Почти ежедневно в лентах соцсетей появляются десятки тестов о том, кем вы были в прошлой жизни, кто ваш поклонник, сколько людей вас любят и пр. Ответы на эти вопросы, вероятно, мало пригодятся вам в жизни, зато помогут мошенникам заполучить ваши персональные данные.

В начале марта администраторы нескольких телеграм-каналов пожаловались на взлом аккаунтов. Примечательно, что в этот же период самым популярным в российском AppStore стало приложение GetContact, которое позволяет узнать, как вы записаны в телефонах других людей. Эксперты не утверждают, что между этими событиями есть прямая связь, однако и не исключают, что в будущем данные из приложения упростят подобные атаки, ведь в соглашении говорится, что данные могут быть переданы третьим лицам, а каким — не указано!

Каких данных достаточно, чтобы мошенники взломали аккаунт?

Ведущий контент-аналитик «Лаборатории Касперского» Надежда Демидова предупреждает:

Полное имя, дружеские прозвища, номер телефона, адрес электронной почты, пол, аккаунты в социальной сети, место работы, фотография, адрес — такого набора данных о человеке достаточно для того, чтобы провести очень хорошо подготовленную целевую атаку и получить доступ не только к соцсетям, но и к деньгам жертвы, если эти данные окажутся в руках злоумышленников.

Например, GetContact в качестве «вступительного взноса» предлагает пользователю предоставить доступ к телефонной книге. Таким образом, в базу попадают не только данные пользователя, но и номера его контактов, которые вовсе не собирались в ней оказываться.

GetContact не единственное приложение, которое собирает персональные данные. Тесты, которые запрашивают доступ к соцсетям, тоже таким образом пополняют чьи-то базы данных, а иногда и вовсе могут направлять на фишинговый сайт или давать ссылку на скачивание вредоносного ПО.

Правда, они запрашивают доступ всего лишь к списку друзей, открытому профилю и электронной почте. Но встречаются и более любопытные «собиратели», которые просят открыть доступ ко всем постам, фотографиям, а также указать место жительства, работы и дату рождения.

Достаточно ли придумать пароль один раз?

Нет, недостаточно. Эксперт по информационной безопасности Group-IB Илья Обушенко рассказал, что часто даже двухфакторная аутентификация не может гарантировать безопасность, если пользователь недостаточно серьезно относится к защите своей почты и аккаунтов в социальных сетях. Люди часто привязывают к одному почтовому ящику много аккаунтов в различных сервисах и используют для них один и тот же пароль: знаешь один пароль — знаешь все.

И тогда хакеру остается сделать самое сложное получить код из SMS. Илья Обушенко рассказал, что это можно сделать двумя способами:

Первый — это возможность с помощью социальной инженерии, фишинга получить этот код. Например, вам звонят, говорят: «Вы выиграли миллион, сейчас вам придет код подтверждения, мы точно должны знать, что это вы, скажите нам его, пожалуйста». А это был код для идентификации в телеграме. Злоумышленник получает доступ к телеграму, там производит изменение номера телефона и удаление аккаунта или очищение его от всего контента.

Вторая история — клонирование SIM-карты. Это дело затратное, но возможное. С помощью клонирования SIM-карты злоумышленник получает доступ к телефону, SMS и доступ к аккаунту в телеграме.

Вывод

Чек-лист от экспертов по информбезопасности

1. Меняйте пароли как минимум раз в три месяца. Помните, они все должны быть разными!

2. Всегда пользуйтесь двухфакторной аутентификацией. Никаких компромиссов!

3. Следите за тем, какие ссылки вы открываете и на каких сайтах вводите свои данные.

4. Владельцам публичных страниц лучше купить отдельную SIM-карту и использовать ее.

5. Не пользуйтесь публичными беспроводными сетями или выходите в них только через VPN.

6. Зайдите в настройки соцсети и посмотрите, каким приложениям даны разрешения. Ограничьте их при необходимости.

Источник: Forbes.