Способы целевой кражи информации и защита от них.

Букаф многа, но и пользы от прочтения, будет не меньше.

Для начала, стоит сказать, что как правило наиболее слабым звеном компьютерной системы, информацию которой надо уберечь, является пользователь. Это причина, по которой искусство взлома состоит на серьезную часть из так называемой социальной инженерии - СИ. СИ является мастерством входить в доверие к людям, и с помощью некоторых уловок получать доступ к их конфиденциальной информации. Для примера - в разговоре хакер может спросить у жертвы девичью фамилию ее матери - так, "интереса ради". Узнав ответ, хакер воспользуется сервисом восстановления пароля от электронной почты, где в качестве секретного вопроса жертвы стоит...правильно, девичья фамилия матери! Из понимания логики взломщика - "я спрошу, вроде как поинтересовался, ничего особенного", вытекает прием защиты от кражи информации - данные, которые может узнать каждый, не должны являться ключом к вашему почтовому "сейфу". В идеале, возможность восстановления пароля через секретный вопрос должна быть невозможной. Если вы все-таки решили не отказываться от секретного вопроса, помните, что вопрос должен быть вашим собственным (т.е. вы должны установить вопрос сами, а не выбрать из числа доступных), и вопросы наподобие "Моя любимая футбольная команда" не подходят. Вдумайтесь - много ли в мире существует футбольных команд? Нужный ответ подбирается, самое большее, за несколько часов - если вы поклонник футболистов из Зимбабве.

Данная методика завладевания информацией актуальна и по наши дни, поскольку администраторы популярных почтовых серверов физически не в состоянии обработать все заявки на ручное восстановление, поступающие от десятков тысяч пользователей. Делаем вывод - лазейка для хакера складывается из пользовательской и администраторской лени.

К слову, на мейл.ру секретный вопрос не работает, точнее им нельзя воспользоваться, если почтовый ящик использовался последние три дня.
На gmail - двухфакторная авторизация, секретный вопрос мало что даст,
на hotmail - любые действия с настройкой почты - приходят в смс.
За rambler - не знаю, не пользуюсь.

Социальная инженерия является лишь одним из способов кражи информации, основанном на понимании пользовательского мышления. Вне зависимости от того, по какую сторону баррикад вы находитесь, подумайте, является ли удобным каждый раз при входе в почту (ВК, аккаунт в другой социальной сети, аккаунт на форуме, и т.д.) вводить пароль наподобие &jezla-NS45a? Большинство пользователей ПК не владеют техниками быстрой печати, соответственно, ввод множества сложных паролей является для них непосильной задачей. Теперь посмотрим, сколько в данной лазейке лени пользовательской и лени администраторской.
  Если пользователю неудобно вводить длинный и сложный пароль, он в большинстве случаев даже не рассматривает обучение машинописи как решение проблемы. Набирать пароль 100 раз в день, словно буддийский монах, терпения хватит не у каждого, и кроме того, паролей должно быть много. По крайней мере, больше одного - чтобы завладев одним паролем, злоумышленник не получил доступа ко всему и сразу. Какова в данном случае возможность завладеть паролем?
   Первое - подсмотреть медленно набираемый пароль, благо что сделать это незаметно не так уж и сложно. "Отвернись!" человека, который медленно набирает пароль, мало что решает - по звуку клавиш вполне реально понять, сколько символов используется в пароле, о ценности данной информации я расскажу чуть ниже.
   Если пользователь не утруждает себя тренировкой памяти, а предпочитает записывать пароли на листок - случайный взгляд на этот листок отвечает на все вопросы. Если, конечно, у вас все в порядке с фотографической памятью. В случае чего - вы ведь случайно взглянули на этот листок, и понятия не имеете, что там за буковки, верно?
    Использование кейлоггера - программы, записывающей в текстовый файл нажатия клавиш. Антивирусы для нее не будут являться проблемой, если добавить программу в список исключений.
    Кража cookies - информации, используемой сайтом, чтобы не спрашивать у вас каждый раз пароль. Предположим, что вы случайно закрыли окошко браузера - так вот, cookies не дадут вам утомить себя повторным набором пароля. Cookies представляют собой информацию, к которой доступ извне по умолчанию разрешен в большинстве современных браузеров.
    "Фейк" - дубликат страницы авторизации. Вы перешли к примеру на pochta-mail-ru.ucoz.net, вводите логин и пароль для доступа к почтовому ящику....и остаетесь без ящика - реквизиты для доступа к нему оседают в логах фейка.
    SQL-уязвимость. Я не говорю о возможности найти SQL-иньекцию на популярном ресурсе, но у некоторых пользователей есть привычка регистрироваться где ни попадя, тут им помогают админы со своей политикой огораживания от гостей.
    В случае, если разрешено автоматическое восстановление пароля - подбор ответа на секретный вопрос или кража мобильного телефона, с помощью которого можно установить новый пароль. Чем хорош этот способ? Секретный вопрос может быть не таким уж и секретным (читай предыдущую главу), а мобильный телефон красть необязательно - можно просто вынуть сим-карту. Люди оставляют телефоны на виду у окружающих - если вы нагло схватите телефон и убежите, проблем с законом не избежать, да и выйти из помещения или удалиться на некоторое расстояние от места событий вам не удастся - не дадут. А вот обыск в поисках маленькой карточки довольно затруднителен, а заявление о блокировке утерянной SIM дает эффект отнюдь не в тот момент, когда оно было написано. Таким образом, у вас есть, в данном случае, как минимум несколько часов для раскрытия всех тайн за семью печатями.
   В случае, если автоматическое восстановление невозможно - будем писать письмо в техподдержку! У нас спрашивают ответ на секретный вопрос, который мы когда-либо использовали. Наш ответ гадам - "Да не помню я, какого цвета была моя зубная щетка 15 лет назад! Не помню, и все! Зато я мог/ла написать там, по ошибке, свой номер паспорта 0000 000000 (случайные цифры, серия и номер не обязательно должны быть корректными). Помогает в большинстве случаев.
   Использование брута - программы, устанавливающей соединение с почтовым сервером, и производящей все новые и новые попытки авторизации ("входа") с разными паролями. Название данного класса программ произошло от термина "brute force" - грубая сила, перебор. Брут - это просто перебор всех паролей сервера.
   В случае, если почтовый сервер блокирует запросы на авторизацию с одного IP-адреса, если их слишком много, имеет смысл использовать т.н. proxy - "прокси-сервер", своеобразный посредник между вашим компьютером и почтовым сервером. Для справки - средство анонимизации Tor является ни чем иным как сетью прокси. Как правило, для взлома пароля используется всего один промежуточный сервер - для сокрытия вашего IP-адреса, который давным-давно забанен, однако в Tor для передачи конфиденциальной информации используется цепочка из трех нод, которая обновляется с определенной периодичностью. Это так, лирическое отступление.
   Итак, мы посмотрели на ситуацию с точки зрения взломщика. Теперь подумаем, как нам избежать подобных подарков судьбы.

От таких вот сюрпризов с восстановлением пароля нас спасет:
1. Периодическая проверка почты. Восстановление почтового ящика, как правило невозможно, если на него в ближайшее время кто-то заходил.
2. Никаких секретных вопросов для даунов! Читай выше.
3. Следите за своим телефоном! В последнее время чтобы завести сим-карту, нужен паспорт. Чтобы завести аккаунт в социальной сети, нужна сим-карта. Чтобы связаться с друзьями, нужен аккаунт. Эта цепочка не слишком защищена от чужих хитрых планов и грязных умыслов. Могу дать рекомендацию не терять паспорт, но это слишком банально. Хотя, кто знает?
4. Если у вас есть антивирус, изменение его настроек должно защищаться отдельным паролем. Всегда. Вообще всегда.
5. Выбирайте устойчивую почту. Что означает устойчивую? Посмотрим:
mail.ru - брут по pop3 никоим образом не преследуется. Можно брутить даже без прокси. Делайте выводы.
yandex.ru - как только вы свяжетесь с нелегалом, Яндекс сольет всю информацию о вас людям в погонах. Посему, брутить почту Яндекс довольно проблематично. Но, зато можно вскрыть её с помошью секретного вопроса и давность захода в почту на взлом этим методом, не влияет.
gmail.com - куча возможностей восстановления, обязательная привязка к номеру, письмо в техподдержку, в 95% случаев оканчивающееся предоставлением доступа к ящику. Не надо. Лучше не надо. Это удобно, но в этом удобстве кроется опасность.
safe-mail и mail.com - самое оно. В случае mail.com, ситуация для взломщика осложняется тем, что примитивные бруты, обученные работе с конкретными доменами, не переваривают поддоменов типа scientist.com или catlover.com. Здорово, правда?
6.Выбирайте надежные пароли - защита от брута. Использование спецсимволов, цифр и букв разных регистров - это хорошо. Множество паролей - это тоже хорошо. А вот чего делать не стоит, так это:
             Не делайте логин частью пароля. Про одинаковые логин и пароль молчу - обычно почтовые сервера такого маразма не позволяют. Кроме мэйла, там это часто встречается.)))
             Пароль не должен содержать информативных данных, или куска другого пароля.
             Хороших паролей должно быть много. Нельзя "складывать все яйца в одну корзину".
             Лучшее место для паролей - ваша голова. Не записывайте паролей, это лишнее. Если без бумажки не запомните, так хоть потрудитесь по своему обозначить, какой от какого ресурса, но так, чтоб было понятно вам одним.
7. Никаких переходов по незнакомым ссылкам! Они могут содержать XSS сайта, с которого вы на них перешли. Я не буду обьяснять, что такое XSS, скажу лишь только, что уязвимости подобного рода встречаются постоянно. Ключом к их обходу является вменяемый пользователь. Просто не нажимайте куда попало - куки будут целее. Кстати, насчет куков - строгая политика в их отношении помогает во многих случаях. Запрещайте доступ к кукам, когда без него можно обойтись. Не нужно лениться, ваша лень делает хакеров счастливыми. Будем считать, что альтруисты этого не читают.
8. Остерегайтесь фейков. Если вы вводите логин и пароль для доступа к почтовому ящику на mail.com, в адресной строке должно быть mail.com, а не meil.kom. Для определения хитрых фейков, не обнаруживаемых адресной строкой, существует несколько методов:
Выясните расположение файла hosts в вашей системе (речь идет о Windows), и пройдитесь по этому адресу. Файл hosts может состоять из комментариев, в начале строк которых стоит #, а вот остальные строки представляют потенциальную опасность. Никаких упоминаний сервисов, на которых у вас есть аккаунты, в файле hosts быть не должно. А вообще, для абсолютной защиты, если вы видите в hosts строчки, отличные от "127.0.0.1 localhost" - трите их. Они не нужны. Комментарии, собственно, тоже.
Также для раскрытия фейка можно попробовать сменить язык страницы, пройтись по правилам сайта или заглянуть в информацию о разработчиках - ленивые хацкеры копируют главную страницу сайта со всеми ссылками, а вот на остальные ссылки их терпения не хватает - а как же, хочется ведь похацкерить поскорее!
9. Не надо заводить десятки аккаунтов на форумах поклонников Омского ГазМяса. Сайт дыряв, пока он малоизвестен, вместе с известностью приходят толпы взломщиков, вместе с толпами взломщиков приходит нагоняй админу и необходимость закрывать дыры в безопасности. Намек понятен.
10. Интересуйтесь свежими уязвимостями на Хабре, Microsoft Security Bulletins и тому подобных ресурсах и багтреках, и про обновления системы не забывайте. Способы взломов меняются, новые обновления выходят постоянно, и вы должны быть впереди.
             Вот вам несколько примеров из жизни. Пользователь Ю. - исключительный дятел. И вот по какой то причине, надо этому дятлу виртуально настучать по клюву. Никакого специального софта задействовано не было, все, что понадобилось - какое то время кликания на кнопочки.
             Ситуация 1
Ю создал ящик на mail.ru. Секретный вопрос - название любимой футбольной команды.
Х. добавляет Ю. в друзья в скайпе, увидев его логин Skype, который (это тоже нужно взять на заметку), как оказалось после проверки, является логином ящика. Увидев секретный вопрос, Х. приготовился перебирать: Спартак, ЦСКА, Локомотив...Перебирать особенно и не пришлось - первый вариант подошел. Ю. остался без почты, Х., просмотрев письма ящика, находит в них первый и единственный пароль Ю. - 123qw456.
             Ситуация 2
Ю. узнал о взломе и быстренько вернул себе почту. Х. пытается получить доступ к ящику, но на месте секретного вопроса красовалось "Номер паспорта", и пришлось отложить мероприятие до лучших времен. Х. гуглит логин Ю., и выяснилось, что на одном популярном ресурсе Subskribe Ю. недавно зарегистрировался. Адрес ящика админ того ресурса скрыть не позаботился - в публичном доступе находился адрес второго ящика Ю. Х. воспользовался восстановлением пароля второго ящика, и тут выяснилось, что секретным вопросом, в данном случае, стоит имя матери Ю. Пара минут перебора распространенных имен сделали свое дело. Ладно бы Августа какая-нибудь, а тут Светлана. Не шибко хитро. В письмах второго ящика Ю. находился второй пароль - "123qw456qw123". С ухмылкой вводится полученный пароль к первому ящику. Mиссия выполнена.
             Ситуация 3
Разьяренный Ю. написал в техподдержку с просьбой удалить свою почту.  Как только Х. видит сообщение о том, что данный ящик не существует (это можно увидеть после неудачной попытки входа и восстановления пароля), он тут же регистрирует новый, идентичный ящик. Вспомнив, где регистрировался Ю., Х. пользуется восстановлением пароля на этих ресурсах. И пипец не замедлил явиться к Ю.
             В заключение, стоит сказать, что нет, защиты, которую невозможно было бы обойти, но вдумайтесь - так ли вам охота, чтобы ваш давний или свежеприобретённый неприятель, съедаемый желанием вам навредить, парой кликов мыши поставил вас на колени? Очевидно, нет.