За последние несколько недель мы с друзьями отметили массовый – попросту кратный – рост случаев взлома брокерских и платежных аккаунтов. Случаи множатся как грибы после осеннего дождя, пропорционально растут крики ужаса в моей почте.
Поэтому сейчас мы обсудим как так вышло, кто виноват и что делать.
С чего начинается взлом
Погожим октябрьским деньком некий Андрейка с сонной рожей сидел на унитазе и с интересом листал на смартфоне канал с мемасиками (очень важными, честно). Как тут тренькнуло приложение почты и взору нашего героя предстало следующее письмо:
Чрезвычайно занимательно, подумалось мне, ведь я мягко говоря не в Будапеште, а Firefox не использую вовсе. Более того, в данный конкретный момент я сижу на толчке и смотрю гифку, как котик жрет кактус, а к брокеру не заходил хрен знает сколько. Значит, до меня тоже дошла волна осенней развлекухи, а мой аккаунт у брокера пошел по рукам.
Ой
Еле натянув портки, я побежал к ноутбуку менять пароль, ехидно при этом щурясь. Тот факт, что некто получил доступ к вашему аккаунту, сам по себе не особо страшен, но весьма интересно то, что это событие сопровождает.
В голове, между тем, роятся вопросики.
Ой, меня взломали, как же так? Почему?
Сейчас из-за ковидлы миллионы мамкиных хакеров сидят по домам и находят применение своим талантам. Без всякой, к слову сказать, иронии – это действительно талантливые, умные и деятельные ребята. Которые могут получить доступ к твоим аккаунтам, а порой и денежкам, хехехе. Тут наши интересы расходятся.
Поэтому талант-талантом, а как ты закрываешь сковородку с котлетами от наглого кота, так и аккаунты свои надо защищать. Ничего личного, только бизнес. О чем мы и поговорим.
У меня же длинный пароль, как они его нашли?
Здесь будет череда открытий. На самом деле, в подавляющем большинстве случаев лично ваш аккаунт никто не… взламывал. Произошедшее и не “взлом” как таковой. Более того, никто не перебирал ваш 15-значный пароль и уж тем более его не угадывал.
Современный взлом делается иначе. Специализированный софт автоматически сканирует сайты на наличие уязвимостей с целью получения доступа к внутренней части (бэкенду). А именно, к базе данных – большой табличке, где хранится вся персональная информация о клиентах, их сделках и так далее.
Когда такой доступ получен, во многих случаях подобная база будет или плохо зашифрована, или не зашифрована вовсе. В результате, на руках у деятельного кота оказываются тысячи, десятки, сотни тысяч персональных данных. В формате почта/пароль/телефон и так далее. Иногда такие базы ломают еще проще, комбинацией социального инжиниринга и умелых ручек.
Поэтому первое, что мы должны понять – это не личное, прилетает всем. Сейчас это невероятно рядовое и даже скучное событие. Новости подобно этой случаются по несколько раз в… день. Все данные давно ходят по рукам.
Кража баз пользовательских данных поставлена на поток, они продаются в TOR-сайтах за истинные копейки и доступны всем желающим за несколько биткоин-центов. Таких украденных баз настолько много, что их цена стремительно близится к нулю – рынок переполнен предложением.
Но что еще интереснее – компании до последнего не признаются в подобных случаях. Компания со скриншота выше даже не предупредила об утечке своих же пользователей. Нередко они об этом даже не знают.
Поэтому у брокера могут увести базу, всю или ее часть, но он никому об этом не скажет, чтобы не выглядеть дураком. И мягко, как выяснит что база утекла, попросит всех поменять пароль.
Дополнение: спустя 3 дня
Хехе. Спустя аж три дня после написания этого литературного шедевра, брокер, показанный на первом скриншоте, допёр… что его базе приделали ноги :) И, как и говорилось, “ненавязчиво” всем принудительно сменил пароль:
Обратите внимание – ни слова, что их взломали. Ни слова про несакционированный доступ. Ни слова, чем там хакеры несколько дней занимались у них. “Я не я, корова не моя”. Брокеры так делают всегда (отмораживаются), поэтому не слишком рассчитывайте на их экспертизу в плане безопасности.
А что, не могут вот прям меня?
Ну, разумеется, в редких случаях можно в интернетах подхватить какой-нить троян, что шел в комплекте с бесплатным курсом по трейдингу, где обещали сто тыщ процентов. Но это, как по нашим временам, исчезающе редкая ситуация.
Чтобы уберечься от нее, достаточно поставить специализированный антитроян вроде Malwarebytes. Однако, лучшая защита – не шляться где не надо и не скачивать не пойми что. В Windows можно прекрасно обходиться без антивируса, встроенного Защитника там предостаточно.
Отсюда важное следствие.
Регулярно меняйте пароли у брокеров
Теперь понятно, что даже самый сложный в мире пароль ничего не гарантирует – он может храниться в дырявой базе, зашифрованной дырявым алгоритмом, на дырявом сайте. Или вообще лежать в нашем дырявом компе. У программистов тоже руки вырастают из жопы и они, как и все люди, допускают ошибки. Кроме того, против них работают умные и мотивированные ребята, что челлендж только усложняет.
По этой причине наилучшей практикой является (что и не было выполнено для брокера, на которого я давно забил)…
Регулярная смена пароля у брокера
Не важно, какой пароль сложности. Если база утекла и защищена плохо – ваш пароль уже не ваш. Прямо сейчас база вашего брокера может ходить по рукам, но вы об этом не знаете, ибо никто не предупредил. Но если вы поменяете – сейчас – пароль, в базе останется пароль… старый и совершенно бесполезный.
У хороших брокеров для защиты от подобного сценария реализована и смена пароля по запросу, и двухфакторная идентификация – которая чрезвычайно важна и должна быть включена у всех без исключения.
Однако, большинство пользователей безалаберны, не считают нужным, не думают что они “кому-то нужны” и так далее. В действительности да, наш конкретно счет никому не нужен, ведь данные утекают оптом.
Поэтому у ряда брокеров двухфакторка включена принудительно. Некоторые, вне зависимости от желания пользователей, пароль менять заставляют. Скажем, платежки вроде Perfect Money требуют его менять раз в 3 месяца, ибо устарел. И это несмотря на то, что там россыпь двухфакторных методов:
Еще больше таких методов у платежной системы AdvCash:
В общем, пароль меняйте и меняйте регулярно. И не парьтесь с его длиной и сложностью – причина уязвимости не в этом. Это, разумеется, не значит что нужно ставить пароль как никнейм вашей собаки или имя бывшей.
А какой тогда пароль использовать?
Если вы не используете приложения для хранения паролей, то онлайн генераторы паролей выдадут вам нечто вроде NMT#fkoY&PUfJ9UM, что никто, естественно, запомнить не в состоянии. И более того, запоминать это не надо.
Поэтому есть два простых способа создать нормальный пароль.
Первый это взять фразу, что вам хорошо знакома и выцепить с нее первые буквы, разбавив цифрами. Скажем, фраза My life is a fucking piece of shit даст вам пароль Mliafpos, который достаточно неплох. Можно разбавить цифрами ДР вашей собаки через слово, будет M2l0i1a5fpos и этого хватит… за глаза и даже чрезмерно. Немного потренироваться и вы так сможете легко бомбить 20-значные пароли. Много лет я использую 24-значные пароли, созданные по такому принципу. Разбуди меня, легко назову. Но, как мы выяснили, суперсложным он быть не должен. Ибо если взломана база данных, если она плохо зашифрована, уязвимость – вовсе не наш пароль и столь не важно, сколько в нем знаков.
Второй способ будет хорошо знаком всем, кто работает с криптовалютами. Вместо набора символов вы используете слова, разделенные тире. Данный метод сейчас считается приоритетным и более доступным/надежным, нежели первый. Фраза body-apple-cat-space-bloom-grown-son-mirror-third-dance достаточно легко запоминаема и чрезвычайно сложна для взлома, хотя и кажется, что нет. При этом мы помним, что учетные записи и аккаунты у брокеров не взламываются тупым перебором символов.
Однако, можно упростить себе жизнь еще больше, используя…
Приложение для хранения паролей
На данный момент у меня более чем 3000 паролей. Я очень активный интернет юзер и использую его – интернетик – с конца 90х годов. Первый чат я открыл, как помнится, в 1998 году, когда вышел yahoo messenger. За эти годы скопились просто толпы паролей, ко всему на свете и запомнить это, записать или хоть как-то обозначить абсолютно нереально.
Было бы проще, если бы я всю жизнь использовал один пароль, да желательно простой, типа andrey11. Тогда хакер получил бы прекраснейший от меня подарочек. И, что удивительно, многие люди действительно ко всем сервисам и социалкам используют его – простой паролик, из простых слов, доступный как вишенка на тортике.
Люди так делают по вполне понятной причине – пароль страшно забыть. Особо сознательные старательно записывают на бумажечках или в тетрадочке. Тем временем, эта проблема давным-давно решена с появлением первых менеджеров для паролей.
Более 10 лет я использовал облачное хранилище для паролей, что называется LastPass. Менеджер паролей решает все – он запоминает все пароли, он подсказывает и даже за вас подставляет их при вводе (что киллер-фича), он позволяет хранить данные кредитных карт, он дает защищенные заметки. Он мультиплатформен – доступен на компьютере, ноутбуке, смартфоне, часах, утюге, колбасе.
Он всегда доступен и локально, в зашифрованном хранилище в браузере. Так что даже если облачный сервис недоступен, даже если интернета нет – все пароли будут у вас под рукой.
Встречается мнение, что хранить в таких менеджерах “небезопасно”, мол, их могут взломать и т.д. На самом деле нет – степень зашифрованности всего и вся там такая, что шансы на взлом подобного приложения примерно равны нулю. Десятилетия работы таких хранилищ доказали их абсолютную надежность.
Лишь один раз, в 2015 году у LastPass был прецедент доступа к внешней части сервиса, что поспешили окрестить “взломом”, но мимо. Пароли в хранилище перешифрованы по 20 раз и не доступны в открытом виде. Поэтому ни один пароль, естественно, не убежал. Пользователи поменяли мастер-пароль и продолжили спать збагойно. Пароли с тех пор убегали почти из всех сервисов мира, кроме этих.
Впрочем, особые параноики могут использовать разновидность без облачной составляющей, если страшненько за безопасность облака – такую, как KeePass. Очень старая, опенсорсная хранилка, без облака (но с функцией синхронизации). Зашифрованный файл с паролями вы храните сами и таскаете с собой. Либо сами, в итоге, засунете в какое-то облако, когда надоест себе голову морочить. Таскать на флешке тоже занятие так себе. У KeepPass также есть куча модов для андроида, айфона, макоса и т.д., многие неофициальные.
Тут нужно просто решить, вам облако требуется или нет. В моем случае, облако нужно – у меня несколько компьютеров (десктопов и ноутбуков), плюс россыпь планшетов и смартфонов, все это добро раскидано по разным квартирам и странам. Шансы остаться без паролей, забыв их где-то, абсолютны. Без них я абсолютно беспомощен, ибо пароль из головы использую только как мастер-пароль. Пароли для всех брокеров, платежек, банкингов и сайтов – они все абсолютно разные и мне даже неизвестны. Ведь все сгенерировано менеджерами паролей автоматически и в них же сохранено.
В 2019 году я со слезами на глазах распрощался с LastPass – 10 лет с ним пролетели, как один миг. Подустарел он для моих потребностей в плане интерфейса и функций. Поэтому я перешел на ультрасовременный и опенсорсный BitWarden, которым очень доволен, импортировав туда всю базу.
Менеджер также сам по себе локально зашифрован, защищен пинами, мастер-паролем, 2-факторной идентификацией и кучей других штук и дрюк. Все это стандарт для такого софта. Есть и другие достойные аналоги.
Так что вам нужно просто прикинуть, какая хранилка удобнее и прикипеть к ней душой. Так вы сможете делать разные пароли для разных сервисов, брокеров, платежек. Никогда ничего не забудете, всё, всегда, будет под рукой.
Всё, что вам понадобится – это хороший мастер-пароль, одна штука. Вот его-то вы и придумаете по принципам, что мы обсудили выше.
Не храните пароли в браузере
Ой ай, а зачем все это, если Chrome, Edge, Firefox и прочие тоже предлагают сохранить у них пароли, да еще и с облачной синхронизацией?
Это весьма плохой способ, дырявый как решето. Намного надежнее хранить в сторонних, опенсорсных, мультиплатформенных решениях, нежели полагаться на браузИр, куда любой может залезть.
В браузерах не храните, simple as that.
Двухфакторная авторизация
С паролями мы разобрались. Теперь поговорим непосредственно о защите аккаунта. Пароль как для года 2020 – это очень примитивный метод защиты. Базы ломаются, базы ходят по рукам, одного сложного пароля давно недостаточно.
Поэтому во многих сервисах, брокерах, платежках, почтах реализована двухфакторная идентификация. Это второй уровень защиты. Вы вводите пароль, после чего надо ввести… кое-что еще. Что будет у вас на смартфоне.
Основная 2FA (так обозначается двухфакторка) делается через приложение Google Authenticator или его аналоги, такие как Duo Security или Authy. Оно же часто встроено в менеджеры паролей, такие как LastPass. Вы настраиваете его для сайта/сервиса/брокера, что им поддерживается и тогда для входа, кроме пароля, нужно будет ввести временный пароль, что это приложение выдаст.
Доступно оно для Apple/Android и является универсальным стандартом. Также не обращайте внимания, что это гугл – приложение работает для любой 2-факторной идентификации.
В случае его использования, пароль ничего взломщикам не даст. Примитивное подобие такого метода реализовано у всех брокеров по умолчанию. Скажем, когда пора выводить денежки, вам нужно подтвердить это, кликнув по ссылке, что придет на почту. У технологически же продвинутых брокеров всегда есть полноценная двухфакторная авторизация:
В Webmoney аналогичную функцию выполняет специальное приложение Enum. Абсолютно любую операцию надо подтвердить через него, поэтому даже если котик залез в ваш вебмани-кошелек, вывести он оттуда ничего не сможет. Равно как не сможет отключить Enum, ибо подтвердить это можно только через смартфон, что у вас на руках. Кроме того, там можно залочить доступ по IP, залочить сам Enum на смартфоне и уровней защиты там несколько.
В платежных системах есть несколько видов 2FA. Популярна кодовая таблица – табличка с набором кодов, которая используется для переводов и других операций. При переводе денежек нужно указать соответствующий код из таблички, иначе перевод не состоится. Естественно табличка индивидуальна и хранить ее надо в надежном месте:
Отсюда мы приходим к основному.
Защитите вашу почту
В наше время лучше потерять кошелек, телефон, банковскую карту, девушку и девственность, нежели электронную почту. Получивший к ней доступ котик получает сразу все, всю вашу жизнь. На почту он сможет восстановить любые пароли, через нее он сможет развести всех ваших друзей и знакомых, через нее он завладеет вашей тушей, а потом овладеет вами физически (последнее не точно).
Поэтому почту нужно защищать максимально. В Gmail для этого достаточно зайти в Управление аккаунтом, перейти в меню Надежная защита аккаунта и выбрать все подряд:
- секретные вопросы;
- резервную почту;
- подтвердить номер телефона;
- включить 2FA идентификацию;
- поплевать через левое плечо.
Гугл сам подскажет, что вы еще не указали, так что сделайте это прямо сейчас, если еще не сподобились.
При этом Гугл нас жалеет. Выше показано, что у нас все порядке, потому что, действительно, ничего необычного не случилось. Резервные варианты для восстановления почты указаны, левых входов нет и т.д. Однако, если выйти в общие настройки, то…
Выяснится что защиту можно усилить и сделать вход через подтверждение по sms или двухэтапную аутентификацию через Google Authenticator. И эти методы, как видим, выключены. Ой-ой. Если ты свою почту любишь, то 2FA включишь обязязя.
Вернемся к первому скриншоту этой статьи. Если бы “венгерский” (понятно, что это vpn) товарищ попытался вывести чутка денежек, то мне бы на почту пришел соответствующий запрос. Без доступа к почте руки у пациента связаны. Но он может попытаться его получить фишингом – присылая всякие интересные сообщения с заманчивыми ссылочками и файликами, письмами “позвони мне” (чтобы узнать ваш номер телефона), нередко якобы от официальных сервисов, как часто почты и угоняют. Такие шедевры мне валятся оптом.
Поэтому не поленитесь зайти в настройки вашей почты и включите там абсолютно все. Лучше незначительное неудобство при доступе в почту, чем огромное – когда вы ее потеряете.
К слову сказать, русские почты вроде mail.ru отличаются чрезвычайной дырявостью, поэтому их лучше не использовать вовсе, во избежание.
И наконец, регулярно проверяйте вашу почту через сервис haveibeenpwned.com. С огромной долей вероятности вам там покажут сервисы, где вы давно регистрировались с указанной почтой и которые были взломаны. Ваша почта стала публичной и попала в базу сервиса. После этого нужно зайти в сервис и закрыть этот несчастный пострадавший аккаунт либо поменять в нем пароль.
Развлекуха
Довольно массовыми являются случаи развлекухи, которой страдают котики, попадающие в брокерские аккаунты. Как мы уже выяснили, денежки вывести со счета без доступа к почте и смартфону не получится. Но расслабляться рано.
Я знаю немало случаев, когда попавший в учетку левый чувак просто высаживал счет в ноль. Вваливая сделки наобум и всячески развлекаясь, сливая лоха, пароль которого ему достался. Многим хакерам 18-20 лет и они так ловят фан. Если же это криптовалютный счет, тут уже забавы могут быть взрослее, скажем, ваши денежки могут уйти на разгон цены мусорного токена. По забавной иронии, для совершения сделок никакого второго уровня защиты… не предусмотрено :) Брокеры считают, что если уж ты попал в учетку, залогинился в терминале, ты – это ты. А если нет?
В результате, народу весело сливают денежки, те кричат на брокера, брокер кричит на них и все кричат, пока получивший доступ к аккаунту ржот. Такие истории встречаются часто, так что берегите свой пароль, как зеницу ока и меняйте его регулярно.
Описываемые проблемы, к слову сказать, не эксклюзивны для СНГ или форекса. В США котики массово получают доступ к самому популярному мобильному приложению для фондовой биржи – Robinhood и с удовольствием сливают там денежки всем подряд, всячески куролесят. Пострадавших тысячи, в СМИ стоит непрерывный вой. Поддержка же беспомощно мычит, отвечает “сам дурак” и плохо справляется со своими обязанностями. Ибо трейдеров там под 11 миллионов и шляп с простыми паролями и взломанными почтами хватает. Ваши проблемы – только ваши.
И это фондовый брокер, один из самых крупных в США. Представляете что творится в обычных форексах? Хехе.
Защита смартфона
После потери девственности и электронной почты, хуже всего потерять смартфон. Защищены они из рук вон плохо. Большинство ставит 4-значный пин, который легко угадать по отпечаткам пальцев на грязном экране. Если у вас вырвать из рук смартфон с непротертым экраном, пин-код нередко пропечатан вашими жирными пальчиками и доступ по сути открыт всем желающим. Еще хуже, если это графическая закорючка, ее видно лучше всего.
FaceID – разблокировка лицом – это уже лучше, отпечатком пальца тоже хорошо. Но остается основной уязвимый элемент – ваша сим-карта. У подавляющего большинства пользователей симка… не запаролена вообще. Стоит базовый пароль 0000 или 1111, ибо человек подумал, что раз смартфон заблокирован, то все в порядке.
А кто сим-карту блокировать будет? Как вы думаете, что произойдет при потере смартфона? Первым делом из него вынут симку и воткнут в другой смартфон, после чего начнут на этот номер восстанавливать все – почту, аккаунты и прочее. Поэтому заходите в настройки и ставьте пароль на сим-карту прямо сейчас. В айфоне это делается в меню Настройки – Сотовая Связь – SIM-PIN (в андроиде сами найдете):
Аналогично сохраните PUK-коды вашей симки (вот тут-то пригодятся защищенные заметки менеджеров паролей) и другие данные, что понадобятся для максимально быстрого восстановления доступа к симке. Которая, кстати, будет залочена после 3х неправильных вводов и PUK понадобится для разблокировки.
Мне взломали аккаунт: как жЫть
Во-первых расслабьтесь, ломали не вас лично. Во-вторых тут же напрягитесь – вам нужно поменять пароль к аккаунту, менять его регулярно и включить 2-факторную идентификацию через смс, приложение вроде Google Authenticator или любой другой метод, что вам предложит брокер или платежная система.
Это не формальность и не скучная какая-то хрень, один раз это сделайте и всё. Спокойствие стоит небольшой возни.
Защитите вашу почту – максимально. Включайте все слои защиты, а сверху накиньте еще. Не светите основную почту нигде. Используйте под брокеров отдельные, сверхзащищенные почты. Охрана почты – задача приоритетная и вы должны ее обязательно выполнить как можно быстрее.
Поддержка брокера, к слову сказать, не знает ваших паролей и ничем помочь не сможет в случае утраты оных. Менять придется вам. Пока почта у вас, дела под контролем. Если котик дотянул свои лапы и к счету, и к почте, тогда придется восстанавливать доступ по паспорту, по которому вы проходили верификацию. Денежек к тому моменту на ваших счетах уже не будет. Не только брокеров, но и онлайн-банкинги обносят только так.
Запарольте сим-карту, используйте не 4-, а 6- или 8-значный пин на смартфоне. Берегите его, не рискуйте утратой. Скажем, если вы идете в горный поход или в бар нажраться с друзьями, возьмите резервный телефон, который не жалко потерять. Обычную кнопочную нокию или дешевый смартик на убой с другой симкой (лично я в таком качестве использую старенький iphone se и жена знает, что у меня есть основной номер, а есть для велопоездок и пьянок).
Не паникуйте, если ваш аккаунт поимели. Сам факт доступа ничего не значит, пока ваша почта – у вас, вы в безопасности. Но денежки на аккаунте могут высадить просто так, прикола или корысти ради, поэтому используйте все советы выше.
Ваша безопасность – в ваших руках. Обычно вы обо всем этом вспомните, когда котик уже залезет к вам в аккаунт, а до того пропустите все мимо ушей.
Но именно поэтому в конце этой статьи стоит добавить ключевую фразу на такие случаи, а именно…
… а я же говорил (с)
Так что будьте умничками и берегите себя. Крепкого вам иммунитета и не менее крепкой защиты ваших счетов и аккаунтов.
Цьом
Полезные ссылки
Менеджеры паролей
Платежные системы с многофакторной защитой
Приложения для двухфакторной (2FA) идентификации
Проверить почту на взлом
Как настроить 2FA в Gmail
(c) Binguru, 2020