У каждого пользователя интернета есть электронный ящик. В основном его используют для общения. Однако, что гораздо важнее – адрес e-mail используется при регистрации на интернет ресурсах. И если вдруг случится так, что ваш ящик взломают, то кракер (взломщик) получает доступ не только к вашей переписке, но и, что более важно – к вашим многочисленным аккаунтам в интернете. Поэтому основное правило – если вам надо зарегистрироваться на каком то сайте, не используйте свой постоянный ящик. Для каждого сайта не ленитесь завести отдельный.
Важно уяснить одну простую вещь – на 100% защититься от взлома невозможно. Если опытный кракер (взломщик паролей) поставил себе цель взломать ящик он это сделает. Что же вы можете сделать? Вы можете усложнить его задачу. Протянуть время. Возможно, он сдастся и отступит. Так или иначе без боя сдаваться нельзя.

Инструкция по охране своей запароленной собственности



1 шаг  — Пароль.



Как ни странно, большинство пользователей (и еще больше – пользовательниц) просто не осознают всю важность этого термина.
Часто кракер не использует ничего кроме метода подбора пароля. Поэтому самое основное правило – пароль ни одной буквой или цифрой не должен быть связан с вашей жизнью. Самый легкий пароль – состоящий из цифр. Такой пароль взломать легче всего. Примитивные цифровые пароли типа 123456 можно взломать даже брутфорсом (последовательным перебором всех вариантов).
Буквенный пароль – чуть более сложный и все же его тоже можно взломать. Самый безопасный тип пароля – смешанная абракадабра из латинских букв, цифр, специальных знаков, написанных строчными и заглавными буквами. В пароле должно быть не меньше 8 знаков, в идеале – 16 символов. Взлом такого пароля методом подбора часто вообще невозможен. Пример – 4РRкhgJ78Ge
Пароль для каждой системы должен быть уникален.

Конечно, очень удобно придумать себе один безопасный пароль, отработать его ввод до автоматизма, и пользоваться им везде и всюду. Но тем самым вы сводите свою защиту к нулю. И еще – ни в коим случае не храните пароли в компьютере в откытом виде и тем более в памяти браузера. Да, конечно, это очень удобно, но риск не оправдан.
Неоптимальный способ
Скиньте все ваши пароли в один текстовый файл, распечатайте его и удалите из памяти компьютера. Распечатанный листок храните только дома. Никуда не берите этот листок с собой.
Оптимальный способ
Пользуйтесь специализированными программами для хранения всех ваших паролей. Подобные программы запрашивают у вас всего один пароль для доступа к зашифрованному хранилищу паролей.
Пример программы: Personal Passworder

2 шаг



Но есть куда более важная вещь – система восстановления забытого пароля. Узнав ваш ящик, кракер жмет на кнопку “Забыли пароль”. А там вопрос – “Кличка собаки?”. Кракер заходит на какой-нибудь сайт (к примеру ВКонтакте), находит фото жертвы с его собачкой и шлет ему сообщение “Ой какой песик!)) А как зовут?))”. Ну хозяин собаки ясное дело, гордо называет кличку своего питомца. Ну вот и все. Ваш ящик взломан. Что бы этого не произошло, ставьте себе самый легкий вопрос типа “Дата моего рождения” и придумывайте себе еще один пароль по инструкции №1, не имеющий даже близко ничего общего с датой рождения. Во-первых вы повысите защиту, во вторых собьёте кракера с толку.

3 шаг



И так вот вы и обезопасили свой ящик. Но вы не обезопасили себя. Практика показывает, что чаще всего для взлома ящика не нужно ничего кроме как “вежливо” попросить сказать пароль. Этот метод взлома получил название Социальная инженерия (сокращенно СИ). Принцип соц. инженерии состоит в правильном психологическом подходе к человеку, от которого вы собственно и собираетесь что-то получить.
Самый примитивный способ такого подхода появился еще на заре инета. Пользователю посылали письмо якобы от администрации почтового сервиса с просьбой подтвердить свои персональные данные, и многие подтверждали.
Даже сейчас в сети можно встретить примерно такие объявления: “Здравствуйте, это Администрация сервиса бла-бла-бла.ru Мы проводим массовую (дальше идет свехсложное, непонятное слово) пользователей. Вам необходимо просто пройти по этой ссылке и ввести свои анкетные данные…”.
Конечно очень многие уже на такую “халяву” не попадаются. Но фантазия человека безгранична. И способов соц.инженерии великое множество – советую просто вбить в поисковик “Социальная инженерия” и почитать об этом более подробно – об этом обязан знать каждый!
Защита – никогда не посылайте свои логин-пароль, в ответ на письма пришедшие от “администрации” какого-либо ресурса, где вы зарегистрированы (не зарегистрированы). А лучше вообще на них не отвечайте. Уж если сильно сомневаетесь, пошлите письмо администрации сервиса, а к письму приложите текст пришедшего вам письма (без пароля естественно), и только на тот e-mail, что указан на сервере.
Помните главное правило – вводите ваши данные только в одном месте, на главной странице почтового сервиса. Никогда не кликайте по ссылкам в письме, если у вас нет 100% доверия к его отправителю и содержимому.
Особо популярная форма СИ – создание фейковых (ложных) страниц. Эти страницы обычно копируют страницу с формой ввода логина и пароля на каком либо сайте. Предположим пользователь видит объявление: “вот тут ВКонтакте выложили прикольное видео, я долго ржал…”. Пользователь кликает на ссылку и попадает на ложную страницу, точь в точь копирующую сайт vkontakte.ru. При этом адрес страницы отличается чаще всего незначительно (сравните оригинал vkontakte.ru и его фейковый сайт-близнец с адресом vkontakle.ru).
Пользователь, вводит свой логин и пароль от своего аккаунта, фейковый сайт записывает введенные данные и отсылает пользователя на настоящий сайт, где пользователь действительно может посмотреть видео.
Защита – авторизируясь на сайтах, внимательно проверяйте что адрес правильный, что в нем нет посторонних слов и знаков.

4 шаг Кража cookie и сессии пользователя



Cookie (в переводе печенье) – это текстовые файлы оставляемые сайтами на вашем компьютере в специальном месте, и содержащие какую-либо служебную информацию.
Что нам надо знать о Cookie — то, что они хранят временный доступ к вашей учетной записи, при этом прочитать данные из Cookie может только тот сайт, который вам эту Cookie поставил. То есть куки поставленные на yandex.ru, не могут быть прочитаны рамблером, или каким-нибудь superhack.com.
Когда мы на сайте проходим авторизацию, при входе на свой почтовый ящик сервер ставит нам Cookie, куда записывает номер сессии пользователя! Зачем это надо? Просто в противном случае, при переходе с одной страницы на другую, нам пришлось бы каждый раз заново проходить авторизацию (вводить логин-пароль). А так сервер читает из Cookie нашу сессию и сравнивает с сессией назначенной авторизованному пользователю. Если все окей, вы читаете свою почту.
Сессия – это просто набор из цифр и букв случайно сгенерированных сервером (как бы временный пароль). Одна копия записана у вас в куках, другая хранится на сервере. Причем сессия имеет “время жизни” (от нескольких минут, до нескольких часов), которое зависит от настроек сервиса. По истечении этого времени, копия сессии пользователя расположенная на сервере удаляется. И сессия, записанная у пользователя окажется нерабочей (необходима новая авторизация).
Думаю технических подробностей достаточно,переходим к сути: есть специальные скрипты, которые могут быть посланы вам в обычном письме в виде ссылке или картинки, при нажатии на которую читаются ваши Cookie и отсылаются злоумышленнику. Вывод: думайте, прежде чем нажимать на ссылку в письме!
Защита. Вы замечали на вашем ящике кнопку “Выход”, “Exit” и т.д. А знаете зачем она нужна? Она закрывает вашу сессию! Да-да, именно ту сессию, о которой писалось выше. Закрыв ящик “как положено”, никто уже не сможет на него попасть без пароля, кража Cookie становится бесполезной.

5 шаг Заражение компьютера трояном



Если у злоумышленника есть физический доступ к нужному компьютеру, то он 100% может получить не только пароль к вашей почте, но и следить за всеми действиями пользователя на нем (очень актуально для офисов, компьютерных клубов и интернет кафе). При отсутствии такого доступа можно послать шпиона прямо в приложении к письму. Конечно запускать неизвестную программу из письма вряд ли кто станет (так ведь?).
А что если использовать уже знакомый нам способ социальной инженерии? Сделаем иконку у программы как у текстового документы или JPEG рисунка, переименовать файл в Foto.jpg или в Info.txt. При этом данное вложение не должно быть неожиданным. К примеру вы на сайте знакомств познакомились с девушкой. После нескольких дней переписки, она вряд ли заподозрит неладное в очередной фотке. Да и что к тому же, при запуске программы мешает показать ей настоящее фото (склеенное с программой), запустить шпиона, а затем удалить его тело из запущенного файла. При грамотном подходе не спасет и антивирус. Шансы злоумышленника вырастут во много раз.
Защита. Непонятно почему, но многие пользователи считают главным гарантом своей безопасности в сети – антивирус. Никакой антивирус с самой свежей базой не спасет вас от грамотно написанной и хорошо упакованной шпионской программы, которая ему незнакома. Трояны типа Смерть Ламера и используют ламеры.
Человек опытный напишет свое, или в крайнем случае найдет приватный софт. В данном случае, вам намного полезнее фаервол (Firewall — огненная стена (англ.)). Если вы еще не знаете что это такое, закройте инет соединение, и не выходите в сеть пока его себе не поставите. Обойти современные файрволы крайне сложно.
И ставьте свежие заплатки от MICROSOFT (если вы работаете в Windows).
Не запускайте чужие аттачи к письмам. Помните, что программу можно замаскировать под картинку, или даже текстовый документ. Никогда не используйте файлы присланные вам незнакомыми людьми.

6 шаг Взлом почтового сервера



Не секрет, что в любых крупных проектах всегда существуют ошибки (баги). Вопрос только в том, насколько они опасны, и как оперативно администрация сервиса следит за безопасностью. Что уж говорить о почтовых сервисах средней руки, когда в свое время ошибки в безопасности были найдены даже на гигантах вроде MAIL.RU. Самые распространенные ошибки состоят в возможности внедрить на сайт исполняемые скрипты своего кода, приводящие к тому или иному действию. К примеру, с помощью найденной ошибки, хакер может изменить код HTML документа на сервере, встроив свой.
Защита. От взлома почтового сервера вас не защитит ничто. Советую выбирать для своей почты лишь крупные почтовые службы. Они своевременно обновляют свой серверный софт и следят за безопасностью почтовой системы.
Сейчас многие пользуются почтой через Web интерфейс. Да, не спорю, – это “красиво и удобно”. Но! Забирать почту по протоколам POP3 или IMAP с помощью того же The Bat – быстрее, и главное безопаснее.

7 шаг Программы для взлома почты



Единственными представителями программ подобного рода являются т.н. брутфорсеры паролей. Брутфорс (от англ. brute force) – программа основанная на методе «грубой силы».
Такая программа простым перебором или по словарю пытается авторизоваться на почтовом сервере. Если пароль не подходит, программа пробует новый пароль, и так до тех пор, пока верный пароль не будет найден. Тем не менее, реальность далека от идеала. Скорость перебора целиком зависит от ширины интернет канала. При выделенке вас ожидает огромный Интернет трафик. Если пароль сложный, и не менее 6 символов, цена в случае удачи окажется слишком высокой. Плюс к этому сейчас практически везде используются системы, делающие брутфорс паролей невозможным в принципе. После нескольких неудачных попыток авторизации, вас просто «пошлют лесом». Такие программы используют лишь в тех случаях, когда подбираемый пароль хотя бы частично известен, или вы примерно знаете его длину и содержание. Защита от брутфорса – описана в шаге №1.

8 шаг Вынюхивание паролей (ВАЖНО)



Анализатор трафика, или сниффер — программа или программно-аппаратное устройство, предназначенное для перехвата сетевого трафика, предназначенного для других компьютеров. Существует большое количество способов, подключения компьютера хакера к локальной сети жертвы и чтения её незашифрованного интернет трафика, в том числе паролей, ICQ переписки, почтовых отправлений, посещаемых сайтов и т.д. Самый простой способ — это физически подключиться к той же локальной сети. Метод посложнее сесть рядом с вами в WIFI кафе. Описанные методы реально действуют.
Кстати, вы уверены что ваш системный администратор не читает ваши ICQ сообщения?, я — нет, поскольку видел подобное не раз!
Защита: вводить важные пароли можно только на сайтах, использующих SSL защиту, не использовать ICQ и почту для передачи конфеденциальной информации (безопаснее использовать Skype, траффик котрого практически не поддается дешифровки).

Итог



Существует еще множество различных способов, которые могут применить против вас – но всё это комбинации различных вариантов описанных выше. Итак, давайте обобщим, и кратко повторим что нужно знать, для вашей защиты:

    1. Для каждого сайта или ящика придумывайте уникальный, как можно более сложный пароль.


    1. Никогда не открывайте в онлайне письма от незнакомых людей. Сохраните это письмо в виде html документа, отключите соединение с интернетом и просмотрите его содержание.


    1. Не скачивайте файлы, не переходите по ссылкам, полученным от незнакомых людей.


    1. Всегда завершайте свою работу на почтовом сервисе кнопкой “выход”


    1. Не отвечайте на письма от “администрации проводящей массовую переорганизационноиндификационную обработку пользователей, и требующей вашей переактивации”. Никому не говорите и не посылайте свои пароли. Помните – администрация и без всякого пароля может изменить данные вашего аккаунта.


    1. Используйте проверенные почтовые сервисы. И еще – может случиться так, что все же кракер добьется своего. Только представьте – посторонний человек получает доступ к вашей личной переписке. Я рекомендую, удалять все письма из своего почтового ящика. Пришло вам письмо от друга – прочли, если оно важное сохранили в виде html документа и удалите из самого ящика.


    1. Также удаляйте все письма активации. В них содержатся не только ссылки на сайт где вы зарегистрированы, но и пароли к аккаунтам. Только представьте, что замученный взломом кракер добивается своей цели, узнает пароль, заходит в почтовый ящик в надежде “почитать что нибудь интересное”, а там совершенно пустой ящик. Облом, и тяжелая форма психического расстройства ему обеспечена!


    1. Старайтесь не передавать конфиденциальную информацию, если вы не уверены в надежности канала связи.



По материалам сети Интернет

Да 17 18

Ваши голоса очень важны и позволяют выявлять действительно полезные материалы, интересные широкому кругу профессионалов. При этом бесполезные или откровенно рекламные тексты будут скрываться от посетителей и поисковых систем (Яндекс, Google и т.п.).

Участники дискуссии: Более 20 участников...
  • 28 Октября 2010, 10:08 #

    Статья конечно хорошая, правильная… но поможет она только тем, кто сам задумывается о безопасности своих, разбросанных по просторам Интернета, интеллектуальных сокровищах.

    Тем, кто везде использует пароль из трёх букв (или цифр), да еще и пишет свой пароль на стикере, приклеенном к монитору, такие статьи не помогут…

    +2
  • 28 Октября 2010, 10:27 #

    Обязательно воспользуюсь советами. Большое спасибо!

    +5
  • 28 Октября 2010, 10:36 #

    «Если захотят взломать — взломают» — оптимистично ))

    Может эти советы и защитят кого-то от киберхулиганов, но не от профессионалов. Слышали что ни будь про СОРМ?

    +5
    • 28 Октября 2010, 11:10 #

      Это они свой сайт рекламируют ))
      Мол мы крутые, у нас SSl )) 

      +4
      • 28 Октября 2010, 11:17 #

        SSL уже давно не крутость, а вынужденная мера безопасности. )

        +6
      • 29 Октября 2010, 07:00 #

        А даже если и рекламируют, что с того?
        Сайт действительно крутой.
        То что на нем куча всяких «фишек» (типа  SSL), еще не самое главное. Насколько я вижу, создатели реально блюдут приватность и безопасность пользователей, а это немало!

        +5
    • 28 Октября 2010, 11:18 #

      СОРМ как раз относится к 8 пункту. Хотя задачи у него несколько иные. Однако если ваш трафик от браузера до сервера надежно зашифрован СОРМ бесполезен.

      +6
      • 28 Октября 2010, 11:25 #

        Спасибо что просветили.

        +4
      • 08 Октября 2012, 10:32 #

        Трафик не может быть зашифрован от СОРМ, это принципиальное условие получения лицензии провайдером. Оператор СОРМ имеет не меньший доступ к Вашей переписке, чем администрация любого сайта.

        0
        • 08 Октября 2012, 11:29 #

          Да, однако если между сервером и браузером пользователя (либо почтовой программой) установлено зашифрованное соединение (SSL) СОРМ будет видеть только наличие такого трафика, но прочесть его не сможет.

          +1
  • 28 Октября 2010, 11:37 #

    Неплохая статья — все нужное, коротко и в одном месте.

    +4
  • 28 Октября 2010, 12:17 #

    Советы действительно очень полезные. Главное не забыть потом свой замудреный пароль.

    +5
  • 28 Октября 2010, 12:19 #

    Тема поднята очень актуальная и злободневная! Все разъяснения понятны, спасибо!
    Как узкий специалист добавлю: в профессиональной работе юриста/адвоката «теплоту» личных контактов с клиентами никогда не заменит электронное письмо или даже скайп! Надо чаще общаться глаза в глаза!

    +3
  • 28 Октября 2010, 13:46 #

    Бесценные советы )))

    +3
  • 28 Октября 2010, 14:33 #

    ВО! Дельные советы! Благодарю!

    +3
  • 28 Октября 2010, 18:26 #

    По поводу запоминания или хранения кучи сложных паролей вспомнил случай из жизни моей бабули. Приходит как-то к бабуле её подруга и рассказывает про другую свою знакомую, мол у ней начался склероз и она стала всё записывать в тетрадь. «И как? Помогло?» — спрашивает моя бабушка. «Нет, — говорит подруга, — она теперь тетрадь ищет, забыла куда её положила».

    +4
  • 28 Октября 2010, 18:54 #

    Есть разные способы запомнить сложные вещи. Вспомните: «каждый охотник желает знать, где сидит фазан» :)

    +5
  • 28 Октября 2010, 19:03 #

    Считаю эту статьи одной из самых полезных из размещеннных за последнее время))

    +3
  • 29 Октября 2010, 05:25 #

    Соглашусь с Анатолием Сергеевичем — статья хоть и не совсем юридическая, но написана очень доходчиво и понятно — как раз для юристов, далеких от компьютерного прогресса. Спасибо!
    Пошел менять все свои пароли)) 

    +4
  • 29 Октября 2010, 05:42 #

    Понял, «усёк», и пошел вслед за LexDemon )))

    +5
  • 29 Октября 2010, 06:23 #

    Очень полезная статья! Большое спасибо!

    +4
  • 07 Мая 2011, 14:16 #

    Очень познавательная и полезная статья. Спасибо!

    +2
  • 19 Октября 2011, 18:22 #

    dell koment

    0
  • 08 Октября 2012, 05:55 #

    Блин, а мой ящик несколько раз взламывали! Очень полезная статья, для меня!
    Срочно буду менять все пароли и явки)))

    +1
  • 08 Октября 2012, 10:00 #

    Очень полезно, скопировала для себя. Моя знакомая работает в крупной иностранной компании, там каждый пользователь ежемесячно меняет пароли к компьютеру и почтовому ящику. Во ужас-то! Очень полезный совет про основной почтовый ящик и вспомогательные. Я так и делаю:)
    Кстати, вы уверены что ваш системный администратор не читает ваши ICQ сообщения?, я — нет, поскольку видел подобное не раз!На одном форуме админ читал мою переписку. Я это поняла, когда заметила: стоит мне пожаловаться на то, что мне что-то непонятно в фишках форума, тут же появлялось разъяснение в специальном разделе)) Мы с моим сотоварищем устроили хитрую проверку — наши опасения подтвердились.

    +2
  • 10 Октября 2013, 00:20 #

    Спасибо за статью.

    +1
  • 10 Октября 2013, 20:38 #

    Каждый сам для себя решит, нужна ли ему подобная статья или нет. Лично для меня она очень полезна, за что я выражаю автору свою признательность.(bow)

    +2
  • 11 Октября 2013, 13:42 #

    Спасибо за напоминание о безопасности.

    +1

Да 17 18

Ваши голоса очень важны и позволяют выявлять действительно полезные материалы, интересные широкому кругу профессионалов. При этом бесполезные или откровенно рекламные тексты будут скрываться от посетителей и поисковых систем (Яндекс, Google и т.п.).

Для комментирования необходимо Авторизоваться или Зарегистрироваться

Ваши персональные заметки к публикации (видны только вам)

Рейтинг публикации: «Как защитить почтовый ящик (и не только его) от взлома» 3 звезд из 5 на основе 18 оценок.
В этой группе собраны всевозможные инструкции, советы и рекомендации по правильному и эффективному пользованию порталом "Праворуб". Что можно и что нельзя делать на Праворубе, какие приёмы использования инструментов портала могут пригодиться каждому, а какие лучше и не пробовать. Обмен опытом и "секретами" успешного использования портала в своей работе, предостережения от ошибок и "детских болезней". Как научиться "не наступать на грабли" - всё то, что вы давно хотели узнать, но стеснялись спросить.

Свежие комментарии