10 непреложных законов безопасности
Закон №1. Если вы запустили на своем компьютере приложение злоумышленника, это больше не ваш компьютер
Печально, но факт: когда приложение запускается на компьютере, оно всегда выполняет те задачи, для решения которых создавалось, даже если это абсолютно противозаконно. Запуская приложение, пользователь передает ему управление компьютером — оно может делать все, что может делать на компьютере сам пользователь. Например, оно может «запоминать», какие клавиши нажимает пользователь, и отправлять эти сведения в Интернет, открывать любые документы на компьютере и произвольным образом изменять их содержимое, отправлять друзьям и знакомым пользователя оскорбительные сообщения по электронной почте и даже форматировать жесткий диск компьютера. Да, вот еще: вредоносное приложение может установить вирус или программу, которая позволит кому угодно удаленно управлять компьютером через Интернет, подключившись к нему с помощью обычного модема где-нибудь в Катманду.
Поэтому очень важно никогда не запускать и даже не загружать приложения из источников, которым вы не доверяете, — причем под «источником» подразумевается не тот человек, от которого вы получили это приложение, а тот, который его создал. Кстати, существует хорошая аналогия между приложением и бутербродом. Если незнакомый человек предложит вам бутерброд, станете ли вы его есть? Вероятно, нет. А если бутерброд предложит ваш хороший друг? Может, станете, а может, и нет — в зависимости от того, сделал ли человек этот бутерброд сам или нашел на улице. Используйте для приложений те же критерии, что и для бутербродов, и вы защитите себя от большинства опасностей.
Закон №2. Если злоумышленник внес изменения в операционную систему вашего компьютера, это больше не ваш компьютер
Фактически, операционная система — это всего лишь набор нулей и единиц, которые интерпретируются процессором и «заставляют» компьютер выполнять определенные действия. Стоит изменить эти нули и единицы, и компьютер начнет делать что-то совершенно другое. Где же хранятся эти нули и единицы? На компьютере — там же, где и все остальное! Они представляют собой обыкновенные файлы, и если другие люди, которые используют этот компьютер, смогут изменять их — все пропало.
Это легко понять, если вспомнить, что файлы операционной системы входят в число наиболее доверенных файлов и, как правило, выполняются с правами системного уровня. Иначе говоря, содержащиеся в этих файлах программы могут выполнять любые действия. Кроме того, они имеют право управления учетными записями пользователей, изменения паролей и установки прав использования компьютера. Если злоумышленник сможет заменить эти файлы, содержащиеся в них приложения будут исполнять его команды, и он сможет сделать все, что захочет — похитить пароли, предоставить себе права администратора или же добавить в операционную систему новые функции. Чтобы предотвратить подобные атаки, обеспечьте надежную защиту системных файлов и реестра.
Закон №3. Если у злоумышленника есть неограниченный физический доступ к вашему компьютеру, это больше не ваш компьютер
Вам интересно, что злоумышленник может сделать с компьютером, если сможет до него дотянуться? Что ж, вариантов масса — начиная от методов каменного века и заканчивая утонченными приемами эпохи освоения космоса.
• Устроить высокоэффективную низкотехнологическую атаку типа «отказ в обслуживании», от души врезав по компьютеру кувалдой.
• Отсоединить компьютер от всех кабелей, вынести его из здания, а потом потребовать за него выкуп.
• Загрузить компьютер с дискеты и отформатировать жесткий диск. Вы рассчитываете, что этому помешает установленный в BIOS пароль на загрузку? Не надейтесь — если злоумышленник сможет открыть корпус компьютера, он просто заменит микросхему BIOS (на самом деле, есть еще более простые способы обойти этот пароль).
• Извлечь из компьютера жесткий диск, подключить его к другому компьютеру и считать все данные.
• Сделать копию данных с жесткого диска и забрать с собой. Тогда у злоумышленника будет сколько угодно времени, чтобы подобрать пароли для входа в систему, а с помощью специальных программ, автоматизирующих данный процесс, он почти наверняка сможет это сделать. Когда это случится, вступят в действие указанные выше законы №1 и №2.
• Заменить вашу клавиатуру клавиатурой с радиопередатчиком, который позволит следить за всеми нажатиями клавиш, включая ввод паролей.
Всегда обеспечивайте физическую защиту компьютера, соответствующую его ценности. Помните, что ценность компьютера определяется не только стоимостью самого оборудования, но и ценностью хранящихся на компьютере данных и размером убытков, которые может повлечь за собой доступ злоумышленника к сети компании. Как минимум, необходимо, чтобы все важные компьютеры (такие как контроллеры доменов, серверы баз данных, файловые серверы и серверы печати) находились в отдельной запертой комнате, в которую могли бы заходить только сотрудники, уполномоченные выполнять задачи по администрированию и обслуживанию. Однако можно защитить и остальные компьютеры организации, а также предпринять дополнительные меры безопасности.
Пользователи, которые берут в поездки переносные компьютеры, обязаны позаботиться об их защите. Все те особенности переносного компьютера, которые делают его таким удобным в поездках — маленький размер, небольшой вес и так далее, — облегчают и его кражу. Существует целый ряд замков и сигнализаций для переносных компьютеров, а некоторые модели позволяют извлекать из компьютера жесткий диск и носить с собой. Кроме того, существуют дополнительные возможности, такие как шифрующая файловая система (EFS) в Microsoft Windows® 2000, уменьшающие ущерб, даже если переносной компьютер будет похищен. Однако единственный способ, гарантирующий, что данные находятся в безопасности, а компьютер не испорчен — это всегда носить его с собой.
Закон №4. Если злоумышленник смог загрузить приложения на ваш веб-узел, это больше не ваш веб-узел
Фактически, этот закон является зеркальным отражением закона №1. В первом случае злоумышленник заставляет пользователя загрузить вредоносное приложение на свой компьютер и выполнить его, а во втором — злоумышленник загружает вредоносное приложение на компьютер пользователя и выполняет его самостоятельно. Хотя эта опасность возникает каждый раз, когда к компьютеру подключаются посторонние лица, подавляющее большинство подобных случаев происходит с веб-узлами. Многие люди, которые управляют веб-узлами, слишком беспечны и позволяют посетителям загружать на веб-узел приложения и выполнять их. Как было показано выше, запуск на компьютере приложения злоумышленника может привести к крайне нежелательным последствиям.
Поэтому администраторам веб-узлов необходимо ограничивать права посетителей и разрешать выполнение на веб-узле только приложений, созданных доверенными разработчиками или лично администратором. Однако этого может оказаться недостаточно. Администраторы, веб-узлы которых размещаются на одном сервере с веб-узлами других пользователей, должны соблюдать особую осторожность. Если злоумышленник сможет преодолеть систему безопасности одного из веб-узлов этого сервера, возможно, ему удастся получить контроль над сервером в целом и, как следствие, — над всеми веб-узлами данного сервера. Поэтому при размещении веб-узла на общем сервере необходимо изучить политику администратора сервера.
Закон №5. Ненадежные пароли делают бесполезной любую систему безопасности
Процесс входа в систему нужен для идентификации пользователя. Получив эти сведения, операционная система разрешает или запрещает доступ к соответствующим системным ресурсам. Если злоумышленник узнает пароль пользователя, он сможет входить в систему под именем этого пользователя. Фактически, операционная система будет считать, что он и есть этот пользователь. и, соответственно, позволит ему делать все, что может делать тот. Возможно, злоумышленник захочет ознакомиться с содержимым электронной почты и другими хранящимися на компьютере важными сведениями или выполнит какие-либо операции в сети, которые в другой ситуации были бы ему недоступны. А может, он просто попытается навредить и свалить вину на того пользователя, под именем которого он зашел в систему. В любом случае, чтобы избежать подобных последствий, необходимо защищать свои учетные данные.
Всегда используйте пароль (вы не поверите, узнав, сколько учетных записей имеют пустые пароли!), причем придумывайте что-нибудь посложнее. Не используйте в качестве пароля имя своей собаки, дату рождения или название любимой футбольной команды. И не вводите в качестве пароля слово «пароль»! Выбирайте пароли, содержащие строчные и заглавные буквы, цифры, знаки препинания и т. п. Используйте пароли максимальной длины и меняйте их как можно чаще. Выбрав надежный пароль, обращайтесь с ним надлежащим образом. Никогда не записывайте пароль. Если же записать пароль все-таки необходимо, спрячьте его в сейф или запирающийся шкаф — злоумышленники, пытающиеся узнать чужие пароли, первым делом изучают содержимое верхнего ящика стола и надписи на желтых наклейках, прилепленных к верхней части монитора. Никому не сообщайте свой пароль. Помните слова Бенджамина Франклина: «Два человека могут хранить тайну, только если один из них мертв».
И последнее — чтобы идентифицировать себя в системе, используйте более надежные средства, чем пароль. Например, Windows 2000 поддерживает применение смарт-карт, значительно повышающих надежность выполняемой системой проверки подлинности. Можно также использовать проверку отпечатков пальцев или сетчатки глаза и другие биометрические процедуры.
Закон №6. Безопасность компьютера напрямую зависит от надежности администратора
У каждого компьютера должен быть администратор — человек, который может устанавливать программное обеспечение, настраивать операционную систему, добавлять учетные записи пользователей и управлять ими, создавать политики безопасности и выполнять все остальные задачи по управлению компьютером, необходимые для поддержания его работоспособности. Для выполнения этих задач требуется полный контроль над компьютером — а это предоставляет администратору беспрецедентные возможности. Ненадежность администратора сделает бесполезными все остальные меры безопасности — он может изменить права доступа к компьютеру и политику безопасности системы, установить вредоносные приложения, добавить фиктивных пользователей, выполнить десятки других действий и обойти практически все защитные механизмы операционной системы, поскольку он ею полностью управляет. Хуже всего то, что он может уничтожить следы своих действий. Компания, в которой работает ненадежный администратор, абсолютно не защищена.
Принимая на работу системного администратора, помните о том, насколько ответственной является эта должность, и выбирайте того, кто заслуживает доверия. Проверьте его рекомендации и расспросите его о предыдущем месте работы, особенно если известно, что у его предыдущих работодателей возникали проблемы с безопасностью. Если возможно, поступите так, как поступают банки и другие компании, уделяющие повышенное внимание мерам безопасности, — потребуйте, чтобы при приеме на работу нового администратора была произведена полная проверка его анкетных данных, и регулярно выполняйте такую проверку в дальнейшем. Выбрав критерии, применяйте их ко всем без исключения — не предоставляйте никому (включая временных сотрудников и подрядчиков) административных полномочий в сети, пока соответствующий сотрудник не будет тщательно проверен.
Позаботьтесь, чтобы честные люди такими и оставались. Используйте книгу учета, чтобы регистрировать всех, кто заходит в серверную комнату (если в организации нет серверной комнаты с запирающейся дверью, перечитайте еще раз закон №3). Внедрите правило «двух ответственных» при установке и обновлении программного обеспечения. Разграничьте функции администраторов таким образом, чтобы уменьшить полномочия, предоставляемые каждому из них. Не используйте учетную запись «Администратор» — вместо этого создайте для каждого администратора собственную учетную запись с административными правами. Это позволит определять, кто из администраторов выполнял те или иные действия. И, наконец, обязательно предпринимайте меры, которые затруднили бы администратору-злоумышленнику сокрытие следов своих действий. Например, храните данные аудита на носителе, поддерживающем только однократную запись, или разместите журналы аудита системы А в системе Б, выбрав ее таким образом, чтобы у систем А и Б были разные администраторы. Чем полнее контроль за деятельностью администратора, тем меньше вероятность возникновения проблем.
Закон №7. Безопасность зашифрованных данных напрямую зависит от того, насколько защищен ключ расшифровки
Предположим, кто-то установил на свою входную дверь самый большой и надежный замок в мире, но при этом кладет ключ под коврик у порога. Важно ли при этом, насколько хорош сам замок? Самым слабым местом в этом случае будет являться ненадежная защита ключа, поскольку, если злоумышленник его обнаружит, у него будет все необходимое, чтобы открыть дверь. Шифрование данных работает таким же образом — независимо от того, насколько надежен алгоритм шифрования, данные не могут быть защищены надежнее, чем защищен ключ для их расшифровки.
Многие операционные системы и программные продукты для шифрования позволяют хранить ключ шифрования на компьютере. Преимуществом такого метода является его удобство — не надо заботиться о том, куда определить ключ, — однако за это приходится расплачиваться снижением безопасности. Как правило, при этом используются специальные методы сокрытия ключа (то есть ключ прячется на компьютере), некоторые из них достаточно эффективны. И все же, независимо от того, насколько хорошо спрятан ключ, — если он находится на компьютере, его можно найти. Действительно, раз его находит приложение шифрования, то, при большом желании, найдет и злоумышленник. Поэтому, если возможно, всегда используйте ключи, которые хранятся отдельно. Если ключом служит фраза или слово, запомните их. В противном случае экспортируйте ключ на дискету, сделайте ее резервную копию и храните обе копии в разных, хорошо защищенных местах (администраторам, использующим средство Syskeyв режиме локального хранилища, нужно сию минуту приступать к переконфигурации сервера).
Закон №8. Устаревшее антивирусное приложение лишь немногим лучше, чем его отсутствие
Антивирусное программное обеспечение сравнивает хранящиеся на компьютере данные с набором «сигнатур» вирусов. Каждая сигнатура соответствует отдельному вирусу, и если антивирусная программа обнаруживает эту сигнатуру в файле, сообщении электронной почте или где-либо еще, она решает, что обнаружила вирус. Однако антивирусные программы могут обнаруживать лишь известные им вирусы, а поскольку новые вирусы появляются ежедневно, необходимо всегда использовать последние версии файлов сигнатур.
Фактически, проблема несколько шире, чем описано выше. Как правило, наибольший ущерб новые вирусы причиняют на начальных этапах своего распространения, поскольку в это время их может обнаружить лишь небольшое число людей. Как только сведения о новом вирусе получают широкое распространение, пользователи обновляют сигнатуры вирусов, и темпы распространения вируса многократно снижаются. Поэтому очень важно, чтобы на момент вирусной атаки на компьютере использовались обновленные файлы сигнатур.
Практически все разработчики антивирусного программного обеспечения позволяют бесплатно загружать последние версии файлов сигнатур со своих веб-узлов. Более того, у многих из них существуют службы оповещения, уведомляющие пользователей о выпуске новых сигнатур. Пользуйтесь услугами этих служб. Помните, что необходимо обновлять не только сигнатуры, но и само антивирусное приложение, поскольку авторы вирусов регулярно разрабатывают новые технологии, требующие изменения методов работы антивирусных средств.
Закон №9. Абсолютная анонимность недостижима ни в жизни, ни в Интернете
Общаясь, люди каждый раз обмениваются сведениями. Если кто-то соберет достаточно сведений, он сможет узнать, кем является другой человек. Подумайте, сколько сведений узнают собеседники друг о друге даже в коротком разговоре! С первого взгляда они могут оценить рост, вес и приблизительный возраст партнера по коммуникации. В дальнейшем собеседник может сообщить, из какой он страны, и даже из какого региона. Если говорить с человеком о чем-то, кроме погоды, возможно, он расскажет о своей семье, увлечениях, месте жительства и работе. Итак, не составляет никакого труда собрать достаточно сведений о другом человеке. Чтобы сохранить полную анонимность, лучше всего жить в пещере и прекратить все контакты с другими людьми.
То же самое можно сказать про Интернет. Владельцы посещаемых пользователем веб-узлов при необходимости смогут узнать, кто он такой — ведь единицы и нули, формирующие содержимое веб-узла, находят путь к своему месту назначения, которым является компьютер данного пользователя. Существует множество способов, позволяющих скрыть место назначения этих битов, и чем больше таких способов будет использоваться, тем труднее будет определить подлинное место назначения. Например, можно скрыть свой фактический IP-адрес с помощью преобразования сетевых адресов, воспользоваться службами обеспечения анонимности, передающими эти биты из одного конца Интернета в другой, применять для обращения к разным веб-узлам учетные записи различных поставщиков услуг Интернета, обращаться к веб-узлам только из интернет-кафе и т. п. Все эти методы затрудняют обнаружение пользователя, обращающегося к веб-узлу, но не исключают его полностью. Например, может оказаться, что службами обеспечения анонимности управляет тот же человек, что и веб-узлом, к которому обращался пользователь. А владелец веб-узла, предложивший бесплатно отправить пользователю по почте купон на скидку в 10 долларов, может поделиться сведениями об этом пользователе с владельцами других веб-узлов. В результате кто-то, сопоставив сведения, полученные с разных веб-узлов, сможет определить личность пользователя.
Означает ли это, что попытки соблюдения конфиденциальности в Интернете — лишь пустая трата времени? Ни в коем случае. Это означает, что в Интернете, как и в обычной жизни, наилучший способ сохранить конфиденциальность — вести себя надлежащим образом. Изучайте заявления о конфиденциальности посещаемых веб-узлов и используйте только те узлы, с правилами которых вы согласны. Если считаете нужным, отключите использование файлов cookie. А самое важное правило — избегайте беспорядочного блуждания по веб-узлам; помните, что в Интернете, как и во всех городах, есть неблагополучные места, в которые лучше не заходить. Однако, если вы хотите сохранить полную анонимность, лучше начните поиски подходящей пещеры.
Закон №10. Технология не является панацеей
Технология может творить поразительные вещи. Мы видим, как в последние несколько лет появляется все более мощное и дешевое оборудование и программное обеспечение, использующее это оборудование и открывающее пользователям компьютеров новые возможности, а также способствующее прогрессу в криптографии и других науках. И хочется верить, что в конце концов новые технологии избавят мир от опасностей. К сожалению, это невозможно.
Для создания идеальной системы безопасности требуется уровень развития технологий, который недостижим на сегодняшний день и вряд ли будет достигнут когда-либо в будущем. Это утверждение в равной степени относится как к программному обеспечению, так и почти ко всем областям человеческой деятельности. Разработка программного обеспечения — несовершенная наука, и во всех программных продуктах есть ошибки, некоторые из которых приводят к возникновению уязвимостей в системе безопасности. Это — реальность нашей жизни. Однако, даже если удастся создать идеальное приложение, это не решит проблему в целом — большинство атак в той или иной степени использует особенности человеческого характера (как правило, подобные методы атак называют социальной инженерией). Повышение сложности и трудоемкости преодоления технологических компонентов системы безопасности приводит к тому, что основными объектами атак злоумышленников становятся сотрудники, работающие за компьютерами. Поэтому необходимо, чтобы каждый сотрудник понимал свою роль в поддержании общей безопасности. В противном случае он может стать тем слабым звеном, из-за которого рухнет защищаемая им же система.
Чтобы решить эту проблему, необходимо знать следующие правила. Во-первых, система безопасности включает как технологические компоненты, так и политику — то есть она объединяет технологии и методы их применения, и именно это сочетание определяет уровень защиты системы. Во-вторых, обеспечение безопасности — это непрерывный процесс, а не конечная цель. Это не проблема, которую можно однажды «решить» и забыть о ней навсегда, а постоянная борьба между злоумышленниками и теми, кто осуществляет защиту. Руководители компании должны быть уверены в том, что сотрудники хорошо осведомлены о возможных проблемах безопасности и умеют правильно оценивать ситуацию. Существуют различные ресурсы, которые могут помочь в решении этой задачи. Например, веб-узел Microsoft Security содержит сотни документов, рекомендаций, контрольных списков и программных средств, а сотрудники корпорации Майкрософт постоянно работают над созданием новых продуктов. Используйте современные технологии и не забывайте о необходимости рационального подхода к проблеме — тогда ваши системы будут надежно защищены.
Применяйте комплексные средства защиты (файловый/почтовый/веб-антивирус + сетевой экран) с обновленными антивирусными базами и крайне осторожно относитесь к файлам, которые получаете из сети. Перед тем как запустить файл, обязательно проверьте его на наличие вирусов.
Проводите регулярную ревизию и обновление используемого вами ПО.
Используйте и регулярно обновляйте брандмауэр, антивирусное и антишпионское программное обеспечение.
Пользуйтесь только хорошо зарекомендовавшими себя источниками программ и прочих файлов.
Регулярно делайте резервные копии важных данных, хранящихся на компьютере.
Периодически сохраняйте на внешнем носителе файлы, с которыми ведется работа. Затраты на копирование файлов, базы данных, документацию, значительно меньше затрат на восстановление этих файлов при сбое компьютера.
Создайте загрузочный диск на случай повреждения данных на Вашем компьютере.
Используйте только лицензионные приложения. Некоторые бесплатные, условно-бесплатные и тем более пиратские копии программ способны нанести больший ущерб компьютеру, чем сам вирус.
Ограничивайте круг лиц, допущенных к работе на вашем компьютере. Как правило, наиболее часто подвержены заражению «многопользовательские» персональные компьютеры.
Ограничьте объем информации о себе, находящейся в публичном доступе.
Заведите себе два адреса электронной почты — частный, для переписки (приватный и малоизвестный, который вы никогда не публикуете в общедоступных источниках), и публичный — для публичной деятельности (форумов, чатов и так далее).
Адрес для переписки не должен быть легким в запоминании или «красивым». Чем длиннее адрес и чем менее он удобочитаем — тем лучше.
Используйте только сложные пароли.
Для разных учетных записей и сервисов используйте разные пароли.
Не передавайте свои логин и пароль третьим лицам.
Используйте только лицензионное ПО (либо свободно распространяемое ПО из надежных источников) — гарантию стабильной работы вашего ПК и сохранности ваших данных.
Следите за специальными акциями и скидками на легальную продукцию (например, некоторые компании предлагают перейти с пиратской копии продукта на легальную со значительной скидкой).
В случае возникновения вопросов или трудностей в работе с используемыми программами обратитесь в службу технической поддержки — обладатели легальных копий ПО имеют такую возможность.
Правильные привычки онлайн:
— отправляя кому-либо свои персональные данные или конфиденциальную информацию, убедитесь в том, что адресат — действительно тот, за кого себя выдает;
— задавайте больше вопросов: получив сообщение с ссылкой в ICQ/QIP или личное сообщение в социальной сети, убедитесь, что это не автоматическая рассылка с зараженного компьютера;
— трезво относитесь к спам-предложениям: не верьте в неожиданные выигрыши, не откликайтесь на предложения бесплатных товаров или дешевых лекарственных средств;
-используйте настоящие программы защиты: антивирус, требующий деньги за удаление вредоносной программы с компьютера, является фальшивым;
— уточняйте настоящую стоимость SMS-сообщений на короткие номера;
— не доверяйте сообщениям «Проголосуй за меня SMSкой в конкурсе» или «Помоги мне — у меня проблемы»;
— проверяйте информацию об SMS-акциях на сайтах их устроителей;
-не устанавливайте неофициальные дополнения и улучшения к играм;
— проверяйте подлинность адреса в строке браузера при вводе персональных данных на игровом сайте;
— отвечая на письма от имени администрации игрового сервера, удостоверьтесь, что они подлинные;
-не доверяйте игрокам, которые предлагают прислать вам какие-либо данные от игры — подобные файлы могут содержать вредоносный код;
Вывод: не спешите доверять любым предложениям в Сети.
Миллионы людей во всем мире получают удовольствие от покупок через Интернет. Осведомленные интернет-покупатели предпринимают разумные меры предосторожности, как они всегда это делали при оплате покупок по телефону или в обычных магазинах.
Приобретение товаров и услуг в Интернет имеет не только преимущества, есть и определенные риски. В связи с этим, очень важно соблюдать некоторые правила, которые обезопасят ваши покупки:
Лучше всего приобретать товар в крупных, известных супермаркетах и гипермаркетах.
Если вы решили что-то приобрести в небольшом магазине, то убедитесь в авторитетности этого торгового заведения, проверьте адрес, контактный телефон.
Проверьте как давно существует магазин (в нижней части сайта указывается год), дату регистрации магазина с помощью сервиса «http://whois.domaintools.com/», чем дольше существует магазин, тем больше доверия вызывает.
Обязательно используйте защитное соединение, чтобы защитить личные данные (замочек в адресной строке окна браузера). Однако следует помнить, что «замок» – специальный значок во время защищенной сессии всего лишь говорит о том, что данные, передаваемые компьютером сайту, зашифрованы. Стоит отметить, что данные хранятся не где-то на просторах всемирной паутины, а попадают на сервер и могут быть в принципе расшифрованы.
Пользуйтесь также фаерволом и антивирусом, следите постоянно за их обновлениями.
Узнайте о своей покупке как можно больше
Если предложение выглядит подозрительно заманчивым, то к нему стоит отнестись со всей осторожностью. Сравните цены на аналогичные товары в других магазинах. Если цена на ваш товар значительно ниже, будьте осторожны: узнайте больше о продавце и расспросите о состоянии товара.
Проверяйте незнакомые магазины! Если вы ничего раньше не покупали в них, убедитесь, что они действуют легально. Например, поищите в Интернете отзывы покупателей об этом магазине. Легальные магазины предоставляют контактную информацию на тот случай, если возникают вопросы или проблемы с вашей транзакцией. Никогда не переводите деньги продавцу, если вы не проверили его тщательным образом. Также не забывайте о возможности фишинговой атаки.
Как безопасно платить банковской картой в интернете
1. Для совершения платежей нельзя использовать чужие компьютеры! Даже такая хорошая программа, как punto switcher опасна на чужом компьютере, поскольку ее дневник сохраняет всю введенную пользователем информацию, в том числе конфиденциальную. На чужом компьютере может быть куда больше угроз. Компьютеры в интернет-кафе зачастую специально используются недобросовестными администраторами для сбора конфиденциальной информации.
2. Обязательно установите регулярно обновляемый антивирус. Некоторые пользователи не следят за обновляемостью баз антивирусов и в этом случае он становится абсолютно бесполезным! Если вы не желаете покупать платные лицензии антивируса, воспользуйтесь бесплатными его продуктами, хотя, это не самый лучший вариант.
3. Для большей безопасности вместе с антивирусом используйте персональный межсетевой экран, (брандмауэр, firewall). Опять же, если вы не приобрели коммерческий продукт, рекомендуем использование бесплатного продукта.
4. Также, как и для антивируса, для операционной системы нужно регулярно устанавливать обновления. Промедление и откладывание «на потом» этого дела опасно, поскольку злоумышленники иногда используют вышедшие обновления для получения информации об ошибке, которую исправляют. На основе этой информации они создают вирус, использующий свежеисправленную ошибку для проникновения в компьютеры пользователей.
5. Проверяйте адресную строку браузера! Вся финансово значимая информация должна передаваться по защищенному соединению. Признаком этого в браузере будет замок в адресной строке и подсветка адреса желтым цветом, сам адрес должен начинаться с префикса https://. При щелчке на замок браузер отображает информацию об узле, насколько безопасно его посещение и какие организации подтверждают подлинность сайта. При каких-либо подозрениях лучше не использовать сайт для оплаты! Внимательно проверяйте написание сайта. Небольшое изменение написания может быть совсем незаметно. Ноль и буква «о», строчная L и 1 в некоторых шрифтах выглядят для глаза одинаково. Кроме того, необходимо помнить точный адрес банка, к примеру: qwertybank .ru, qwerty-bank .ru, qwerty.bank .ru? Будьте внимательны!
6. Помните также, какие реквизиты виртуальной карты требуются для совершения платежа? Номер карты, срок действия и CVV2/CVC2 код. Следовательно, если кто-то узнает ваши платежные реквизиты, он сможет воспользоваться вашими деньгами. Следите за тем, чтобы они никому не были известны. Ваш банк может спрашивать номер карты, но никогда не должен спрашивать CVV2/CVC2 код или пин-код банковской карты. Если вы подозреваете, что с вами связались мошенники под видом банковского работника, сотрудника сотовой компании или другой организации, связанной с получением платежей от вас, спросите по какому номеру перезвонить. После свяжитесь с банком (оператором сотовой связи и т.п.) и узнайте, могут ли они обращаться по вопросу, который вам задали в подозрительном телефонном звонке, принадлежит ли указанный телефонный номер компании и т.п. В финансовых вопросах подозрительность не бывает излишней.
7. Банки никогда не спрашивает у клиентов в письмах никакой личной информации! Кроме рекламных рассылок и предложений принять участие в анонимном опросе, ничего другого в письме от банка быть не должно.
8. Ссылки из писем следует открывать копируя текст через буфер обмена в адресную строку браузера, не кликая на них мышкой, поскольку ссылка пользователю может показываться одна, а открываться другая, ведущая на мошеннический сайт.
Читайте также общие правила безопасного использования банковских карт. При точном выполнении этих правил ваши счета будут в максимальной безопасности.
Для удобства оплаты сделайте себе отдельную карточку, которая может быть и виртуальной: специально предназначенной для интернет-покупок. При приобретении чего-либо, просто переведите необходимую сумму с основной карты на карту для интернет-покупок (помните о комиссии), это обезопасит ваши основные средства.
При расчете полной стоимости покупки не забудьте учесть плату, взимаемую магазином за доставку и оформление заказа. Если вы намереваетесь что-либо купить в магазине, находящемся в другой стране, то следует учесть, что, возможно, придется оплатить дополнительные сборы: налоги, пошлины и т. д.
Используйте способ оплаты, предусматривающий защиту покупателя: компании, выпускающие кредитные карты, обычно ограничивают ответственность держателя в случае мошенничества при покупках в Интернете.
Читайте написанное мелким шрифтом: перед покупкой изучите правила отгрузки и возврата товара, а также гарантийные обязательства. Некоторые магазины предлагают полное возмещение. В других предусмотрен сбор за возврат товара, и возможно только оформление магазинного кредита.
Узнайте, можете ли вы вернуть товар, и кто несет расходы по возврату товара. Обычно полные правила и условия публикуются на веб-сайте магазина. Если они отсутствуют, то, может быть, вам не стоит делать покупку в этом магазине.
Убедитесь в том, что проводимые вами интернет-транзакции соответствуют закону.
Получение товара
Сохраняйте все квитанции и чеки! Электронная или бумажная квитанция большой транзакции пригодится, если придется возвращать товар или оспаривать неправомерные списания с вашего счета.
Данные, подтверждающие ваш заказ, нужно либо заносить в файл компьютера, либо распечатывать на бумаге. Файл или распечатка данных по транзакции — это как чек в обычном магазине.
Убедитесь, что вы получили то, что нужно. При получении товара осмотрите его и проверьте, все ли в порядке. Чем раньше выяснится обман, тем меньше будут его последствия.
Помните всегда, что совершение покупок в интернете должно быть аккуратным.
Полезно знать и соблюдать эти простые правила, чтобы избежать рискованных транзакций в Сети.
Права потребителей при покупках через интернет
Скачать:
1. Как правильно вернуть качественный товар в интернет-магазин — Инструкция
2. Правила интернет-покупок из-за рубежа. Как не потерять деньги, желая сэкономить — Инструкция
Если ваш пароль состоит из «12345» или слова «password», то будьте уверены – рано или поздно ваши личные данные станут доступны всему Интернету
В последнее время взлом электронной почты стал едва ли не темой номер один в СМИ. Достаточно вспомнить утечку личной почты главы Росмолодежи Василия Якеменко и пресс-секретаря агентства Кристины Потупчик, где были обнародованы, например, расценки на заказные посты у известных блогеров. Теперь стало известно, что хакеры из группировки Anonymous взломали почтовые ящики представителей администрации президента Сирии и опубликовали переписку, связанную с его подготовкой к интервью американскому телеканалу ABC. Самое занятное, что многие ящики были защищены простейшим паролем — 12345.
В прошлом году SplashData опубликовала список худших паролей, которые пользователи выбрали, надеясь защитить свое электронное наследие. В лидерах были не только комбинации из первых 6-8 цифр, но и слова password и qwerty (пять рядом расположенных букв на клавиатуре, которые находятся сразу под цифрами). Юзеры также почему-то склонялись к словам «обезьяна», «я люблю тебя», «мастер», «супермен», «футбол» – в общем, к тем словам, которые легко взламываются хакерами, перебирающими пароль по обыкновенному словарю.
Даже начинающие пользователи Интернета знают, что пароль должен состоять из букв и цифр, а в идеале еще и не являться «настоящим» словом. Элементарные уроки компьютерной грамотности дают почтовые интернет-сервисы, которые сразу показывают, насколько простой пароль вы выбрали (и вы можете его улучшить — усложнить). Простой способ создать и запомнить «абракадабру» — выбрать русское слово и набрать его в английской раскладке (например, слово «метрополитен», набранное в английской раскладке — это vtnhjgjkbnty). Сложный способ — воспользоваться генератором паролей, например, на сайте Onlinepasswordgenerator.ru.
Оба варианта хороши, однако, только в одном случае, если вы строго соблюдаете правило «на каждый сервис — уникальный пароль». Иначе случайная утечка даже самого сложного пароля приведет к тому, что злоумышленнику станут доступны абсолютно все сервисы, где вы когда-либо регистрировались. Вы можете возразить, что запомнить десяток уникальных и сложных паролей простому пользователю не под силу, и будете правы. Запоминать их не надо, потому что существуют специальные программы, управляющие вашими конфиденциальными сведениями.
Для примера можно взять 1Password — одну из самых популярных и удачных программ, работающих на всех устройствах: и на Mac, и на Windows, и на Android, и на iPad с iPhone. Она запомнит для вас всю важную информацию: пароли, номера кредитных карт, членских карточек и даже заметки. 1Password умеет размещаться в виде плагина ко всем популярным браузерам, генерировать и сохранять пароли для каждого сайта, а потом автоматически подставлять их обратно (не нужно опасаться кейлоггеров — программ, перехватывающих нажатия на клавиши).
Аналогично работает хранение и подстановка данных карточек и адреса доставки: шоппинг в Интернете становится в разы быстрее. База паролей зашифрована, защищена от взлома и синхронизируется между всеми вашими компьютерами и мобильными устройствами. В последних версиях появилась синхронизация через Dropbox, после чего у программы, кажется, стало еще больше поклонников. Чтобы подставить пароль из базы 1Password, достаточно ввести «мастер-пароль» — это единственный пароль, который вам необходимо помнить и защищать (не говорить никому, не записывать на листочках, не делать его простым).
Приложения, подобные 1Password, уберегут вас и от соблазна ввести пароль на фишинговом сайте (например, не на mail.yandex.ru, а на mail.yanclex.ru — такой сайт действительно существовал). Программа просто не найдет пароль к этому сайту, и вы заметите неладное. Фишинг — крайне распространенный способ увода паролей, поскольку хакер рассчитывает на невнимательность и доверчивость пользователя. В интервью AiF.ru один хакер рассказал, как он проникает в чужую почту и отдает доступ к ней тем, кто ему заплатил. Он присылает «жертве» письмо от почтового сервиса с сообщением, что из-за переполненности ящика ему не доставили какой-то e-mail. Чтобы решить проблему, нужно перейти по ссылке и там ввести свои данные. По ссылке пользователь и попадает на фишинговую страницу.
Программы, аналогичные 1Password: LastPass, KeePass, RoboForm.
Основные правила безопасности для родителей
- Прежде, чем позволить ребенку пользоваться Интернетом, расскажите ему о возможных опасностях Сети (вредоносные программы, небезопасные сайты, интернет-мошенники и др.) и их последствиях.
- Четко определите время, которое Ваш ребенок может проводить в Интернете, и сайты, которые он может посещать.
- Убедитесь, что на компьютерах установлены и правильно настроены антивирусные программы, средства фильтрации контента и нежелательных сообщений.
- Контролируйте деятельность ребенка в Интернете с помощью специального программного обеспечения.
- Спрашивайте ребенка о том, что он видел и делал в Интернтете
- Объясните ребенку, что при общении в Интернете (чаты, форумы, сервисы мгновенного обмена сообщениями, онлайн-игры) и других ситуациях, требующих регистрации, нельзя использовать реальное имя. Помогите ему выбрать регистрационное имя, не содержащее никакой личной информации.
- Объясните ребенку, что нельзя разглашать в Интернете информацию личного характера (номер телефона, домашний адрес, название/номер школы и т.д.), а также «показывать» свои фотографии.
- Помогите ребенку понять, что далеко не все, что он может прочесть или увидеть в Интернете — правда. Приучите его спрашивать то, в чем он не уверен.
- Объясните ребенку, что нельзя открывать файлы, полученные от неизвестных пользователей, так как они могут содержать вирусы или фото/видео с негативным содержанием.
- Приучите ребенка советоваться со взрослыми и немедленно сообщать о появлении нежелательной информации.
- Не позволяйте Вашему ребенку встречаться с онлайн-знакомыми без Вашего разрешения или в отсутствии взрослого человека.
- Постараться регулярно проверять список контактов своих детей, чтобы убедиться, что они знают всех, с кем они общаются;
- Объясните детям, что при общении в Интернете, они должны быть дружелюбными с другими пользователями, ни в коем случае не писать грубых слов — читать грубости также неприятно, как и слышать;
- Проверяйте актуальность уже установленных правил. Следите за тем, чтобы Ваши правила соответствовали возрасту и развитию Вашего ребенка.
Зачастую дети и подростки в полной мере не осознают все возможные проблемы, с которыми они могут столкнуться в сети. Сделать их пребывание в интернете более безопасным, научить их ориентироваться в киберпространстве — важная задача для их родителей.
Взято с http://wwwos-info.ru