Злоумышленники пытались получить несанкционированный доступ к аккаунту регуляра «sandr1x», но не смогли обойти двухфаткорную аутентификацию. Как оказалось, у «белого хакера, который хотел помочь юзерам форума с безопасностью их профилей» находилась целая база адресов и аккаунтов в румах, соцсетях и других сайтах. В качестве подтверждения своих слов хакер показал данные нескольких пользователей с указанием домена и пароля, но «зазвездив» их концовку. Всего за $10 хакер был готов удалить данные из базы.

Aнтон «Sandr1x» Коновалов: «Я кэшевик с сердцем МТТ-шника»

Ежегодно крупные компании признаются в утечке данных. В октябре 2019 у Сбербанка утекла информация как минимум о 2000 держателях карт, в сентябре 2014 у mail.ru утекла информация о более 5.000.000 пользователей, в июне 2016 года в интернете появилась информация почти о 100.000.000 аккаунтах VK. Для покерного игрока кража данных от аккаунтов сродни краже кошелька с деньгами или ключей от квартиры. Кто ворует базы данных с логинами и паролями, как это происходит, какие есть способы защиты от взлома и насколько надёжны они. 

Кто и зачем ворует базы данных?

Базы данных пользователей воруют хакеры с дальнейшей целью извлечения выгоды, как правило, перепродажи. Базы данных логинов и паролей размещаются и продаются в даркнете. Взломанный аккаунт может быть использован для рассылки спама или для «угона» игровых аккаунтов.

Как происходит кража данных?

Злоумышленники используют разные способы несанкционированного получения данных:

  • фишинг — заманивание пользователя на сайт, который похож на оригинальный, но на самом деле таковым не является; после ввода логина и пароля данные переходят злоумышленникам;
  • зловредное ПО — программы размещаются на взломанных сайтах с недостаточной защитой безопасности;
  • социальная инженерия — в этом случае интернет-мошенники получают пароли непосредственно от контакта с пользователем (представляются службой безопасности сайта, просят сообщить код безопасности или какой-либо пароль); такой тип мошенничества особенно распространился после утечки данных Сбера;
  • подбор пароля. 

Как узнать, взломан ли мой аккаунт?

На сайте haveibeenpwned.com содержится информация о более 11,7 миллиардах взломанных аккаунтов. Перейдите на сайт и в строке «email adress» введите ваш адрес электронной почты и кликните по «pwned?» Если вы были взломаны, вы увидите вот такое сообщение:

5 советов на случай, если вас взломали:

  1. Смените пароль. Придумывайте сложный пароль, состоящий из букв (заглавных и строчных), цифр и специальных символов. 
  2. Подключите двухфакторную аутентификацию везде, где это возможно. Благодаря двухфакторной аутентификации злоумышленники не смогут зайти в ваш аккаунт, так как всякий раз при входе необходимо вводить специальный код, который приходит на привязанный к аккаунту номер телефона.
  3. Подключите уведомления, чтобы при каждом новом входе в аккаунт, вам приходило сообщение о входе.
  4. Старайтесь хотя бы раз в год менять пароли. Чем чаще, тем лучше. 
  5. Не платите злоумышленникам за удаление информации из базы. У хакеров хранится не оригинал базы, а лишь одна из копий. Информацию о вашем аккаунте удалят лишь в одной из копий базы.

Можно ли использовать один и тот же пароль на разных сайтах, румах?

Можно, но не желательно. Лучше не использовать один и тот же логин на нескольких сайтах. В случае взлома злоумышленникам будет проще простого зайти во все ваши аккаунты, если вы используете одинаковые логины и пароли.

Если вам сложно запомнить несколько паролей, придумайте алгоритм создания пароля к каждому из сайтов. К примеру, в начало и в конец пароля добавляйте по заглавной и строчной букве «А», а в самом пароле зашифруйте какое-нибудь бессмысленное, но яркое предложение. Например: «WannaBeLikeisildur1» (ХочуБытьКакИсилидур1). Такой пароль не подбирается, запоминается и в то же время является таким же сложным, как набор символов, типа «gUdErk124». 

Можно ли использовать менеджер паролей?

Да, это безопасно. Менеджер паролей содержит базу данных или файлы в зашифрованном виде. Доступ к паролям осуществляется через основной пароль или секретную фразу. Менеджер паролей может быть предустановленной программой на жестком диске или портативным устройством, типа флешки, или сервисом в интернете (например, бесплатный FortNotes). 

Менеджеры паролей предоставляют пробные версии бесплатно на 30 дней:

  • Dashlane (dashlane.com) — подписка на несколько устройств обойдётся в $3,99 в месяц и $3,33 в месяц, если оформить подписку сразу на год. Подписка на 6 аккаунтов стоит $5,99 в месяц и $4,99 в месяц, если оформить подписку сразу на год. 
  • LastPass (lastpass.com) — подписка на одного пользователя стоит $3 в месяц. Подписка на 5 аккаунтов стоит $4 в месяц.  
  • 1password (1password.com) — подписка на одного пользователя стоит $7,99 в месяц. Подписка на 10 аккаунтов стоит $19,95 в месяц.  

Резюме

Не важно, играете ли вы микролимиты, штурмуете ли хайстейкс или просто играете на условные фишки, ваши пароли должны быть сложны для злоумышленников. Используйте разные логины и пароли для разных сайтов, подключайте двухфакторную аутентификацию и перепроверяйте письма и звонки от службы безопасности.

А чтобы быть в курсе всех трендов кибербезопасности, читай Покерофф в Телеграм