Перейти к материалам
разбор

Мне пришло уведомление от Google: почту пытались взломать. Это повод для паники?

10 карточек
1

Что случилось?

11 октября неизвестные злоумышленники пытались взломать почтовые аккаунты Google по меньшей мере двух десятков общественных деятелей и журналистов независимых изданий. Им всем пришло соответствующее предупреждение от компании: «Возможно, спецслужбы пытаются украсть ваш пароль».

2

Что делать, если пришло такое сообщение? Паниковать?

Паниковать, конечно, ни в коем случае не надо. Такое уведомление еще не обязательно означает, что ваши данные оказались в руках злоумышленников. Возможно, это только попытка взлома — и она неудачная. Возможно, это вообще ложная тревога — и уведомление пришло вам по ошибке. Но есть и другой вариант: у кого-то появился доступ к вашему аккаунту.

3

И что же делать?

Первое, что нужно сделать, — сменить пароль. И новый пароль обязательно должен быть надежным — о том, как его придумать, можно узнать из наших карточек. Google также советует установить обновления для операционной системы, скачать новую версию браузера, обновить плагины и офисные приложения вроде Word. Если вы забудете эти советы — ничего страшного: вместе с уведомлением о попытке взлома вам придет напоминание от Google. Есть еще одна полезная рекомендация, которую подсказал нам читатель: в правом нижнем углу страницы почты Gmail есть информация о последних действиях в вашем аккаунте. Там надо кликнуть на ссылку «Дополнительная информация», а потом нажать «Выйти из всех остальных сеансов».

4

А каким образом обычно пытаются взломать аккаунт?

Мы точно не знаем, потому что существует несколько способов атаки. Например, фишинг: злоумышленник подсовывает вам фейковую страницу для ввода пароля — и вы отдаете ему ключи от аккаунта собственными руками. Иногда атака происходит через вредоносные программы: скажем, вы кликаете по ссылке в письме — и на ваш компьютер автоматически устанавливается программа, способная передать пароль от почты злоумышленнику. Не исключен вариант, при котором взломщик попытается запустить восстановительную процедуру со своего компьютера — притвориться, будто хозяин аккаунта забыл пароль и теперь пытается получить новый. В таком случае хакеру понадобится отвечать на контрольные вопросы вроде девичьей фамилии матери, но если он работает по заданию государства, то такие данные он достанет без труда. 

5

Как защититься?

Первое, что всегда советует Google, — установить двухфакторную аутентификацию. Вы наверняка слышали это словосочетание; ничего страшного в нем нет. Оно всего лишь означает требование предъявить два доказательства того, что вы — это вы, для получения доступа к аккаунту. Одним таким доказательством является пароль, а в качестве второго Google по умолчанию предлагает использовать код из SMS. Подобным образом устроено, например, ваше взаимодействие с большинством интернет-банков.

Включить двухфакторную аутентификацию можно в настройках своего аккаунта Google, это очень просто. Теперь раз в месяц Google будет просить вас помимо пароля ввести еще и код из SMS — и, что самое главное, он будет делать это всякий раз, когда вход в аккаунт производится с нового устройства. Таким образом, злоумышленник, пусть даже и узнавший ваш пароль, не сможет получить доступ к вашей почте и другим сервисам. 

6

Ок! Теперь я в безопасности?

Не совсем. Если у вас есть основания предполагать, что содержимое вашего аккаунта может быть интересно чиновникам, и вы хотели бы этого избежать — двухфакторной аутентификации с привязкой к SMS будет недостаточно. Вспомните недавние истории, когда у оппозиционеров Георгия Албурова и Олега Козловского «угоняли» их аккаунты в мессенджере Telegram, перехватив SMS-сообщения с дополнительными кодами для входа. 

Поэтому придется еще немного покопаться в настройках двухфакторной аутентификации в Google-аккаунте и выбрать иной способ получения дополнительного пароля — отличающийся от SMS-сообщения, которое можно перехватить.

7

А что, разве это возможно?

Конечно. Самый простой способ — скачать на смартфон Authenticator, приложение самого Google, которое генерирует одноразовые пароли. Есть и сторонние, не гугловские приложения того же назначения. Кроме того, можно купить специальный брелок (USB-токен, простые модели стоят 15–20 долларов). Он похож на флешку и работает так: если брелок вставлен в компьютер, можно спокойно войти в свой Google-аккаунт, а если нет — нельзя. Так что злоумышленник без брелока не сможет завладеть вашей почтой. Существуют токены, которые работают через Bluetooth или NFC — это удобно, если у вашего устройства нет USB-разъема.

8

Если я воспользуюсь этими средствами, все будет в порядке?

Не совсем. Штука в том, что двухфакторная аутентификация не вполне защитит вас от фишинга. Потому что злоумышленник может подделать не только поле для ввода логина и пароля, но и поле для ввода дополнительного кода. И вы можете, не заметив, передать ему всю связку ключей.

9

Есть способ уберечься от фишинга?

Да. Google советует использовать браузер Chrome со специальным расширением, которое будет сообщать о фишинговых страницах и предупреждать пользователей, применяющих один и тот же пароль для разных аккаунтов. Правда, это расширение защищает только пароли от Google-аккаунтов. 

10

Где еще почитать про безопасность в интернете?

Читайте карточки «Медузы»:

Как защитить свою переписку от взлома?

Как защитить свою переписку с помощью асимметричного шифрования?

Как придумать надежный пароль и не забыть его?

Материал подготовлен при участии Леонида Волкова, основателя Общества защиты интернета