Текст книги "Цифровая гигиена"

Важно научиться различать сообщения от спамеров или мошенников.

■ SMS с незнакомых номеров. Прежде чем открыть SMS, всегда проверяйте имя и номер отправителя. Не следует открывать и читать сообщения от незнакомых абонентов или с анонимных номеров, где в поле «Отправитель» указано общее ролевое название наподобие «Центр обслуживания», info, «Социологическая служба».

■ Анонимные SMS со ссылками. Нельзя переходить по ссылкам в SMS на якобы присланное, но не полученное сообщение MMS – с очень большой вероятностью это вирус. Ссылки на сайты и аккаунты в SMS также опасны.

■ Любые сообщения с эмоциональными или привлекательными предложениями. Эмоционально окрашенные обращения, личные предложения что-то получить, сообщения о неожиданных выигрышах – типичные признаки SMS-мошенничества.

Такие сообщения нужно сразу удалять и ни в коем случае не переходить по содержащимся в них ссылкам. Номер, с которого пришло сообщение, лучше добавить в чёрный список.

Надо понимать, что все ваши любимые пароли хорошо известны всему Интернету. Пароли утекают в Сеть постоянно с различных массовых сервисов, так что у мошенников есть базы данных с миллионами всех сколько-нибудь популярных паролей.

Люди, к сожалению, обычно мыслят примерно одинаково, особенно в типичных ситуациях и в спешке. Большинство очевидных или кажущихся вам сложными паролей, которые вы можете придумать на ходу при регистрации аккаунта в соцсетях, мессенджерах или в клиент-банке, уже есть у мошенников в их базах, так что они могут подобрать пароль к вашему аккаунту.

■ Делайте уникальные и сложные пароли, не включающие распространённые слова или числа. Лучше не использовать телефонные номера, даты рождения, имена детей, родных, клички домашних животных, обычные слова (их легко автоматически подобрать по словарю).

■ Аккуратно храните пароли. Используйте менеджеры паролей для их хранения (например, в браузере). А лучше – бумажный блокнотик, который всегда будет с собой.

■ Не храните список паролей на устройстве в открытом виде. Никогда не записывайте пароли в текстовый файл, хранимый на компьютере или смартфоне, – его может найти и украсть вирус. Не пишите пароли на обороте клавиатуры и не вешайте их на экран или на стену на стикерах – их рано или поздно найдут или нечаянно сфотографируют и выложат в Сеть.

Даже в бумажном блокноте старайтесь слегка зашифровать пароли на языке, понятном только вам. Например, если пароль – дата какого-то события плюс его название, то не пишите их явно: намекните в записи на само событие. Искусственный интеллект, используемый злоумышленниками, пока не в состоянии совершить логический скачок и распознать такой намёк.

■ Используйте двухфакторную аутентификацию для денежных трансакций, когда банк присылает вам временный пароль для подтверждения операций со счётом.

■ Используйте мнемоники. Вообще, стоит создать какие-то свои личные правила придумывания и запоминания паролей, так называемые мнемоники. Любитель математики может использовать какие-то сложные, но запоминающиеся последовательности чисел (квадраты, кубы, геометрические прогрессии и т. п.), другому человеку будут близки имена великих художников Средневековья или философов древности. Можно поискать в Сети советы по выбору подходящей мнемоники. Вот здесь, например, дают неплохие советы:

• «Вкратце: как создать и запомнить эффективный пароль»: https://hi-tech.mail.ru/review/the-best-password-of-the-world/#a03;

• «Мнемонические формулы для запоминания паролей»: https://www.securitylab.ru/analytics/354292.php.

■ Не используйте очевидные проверочные вопросы для смены или восстановления забытого пароля. Для проверочных вопросов интернет-сервисов или банков никогда не выбирайте очевидные категории типа «девичья фамилия матери»: это информация, которую сейчас слишком легко выяснить в Интернете. А кличку любимого домашнего животного очень часто можно просто найти в аккаунте пользователя вместе с фото фигуранта.

■ Не используйте набор русских слов при включённом латинском регистре (например, d[jldrjynfrn вместо входвконтакт): вы можете оказаться в ситуации – в отпуске или в командировке, на чужом устройстве, – когда понадобится войти в аккаунт, а на клавиатуре не будет русских букв и вы не сможете вспомнить, где они находятся.

■ Пересылка паролей и идентификаторов. Если нужно кому-то передать пароль или другой идентификатор для доступа к файлу, личному кабинету, счёту и т. п., по возможности не пересылайте их в открытом виде. Не пересылайте пароли с помощью того же устройства, где они используются. Если вы на своём ноутбуке зашифровали файл для размещения на публичном диске в Интернете, то пароль пересылайте через SMS или сообщайте голосом.

Вообще, всегда лучше разделять среды: пересылаете шифрованный файл в мессенджере, тогда пароль к нему – по электронной почте с ноутбука или голосом и т. д.

Нужно быть внимательными и замечать необычное поведение своего устройства, например:

• смартфон начал самостоятельно включаться и выключаться;

• на телефоне внезапно появились новые приложения, которых вы не устанавливали;

• стала быстро разряжаться батарея;

• есть заметное нагревание устройства, когда оно не используется;

• без видимых причин вырос интернет-трафик;

• появляются «лишние» исходящие или входящие звонки, которых вы не совершали;

• участились проблемы со связью во время разговора – долгое соединение с абонентом, помехи и шумы.

Всё это может быть признаками внедрения на смартфон вредоносных приложений.

Если возникли такие подозрения, стоит потратить немного сил и времени на то, чтобы разобраться в устройстве и провести гигиенические мероприятия: проверить набор установленных приложений, удалить незнакомые, неиспользуемые и подозрительные приложения (важно при этом нечаянно не удалить нужные системные), отключить непрошеные подписки, выключить непрошеную переадресацию звонков и SMS, проверить устройство на вирусы и т. п.

Стоит также проверить, какие приложения работают в фоновом режиме. Например, может наблюдаться частая синхронизация программ с каким-то облаком, отправка данных на другие устройства. Это можно посмотреть в разделе «Энергопотребление» в настройках смартфона.

Чтобы непрошеные гости не получили доступ к устройству, рекомендуется не подключаться к публичным Wi-Fi-сетям, не устанавливать приложения из неофициальных «маркетов» и от неизвестных производителей.

Мы также советуем следующее.

■ Использовать сайты, а не приложения. Хорошая практика – по возможности использовать вместо приложений различных интернет-сервисов их сайты в Интернете. Некоторыми популярными сервисами, в том числе «ВКонтакте», Facebook, Twitter, можно полноценно пользоваться на смартфоне без обязательной установки соответствующего приложения. Это резко снижает возможности сервиса по неявному сбору данных и составлению профиля поведения пользователя и, соответственно, ограничивает возможности по показу навязчивой таргетированной рекламы и «инвазивных» рекомендаций.

■ Быть аккуратными с разрешениями. Другая полезная практика – отказывать приложениям в любых запросах на разрешение доступа и проверять, какие разрешения программа получила при установке. Любая вредоносная деятельность приложения на смартфоне связана с конкретными разрешениями, полученными от пользователя.

■ Сказать «нет» уведомлениям. Стоит блокировать подписки на любые пуш-уведомления сайтов в браузерах. Такая подписка (кроме возможности слать вам поток ненужной информации) даёт владельцу сайта неочевидные для пользователя возможности, например загружать любые файлы, перенаправлять его запрос на любой адрес.

■ Следить за скоростью разрядки батареи. Если батарея внезапно стала слишком быстро разряжаться, стоит изучить энергопотребление устройства: такая функция сейчас есть в любом смартфоне. Простейший способ проверить чистоту устройства – посмотреть на уровень энергопотребления с разбивкой по приложениям. Любая нежелательная активность приложений создаёт заметную нагрузку на батарею.

Это не касается приложений-вымогателей, так как их цель – либо напугать пользователя, либо создать для него серьёзное неудобство в использовании телефона (шифрование файлов, перекрытие экрана уведомлениями и т. п.), что не требует длительной работы зловредного приложения в фоновом режиме, то есть оно не потребляет много энергии. Зато заметить вымогателя и без этого очень легко: он сам обращается к пользователю.

Ввод адресов электронной почты, фамилии, имени и отчества, паролей (даже временных), проверочных вопросов, не говоря уж о номерах кредитных карт, телефонов и домашнем адресе, при бесплатном скачивании программ, фильмов, сервисов с пиратским видео или ПО практически всегда заканчивается передачей ваших данных спамерам и мошенникам, после чего можно ожидать писем с социотехникой, попыткой втянуть вас в какую-то схему по получению от вас денег или каких-то других благ.

Ваши временные, ситуативные пароли на таких сайтах также сливаются мошенникам.

Общее правило: без серьёзной необходимости никогда и нигде не вводите личные данные в Интернете.

Желание получить прикольную игрушку или программу, подписаться на новости интересного сайта, дочитать статью до конца на сайте СМИ к такой необходимости не относится. Даже если на сайте вам обещают, что это бесплатно и ваши данные никому не передаются.

«Донаты» любимому политическому деятелю, импульсные благотворительные переводы фондам и друзьям больных и пострадавших, о которых вы только что узнали, также чреваты утечкой номера вашей кредитной карты, не говоря уж о прямой потере денег.

Помните, что Ф.И. О., номер телефона, адрес и номер кредитной карты стоит вводить всего на нескольких хорошо известных вам ресурсах, среди которых сайты вашего банка, Госуслуг, ГИБДД и судебных приставов, провайдер интернет-доступа, мобильный оператор, любимый интернет-магазин, любимый благотворительный фонд, проверенный доставщик еды, привычный сервис такси и т. д.

Никому другому эту информацию раскрывать нельзя, а если этот кто-то другой её у вас просит, нужно насторожиться.

Информацию о посещённых вами сайтах запоминают и используют десятки операторов рекламы и других наблюдателей. Это делается с помощью cookie-файлов[13]13
  Специальные метки, которые посещаемые вами сайты оставляют в браузере, чтобы узнать вас при повторном посещении. В браузере можно запретить принимать эти метки.


[Закрыть] и других инструментов. О ваших посещениях знают браузер, интернет-счётчики, Facebook и «ВКонтакте» (если вы были залогинены в соцсети, а на сайте был код Facebook) и т. п.

Потом это, в частности, может проявиться в демонстрации на экране вам или, например, другим членам семьи или коллегам «релевантной» рекламы, которая основана на содержимом посещённых сайтов. Здесь могут случаться разные неожиданности, конфузы и последовать неприятные объяснения с домашними или коллегами: описания таких ситуаций можно в избытке найти на форумах и в блогах (орфография и пунктуация авторов сохранены).

 «…Как-то вечером одолела меня бессонница. Чтобы не мучиться от могучего храпа благоверного, ушла в другую комнату и стала просматривать новости на ноутбуке. Главной новостью стало выскакивание большого количества ссылок на страницы, предназначенные исключительно для мужчин с фонтанирующим тестостероном. Устав от игривых картинок и призывов “встретиться с горячей штучкой”, чтобы обрести “знакомство без обязательств”, выключила компьютер и проворочалась без сна до утра…»

 «…девочки, подскажите…если у мужа всплывает на телефоне реклама сайта знакомств, значит ли это, что он там сидит? А ещё средства для потенции высматривает в Интернете…хотя у нас вроде все нормально… что думать? Разругались в пух и прах… От всего отказывается… типа он не при чём…»

Чтобы меньше игроков рекламного рынка знали, где вы ходите и что просматриваете, запрещайте сохранение cookie-файлов и включайте режим «инкогнито» в своём браузере. Так ваши посещения не сохранятся в истории браузера, а cookie-файлы не будут передаваться посещаемым сайтам. Такая функция сейчас есть в любом браузере.

Разработчики браузера всё равно будут знать, что вы посещаете, но это хоть какое-то снижение прозрачности.

Конечно, можно было бы дать читателю детальные советы по установке анонимизатора и подключению VPN, но мы не будем этого делать. Это довольно известные технологии, подробно описанные в Сети: советы по данному вопросу можно получить, загуглив «установить VPN» в любом поисковике.

Мы же скажем, что лучше всего не посещать сомнительные сайты, ибо всё сделанное в Интернете в любом случае имеет шанс когда-то стать публичным.

Электронная почта – один из самых опасных каналов общения, ведь с её помощью можно присылать пользователю вложения любого размера (файлы, архивы, программы), а также ссылки на сайты с неизвестных или подставных адресов. Поэтому обращаться с сообщениями электронной почты нужно крайне осторожно. Вот основные правила почтовой гигиены.

■ Не открывайте вложения в письмах от неизвестных адресантов. Если письмо от неизвестного отправителя содержит вложения, то нужно задуматься о том, кто и почему его прислал. Вложения от незнакомцев с большой вероятностью заражены вирусом, который активируется при попытке открыть приложение в текстовом или графическом редакторе. Либо просто содержат ненужные предложения, отнимающие время и внимание.

Например, письмо может выглядеть так, как на снимке экрана ниже. Что там, во вложениях? Лучше не пытаться узнать. Это типичный спам.

Выработайте для себя общее правило в принципе не открывать вложения от неизвестных или малознакомых адресантов. Если отправитель хочет передать вам какой-то документ или изображение, то пусть сначала напишет письмо без вложений, где представится и предложит что-то прислать: тогда вы точно будете знать, что за вложения будут в следующем письме от него.

■ Не открывайте архивы даже от известных адресантов. Архивы крайне опасны: создатели вирусов используют их, чтобы помешать антивирусам распознать запакованный, то есть спрятанный, вирус. Часто бывает так, что вирус у кого-то на компьютере захватывает почтовую программу и рассылает себя по всей адресной книге владельца заражённого компьютера, запаковывая себя в архивы и прикладывая их к письмам.

Если вам прислали запакованный архив, лучше уточнить у отправителя, что находится во вложении. Ни в коем случае не следует сразу же открывать приложенный к письму архив.

Если опытные люди хотят прислать что-то секретное, они помещают материал в документ или архив, зашифрованный паролем, который потом сообщают по другому каналу, например лично или через SMS.

■ Не переходите по ссылкам в рекламных письмах. Переход по такой ссылке как минимум даст понять отправителям, что вы пользуетесь своим адресом, а это увеличит поток спама в вашу сторону или же вообще запустит какой-то механизм установки вируса в вашей системе. Вам же этот переход не даст ровным счётом ничего, кроме удовлетворения досужего любопытства, сопряжённого с большими рисками.

■ Не отвечайте спамерам и не пытайтесь «отписаться». Ни в коем случае не переходите по ссылке «Отписаться от рассылки» в конце письма. Если спамеры поймут, что адрес используется, поток спама только увеличится. Никто и никогда никого не «отписывает» от непрошеных рассылок, это обман.

Естественно, совершенно бессмысленно писать спамерам «Не пишите мне больше!», ругать их или стыдить. На той стороне нет получателей, кроме автоматического сервера рассылок, который пометит ваш адрес в базе как актуальную, «живую» цель.

■ Старайтесь не загружать картинки в письмах от неизвестных отправителей. Если почтовый клиент предлагает «загрузить картинки», это значит, что скачивание картинок, вставленных в письма, для безопасности было заблокировано. Среди этих картинок может быть и «следящий пиксел». Без картинок письмо выглядит неаккуратно и некрасиво, зато оно безопасно.

■ Не открывайте письма, которые попали в папку «Спам». Современные антиспам-фильтры имеют довольно высокую точность. Порой вы не понимаете, почему то или иное письмо попало в эту папку (например, адрес отправителя или текст письма давно есть в базе антиспама). А открытие спам-рассылки может запустить цепочку событий, в конце концов приводящую к заражению компьютера.

■ Осторожно относитесь к массовым рассылкам. Одно дело, если вы сознательно подписывались на новости от какой-то известной вам компании или от интернет-СМИ, и совсем другое – когда рассылка пришла неизвестно от кого и непонятно почему. В последнем случае письмо лучше не открывать.

В общем, основное правило такое: ограничьте круг общения и не доверяйте незнакомцам и запакованным посылкам.

Мы, пожалуй, не будем подробно останавливаться на необходимости аккуратного обращения со ссылками, особенно полученными из незнакомых источников, и присланными по электронной почте файлами. Этому посвящено много специализированных статей, ведь это один из самых старых способов злоумышленников и мошенников распространять вирусы.

Отдельно скажем лишь о флешках: сейчас они могут «прикидываться» сетевыми картами или другими устройствами, а после соединения с компьютером автоматически и незаметно ставить драйверы и затем устанавливать троянские программы или воровать данные. Вставлять в компьютер незнакомую флешку, найденную или полученную от кого-то, категорически нельзя. (Кстати, именно на этом было основано довольно распространённое недавно мошенничество: злоумышленник «ронял» несколько заражённых флешек рядом с офисным центром, после чего довольно быстро получал доступ к корпоративной документации, а если повезёт, то и к бухгалтерии. Удавалось ему это именно потому, что клерки, нашедшие флешки, не задумываясь вставляли их в свои рабочие компьютеры.)

Глава 2. Цифровой след человека в Сети и в жизни

При движении в новой цифровой среде обитания каждый из нас оставляет в ней след, как и в обычной жизни. Это цифровой след, который виден профессионалам, но о котором часто совершенно не догадываются или не задумываются обычные пользователи цифровой среды.

Все современные интернет-сервисы, мобильные приложения и сами мобильные телефоны, программное обеспечение для настольных компьютеров и ноутбуков, умные телевизоры и другие устройства собирают эти цифровые следы, или так называемые большие данные.

Большие пользовательские данные – это данные о пользователях, слишком массивные для ручной обработки, но при автоматической обработке позволяющие находить закономерности, незаметные на небольших, локальных фрагментах данных.

Большие данные о цифровых следах пользователей Интернета, мобильной связи, электронных устройств открывают своим владельцам огромные возможности для политического и коммерческого воздействия на массы и отдельных пользователей.

Ниже мы расскажем, из чего состоит цифровой след, чем он опасен для своего автора, кто и зачем изучает ваши следы, можно ли научиться не оставлять следов в цифровых джунглях.

Мы все оставляем цифровой след

Мы начинаем оставлять цифровой след, как только проснулись и взяли в руки смартфон. По дороге в школу или на работу мы несём с собой включённый смартфон, прокладывая цифровой маршрут в базах мобильных операторов и производителей смартфонов, перескакиваем от одной сотовой станции к другой, попадаем в поле зрения камер ГИБДД, метро, торговых центров. На работе или в школе мы посещаем сайты, делаем покупки, запускаем или устанавливаем приложения, пишем электронные сообщения одноклассникам, коллегам и друзьям. Всё это оставляет цифровой след, широкий, как тракторная колея.

В него входят: время и интенсивность использования устройства, маршрут движения по городу, количество шагов, адреса и содержимое открытых интернет-страниц, десятки видео с камер, которые «увидели» нас в городе, список открывавшихся приложений, тексты SMS, бесед в мессенджерах, электронной почте, сделанные на смартфон фото, покупки в магазинах, снятие денег в банкомате, маршруты такси и множество других, более сложных и детальных сведений о нас и нашем поведении.

Всё это или почти всё становится собственностью не только нашей, но и ещё десятков других наблюдателей, операторов, интернет-сервисов и платформ.

Что знают о нас внешние наблюдатели

Вокруг нас – огромное количество внешних наблюдателей. Часть из них – полезные сервисы, с которыми мы как-то связаны, – это социальные сети, мессенджеры, операционные системы, интернет-магазины. С ними мы хотя бы заключили «пользовательское соглашение», где разрешили пользоваться своими данными.

Конечно, 99,99 % пользователей никогда не дочитывают до конца это пользовательское соглашение и просто ставят галочку в квадратике «Я согласен», тем самым соглашаясь на всё, что там написал производитель смартфона, операционной системы, мобильного приложения, социальной сети или мессенджера.

Пользователь лишь хочет, чтобы процесс установки или настройки программы, сервиса побыстрее завершился и можно было начинать пользоваться всеми прекрасными и волнующими возможностями.

«Я прочёл пользовательское соглашение и согласен с его условиями» – самая массовая ложь нашего времени.

Как правило, пользовательское соглашение – если его прочесть внимательно – разрешает владельцу платформы делать с данными пользователя всё, что ему заблагорассудится: собирать, анализировать, передавать своим коммерческим партнёрам и спецслужбам своей страны (обычно это спецслужбы США). И мы сами это разрешаем, бездумно щёлкая на галочке «Я согласен».

Но есть вокруг нас и совершенно независимые наблюдатели, с которыми у нас нет никаких отношений и которые нам ничего не должны. Это камеры на улицах, счётчики посещений на сайтах и т. п. Они получают важные данные о нас, создают и хранят наш цифровой след, но даже не сообщают нам об этом и не имеют никаких ограничений по использованию данных[14]14
  К сожалению, давно планировавшиеся законы о больших данных и общедоступных персональных данных в 2021 году всё ещё не приняты. Законодательство и практика правоприменения у нас (и везде в мире) заметно отстают от развития общественной ситуации.


[Закрыть].

О том, кто эти наблюдатели и что они собирают, поговорим ниже. Начнём всё-таки с самого близкого нам устройства – смартфона.