Как противостоять утечке информации и социальной инженерии?
Социальная инженерия — это манипулирование людьми. Проще говоря, искусный обман. Как правило, для того чтобы управлять человеком, нужно войти к нему в доверие, испугать его, убедить в чем-то. Если вам приходит электронное письмо, где вам предлагают сменить пароль к платежной системе или к любому другому сервису — будьте очень осторожны. Письмо может быть поддельным, отправленным вовсе не службой поддержки сервиса, а злоумышленниками.
Если вы все же решите изменить пароль, постарайтесь войти на сайт, используя свой обычный метод входа: например, ссылку, записанную в Избранном, или, возможно, вручную введя адрес в соответствующее поле браузера. Ни в коем случае не кликайте по ссылке, которую вам предлагают в письме. Вполне возможно, что эта ссылка приведет вас на поддельный сайт, неотличимый внешне от настоящего, специально созданный для того, чтобы собирать пароли доверчивых пользователей.
Или еще один пример: сетевому администратору звонит один из офисных работников и просит его продублировать якобы забытый пароль входа в корпоративную сеть. Никто не гарантирует, что звонящий сотрудник — это не злоумышленник, который хочет проникнуть в информационную систему компании. Бывает, администраторы приглашают пользователей в свой кабинет для того, чтобы они сами сменили свой пароль, и, пожалуй, это лучшая защита от подобных трюков.
Утечка информации часто делает возможным взлом компьютерных систем. Простейший пример — записанный на клейком листочке логин и пароль электронной почты. Зачастую таким листочком, прикрепленным у компьютера, пользуются сразу несколько человек. А в помещение, где стоит этот компьютер, то и дело заходят посетители, и если бы кто-нибудь их них захотел подсмотреть эти атрибуты, ему бы не составило труда подключиться к чужому почтовому ящику. Очевидно, что в такой ситуации записку с паролем надо снять и убрать подальше от чужих глаз. Или вовсе выбросить. Но и здесь нужно быть осторожным, ведь вполне возможно, что злоумышленник решит покопаться в мусорном баке или в корзине для бумаги и обнаружит ваши личные данные.
Думаю, способы борьбы с обманом и утечками информации очевидны. Во-первых, побольше скептицизма и недоверия, а во-вторых — с важными данными, которые могут представлять интерес для кого-либо, следует обращаться так, будто за ними кто-то специально охотится.
Не рекомендуется хранить какие-либо важные пароли в электронном виде на ПК. Лучше всего выделить отдельный блокнот и записывать их туда. «Но и в блокноте их могут прочесть!» — можете возразить вы. Да, могут. Поэтому либо храните его в сейфе или в запирающемся ящике стола, либо записывайте самое важное с помощью какого-нибудь простого (или сложного) шифра.
Например, можете записывать пароли, перемешивая их с буквами какого-нибудь известного вам слова. Скажем, ключевое слово — book. Пароль, который вы хотите зашифровать — qe23rty. Запишем сначала первую букву ключевого слова, потом — первую букву пароля, затем так же — вторые буквы и т. д. Если слово кончилось, а пароль еще нет — его окончание можно дописать в неизменном виде, а можно продолжить писать ключевое слово снова.
Вот что у нас получилось: мы записали пароль и слово, повторяя это слово после его окончания — bqoeo2k3brotoy. Очевидно, что для расшифровки нужно изъять все буквы слова book и сложить воедино оставшиеся символы пароля.
Злоумышленник будет долго ломать голову, разгадывая даже такой простой шифр. А что если взять слово подлиннее, да еще если это будет не осмысленное слово, а некий случайный набор букв? А что если буквы пароля предварительно особым образом перемешать? Кстати, это лишь один из множества методов шифрования, доступных для быстрого применения. Но даже он уменьшит вероятность взлома вашего аккаунта в том случае, если зашифрованные им данные попадут в руки злоумышленнику.
Да, и не забывайте о том, что выбирая пароль для доступа к какому-либо сервису, следует придумывать что-то достаточно длинное и бессмысленное, чтобы его было сложно подобрать. Один из методов взлома аккаунтов — это прямой перебор паролей. Понятно, что пароль длиной в пару-тройку символов взломать достаточно просто. А простой пароль можно подобрать, используя словарь наиболее часто используемых паролей или обычный словарь английского языка.
И еще один совет. Если вы продаете компьютер, жесткий диск, флэш-карту, собираетесь выбросить ненужный CD, дискету, аудиокассету — проверьте, нет ли там чего-нибудь такого, что не должно попадать в чужие руки. Например, жесткий диск лучше всего заново разбить на разделы и отформатировать, либо (это касается и других устройств хранения информации) — воспользоваться специальной программой для безвозвратного удаления данных.