По данным экспертов все больше людей становятся жертвами целенаправленных атак хакеров, которые могут похитить не только персональные данные, но и деньги на вашем виртуальном счету. И просто «придумать сложный пароль» теперь уже недостаточно, чтобы чувствовать себя в безопасности. Ведущий эксперт по безопасности корпорации Google Марк Ришер, который занимается разработкой продуктов для защиты пользователей, рассказал АиФ.ru, как человек может защитить себя в интернете и что для этого предлагает сама компания Google.
Владимир Шушкин, АиФ.ru: — Марк, каковы самые распространенные угрозы безопасности в интернете? Можно на примере пользователей Google, так как это подавляющая часть вообще всех пользователей.
Марк Ришер: — Один из самых опасных рисков — фишинговые атаки. Мошенники вводят пользователей в заблуждение, «подсовывая» им фейковый сайт, то есть страницу, которая выглядит, как надежный ресурс, но на котором нужно ввести свои логин и пароль. И так воруют их. Сейчас фишинг становится все более таргетированным, более точно нацеленным на конкретного пользователя. Теперь вместо сообщений, которые рассылаются просто всем, хакеры изучают конкретного пользователя, они многое узнают о нем. Они получают дополнительную информацию, возможно, из социальных сетей, чтобы в конце концов подсунуть человеку как можно более правдоподобную страницу, которая украла бы его персональную информацию.
— Может быть, у вас есть статистика, насколько больше стало фишинговых страниц за последнее время? Какова динамика их увеличения?
— Да, такая статистика есть. Это очень большая, но типичная проблема, о которой мы узнаем из всех СМИ — множество персональной информации собирается и затем публикуется в интернете. Вы наверняка тоже видели истории про кражи данных то 10 миллионов аккаунтов, то 50 миллионов аккаунтов — их взламывают. И если в одном из таких взломанных аккаунтов была информация о каком-либо пользователе, он тоже в зоне риска. По данным нашего исследования в случае взлома связанного с вами аккаунта (если там есть какая-либо информация о вас) шанс того, что взломают и вас, повышается в 10 раз. А если пользователь стал жертвой фишинга, то шанс того, что взломают кого-то связанного с ним, повышается в 500 раз. Обе этих угрозы велики и опасны, но самый большой риск — фишинг, с этим необходимо бороться.
— Нет ли у вас статистики, в какой стране пользователи чаще всего становятся жертвами фишинга?
— У нас нет такой информации. Наши пользователи находятся в разных точках мира, и моя команда более сосредоточена на общем подходе во всем. Мы изучаем технику, которую используют злоумышленники в целом, их географическая привязка не так важна.
— Вы ранее говорили, что в наибольшей опасности оказываются те пользователи, что работают с криптовалютами. Почему? Что им нужно, чтобы защищать себя?
— Причина, по которой они в большей опасности, в том, что это очень легко для мошенника — украсть вашу криптовалюту и избежать наказания за это. Это же чисто виртуальная вещь, такой продукт как, например, биткойн, отсутствует физически. Он хорош своей анонимностью, но после того, как его украдут, его невозможно найти, кто бы это ни был. И полиции фактически нечего искать. Вот почему это очень заманчиво для злоумышленников.
Есть еще один фактор — очень многие пользователи только начинают работать с криптовалютой, инвестировать в нее. И поэтому они не совсем понимают схем работы защиты в интернете. Это, кстати, одна из причин, по которым мы создали нашу продвинутую программу защиты. Мы могли бы порекомендовать ее тем, кто работает с криптовалютой. Продвинутая система «Дополнительная защита» — это наш новый продукт, такой небольшой набор, который фактически объединяет все самые надежные разработки Google в области безопасности.
— Как это работает?
— Самое важное в этом наборе — электронный ключ для двухфакторной аутентификации. Он подходит для работы с ноутбуком. Только при обладании этим физическим ключом кто-либо может подключить новое устройство, будь это ноутбук, телефон и так далее. Это очень мощный шаг в безопасности с точки зрения защиты от фишинга. По правде говоря, с тех пор, как все сотрудники Google стали в обязательном порядке использовать электронный ключ, у нас не было ни одного случая кражи паролей с помощью фишинга. Вот насколько это эффективно. Программа продвинутой защиты требует, чтобы люди приобретали два ключа — про запас. Если вы потеряете ключ, вы сразу сообщаете нам — вы же не хотите, чтобы кто-то входил в ваш аккаунт без вас. Если их будет два, вы можете отдать один члену семьи, а один положить на полку. Таким образом, вы не потеряете их оба сразу.
Вдобавок к электронному ключу мы также ограничиваем доступ для приложений, запрашивающих секретную информацию о вас. Программа продвинутой защиты значительно сокращает риск несанкционированного доступа к личным данным в разных продуктах Google. Например, противовирусное сканирование работает на более чувствительном, более эффективном уровне. Все вместе это создает лучшую на сегодняшний день защиту, и ее предлагает Google. Тем, кто подвергается большому риску или может подвергнуться ему (это могут быть знаменитости, государственные служащие, журналисты или те, кто работает с криптовалютой), я рекомендую использовать все возможности, чтобы защитить себя. Очень легко зарегистрироваться в этом сервисе, ссылка простая: https://landing.google.com/advancedprotection/.
— Ок, у вас есть замечательный продукт — программа «Дополнительная защита». Есть еще и двухэтапная система аутентификации. А сколько людей пользуется ими?
— К сожалению, не все используют эти программы, и вы правы, что убедить всех регистрироваться — сложно. Мы пытаемся обучать людей, разъяснять им преимущества через наши сервисы и СМИ, но это непросто. И, следовательно, мы инвестировали в те опции, которые людям не нужно дополнительно подключать, как ту же двухэтапную систему аутентификации. Чтобы у вас была более полная картина, скажу: мы знаем, что многие пользователи устанавливают слабые пароли, мы знаем, что этого недостаточно для безопасности, поэтому в таких случаях, в 99%, даже если кто-то знает пароль, система не позволяет заходить в аккаунт без дополнительной проверки, дополнительного «испытания».
У нас есть различные проверки, которые повышают уровень защиты, даже если человек не включил двухэтапную аутентификацию. Есть функция, которая отправляет уведомление «Пытаетесь войти в аккаунт?» с ответом в формате «да/нет» на ваш телефон. Все очень просто. Мы можем прислать на ваш телефон код. Мы можем и позвонить вам, чтобы убедиться, что в аккаунт входите действительно вы, а не кто-то другой. У нас даже есть оффлайн-варианты для тех, кто путешествует или не имеет выхода в интернет на своем телефоне прямо сейчас. И мы продолжаем добавлять все новые элементы безопасности, фактически это позволяет нам осуществлять двухэтапную проверку, даже если пользователи сами ее не используют. Поэтому мы можем сказать, что даже если кто-то узнал ваш пароль, мы можем останавливать злоумышленника при помощи дополнительных проверок.
— Боюсь, здесь только одна проблема — люди ленятся, к сожалению. И их нужно обучать безопасности в интернете.
— Да, так и есть. Дело в том, что мы не можем запретить им поступать так, как они поступают, и поэтому должны защищать их, невзирая ни на что, должны делать все, что в наших силах. Поэтому людям важно понимать, что в системе безопасности Google указан их правильный, актуальный номер телефона. Если он у нас есть, мы всегда увидим новое устройство, которое до этого никогда не фиксировали. Мы можем отправить вызов на это устройство, и это очень сильно сужает возможности для взлома.
— Нет ли у вас планов сделать двухэтапную аутентификацию обязательной?
— Сейчас это практически автоматизировано, через динамические проверки мы можем защитить наших пользователей и уже близки к обязательной системе. Да, сейчас она не обязательна — есть пользователи, которые не хотят давать нам информацию для дополнительных проверок. Но у нас все равно есть механизмы распознавания, которые выявят риски для этих пользователей, и мы можем запрещать вход в аккаунт, если обстоятельства, при которых он происходит, очень подозрительны.
— Как работает обратная связь с пользователями? Где они могут пожаловаться на фишинговые сайты и как Google реагирует на эти жалобы?
— Возможно, самая долговечная система жалоб работает в Gmail. Пользователи могут не только удалять спам но и сообщить нам о фишинговых письмах и ресурсах, на которые они ведут. Там есть кнопка для жалоб, и это один и самых эффективных сигналов для нашей работы. Работает машинное обучение, система сама тренируется реагировать на такие сигналы. Так что это один из самых быстрых и эффективных механизмов связи с пользователями в области безопасности.
— Как много людей использует этот механизм?
— Очень мало, потому что приходит очень мало сообщений о спаме. Но наша команда перестала считать эти проценты много лет назад и стала использовать абсолютные величины. Мы знаем, что никому нет дела, если мы заблокируем 99% угроз — все беспокоятся только о том 1%, который обойдет систему защиты. Поэтому мы не поздравляем друг друга с тем, что блокируем 99% рисков — этого недостаточно. Знаменатель растет — раньше было 99% от миллиарда сообщений, теперь 99% от 20 миллиардов. Мы фокусируемся на абсолютных величинах — мы продолжаем уменьшать процент угроз каждый квартал с тех пор, как я работаю в компании.
— Является ли угрозой для безопасности то, что люди используют один аккаунт на всю семью?
— Это не самая большая проблема, но аккаунт, которым пользуется много людей, имеет определенные проблемы с безопасностью. В таком случае нам сложнее заметить, что незнакомый вам человек, возможно, хакер, также получил доступ к вашему аккаунту. Если вы передаете кому-то другому свой пароль, это тоже повышает вашу уязвимость. Здесь больше проблема в том, что в «общем» (например, у родителей и детей) аккаунте сложнее работать системе персонализации, которая не знает, какой именно контент вам рекомендовать.
— У обычного человека множество разных аккаунтов, он должен придумывать разные пароли. Я не могу запомнить множество сложных паролей. И в итоге пароли оказываются слишком простыми, либо повторяются. Что вы можете посоветовать делать в таких случаях?
— Мы очень рекомендуем использовать Google Smart Lock для паролей, чтобы не хранить все это только в своей голове. Раньше мы просто советовали не записывать свой пароль. Но это было актуально в другом времени, когда компьютеры стояли в основном в офисе, были такими огромными коробками, и был риск того, что ваши коллеги или даже уборщики увидят заметку с паролем, которую вы прикрепили в углу. Сейчас же актуальный риск — это удаленные атаки.
Исследования показали: сейчас вместо того, чтобы использовать один и тот же пароль на разных сайтах, лучше использовать специальный сервис, который сам будет сильно защищен и будет хранить уникальные пароли для всех ваших ресурсов — чтобы если кто-то взломает вас на одном сайте, он не получил информацию о других. Мы очень много инвестировали в браузер Google Chrome — в последнем релизе, который вышел в сентябре, автозаполнение и управление паролями работает лучше, чем когда бы то ни было. Но, в общем, наш Менеджер паролей — отличное средство для людей, чтобы систематизировать хаос.
— А если кто-то украл мой телефон?
— Google Smart Lock, который мы создали, безопасно прячет данные в облачном хранилище, и все, что вы доверяете Google, защищено нашей сильной системой аутентификации, особенно если вы используете Ключ безопасности. Тут все зависит от вас.
— А сами продукты Google так же сильно защищены?
— Мы тщательно проверяем с точки зрения безопасности все нововведения в продуктах Google. На самом деле, иногда мы даже расстраиваемся: мы хотим поправить очень маленькую ошибку, например, изменить одно слово на сайте. И нам все равно нужно проходить для этого полную проверку безопасности. Наверное, лучшее доказательство безопасности наших сервисов состоит в том, что работники Google используют именно Gmail, Google Drive и Google Docs для любой важной работы. Существуют компании, которые производят один продукт, а сами используют другой. Мы используем те же самые программы, которые предлагаем всем людям, потому что мы верим в то, что это самые защищенные продукты в мире.