В разделе «История посещений» можно увидеть, не вошел ли в ваш аккаунт кто-нибудь посторонний, и завершить сеансы на всех прочих устройствах кроме текущего.
В разделе «Сторонние приложения» вы сможете просмотреть и удалить приложения, в которые вы вошли через эту соцсеть.
Вы можете скачать всю переписку из своего аккаунта в «Одноклассниках», используя для этого веб-версию приложения «ТамТам» по адресу https://tamtam.chat. Полная инструкция приведена на странице https://blog.themarfa.name/kak-skachat-vsiu-pieriepisku-v-odnoklassnikakh/.
Ссылка на полное удаление аккаунта скрыта глубоко в недрах сервиса: она находится в самом низу страницы https://ok.ru/regulations и носит вводящее в заблуждение название «Отказаться от услуг».
На странице https://twitter.com/settings/account вы можете включить многофакторную аутентификацию («Безопасность» – «Двухфакторная аутентификация») и настроить приложение-аутентификатор. Это следует сделать в первую очередь.
В разделе «Конфиденциальность и безопасность» вы можете запретить отмечать себя на фотографиях, заблокировать определение местонахождения, а также настроить возможность поиска вашего профиля по номеру телефона и @имени_пользователя. В разделе «Персонализация и данные» можно управлять сбором персональных данных, в том числе и предназначенных для третьих лиц. Сбор информации можно отключить одной кнопкой.
КЕЙС В 2020 г. социальная сеть Twitter подверглась масштабной атаке, в результате которой скомпрометированными оказались аккаунты Билла Гейтса, Илона Маска, Джеффа Безоса, Джо Байдена, Барака Обамы, Уоррена Баффетта, Канье Уэста, Ким Кардашьян, компаний Apple, Uber и многих других. Хотя для большинства указанных аккаунтов была включена двухфакторная аутентификация, атака оказалась успешной. Сработал человеческий фактор: сотрудники Twitter стали жертвами методов социальной инженерии. Получив доступ к внутренним системам и скомпрометировав аккаунты, злоумышленники запустили фишинговую атаку, обещая удваивать суммы в криптовалюте, которые им перечислят посетители, и заработали не менее 13 биткойнов (на тот момент эквивалент 120 000 долларов)[595].
Скачать данные своего аккаунта можно на странице https://twitter.com/settings/your_twitter_data, а полностью удалить аккаунт – на странице https://twitter.com/settings/deactivate.
Практическое задание
1. Проверьте настройки конфиденциальности и безопасности на сайтах социальных сетей, которыми вы пользуетесь.
2. Смените пароли на надежные и настройте двухфакторную аутентификацию на этих сайтах.
3. Проверьте списки приложений и устройств, где вы авторизованы с помощью социальных сетей. Возможно, некоторые из них (в частности, подозрительные и неиспользуемые) следует удалить. Настройте разрешения для оставшихся приложений.
4. Изучите списки «друзей» в социальных сетях. Возможно, некоторых из них нужно перевести в подписчики? Есть ли среди пользователей социальной сети те, кто травит вас? Заблокируйте их и пожалуйтесь на их действия администрации ресурса.
5. Изучите сообщества и аккаунты известных личностей и компаний, на которые вы подписаны в социальных сетях. Нет ли среди них поддельных? Официальные аккаунты можно определить по специальным значкам, например «галочкам на синем фоне» в сети «ВКонтакте».
6. Проверьте свои публикации и репосты в социальных сетях. Нет ли среди них тех, что нарушают законодательство? А тех, что раскрывают ваши персональные данные, знать которые посторонним не нужно?
7. Есть ли у вас аккаунты в социальных сетях, которыми вы больше не пользуетесь? Удалите их, воспользовавшись ресурсом https://backgroundchecks.org/justdeleteme/ru.html.
8. С учетом материалов этой главы настройте аккаунты своих детей и проконсультируйте близких и друзей.
9. Поговорите со своими детьми о кибербезопасности и обсудите такие вопросы: «Чем может быть опасно общение с незнакомыми людьми?», «Почему нельзя публиковать запрещенные материалы?», «Чем опасны определенные группы в социальных сетях?», «Как террористы, педофилы и прочие мошенники втираются в доверие?» и т. п.
Заключение
Эта глава – попытка научить вас безопасно пользоваться социальными сетями, которые в настоящее время считаются наиболее крупными источниками больших данных.
В следующей главе мы обсудим основные способы защиты при подключении к интернету.
Глава 8Безопасный интернет
Если пользователям дать выбор между пляшущими свинками и безопасностью, они всегда выберут свинок[596].
Сложно представить современного человека, пользующегося гаджетами и при этом полностью исключившего из своей жизни интернет. С помощью интернета пользователи общаются, смотрят фильмы, читают новости, играют, приобретают товары и заказывают их доставку, пишут посты и размещают на сайтах фотографии. Развиваясь, технологии доступа в интернет сопровождают нас повсеместно и круглосуточно: в квартирах и домах – это домашние беспроводные Bluetooth– и Wi-Fi-сети; в офисах – корпоративные локальные сети с выходом в интернет, в транспорте, парках и кофейнях – общественные беспроводные сети, а за городом – сети мобильного или спутникового интернета. К сожалению, с развитием и проникновением интернета во все аспекты нашей жизни возрастает и риск утечки персональных данных, а то и денег или даже квартиры[597].
Угрозы, связанные с доступом в интернет
Пользуясь интернетом, недостаточно избегать фишинга[598] и защищаться от вирусов. Важно также контролировать средства связи, которые используются для выхода в Сеть, чтобы в числе прочего защититься от подмены записей DNS, цель которой – перенаправление пользователя с доверенного сайта на фишинговый[599],[600]. Кроме того, недоверенное или слабо защищенное аппаратное обеспечение может подвергаться MITM-атакам, в процессе которых злоумышленник выступает посредником между вами и другим собеседником или хостом, перехватывая трафик, в том числе конфиденциальные сведения, например логины/пароли и банковские реквизиты. Итак, рассмотрим основные факторы, угрожающие утечкой данных и связанные с доступом в интернет.
Использовать такие сети может любой желающий; пароль вводить не нужно, требуется лишь указать номер телефона, а впоследствии – одноразовый код, присланный в SMS-сообщении. Злоумышленники могут несанкционированно подключаться и перехватывать незашифрованный трафик (в том числе и сообщения в мессенджерах без шифрования, электронные письма, логины/пароли, cookie-файлы и т. п.), следить за активностью пользователей (видеть скачиваемые ими файлы, посещаемые ими страницы, вводимые данные и т. п.), подменять файлы вредоносным контентом и менять сертификаты HTTPS на HTTP и т. п.[601] То же могут делать администраторы таких сетей, если им вдруг взбредет в голову анализировать трафик, проходящий через контролируемые ими устройства.
Примечание. Для защиты пользователей публичных беспроводных сетей операторы применяют различные способы. Компания «МаксимаТелеком» в дополнение к открытой сети MT_FREE запустила в московском метрополитене закрытую сеть MT с шифрованием трафика и защитой от подключения к поддельным точкам доступа. Подключение к сети осуществляется с помощью специального доверенного профиля, который необходимо скачать на сайте компании[602].
КЕЙС Весной 2018 г. была обнаружена крупная уязвимость открытой беспроводной сети MT_FREE, использующейся в московском подземном и наземном транспорте. С помощью нее злоумышленники могли получить номера телефонов всех подключенных пассажиров (не менее 12 млн уже в 2016 г.[603]), а затем извлечь в незашифрованном виде различные персональные данные каждого из них: о примерном возрасте, поле, семейном положении, уровне заработка, часто посещаемых станциях (и определить, где человек живет и работает), а также следить за их передвижением в метро[604].
Публичные сети могут предлагать ввести данные для авторизации (например, логин/пароль от аккаунта в социальной сети) на фишинговой странице, а затем похитить эти данные. Если передаваемые данные не шифруются, доступ к ним может иметь не только администратор такой точки доступа, но и любой злоумышленник, подключенный к данной сети. Кроме того, на устройства подключившихся пользователей может попадать поддельное программное обеспечение (через фишинговые сайты или, если злоумышленник подменил файлы, скачиваемые пользователем), позволяющее красть персональную информацию, такую как список контактов или содержимое SMS-сообщений[605].
Еще один недостаток публичных сетей: чтобы получить одноразовый код для авторизации, необходимо указать номер мобильного телефона. Перехваченный номер телефона в ряде случаев позволяет идентифицировать пользователя (если не используются виртуальные номера или SIM-карты, купленные с рук): например, имя, отчество и букву фамилии через банковское приложение; снимки, интересы и прочие данные, если номер фигурирует в профилях пользователя в социальных сетях; адрес – если номер телефона использовался на сервисах частных объявлений и пользователь публиковал объявления с указанием места продажи товара и т. п.