Мне пришло уведомление от Google: почту пытались взломать. Это повод для паники?
Что случилось?
11 октября неизвестные злоумышленники пытались взломать почтовые аккаунты Google по меньшей мере двух десятков общественных деятелей и журналистов независимых изданий. Им всем пришло соответствующее предупреждение от компании: «Возможно, спецслужбы пытаются украсть ваш пароль».
Что делать, если пришло такое сообщение? Паниковать?
Паниковать, конечно, ни в коем случае не надо. Такое уведомление еще не обязательно означает, что ваши данные оказались в руках злоумышленников. Возможно, это только попытка взлома — и она неудачная. Возможно, это вообще ложная тревога — и уведомление пришло вам по ошибке. Но есть и другой вариант: у кого-то появился доступ к вашему аккаунту.
И что же делать?
Первое, что нужно сделать, — сменить пароль. И новый пароль обязательно должен быть надежным — о том, как его придумать, можно узнать из наших карточек. Google также советует установить обновления для операционной системы, скачать новую версию браузера, обновить плагины и офисные приложения вроде Word. Если вы забудете эти советы — ничего страшного: вместе с уведомлением о попытке взлома вам придет напоминание от Google. Есть еще одна полезная рекомендация, которую подсказал нам читатель: в правом нижнем углу страницы почты Gmail есть информация о последних действиях в вашем аккаунте. Там надо кликнуть на ссылку «Дополнительная информация», а потом нажать «Выйти из всех остальных сеансов».
А каким образом обычно пытаются взломать аккаунт?
Мы точно не знаем, потому что существует несколько способов атаки. Например, фишинг: злоумышленник подсовывает вам фейковую страницу для ввода пароля — и вы отдаете ему ключи от аккаунта собственными руками. Иногда атака происходит через вредоносные программы: скажем, вы кликаете по ссылке в письме — и на ваш компьютер автоматически устанавливается программа, способная передать пароль от почты злоумышленнику. Не исключен вариант, при котором взломщик попытается запустить восстановительную процедуру со своего компьютера — притвориться, будто хозяин аккаунта забыл пароль и теперь пытается получить новый. В таком случае хакеру понадобится отвечать на контрольные вопросы вроде девичьей фамилии матери, но если он работает по заданию государства, то такие данные он достанет без труда.
Как защититься?
Первое, что всегда советует Google, — установить двухфакторную аутентификацию. Вы наверняка слышали это словосочетание; ничего страшного в нем нет. Оно всего лишь означает требование предъявить два доказательства того, что вы — это вы, для получения доступа к аккаунту. Одним таким доказательством является пароль, а в качестве второго Google по умолчанию предлагает использовать код из SMS. Подобным образом устроено, например, ваше взаимодействие с большинством интернет-банков.
Включить двухфакторную аутентификацию можно в настройках своего аккаунта Google, это очень просто. Теперь раз в месяц Google будет просить вас помимо пароля ввести еще и код из SMS — и, что самое главное, он будет делать это всякий раз, когда вход в аккаунт производится с нового устройства. Таким образом, злоумышленник, пусть даже и узнавший ваш пароль, не сможет получить доступ к вашей почте и другим сервисам.
Ок! Теперь я в безопасности?
Не совсем. Если у вас есть основания предполагать, что содержимое вашего аккаунта может быть интересно чиновникам, и вы хотели бы этого избежать — двухфакторной аутентификации с привязкой к SMS будет недостаточно. Вспомните недавние истории, когда у оппозиционеров Георгия Албурова и Олега Козловского «угоняли» их аккаунты в мессенджере Telegram, перехватив SMS-сообщения с дополнительными кодами для входа.
Поэтому придется еще немного покопаться в настройках двухфакторной аутентификации в Google-аккаунте и выбрать иной способ получения дополнительного пароля — отличающийся от SMS-сообщения, которое можно перехватить.
А что, разве это возможно?
Конечно. Самый простой способ — скачать на смартфон Authenticator, приложение самого Google, которое генерирует одноразовые пароли. Есть и сторонние, не гугловские приложения того же назначения. Кроме того, можно купить специальный брелок (USB-токен, простые модели стоят 15–20 долларов). Он похож на флешку и работает так: если брелок вставлен в компьютер, можно спокойно войти в свой Google-аккаунт, а если нет — нельзя. Так что злоумышленник без брелока не сможет завладеть вашей почтой. Существуют токены, которые работают через Bluetooth или NFC — это удобно, если у вашего устройства нет USB-разъема.
Если я воспользуюсь этими средствами, все будет в порядке?
Не совсем. Штука в том, что двухфакторная аутентификация не вполне защитит вас от фишинга. Потому что злоумышленник может подделать не только поле для ввода логина и пароля, но и поле для ввода дополнительного кода. И вы можете, не заметив, передать ему всю связку ключей.
Есть способ уберечься от фишинга?
Да. Google советует использовать браузер Chrome со специальным расширением, которое будет сообщать о фишинговых страницах и предупреждать пользователей, применяющих один и тот же пароль для разных аккаунтов. Правда, это расширение защищает только пароли от Google-аккаунтов.
Где еще почитать про безопасность в интернете?
Читайте карточки «Медузы»:
Как защитить свою переписку от взлома?
Как защитить свою переписку с помощью асимметричного шифрования?
Как придумать надежный пароль и не забыть его?
Материал подготовлен при участии Леонида Волкова, основателя Общества защиты интернета