Відмінності безпечної поведінки звичайного користувача від свідомого
17.01.2014
Щодня в соціальних мережах, на форумах і на різних сайтах з'являється інформація, як черговий користувач сучасних технологій став жертвою шахраїв. А скільки постів написано про це, доповнених коментарями - тиждень можна читати, як велику книгу з безпеки використання благ цивілізації. Лише невелика частина користувачів намагається винести урок з чужих помилок, щоб не повторювати їх. Але свідомих користувачів сучасних технологій так мало, що у мене майже немає сумнівів - цей матеріал для багатьох відкриє наново сенс щоденних і звичних дій, небезпеки яких майже завжди ігноруються, хоча для свідомих користувачів в цьому пості знайдуться прописні істини.
Браузер
Як веде себе звичайний користувач? «Мені потрібно 100500 закладок...Очищати кукис і тимчасові файли? Ні, тоді я не зможу відразу заходити в пошту і в соц.мережі, треба буде логінитися кожен раз...Але всі паролі на всяк випадок записані на стікерах, приклеєних внизу монітора...а щоб можна було швидко скопіювати, а не друкувати, збережені в txt файлі у папці Мої документи...Безпечне з'єднання? А хіба у провайдера не безпечне з'єднання? В настройках браузера? Ой, я не знаю, що таке https...і навіщо перевіряти сертифікати автентичності? І взагалі, там багато якихось незрозумілих слів, краще залишу все, як є - браузер ж добре працює, значить, нічого міняти не потрібно...А оновлення нехай автоматично завантажуються-вони ж для безпеки, ну там від вірусів всяких...і різні плагіни теж потрібні - щоб дивитися відео, pdf-файли відкривати, скачувати музику, шукати через браузер в пошуковики... і тулбар мені теж потрібен - він і показує погоду, і час, і курси валют, а ось тут можна налаштувати, щоб сповіщав про надходження нових повідомлень в поштою...». Ну і так далі.
Як веде себе свідомий користувач? «Який сенс зберігати в закладках адреси сайтів, які я щодня відвідую? Я їх і так знаю...Мені не хочеться, щоб якийсь спец від розробника браузера контролював мої інтереси в мережі без мого відома...Тому мінімум різних додатків, тільки найнеобхідніші і перевірені іншими користувачами...HTTPS - не панацея від бід, але хоч якийсь захист...Кукис і тимчасові файли видаляються після закриття браузера...Ніяких автоматичних оновлень і «зручних плагінів» - я сам виберу, що мені потрібно...Ніякої відправки звітів розробнику про проблеми - він їх все одно не вирішить тільки тому, що отримає від мене звіт, мої проблеми його взагалі не хвилюють...Тулбари?! Щоб через них повідомляти розробникам про вихідному трафік для таргетування показываемой реклами? І звичайно ніякого збереження браузером паролів...». Ну і так далі.
Електронна пошта
Як веде себе звичайний користувач? «У мене один ящик - зате я завжди пам'ятаю...Пароль я теж пам'ятаю - я перевіряю пошту кожен день, і він у мене простий, ну щоб не забути...Скрізь, де я реєструюсь, я вказую одну електронну пошту - це ж зручно, нічого не треба шукати...У мене тут і підтвердження з інтернет-банку про операції, і руху в електронних гаманцях, і замовлення з інтернет-магазинів, і повідомлення про нові дії друзів в соц.мережах, і реєстраційні дані аккаунтів на різних сайтах, і оповіщення про оплату різних гос.услуг, і всі родичі, друзі і колеги мені пишуть на цю адресу...Видаляти старі непотрібні листи? Ну а раптом вони мені знадобляться через багато-багато років?.. Так, адресна книга в ящику повинна збирати адреси з моєї пошти - це ж допомагає вбити адресу, коли я хочу комусь написати листа...Змінювати пароль кожен місяць? Та кому я потрібен, щоб мене зламувати? Навіть якщо зламають, що вони знайдуть в моїй пошті цікавого? Я ж звичайна людина, не олігарх і не злочинець який-небудь...». Ну і так далі.
Як веде себе свідомий користувач? «Для роботи - робочий ящик, для особистої переписки - особистий, для облікових записів у мережі - третій...Паролі з максимально можливої кількості цифрових та буквених символів, різного регістру, зрозуміло, і це не дівоче прізвище матері або номер паспорта...Паролі змінюються кожен місяць, а якщо є підозри у спробі злому, то відразу ж, і все...Листи старше одного року, якщо в них немає інформації, видаляються - навіщо захаращувати ящик?.. Збереження адреси в адресній книзі не потрібно - коли в ящику немає смітника, будь-лист від адресата можна знайти за хвилину...Ніякі персональні дані по електронній пошті не пересилаються - а якщо є необхідність, то тільки в запороленном архіві і названим якимось лівим словом, а після відправлення листа з файлом примусово видаляється... Ніякого використання підключаються до аккаунту з поштою сервісів...І, звичайно, адреси електронної пошти не залишаються де попало, щоб уникнути спаму і наведень для злому скриньки...».
Соціальні мережі
Як веде себе звичайний користувач? «Ось моя фотографія на аватарці...А от назва міста, в якому я живу...І нічого страшного, що система розпізнає моє місце, звідки я заходжу і пишу статуси...Ось назва компанії, в якій я зараз працюю в такій-то посаді...А в цих я працював з такого-то по такий-то рік тим-то...Це номер мого мобільного телефону - якщо хтось захоче мене знайти, коли я не в мережі, телефонуйте в любий час...
Підтвердження входу в соц мережа на мобільний? Ну я і так в соц.мережах торчу з ранку до ночі - ніхто ж не увійде, поки я онлайн...Переглядати кожен раз логи сесій? Навіщо? Я не знаю, який у мене IP-адресу, тим більше на роботі він один, будинки іншого, на мобільному-третій, у кафе, коли заходжу з планшета по Wi-Fi-четвертий - все не запам'ятаєш...Відправляти з телефону фотографії і відео з соц мережа - це ж так не сучасно, всі друзі будуть в курсі подій...Так, і добре, що друзі мене відзначають на своїх фото і відео - так я побачу фото і відео, де є я. Додатки в соц.мережі - це чудово, можна не ходити на різні сайти, все є в записі...»
Як веде себе свідомий користувач? «Для реєстрації в соц.мережах у мене є окрема сім-карта...Її ж використовую, щоб проходити подвійну ідентифікацію при вході...Де і ким я працюю? Друзі та колеги і так знають - а решті ця інформація для чого?.. Як я виглядаю, друзі і колеги теж в курсі, якщо хтось хоче побачити особисто, може персонально попросити...І позначки на фото і відео зі мною можна робити, тільки якщо я не проти...Так, логи сесій переглядаються кожен раз при вході в облікові записи, щоб вчасно виявити лівий IP або одночасну сесію, якої бути не повинно...Ніяких геолокаційних сервісів в соц.мережі - ті, кому я довіряю інформацію про своє місцезнаходження, і так знають, де я...Додатка в соц.мережах? Щоб вони отримували доступ до даних облікового запису, про що попереджають при підключенні до них?..»
Електронні гаманці
Як веде себе звичайний користувач? «Так здорово, що можна, не відриваючи дупу від стільця, сплатити майже все, що завгодно!.. І мобільний, інтернет і цифрове телебачення, і покупки в інтернет-магазинах, і тур.поездки, і програми, і ігри, і квитки в театр і кіно, і доставку піци, і послуги ЖКГ, і штрафи - головне, щоб у гаманці завжди були гроші...Зберігати їх там безпечно - адже для перекладу потрібен не тільки доступ до гаманця, але і секретний код - подвійний захист безпечна...Так, ще можна давати номер гаманця рідним, якщо вони раптом захочуть перевести гроші, або вказувати на дошках оголошень в якості способу оплати, коли продаєш яку-небудь непотрібну річ...Нічого, що потрібно заповнювати паспортні дані - їх же все одно бачать тільки адміністратори інтернет-гаманця, вони ж ними не скористаються...Так, і є відмінна можливо прив'язати свій гаманець до банківської карти, закінчилися гроші - перевів у гаманець з карти, не вистачає на карті - перевів з гаманця на карту...»
Як веде себе свідомий користувач? «Інтернет-гаманець використовую тільки для дрібних покупок, які неможливо здійснити іншим чином...Зберігати гроші в гаманці? Хочу оплатити - закидають потрібну суму, тут же витрачав, щоб не залишати можливість зловмисникам пограбувати мене...Якщо відправляю комусь номер гаманця, то повідомлення з номером після отримання видаляю...Якщо отримую гроші в гаманець, одразу переводжу на карту, через платіжну систему або виробляю оплату чого-небудь потрібного - ніяких залишків в гаманці навіть на добу...Пароль до гаманця міняю після декількох транзакцій, на всякий випадок - мало які можливості для отримання даних разом з платежем має одержувач електронних грошей...Навіщо прив'язувати до гаманця банківську карту? Щоб платити сервісу комісію за переказ моїх же грошей з мого гаманця на мою ж карту? І повідомляти сервісу, в якому банку я обслуговуюсь і яка в мене карта?..»
Дошки оголошень
Як веде себе звичайний користувач? «Я періодично продаю непотрібні речі, щоб купити нові, тому мені потрібен аккаунт на дошках оголошень...Я не знаю, які з них найбільш відвідувані, тому реєструюсь на декількох...В оголошенні я вказую своє ім'я та прізвище, адресу своєї електронної пошти щоб потенційні покупець міг написати, мобільний телефон - щоб він міг подзвонити, вказую найближче метро, районі якого можу здійснити продаж, як правило, поруч з будинком або роботою...Якщо покупець з іншого міста, то вказую номер електронного гаманця, щоб він перевів гроші, якщо йому так зручніше...Або можна домовитися про відправку в інше місто з післяоплатою за поштовою адресою...».
Як веде себе свідомий користувач? «Обліковий запис на дошці оголошень заводиться на спеціальний адресу пошти для різних мережевих потреб...Зазначати в оголошенні найближче метро? А якщо я продаю якусь цінну річ? Я ж не знаю, хто потенційний покупець...Номер мобільного з цієї ж причини залишаю не особистий, а той, який для підтвердження реєстрацій акаунтів в мережі - тримаю його на зв'язку до здійснення операції...Зустрічатися з незнайомим чоловіком біля дому чи роботи, нехай навіть у метро не буду, в центрі міста повно місць, де можна зустрітися, перевірити річ, перевірити справжність грошей...Якщо покупець з іншого міста, то або банківський переказ, або накладений платіж за посилку, при отриманні...».
Наведені приклади використання сучасних технологій показали, що звичайні користувачі - як відкрита книга, яку може прочитати будь-який бажаючий. Не важко здогадатися, що не завжди цей інтерес може бути викликаний нешкідливим цікавістю, тому жертвами зловмисників найчастіше стають антиподи свідомого користувача, які клюють на всі приманки, щоб спробувати нововведення, запаковані під виглядом розширення зручності і сучасних трендів. Ці користувачі потім найчастіше щиро дивуються, звідки різні компанії і незнайомі люди про них стільки знають і чому, зазнавши одного злому, вони піддаються їм далі.