них может быть очень опасная ссылка, которая может привести к активации вируса. Был известен случай, когда была целая эпидемия вирусов, причиной которой стал просмотр ссылки. Злоумышленники могут вам наврать, что под ссылкой скрываются фотографии голых знаменитостей и т.д., не верьте!
• Помните, что социальные сети можно назвать явлением, которое опередило время. Создать то их создали, а вот о защите не подумали, уж больно выгодное это дело, поэтому о защите решили позаботиться потом. Еще много уязвимостей осталось не устраненными, благодаря которым злоумышленник сможет узнать все ваши скрытые данные.
• Сторонние приложения, которые MySpace и Facebook предлагают установить, для стабильной работы, создают только новые проблемы. Ведь эти программы не являются лицензионным программным обеспечением, и неизвестно, для каких целей социальные сети используют их. Будьте внимательны при установке эти приложений, и если вы на 100% не уверены что устанавливаете – не делайте этого.
• Не стоит заходить под своей учетной записью в социальные сети с чужих компьютеров, даже если вы доверяете пользователю. Неизвестно, насколько для него важна сохранность данных, поэтому у него на компьютере может находиться троянская программа (вирус), которая отправит хакеру данные о вашем аккаунте сразу после того, как вы войдете на сайт.

Меры предосторожности для сохранения конфиденциальности

Никогда не разглашайте важную информацию!

Недавно в Великобритании было произведено исследование, в ходе которого было выяснено, что более половины пользователей указывают свои контактные данные в профилях социальных сетей, тем самым делая их легкой добычей для злоумышленников.

Учитывая, что интернет – это открытая среда, а социальные сети не могут предоставить вашей информации абсолютную защиту, никогда не оставляйте свои личные данные, такие как домашний адрес, паспортные данные, мобильный или домашний телефон, в своих профилях социальных сетей. Не публикуйте видео- или фотоматериалы, если не хотите что б они стали предметов, который будет обсуждать вся интернет общественность.

Поставьте настройки приватности.

Запретите просмотр своего профиля посторонним людям, тем самым вы усложните задачу для злоумышленников, а ваши знакомые и друзья ничего не заметят.
Не стоит знакомиться через социальные сети.

Не добавляйте в друзья тех людей, которых вы не знаете, чем меньше у вас людей в списке контактов, тем более конфиденциален ваш профиль.

Также важно помнить, что многие люди любят выдавать себя за других, поэтому стоит понимать, что предложение познакомиться от порно актрисы, которая просит тебя посетить какой либо сайт – ложь. С такими людьми встречи в реале стоит проводить аккуратно. Ведь как легче всего выманить человека на встречу? Поставить фотографию красивой девушки, остальную информацию заполнить соответственно, и пригласить на встречу в заброшенное место.
Многие слышали историю девушки, которая покончила собой после он-лайн свидания. На самом деле оказалось, что с ней переписывалась мать подростка, которая не хотела, что б он встречался с этой девушкой. Если бы девушка меньше доверяла профилям социальных сетей – он бы была жива.
Выбирайте социальные сети, который используют метод шифрования.

Например, Facebook использует специальные методы шифрования вашей переписки, что усложняет работу злоумышленникам. В случае если злоумышленники перехватят информацию, например, от Myspace – они с легкостью прочтут вашу переписку, а в случае с Facebook это исключено.

Нарушители должны быть наказаны.

Если вам придется столкнуться со спамом, оскорблениями или прочими нарушениями – об этом стоит сообщить администрации. Прочитайте соответствующий раздел FAQ, что б знать к кому обратиться.

Исследования показывают, что более половины работников пользуются социальными сетями на работе, что снижает их уровень производительности. Естественно, начальство не одобрят таких выходов в интернет, поэтому будьте усидчивей.

Вывод

Количество людей в социальных сетях растет, люди стали их использовать как для личных целей, так и для работы. Только не стоит забывать одно, если ваша приватная информация может кому то понадобиться, он первым делом найдет ее в соц. Сети, и пометка «приватно» напротив вашего профиля не поможет. Поэтому прежде чем опубликовать какую либо информацию, подумайте, принесет ли она вред в руках злоумышленника. Ваши предостережения – вот лучшая интернет защита.

=============================

У вас диабет, но хотите похудеть?

Если вы активны в соцсетях, то, скорее всего, постоянно сталкиваетесь с угрозами. Чаще всего это пустая болтовня, но сейчас нельзя быть уверенным ни в чём. Хуже того - недоброжелатели почти никогда не несут уголовную ответственность за свои действия.

Команда 29 объясняет, что можно сделать в случае угроз и к кому обращаться (спойлер: к нам). А журналист Олег Кашин и основательница проекта «Дети-404» Лена Климова рассказывают о том, каково быть мишенью хейтеров.

Что такое угроза?

Под уголовно наказуемой угрозой понимается намерение одного лица причинить здоровью другого тяжёлый вред или лишить его жизни . Угрозе посвящена . В первой ее части идет речь просто об угрозе по любым мотивам. Во второй - об угрозе по мотивам «расовой, политической, иной ненависти или вражды к какой-то определённой социальной группе». Максимальное наказание за неё - пять лет лишения свободы. Причём уголовная ответственность наступает только если есть основания считать, что угроза реально осуществится.

Что такое тяжкий вред здоровью?

Любой вред, который повлечет за собой серьезные - а, возможно, необратимые - последствия: «потеря зрения и слуха, утрата органа или его функций, психическое расстройство, наркомания и токсикомания, неизгладимое обезображивание лица, утрата трудоспособности не менее чем на одну треть, прерывание беременности». Обещание просто набить вам лицо едва ли может считаться уголовным преступлением, а если вам хотят выколоть глаза - это уголовно наказуемое деяние.

Как зафиксировать угрозу?

Термин «нотариально заверенный скриншот» звучит смешно, но его вам как раз нужно сделать. Идите к нотариусу, тот должен составить «Акт осмотра страницы в сети «Интернет». При получении угрозы советуем вам сразу сделать скриншот самостоятельно, особенно если в случае с комментариями в блогах или соцсетях: автор может удалить свою запись.

Что делать, если в сети выложили адрес моего дома или данные о моих близких?

Это нарушение законодательства о персональных данных. Вы можете пожаловаться администрации социальной сети или сайта, где размещена информация. Кроме того, вы можете подать жалобу в Роскомнадзор, который может заблокировать страницу с опубликованными на ней персональными данными. Кстати, таковыми в силу размытости формулировок законодательства может считаться что угодно, от вашего имени и фамилии до номера ИНН и банковского счета.

Что сказать в полиции?

Напишите «Заявление о преступлении». Так и назовите свое обращение, чтобы полицейским было сложнее заволокитить его рассмотрение. В заявлении перечислите все обстоятельства произошедшего: кто угрожал, где, как именно, когда, при каких обстоятельствах. Если угрозы были в публичной сфере, например, в комментариях к посту или в чате, укажите, кто может быть свидетелем. Приложите к заявлению скриншот, заверенный у нотариуса, или акт осмотра страницы.

Ваше заявление должны зарегистрировать. В ответ вам выдадут номер КУСП (книги учета сообщений о происшествиях), по которому вы можете проверить статус заявления.

Что дальше?

Начинается доследственная проверка. По её итогам выносится постановление о возбуждении или об отказе в возбуждении уголовного дела. Следственные органы обязаны ознакомить вас с постановлением, а также в случае вашей просьбы материалами проверки. Последние при этом необходимо затребовать самостоятельно. Внимательно изучите документы, если вам отказали. Иногда из них выясняется, что никакой проверки по факту не было. Заметили это? Жалуйтесь. На выбор: руководитель следственного органа, прокуратура или суд.

Лена Климова

Оскорбления я получаю ежедневно. Угрозы - реже, примерно раз в две недели.

[В правоохранительные органы] обращалась, причём не вполне по своей воле. 21 ноября 2014 года международная организация Front Line Defenders распространила письмо, в котором требовала от властей РФ, среди прочего, расследовать сообщения о приходящих мне угрозах смерти и обеспечить мою защиту.

Немного времени спустя мне позвонили из местного отделения полиции и попросили прийти для разговора. Я пришла, захватила с собой пачку скриншотов из «ВКонтакте». Распечатали только самые очевидные, на мой взгляд, угрозы жизни. В отделении была занятная беседа с девушкой-следовательницей. Вначале мы разбирались, что считать угрозой, а что нет. Например, сообщения типа «если бы в моих руках была власть, я бы вас расстрелял», «Увидела бы тебя - собственными руками бы расстреляла» - не угрозы, а лишь предположения и фантазии. «Сука, ты *********** [договорилась], кирдык тебе скоро», «Недолго тебе осталось», «***** [Конец] тебе, сучара, покупай гроб» - не угрозы, потому что никакой конкретики в них нет.

Так отсеялись все [угрозы], кроме десятка. Остались совсем очевидные вроде «убью, зарежу, придушу». Затем следовательница начала интересоваться, неужели я воспринимаю эти угрозы всерьёз. Я отвечала: «Ну как вам сказать? Вот человек мне написал - приеду в твой Нижний Тагил и убью тебя. Мне это воспринимать как шутку?» Хорошо - пишите заявления. Написала я десять заявлений и ушла. Судьбой их, если честно, не интересовалась, потому что было некогда и не верилось, будто действительно кто-то этим займётся. Очевидно, так и вышло - полиция по поводу угроз меня больше не беспокоила.

Олег Кашин

Журналист

Да, постоянно получаю угрозы, прямых и иносказательных примерно 50 на 50, отношусь к ним серьезно, а правоохранительные органы не настолько уважаю, чтобы обращаться к ним за защитой.

Неотвратимость наказания за любое преступление считаю крайне важным фактором, но в условиях, когда от наказания уходят и убийцы Немцова, и организаторы покушения на меня, и коррупционеры, и кто угодно еще, рассуждать об ответственности за угрозы убийством я не готов. Единственное, на что [такая статья об угрозе] сгодится - на использование властью против своих оппонентов (так, например, происходит сейчас со статьей о препятствовании работе журналиста, по которой судят [Леонида] Волкова).

Лена Климова

Я не обращаю внимания на угрозы, потому что получаю их слишком много, а нервы мне дороги. Просто живу с пониманием, что на свете есть люди, которым я и моя деятельность не слишком нравятся, и эти люди готовы причинить мне вред, а некоторые - убить. ОК, понятно, живём дальше. От этого никуда не деться, такова реальность.

Я понимаю, что некоторые могут бездумно бросаться словами без намерения воплотить их в жизнь. Но дело не в этом. Я знаю многих людей, кому интернет-травля и угрозы серьёзно испортили жизнь. Не все такие твердокаменные, как я. Да и мне раньше было страшно. Вот пообещали тебе голову отрезать, и ты ходишь по улицам и озираешься, носишь эти слова в себе, нервничаешь, получаешь расстройство, идёшь к психологу, не можешь уснуть - и так далее. А виртуальный резатель голов спит себе спокойно. Так ли важно, имел ли он намерение воплотить свою угрозу, если твоя жизнь уже из-за самой угрозы перестала быть спокойной?

Мы живем в XXI веке. Многие люди уже не представляют свою жизнь без Интернета. К числу этих «многих людей» относятся Интернет - мошенники, которые стремятся украсть у ни в чем неповинного пользователя его данные, деньги и многое другое, тот, кто не знает, что делать, обязательно попадется на удочку злоумышленников. Сейчас мы ознакомимся с методами социального взлома и с методами защиты от него.

Социальная сеть (Интернет) - интерактивный многопользовательский веб-сайт, контент которого наполняется самими участниками. Исходя из этого определения, сделаем вывод, что интересны будут персональные данные, которые предоставляются самими пользователями. Большая часть пользовательских данных настоящая, потому что мы ищем друзей, соседей и так далее. Пользователи чаще всего вносят данные: имя, фамилия, отчество, адрес, интересы, места отдыха, работы.

Итак, каким же образом можно получить данные, которые каждый пользователь хранит как зеницу ока.

По исследованиям массачусетского университета флористики среднему хакеру для взлома пароля требуется 30-60 минут (в зависимости от сложности пароля и опыта хакера. Простые пароли хакеры могут взломать без применения специальных программ. Сложные же пароли взламываются при помощи специальных программ-взломщиков. Эти программы содержат словари с паролями. Остается только подобрать пароль. Даже самый первый червь, написанный аж в 1988 году уже умел подбирать пароли по словарю. Недавний виновник глобальной эпидемии kido (conficker) имел обширный словарик с паролями. Убедитесь, что Вашего пароля нет в этом спискеhttp://av-school.ru/desc/a-72.html

Также не надо ставить один пароль на все свои аккаунты, даже если он очень сложный, потому что, получив доступ к одному аккаунту, будет очень просто получить доступ к другому.

Как противостоять взлому пароля?

1. Пароль должен быть достаточно сложен, то есть содержать цифры, буквы (строчные и заглавные) и специальные знаки (точки и тому подобное).

2. Пароль должен быть длиннее восьми символов (а лучше, десяти).

3. Во многих сетях есть возможность восстановления пароля через ответ на секретный вопрос.

Плюсы такой защиты: довольно трудно будет подобрать пароль к вашему аккаунту.

Минусы: большое количество сложных.

Вопрос, интересующий многих - чем же грозит утеря пароля от аккаунта? Это почти стопроцентная рассылка спама Вашим друзьям и близким (плюс еще дивизия незнакомых Вам людей).

Если Ваш аккаунт взломали, и Вы потеряли над ним контроль, есть большая вероятность, что взломают все почтовые ящики, которые будут там указаны. Это скорее, психологическая проблема - очень неприятно осознавать, что твои данные теперь достались неизвестному «плохому парню» по ту сторону монитора, также Вы потратите время (возможно, но не обязательно) на создание нового аккаунта, создание нового пароля (конечно, более сложного и продвинутого, по сравнению с прошлым), смену паролей на свои оставшиеся аккаунты и почтовые ящики.

Сookies - небольшой фрагмент служебной информации, помещаемый веб-сервером на компьютер пользователя. Применяется для сохранения данных, специфичных для данного пользователя и используемых веб-сервером для различных целей». Они могут сохранять любые пользовательские настройки, например, ключ сессии (без пароля), зашифрованный пароль, комбинацию из зашифрованного пароля и логина. Именно поэтому они могут представлять определенную ценность для злоумышленников.

1. Cookies можно украсть. Проще всего это сделать, имея доступ к пользовательскому компьютеру. Через Интернет-соединение уже сложнее. Кража cookies через Интернет-соединение называется взломом сессии. Хакер, произведший взлом сессии и перехвативший cookies, легко сможет ими воспользоваться, даже не сомневайтесь в этом.

2. Cookies можно подменить. Подменой cookies называется изменение его содержимого (например, количества пересылаемых в Интернет-магазин средств). Подмена cookies происходит непосредственно перед отправкой их на сервер.

Несомненно, нас интересует первый вариант (из рассмотренных), когда наши пользовательские настройки украли. В этом случае злоумышленник сможет получить доступ к Вашему аккаунту, пароль от него, а также много другой информации. Хотя бы поэтому cookies не надо разбрасываться направо и налево.

Проще всего cookies украсть в местах, наименее защищенных и наиболее массовых (например, кафе с доступом к wi-fi). Самую серьезную защиту Ваших cookies предоставляют защищенные каналы (HTTPS-сессия плюс атрибут «SECURE» у самих cookies).

Фи́шинг (англ. phishing, от fishing - рыбная ловля, выуживание) - вид интернет- мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей - логинам и паролям, мы знаем, что с английского fishing - рыбная ловля. Не надо быть заядлым рыбаком, чтобы понять, что на голый крючок окуня не поймаешь - нужна наживка. Так же и в социальных сетях. Никто просто так не пойдет на фишинговый сайт и не отдаст письмо со своими паролями с пометкой «лично в руки». Обычно приманкой служит письмо (личное сообщение) от администрации какого-либо очень популярного сервиса (скажем, банки, такие сервисы, как Rambler и подобные, социальные сети и т.д.), в котором предлагается проголосовать за фотографию (это если от простых пользователей), внести плату за какие-то непонятные (а порой и понятные) услуги.

Чаще всего письмо содержит ссылку на фишинговый сайт (как правило, этот сайт внешне не отличить от оригинала). После захода на него пользователь, как правило, вводит свои персональные данные, которые достаются злоумышленникам.

Возможен иной вариант развития событий, если Вы зашли на фишинговый сайт. Предположим, Вы зашли на него и (не важно по каким причинам) сразу ушли с него. При заходе на нехороший сайт, специальный скрипт (скрипт - программа, автоматизирующая определенную задачу) определяет версию Вашей операционной системы и используемого браузера. Исходя из полученных данных, определяется эксплойт (эксплойт - фрагмент программного кода, использующий уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему), с помощью которого происходит правка файла HOSTS, загружается и активизируется троян, который может умыкнуть у Вас все пользовательские данные, пароли и так далее. Правда, есть еще и третий вариант. Он включает первые два.

Как противостоять фишингу? Во-первых, письма, которые пришли от неизвестных Вам пользователей даже читать не надо, а отправлять в папку «Спам» и сообщать администрации (этим Вы ей очень поможете). Но не надо лихорадочно всю почту помещать в вышеуказанную папку. Если Вы принимали участие в каком-либо конкурсе, получаете письмо от организаторов данного мероприятия, то лучше прочитать, но соблюдать осторожность (конечно, в пределах разумного). Во-вторых, надо помнить, что никакая администрация не попросит у вас пароль от Вашего аккаунта, который у нее и так есть (в лучшем случае, не в одном экземпляре). Администрация не будет просить выслать смс-сообщение такой-то стоимости по такому-то номеру. Если Вас пытались взломать (это пример одного из писем, пришедшего мне), а потом администрация просит отправить смс, то на это сообщение реагировать тоже не надо.

Собственно говоря, эти средства - гарантия вашей безопасности в Интернете (как утверждают сотрудники Лаборатории Касперского, почти стопроцентной).

Еще один тип угроз, который мигрировал в социальные сети из систем интернет-банкинга - это программы для кражи паролей. Они внедряют части своего кода в ваш браузер (в основном, в Internet Explorer и иногда в Firefox) для того, чтобы похитить ваши регистрационные данные до того, как они будут отправлены на сервер.

Если злоумышленнику удастся заполучить ваши регистрационные данные, то, скорее всего, он станет отправлять ссылки, устанавливающие программу для кражи паролей на компьютеры ваших друзей. В результате количество компьютеров-жертв будет расти как снежный ком:

В большинстве сообщений, рассылаемых с использованием техники маскировки под законного пользователя, содержится компонент социальной инженерии, который пытается заманить жертву на определенный сайт или уговорить получателя сообщения загрузить программу на свой компьютер. Даже если вы не можете убедить своих друзей установить хорошее антивирусное решение, попросите их относится внимательнее к ссылкам, полученным от знакомых. Поскольку фишинговые атаки генерируются компьютером, будет невредно поинтересоваться у своих друзей, действительно ли они отправляли вам ссылку.

Существует еще один фид угроз- Фарминг, который еще более опасен, чем фишинг. Сначала появился фишинг, а потом (в результате эволюции) - фарминг. Фарминг (от англ. pharming, farming – сельское хозяйство) - это замаскированное перенаправление пользователя - жертвы на ложный IP-адрес. Является более опасным способом мошенничества, чем фишинг.

В чем отличие фарминга от фишинга? В обоих случаях Вашему положению не позавидуешь, это раз. И в том и в другом случае Вас просто уводят с настоящего красивого сайта и перенаправляют на ненастоящий красивый сайт. Но если в случае с фишингом Вы попадаете на сайт с другим именем, то в случае с фармингом, имя остается неизменным, меняется только IP-адрес сервера, то есть, если знаменитый сайт Vkontakte.ru находится в России, то один из его двойников - в Китае. Даже очень внимательный пользователь не сможет определить, когда попадет на фарминг-сайт, если у него нет возможности просматривать IP-адреса сайтов и сравнивать их. Если адреса идентичны - надо бить тревогу. Примерно так выглядит обыкновенный файл HOSTS.

Так же недавно появившийся сервис геопозиционирования, с помощью которого пользователь отмечает места (территориальные), в которых он находится. Подобные «добровольно» сообщаемые о себе сведения могут попасть в руки разных людей с разными намерениями. Наиболее известные социальные сети, где используется эта функция - Twitter и Foursquare .