По мере цифровизации и информатизации жизненных процессов угроза личной «информационной» безопасности встает все острее. В интернете уже навсегда сохранены паспортные данные, фотографии, какие-то личные сведения практически каждого человека. Даже деньги — и те перестали быть лишь физическим объектом, превратившись в набор цифр на счетах и банковских картах, не говоря уже о цифровой валюте и электронных кошельках. Мир изменился, потому вопрос личной информационной безопасности сегодня играет не менее важную роль, чем гигиена и соблюдение основ безопасности жизнедеятельности.
Цифровые следы в интернете
Еще в 90-е годы пестовался миф о полной анонимности в сети. Но даже тогда он был всего лишь мифом, стать абсолютно анонимным ни тогда, ни сейчас, не представляется возможным. Да, легко можно скрыть IP-адрес, подменить MAC сетевой карты и роутера, предпринять иные шаги для повышения анонимности. Но вычислить человека, все же, можно.
Сильно затруднит вычисление реального человека лишь одно — создание полностью новой цифровой личности, у которой будут отдельные:
- геолокация;
- данные паспорта;
- платежные реквизиты;
- IP и MAC-адреса;
- смартфоны и планшеты;
- профили в соцсетях;
- поисковые запросы.
Но для большинства это избыточно. И не всегда помогает. Поэтому проще научиться не следить, чем потом «страдать» от самарских атак и всевозможных мошенников.
Цифровой след — это вся совокупность информации, которая поступает от пользователя сети, включая сугубо техническую (вплоть до разрешения монитора и версии операционной системы). Это фотографии в соцсетях, комментарии в блогах и под роликами на видеохостинге, это и список поисковых запросов вкупе с посещенными сайтами.
Но как такие «следы» могут навредить? Последствия на самом деле могут принять любую форму и масштаб. Самое безобидное (а иногда и приятное) — формирование «личных» страниц выдачи с контекстной рекламой в соответствии с ранее посещенными сайтами и сделанными запросами. Например, если хотя бы пару раз спросить у поисковика, как уложить керамогранит, то вскоре контекстная реклама на многих сайтах будет предлагать пользователю и покупку отделочного материала, и услуги по его укладке.
Более неприятная ситуация — попадание email или номера телефона в базу спамеров. В лучшем случае будут присылать письма о внезапном наследстве в Африке, в худшем — начнут донимать телефонными звонками, в том числе и мошенники.
На фоне указанного существует отнюдь не иллюзорная опасность столкнуться с фишингом. Например, злоумышленник может узнать, что вы интересуетесь покупкой новой видеокарты, и прислать ссылку на сайт, где продаются видеокарты по ценам в 2-5 раз ниже рынка. Незадачливый пользователь введет данные своей карты и навсегда попрощается со своими деньгами. Или мошенники, узнав о только что сделанном заказе в интернет-магазине, могут подделать письмо (или даже позвонить!) от имени магазина и попросить повторить транзакцию с указанием сведений о ФИО и платежных реквизитах. Конец предсказуем — прощайте деньги с платежной карты.
Но есть еще большая опасность — например, передача сведений о состоянии здоровья в руки злоумышленника. Например, в 2019 Google и Ascension скрытно собирали данные о болезнях и диагнозах. «Проект Найтингейл» использовался для обучения нейросетей, однако насколько это соответствует правде — неизвестно. Такие данные, попав в руки злоумышленников, несут существенную угрозу. Например, человека могут начать шантажировать.
Как защититься
Каждый пользователь сети «следит» в ней постоянно. Но отказ от интернета в XXI веке тоже не вариант. Поротому лучше придерживаться простых правил цифровой безопасности, соблюдение которых повысит комфорт жизни и пользования сетью.
Начать стоит с минимизации хранимых в сети данных. Скандалы с участием звезд, чьи откровенные фото в результате хакерской атаки оказались в свободном доступе, являются ярким примером тому, что приватный компрометирующий контент нельзя загружать в сеть.
Регистрируясь на новом сайте или в соцсети, пользователю стоит задуматься о том, так ли важна его настоящая фотография, фамилия, имя и возраст для использования сайта или соцсети. Часто эта информация не несет для других пользователей реального смысловой нагрузки, зато вызывает повышенный интерес не только у владельца сайта, но и у покупателей такой информации, например, различных рекламодателей. Да и мошенники не брезгуют подобными сведениями, особенно в эпоху социальной инженерии. По сути, жертвы сами облегчают работу мошенникам, предоставляя максимум данных о себе.
Стоит несколько раз подумать, прежде чем выложить очередную фотографию с отдыха в социальную сеть или похвастаться билетами на самолет незадолго до вылета. Например, злоумышленники, увидев фото потенциальной жертвы на отдыхе за границей, могут запросто «навестить» квартиру незадачливого отпускника и вынести оттуда ценности.
Также стоит избегать:
- пересылки самому себе или кому-либо другому логинов и паролей;
- отправки сканов и фотографий паспортов и прочих документов;
- передачи конфиденциальных сведений.
С логинами и паролями все просто — нужно научиться их или запоминать, или хотя бы держать на физических носителях типа листа бумаги в укромном месте. А что касается отправки документов и сведений, то зачастую это единственный удобный вариант (например, при общении с госучреждениями). Но в этом случае стоит, хотя бы, или удалять отправленные письма сразу, или же устанавливать пароль на папку исходящих сообщений. В случае взлома почты хакеру придется дополнительно взламывать пароль для каждой папки, что не всегда удобно.
Вообще, генерация надежных паролей сокращают риск несанкционированного доступа к аккаунту на любом сайте. И если поставить пароль типа «123456» или «QWERTY», то удивляться взлому не придется. Ненадежными паролями будут даты рождения или свадьбы, ФИО в любой последовательности — это «ломается» методом подбора. Любые осмысленные слова и фразы тоже не надежны.
Лучше всего создать пароль в разном регистре, с цифрами и спецсимволами, подменой букв цифрами и наоборот, длиной от 10 символов. Готовый пароль можно проверить на надежность на сайте Касперского, но не стоит забывать о зависимости сложности взлома от битности энтропии. Иными словами, максимальная случайность в пароле увеличивает его надежность.
А вот сервисы генерации вызывают опасения:
- они псевдослучайно генерируют буквы и цифры (т. е. результат может с некоторой вероятностью повториться даже в короткий промежуток времени);
- неизвестно, отсылаются или записываются ли сгенерированные комбинации куда бы то ни было.
При использовании генератора стоит заменить некоторые символы собственными. Это повысит надежность такого пароля. И да, нельзя использовать один и тот же пароль везде.
При наличии двухфакторной аутентификации ею пренебрегать нельзя. Ведь даже в случае утечки базы логинов и паролей сервиса, без доступа к личному телефону абонента не получится войти в аккаунт.
Следующий шаг — удаление метаданных. Это техническая информация в файле — например, для изображений это сведения о камере, фокусном расстоянии, скорости, выдержке и других параметров, включая геолокацию.
Далее по списку (но не по значению) — очистка куки. Нет, это не «печеньки», а сведения о том, что именно делалось на посещаемом сайте, с какого устройства осуществлялся вход и т. д. Бороться с куки можно с помощью отказа от сбора (если предусмотрено посещаемым сайтом) или заблокировать сбор в браузере (в интернете много инструкций о том, как это сделать для любого браузера). Наконец, можно входить с использованием режима «инкогнито».
Увеличить безопасность можно подменой IP, чтобы сайт не связывал информацию ОС и версии браузера с ним. Для этого не придется танцевать с бубном вокруг устройства — работает множество VPN-сервисов (правда, в 2023 году в России отмечаются некоторые перебои в их работе).
Поменянный IP — это виртуальная «маска», которая скрывает истинное «лицо» пользователя, его местоположение. Но бесплатные (да и платные) VPN нередко продают информацию о своих пользователях, например, рекламодателям. К тому же, помимо IP выдать пользователя может даже DNS-сервер.
Абсолютная анонимность в интернете невозможна и технически недостижима — в любом случае есть физическая точка входа. Но сделать «тропинку» максимально узкой и извилистой возможно, и этим пользоваться нужно непременно.