В неділю вранці атакували Facebook-сторінку засновниці проєкту НотаЄНота Альони Романюк. Запити на вхід надходили з Бразилії, Іраку, Бангладешу та інших країн. Минулого тижня подібні історії були ще у кількох медійників. Подвійна автентифікація, звісно, спрацювала, але ми вирішили нагадати про базові речі.
Тому ловіть чекліст. Коротко і по суті.
1. Подвійна автентифікація має бути не тільки для імейлу, але й для Facebook, Instagram, Telegram, банківських застосунків. Другий фактор автентифікації – по факту додатковий рівень безпеки. Наприклад, код з SMS, застосунок Google Authenticator, резервні коди. SMS — найслабший варіант, бо його можна перехопити або навіть заволодіти номером телефону (якщо хочете, щоб ми детальніше розписали, як крадуть номери телефонів - напишіть нам в коментах). Проте навіть другий фактор верифікації через SMS краще, ніж нічого.
2. Перевірте, хто має доступ до ваших акаунтів. Зайдіть у налаштування і подивіться активні сесії та пристрої. Все незнайоме — видаляйте. «Якось на тренінгу про фейки виявилося, що до Telegram-акаунтів кількох учасників є доступи з пристроїв, про які вони не знали», – розповідає Альона. Це один із прикладів, коли ви уже перейшли за зловмисним посиланням, шахраї уже мають до нього доступ, але поки ще не почали активно використовувати. Таке буває частіше, ніж здається.
3. Перевірте, які застосунки мають доступ до вашого акаунту. У всіх же буває той момент, коли ліньки реєструватись і клікаєш «увійти через Facebook/Google». Направду, швидко, зручно, але ризиковано. Перегляньте список і видаліть все, чим вже не користуєтесь або не пам'ятаєте, навіщо давали доступ.
4. Різні паролі для різних акаунтів Якщо один сервіс злили — і ваш пароль тепер у відкритій базі — зловмисники перевіряють його скрізь. Це називається credential stuffing і це масова практика. Перевірте свою пошту на http://haveibeenpwned.com/ — можливо, ви вже в якійсь базі.
5. Менеджер паролів Bitwarden (безкоштовний), 1Password, KeePass генерують складні унікальні паролі і зберігають їх замість вас. Так, це ще одна точка входу, яку треба захищати. Але це краще, ніж «назва_домашнього_улюбленця+рік» або імʼя та прізвище.
6. Змінюйте паролі Особливо якщо давно не міняли. Особливо якщо маєте старі акаунти з паролями з «іншого життя».
7. Фішинг небезпечніший за брутфорс. Кіберполіція фіксує масові фішингові атаки: користувачам надходять листи нібито від служби підтримки Facebook з повідомленням про «порушення правил спільноти». Ціль зловмисників – отримати дані для входу, щоб змінити контактну інформацію і використати акаунт для шахрайства. Перевіряйте URL перед тим, як вводити пароль. Навіть якщо посилання надійшло від друга.
8. Окрема пошта для важливого. Адреса, яку ви не публікуєте і не використовуєте для реєстрацій де попало додає ще один рівень безпеки. Тут ще треба було б сказати про окремий номер телефону, на який зареєстровані банківські акаунти, але поки з базовими налаштуваннями треба справитися:)
9. Збережіть офлайн резервні коди 2FA. Коли налаштовуєте подвійну автентифікацію, то є ще окремий фактор як резервні коди – їх можна роздрукувати або переписати. Якщо втратите телефон без резервних кодіввідновлення акаунту перетвориться на ще той квест.
10. Якщо ви журналіст, активіст або дослідник, то розгляньте апаратний ключ безпеки — YubiCo або аналог. Це фізичний пристрій, без якого неможливо увійти в акаунт навіть зі знанням пароля і коду 2FA. Захищає навіть від фішингу в реальному часі.
*Якщо у вас є Facebook-сторінка медіа, проєкту чи організації, перегляньте, хто має до неї доступ. Видаліть старі ролі, залиште мінімально необхідні права і не давайте всім статус адміністратора.
