Cách các chuyên gia bảo mật bảo vệ thông tin cá nhân

2024 Tác giả: Malcolm Clapton | [email protected]. Sửa đổi lần cuối: 2023-12-17 04:15

Việc từ bỏ Wi-Fi công cộng và các ứng dụng ngân hàng và nhận một thẻ riêng để mua hàng trực tuyến có hợp lý không - ý kiến của một chuyên gia bảo mật thông tin.

Một nửa số đồng nghiệp của tôi trong lĩnh vực bảo mật thông tin bị hoang tưởng nghề nghiệp. Cho đến năm 2012 bản thân tôi cũng như vậy - tôi đã được mã hóa toàn bộ. Sau đó, tôi nhận ra rằng sự phòng thủ buồn tẻ như vậy gây trở ngại cho công việc và cuộc sống.

Trong quá trình “đi chơi”, tôi đã hình thành những thói quen như vậy để bạn có thể ngủ yên, đồng thời không xây bức tường Trung Quốc xung quanh. Tôi cho bạn biết những quy tắc an toàn mà tôi hiện đang xử lý mà không hề cuồng tín, những quy tắc nào tôi vi phạm đôi khi và tôi tuân theo tất cả sự nghiêm túc.

Hoang tưởng quá mức

Không sử dụng Wi-Fi công cộng

Tôi sử dụng và không có sợ hãi về vấn đề này. Có, có những mối đe dọa khi sử dụng các mạng công cộng miễn phí. Nhưng rủi ro được giảm thiểu bằng cách tuân theo các quy tắc an toàn đơn giản.

1. Đảm bảo rằng điểm phát sóng thuộc về quán cà phê chứ không phải của tin tặc. Điểm hợp pháp yêu cầu một số điện thoại và gửi một tin nhắn SMS để nhập.
2. Sử dụng kết nối VPN để truy cập Mạng.
3. Không nhập tên người dùng / mật khẩu trên các trang web chưa được xác minh.

Gần đây, trình duyệt Google Chrome thậm chí còn bắt đầu đánh dấu các trang có kết nối không an toàn là không an toàn. Thật không may, các trang web lừa đảo gần đây đã áp dụng hoạt động lấy chứng chỉ để bắt chước bằng thật.

Vì vậy, nếu bạn muốn đăng nhập vào một dịch vụ nào đó bằng Wi-Fi công cộng, tôi khuyên bạn nên đảm bảo rằng trang web đó là nguyên bản hàng trăm lần. Theo quy định, chỉ cần chạy địa chỉ của anh ấy thông qua một dịch vụ whois, ví dụ như Reg.ru. Ngày đăng ký tên miền mới nhất sẽ cảnh báo cho bạn - các trang lừa đảo không tồn tại lâu.

Không đăng nhập vào tài khoản của bạn từ thiết bị của người khác

Tôi vào, nhưng tôi đã thiết lập xác thực hai bước cho mạng xã hội, thư, tài khoản cá nhân, trang web của Dịch vụ Nhà nước. Đây cũng là một phương pháp bảo vệ không hoàn hảo, vì vậy, Google, chẳng hạn, đã bắt đầu sử dụng mã thông báo phần cứng để xác minh danh tính của người dùng. Nhưng hiện tại, đối với "những người bình thường", chỉ cần tài khoản của bạn yêu cầu mã từ SMS hoặc từ Google Authentificator là đủ (trong ứng dụng này, một mã mới được tạo mỗi phút trên chính thiết bị).

Tuy nhiên, tôi thừa nhận một yếu tố hoang tưởng nhỏ: Tôi thường xuyên kiểm tra lịch sử duyệt web của mình trong trường hợp có người khác nhập thư của tôi. Và tất nhiên, nếu tôi đăng nhập vào tài khoản của mình từ thiết bị của người khác, khi kết thúc công việc, tôi không quên nhấp vào “Kết thúc tất cả các phiên”.

Không cài đặt ứng dụng ngân hàng

Sử dụng ứng dụng ngân hàng di động an toàn hơn ngân hàng trực tuyến trong phiên bản máy tính để bàn. Ngay cả khi nó được thiết kế lý tưởng theo quan điểm bảo mật, câu hỏi vẫn là các lỗ hổng của chính trình duyệt (và có rất nhiều lỗ hổng trong số đó), cũng như các lỗ hổng của hệ điều hành. Phần mềm độc hại đánh cắp dữ liệu có thể được tiêm trực tiếp vào đó. Do đó, ngay cả khi giao dịch ngân hàng trực tuyến hoàn toàn an toàn, những rủi ro này vẫn nhiều hơn thực tế.

Đối với ứng dụng ngân hàng, việc bảo mật của nó hoàn toàn do ngân hàng tự quyết định. Mỗi người trong số họ đều trải qua quá trình phân tích kỹ lưỡng về tính bảo mật của mã, thường là các chuyên gia nổi tiếng bên ngoài có liên quan. Ngân hàng có thể chặn quyền truy cập vào ứng dụng nếu bạn đã thay đổi thẻ SIM hoặc thậm chí chỉ cần chuyển nó sang một khe cắm khác trên điện thoại thông minh của bạn.

Một số ứng dụng an toàn nhất thậm chí không khởi động cho đến khi các yêu cầu bảo mật được đáp ứng, chẳng hạn như điện thoại không được bảo vệ bằng mật khẩu. Do đó, nếu bạn, giống như tôi, về nguyên tắc chưa sẵn sàng từ bỏ thanh toán trực tuyến, thì tốt hơn là sử dụng một ứng dụng hơn là ngân hàng trực tuyến trên máy tính để bàn.

Tất nhiên, điều này không có nghĩa là các ứng dụng được bảo mật 100%. Ngay cả những cái tốt nhất cũng có lỗ hổng bảo mật, vì vậy cần phải cập nhật thường xuyên. Nếu bạn nghĩ rằng điều này là chưa đủ, hãy đọc các ấn phẩm chuyên ngành (Xaker.ru, Anti-malware.ru, Securitylab.ru): họ sẽ viết ở đó nếu ngân hàng của bạn không đủ an toàn.

Sử dụng một thẻ riêng để mua hàng trực tuyến

Cá nhân tôi cho rằng đây là rắc rối không cần thiết. Tôi đã có một tài khoản riêng để nếu cần, có thể chuyển tiền từ nó vào thẻ và thanh toán các giao dịch mua trên Internet. Nhưng tôi cũng từ chối điều này - đó là một điều bất lợi để an ủi.

Nhanh hơn và rẻ hơn để có được một thẻ ngân hàng ảo. Khi bạn mua hàng trực tuyến bằng cách sử dụng nó, dữ liệu của thẻ chính trên Internet không sáng lên. Nếu bạn nghĩ rằng điều này là không đủ để hoàn toàn tự tin, hãy mua bảo hiểm. Dịch vụ này được cung cấp bởi các ngân hàng hàng đầu. Trung bình, với chi phí 1.000 rúp một năm, bảo hiểm thẻ sẽ bảo hiểm thiệt hại 100.000.

Không sử dụng thiết bị thông minh

Internet of Things là rất lớn và có nhiều mối đe dọa hơn trong nó so với truyền thống. Các thiết bị thông minh thực sự có rất nhiều cơ hội để hack.

Tại Vương quốc Anh, tin tặc đã xâm nhập vào mạng lưới sòng bạc địa phương với dữ liệu khách hàng VIP thông qua một bộ điều nhiệt thông minh! Nếu sòng bạc trở nên bất an như vậy thì nói gì đến một người bình thường. Nhưng tôi sử dụng các thiết bị thông minh và không dán camera vào chúng. Nếu TV và kết hợp thông tin về tôi - chết tiệt với nó. Nó chắc chắn sẽ là một thứ gì đó vô hại, bởi vì tôi lưu trữ mọi thứ quan trọng trên một đĩa được mã hóa và giữ nó trên giá - mà không cần truy cập Internet.

Tắt điện thoại của bạn ở nước ngoài trong trường hợp nghe lén

Ở nước ngoài, hầu hết chúng tôi thường sử dụng sứ giả mã hóa hoàn hảo tin nhắn văn bản và âm thanh. Nếu lưu lượng bị chặn, nó sẽ chỉ chứa "mớ hỗn độn" không thể đọc được.

Các nhà khai thác di động cũng sử dụng mã hóa, nhưng vấn đề là họ có thể tắt nó mà chủ thuê bao không biết. Ví dụ, theo yêu cầu của các dịch vụ đặc biệt: đây là trường hợp trong cuộc tấn công khủng bố vào Dubrovka để các dịch vụ đặc biệt có thể nhanh chóng lắng nghe các cuộc đàm phán của bọn khủng bố.

Ngoài ra, các cuộc đàm phán còn bị chặn lại bởi các tổ hợp đặc biệt. Giá cho chúng bắt đầu từ 10 nghìn đô la. Chúng không có sẵn để bán, nhưng chúng có sẵn cho các dịch vụ đặc biệt. Vì vậy, nếu nhiệm vụ là lắng nghe bạn, họ sẽ lắng nghe bạn. Bạn có sợ không? Sau đó, tắt điện thoại của bạn ở mọi nơi, và cả ở Nga.

Nó có ý nghĩa

Thay đổi mật khẩu hàng tuần

Trên thực tế, mỗi tháng một lần là đủ, với điều kiện là mật khẩu dài, phức tạp và riêng biệt cho từng dịch vụ. Tốt nhất là nên nghe theo lời khuyên của các ngân hàng vì họ đang thay đổi các yêu cầu về mật khẩu khi sức mạnh tính toán ngày càng tăng. Giờ đây, một thuật toán tiền điện tử yếu được sắp xếp theo thứ tự bạo lực trong một tháng, do đó yêu cầu về tần suất thay đổi mật khẩu.

Tuy nhiên, tôi sẽ đặt trước. Nghịch lý thay, yêu cầu thay đổi mật khẩu mỗi tháng một lần lại chứa đựng một mối đe dọa: bộ não con người được thiết kế theo cách mà nếu cần phải liên tục ghi nhớ các mã mới, nó sẽ bắt đầu hoạt động. Như các chuyên gia mạng đã phát hiện ra, mỗi mật khẩu người dùng mới trong tình huống này sẽ trở nên yếu hơn so với mật khẩu trước đó.

Giải pháp là sử dụng các mật khẩu phức tạp, thay đổi chúng mỗi tháng một lần nhưng sử dụng một ứng dụng đặc biệt để lưu trữ. Và lối vào nó phải được bảo vệ cẩn thận: trong trường hợp của tôi, nó là một mật mã gồm 18 ký tự. Có, các ứng dụng có tội chứa lỗ hổng bảo mật (xem đoạn về các ứng dụng bên dưới). Bạn phải chọn cái tốt nhất và theo dõi tin tức về độ tin cậy của nó. Tôi chưa thấy cách nào an toàn hơn để lưu giữ hàng tá mật khẩu mạnh trong đầu.

Không sử dụng dịch vụ đám mây

Câu chuyện lập chỉ mục của Google Docs trong tìm kiếm Yandex đã cho thấy người dùng đang nhầm lẫn về độ tin cậy của phương pháp lưu trữ thông tin này như thế nào. Cá nhân tôi sử dụng các máy chủ đám mây của công ty để chia sẻ vì tôi biết chúng an toàn như thế nào. Điều này không có nghĩa là các đám mây công cộng miễn phí là một thứ xấu xa tuyệt đối. Ngay trước khi bạn tải tài liệu lên Google Drive, hãy nhớ mã hóa tài liệu đó và đặt mật khẩu để truy cập.

Các biện pháp cần thiết

Không để lại số điện thoại của bạn cho bất kỳ ai và ở bất kỳ đâu

Nhưng đây không phải là một biện pháp phòng ngừa bổ sung nào cả. Biết số điện thoại và họ tên, kẻ tấn công có thể tạo một bản sao thẻ SIM với giá khoảng 10 nghìn rúp. Gần đây, một dịch vụ như vậy không chỉ có trên darknet. Hoặc thậm chí dễ dàng hơn - đăng ký lại số điện thoại của người khác cho chính bạn bằng cách sử dụng giấy ủy quyền giả tại văn phòng của nhà điều hành viễn thông. Sau đó, số này có thể được sử dụng để truy cập bất kỳ dịch vụ nào của nạn nhân khi cần xác thực hai yếu tố.

Đây là cách tội phạm mạng đánh cắp tài khoản Instagram và Facebook (ví dụ: để gửi thư rác từ chúng hoặc sử dụng chúng cho kỹ thuật xã hội), giành quyền truy cập vào các ứng dụng ngân hàng và xóa tài khoản. Gần đây, các phương tiện truyền thông cho biết làm thế nào trong một ngày, 26 triệu rúp đã bị đánh cắp từ một doanh nhân ở Moscow bằng cách sử dụng kế hoạch này.

Hãy cảnh giác nếu thẻ SIM của bạn ngừng hoạt động mà không có lý do rõ ràng. Tốt hơn là chơi nó an toàn và chặn thẻ ngân hàng của bạn, điều này sẽ là hoang tưởng chính đáng. Sau đó, liên hệ với văn phòng của nhà điều hành để tìm hiểu điều gì đã xảy ra.

Tôi có hai thẻ SIM. Các dịch vụ và ứng dụng ngân hàng gắn liền với một số, tôi không chia sẻ với bất kỳ ai. Tôi sử dụng một thẻ SIM khác cho nhu cầu liên lạc và gia đình. Tôi để lại số điện thoại này để đăng ký tham gia hội thảo trên web hoặc nhận thẻ giảm giá trong cửa hàng. Cả hai thẻ đều được bảo vệ bằng mã PIN - đây là một biện pháp bảo mật thô sơ nhưng bị bỏ qua.

Không tải mọi thứ về điện thoại của bạn

Một quy tắc sắt. Không thể biết chắc nhà phát triển ứng dụng sẽ sử dụng và bảo vệ dữ liệu người dùng như thế nào. Nhưng khi biết được cách mà những người tạo ra ứng dụng đang sử dụng chúng, nó thường biến thành một vụ bê bối.

Các trường hợp gần đây bao gồm câu chuyện Polar Flow, nơi bạn có thể tìm ra tung tích của các sĩ quan tình báo trên khắp thế giới. Hay một ví dụ trước đó với Unroll.me, vốn được cho là sẽ bảo vệ người dùng khỏi các đăng ký spam, nhưng đồng thời lại bán dữ liệu nhận được cho một bên.

Các ứng dụng thường muốn biết quá nhiều. Một ví dụ trong sách giáo khoa là ứng dụng Flashlight, ứng dụng này chỉ cần một bóng đèn là có thể hoạt động, nhưng muốn biết mọi thứ về người dùng, bạn phải truy cập ngay vào danh sách liên hệ, xem thư viện ảnh và người dùng đang ở đâu.

Những người khác thậm chí còn đòi hỏi nhiều hơn. UC Browser gửi IMEI, Android ID, địa chỉ MAC của thiết bị và một số dữ liệu người dùng khác tới máy chủ của Umeng, nơi thu thập thông tin cho thị trường Alibaba. Tôi cũng như các đồng nghiệp của mình, muốn từ chối một đơn xin việc như vậy.

Ngay cả những người hoang tưởng chuyên nghiệp cũng chấp nhận rủi ro, nhưng họ có ý thức. Để không sợ mọi bóng đen, hãy quyết định điều gì là công khai và điều gì là riêng tư trong cuộc sống của bạn. Xây dựng các bức tường xung quanh thông tin cá nhân, và không rơi vào tình trạng quá cuồng tín về sự an toàn của thông tin công cộng. Sau đó, nếu một ngày bạn tìm thấy thông tin công khai này trong phạm vi công cộng, bạn sẽ không bị tổn thương nghiêm trọng.