Актуальность защиты данных

Технологии открывают новые возможности и создают простор для мошенников, которые зарабатывают обманным путем.

В 2024 году, по оценке ЦБ РФ, похищено 27,5 млрд. рублей. Также в СМИ пестрят заголовки, что эксперты СБЕРА оценивают ущерб от телефонного мошенничества в 295 млрд. рублей. Цифры ужасают масштабом: объемы хищений растут высокими темпами, по сравнению с 2023 годом выросло на 74,36%. Под угрозой может оказаться каждый.

Пугающие цифры говорят сами за себя, поэтому стоит разобраться в способах и принципах защиты себя от злоумышленников, мошенников и кибератак. Представьте, что цифровая жизнь — крепость. Данные и финансы — сокровища внутри крепости. Вокруг крепости рыщут разбойники, которые не прочь поживиться за наш счет. Нужно их остановить, необходимо выстроить многоуровневую систему обороны.

Важно понимать: никакая оборона не обезопасит на 100%. Задача безопасности — сделать нападение столь дорогим с точки зрения усилий, времени, рисков и ресурсов, чтобы стало невыгодно атаковать.

В этой статье по этапам выстроим оборону. Начнем с внешних стен, которые не пускают врага внутрь, и закончим планами на случай, если злоумышленникам удастся прорваться.

Важное уточнение

Мошенничество и кибератаки бывают двух видов:

• Массовые. Для массовых атак используются сканеры и боты. Они хуже подготовлены или действуют по часто используемым шаблонам. В этих случаях даже простые проверки защитят вас.

• Целенаправленные. В случае целенаправленных атак один барьер может не спаси. Нужна многоуровневая оборона, чтобы на каждом этапе злоумышленник сталкивался с новыми препятствиями. А вы получали сигнал тревоги.

Линии обороны

Надёжная крепость строится на принципе многоуровневой обороны. Её цель — заставить нападающего заплатить максимальную цену и свести к минимуму любой урон. Для этого применяются самые разные средства: от рвов и стен до хитроумных ловушек и второй линии обороны.

Аналогичные по логике уровни защиты выстроим и для нашей цифровой крепости.

1. Не стать мишенью
   Чем меньше о вас знают, тем сложнее вас найти и спланировать атаку. Уменьшение цифрового следа.

2. Защита периметра
   Ликвидация скрытых угроз и разведчиков. Зараженные файлы, злоумышленники в сети.

3. Неприступные стены
   На вас напали, противник должен упереться в высокие стены и глубокие рвы аутентификации и правил получения доступов.

4. Внутренняя оборона, минимизация ущерба
   Создание дополнительных барьеров, даже имея доступ Злоумышленник тратит время и силы, что дает вам больше времени на реагирование.

5. Прорыв обороны
   Что делать в случае взлома.

Не стать мишенью

Помните: речь идет не о тотальном удалении информации, а об осознанном контроле над чувствительными данными. Каждый сам решает, что публиковать и как публиковать. Задача статьи — показать, какие данные представляют наибольший риск, почему и как минимизировать риски.

Атака начинается с разведки. Любое нападение начинается со сбора информации. Злоумышленники будут собирать данные. Чем больше знают, тем лучше подготовят нападение. Ваши личные данные — ключ к обману. С их помощью мошенники:

• Убедительнее играют роль банкиров, коллег или родственников.

• Подбирают логины и пароли.

• Подбирают вирусы под конкретную технику: операционную систему, модель телефона.

Прежде чем строить стены, нужно спрятать крепость. Не давайте злоумышленникам материал для атаки.

Разберемся откуда злоумышленники собирают данные. Источники можно разделить на 5 категорий:

1. Соцсети
   Соцсети формируют досье: номера телефонов, геотеги, даты рождения, фото, друзья, родственники, подписки.

2. Форумы, комментарии и отзывы
   Еще один источник дает детальную информацию, что помогает составить психологический портрет жертвы.

3. Продажа данных компаниями
   Если оставляете номер телефона для «специального предложения» сервис часто продаёт его партнёрам. Ваш номер уходит по цепочке, и вы не контролируете, кто его получит. Еще базы данных партнеров часто плохо защищены, поэтому кибератаки на партнеров с большей вероятностью получат ваши данные.

4. Открытые государственные реестры
   Это легальные источники данных. В базе индивидуальных предпринимателей (ИП) публикуются ИНН, должность и так далее.

5. Крупные утечки данных.
   После взломов сервисов корпораций или государственных органов данные уходят в даркнет, где уже используются злоумышленниками.

Что делать, чтобы сократить поток информации о себе в интернете?

1. Уменьшение цифрового следа
   Старые, не используемые аккаунты на форумах, в интернет‑магазинах и социальных сетях — золотая жила для сборщиков данных. Из них собирают хронологию вашей жизни, увлечения, контакты и подсказки для паролей.
   
   Удалите старые аккаунты — сократите объем информации о вас в открытом доступе.

2. Настройки приватности в соцсетях
   Предоставьте доступ к вашей информации только тем, кому доверяете. Даже небольшое ограничение круга лиц значительно повышает безопасность.
   
   Настройте параметры приватности так, чтобы ваши данные видели не все. Также ограничьте возможность связаться с вами: сделайте так, чтобы добавлять вас в чаты и группы могли только друзья или контакты.

3. Информационная диета
   Чем меньше злоумышленник знает о вашей жизни, тем сложнее вас обмануть.
   
   Не публикуйте фото документов, банковских карт и билетов.
   
   Не разглашайте информацию о близких. Эти данные — ключевые для шантажа и социальной инженерии.

4. Используйте email-псевдонимы
   Чем меньше сервисов знает о вашей электронной почте, тем меньше будет спама и писем с вирусами.
   
   Для регистрации на сомнительных сайтах или одноразовых действий используйте псевдонимы e‑mail. Эта функция есть в Gmaill и Яндекс.Почты. Также можно пользоваться сервисами для одноразовой почты.

Помните, чем меньше в сети о вас информации, тем сложнее оказаться на прицеле злоумышленника.

Защита периметра крепости

Прежде чем защищать саму крепость, необходимо укрепить территории вокруг неё: поля, торговые ряды, дома крестьян. В цифровом мире это окружение нашей жизни: телефоны, компьютеры, Wi‑Fi, приложения на устройствах, входящие звонки и письма. На этом уровне редко хранятся главные сокровища, но именно здесь проще всего проскользнуть замаскированному врагу. Наша задача — выставить блокпосты, возвести простой забор и научиться фильтровать входящие угрозы.

Давайте разберем способы защиты нашего периметра.

1. Защита устройств
   Телефоны и компьютеры — носители нашей цифровой жизни. Если они будут под угрозой, вся хранящаяся в них информация может быть скомпрометирована.
   
   Используйте пароли и биометрию для доступа. Это базовая защита от несанкционированных действий.
   Используйте антивирусы. Даже базовый антивирус отловит большинство известных угроз.

2. Безопасность WI‑FI
   Чаще всего мы получаем доступ к интернету через WI‑FI. Это один из самых важных путей доступа к нашей цифровой жизни. Поэтому дорога в крепость тоже должна быть защищена.

   Опасайтесь публичных WI‑FI. Меры защиты на них минимальны, при этом общедоступны, поэтому представляют повышенную опасность. Кроме того, злоумышленники создают фальшивые точки доступа, имитирующие WI‑FI публичных мест, чтобы перехватывать ваши данные. Отключите в настройках автоматическое подключение к неизвестным WI‑FI.

   Создайте Гостевую сеть. Эта функция есть на большинстве роутеров. Подключайте устройства гостей и умного дома к этой сети. Это изолирует устройства. У злоумышленников и вирусов не будет прямого доступа к настройка роутера и вашим устройствам в основной сети.

3. Контроль над приложениями
   Каждое приложение на устройстве — как торговец в городе. Доверяете ему его работу, но не пускаете в свою спальню.

   Установленные приложения имеют скрытые уязвимости, которые найдут злоумышленники и воспользуются для взлома, что приведет к утечке данных, к которым даны разрешения. Скачивайте приложения только из надежных источников: AppStore, RuStore, Google Play. Проверяйте и минимизируйте права доступов для приложений, отзывайте ненужные разрешения.

   В некоторых приложениях, особенно в мессенджерах, за открытие, загрузку файлов и писем ответственность лежит на клиенте. Отключите или ограничьте автозагрузку медиа в мессенджерах и не открывайте файлы от незнакомых отправителей.

   Обновляйте приложения, операционные системы. Разработчики ПО в новых версиях приложений закрывают критические уязвимости в безопасности, о которых злоумышленники уже знают.

4. Фильтрация входящей информации
   Мошенники часто атакуют напрямую, притворяются сотрудниками ЦБ, МВД или сотовых операторов. Не давайте таким мошенникам добираться до вас.
   
   Используйте определители номеров крупных игроков Сбер или Т‑Банк. У них огромные и актуальные базы мошеннических номеров. Это отфильтрует известные номера мошенников.

   В настройках каждого телефона имеются настройки антиспама. Разберитесь с настройками антиспама на телефоне. Ограничьте входящие звонки со скрытых, переадресованных или неизвестных номеров.

   Выделяйте электронные письма важных сервисов в отдельную категорию. Пусть все письма официальных почт попадают туда.
   Мошенники регулярно пишут на почту с email‑ов, похожих на официальные, добавляют пару символов или заменяют похожие символы. Заменяют O на 0 или l(строчная английская L) на 1. Сильно отличаются почтовые ящики noreply@.gosuslugy.ru и noreply@.gosus1ugy.ru?. По невнимательности можно не заметить подмену. Пример, как это делать в Gmail и Яндекс.Почте.

5. Контроль сессий
   Ваши открытые сессии — ключи от дома, оставленные в дверях. Каждый оставленный ключ — потенциальная лазейка для мошенников. Люди, получившие доступ к забытой сессии, имеют полный доступ к конкретному сервису, могут украсть ваши данные или действовать от вашего лица.
   
   Регулярно проверяйте списки активных сессий, оставляйте активными сессии только на известных и постоянно используемых устройствах.
   
   Настройте автоматическое закрытие неактивных сессий. Все мы люди и не всегда можем все контролировать. Даже неактивная сессия на забытом устройстве является бомбой замедленного действия. Найдите в настройках автоматическое закрытие сессий.

Защита периметра — это в первую очередь про дисциплину и внимание к деталям. Эти меры не требуют глубоких технических знаний, но создают мощный фильтр, который остановит 90% массовых угроз, не дав им даже добраться до стен вашего главного замка.

Неприступные стены: Пароли и 2FA

В любой крепости главные элементы защиты — крепкие стены и глубокие рвы с водой вокруг стен. Пароль — ров с крокодилами, а двухфакторная аутентификация (2FA) —крепкие стены и подъёмный мост. Даже если враг преодолеет ров без моста, он не проберётся внутрь. Давайте разберёмся, как построить неприступную защиту.

Пароль главная защита

Когда речь заходит о безопасности в интернете, постоянно говорят о паролях. Пароли — основа безопасности в интернете. Об этом много сказано, но лучше 1 раз показать, чем 100 раз услышать.

Кол‑во вариантов для пароля вычисляется по формуле NK
N — кол‑во возможно используемых символов в пароле.
K — длина пароля.

В большинстве сервисов минимальная длина пароля составляет 8 символов. Допустим, для пароля используются только английские буквы и числа.
K(кол-во используемых символов) = 26(строчных) + 26(заглавных) + 10(цифр) = 62 символа.

• Пароль из 8 символов — 218 триллионов возможных комбинаций паролей.
  628 = 218 340 105 584 896

• Пароль из 9 символов — в 62 раза больше комбинаций, 13 квадриллионов
  629 = 13 537 086 546 263 552

• Пароль из 8 символов, но добавим 10 спецсимволов(например:!, @, #, $ и так далее).
  Получается 722 триллиона возможных паролей.
  728 = 722 204 136 308 736

• Пароль со спецсимволами из 10 символов — 3.7 квинтиллионов
  7210 = 3 743 906 242 624 487 424

Это абстрактные числа. Давайте представим, сколько по времени будет подбираться пароль. Представим, что у злоумышленников имеются мощные сервера, которые способны перебирать пароли со скоростью 1 млрд/сек вариантов.

Для пароля будем использоваться 72 символа как в примере выше.

Хеширование — тоже самое что и шифрование, но расшифровать нельзя

Даже самые защищённые компании не застрахованы от утечек. Ваш пароль хранится у них в виде цифрового шифра. Проблема в том, что если злоумышленники похитят этот шифр, они получают возможность подобрать к нему ключ без ограничений — в отличие от официального сайта, где число попыток строго контролируется.

Каждый дополнительный символ в пароле превращает подбор в практически невыполнимую задачу. Даже при наличии супер компьютеров.

Сложные пароли — хорошо, но их тяжело запоминать. Компания Касперский разбирала эту проблему в своей статье.

2FA - двухфакторная аутентификация

Даже надежные пароли могут быть подобраны, украдены через уязвимости или по невнимательности. Важно, чтобы при входе требовалось еще одно доказательство, кроме пароля. Для этого была придумана 2FA.

Что это такое?
2FA — система, которая требует от вас два типа доказательств.
Какие типы доказательств существуют?

1. Что вы знаете: пароль, пин‑код, секретный вопрос.

2. Что у вас есть: код из SMS или push уведомления, код из TOPT приложения, ключ токен.

3. Что является частью вас: биометрия.

Как это работает?
Вы входите в аккаунт. Сначала вводите пароль, а затем код из СМС. Этот код подтверждает, что входите именно вы. Даже если мошенник узнает ваш пароль без кода из СМС он не сможет войти.

Способы 2FA

Начнем с самых распространенных и наименее надежных 2FA, и пойдем по возрастающей.

• SMS/Звонок
  Самый распространенный способ 2FA. Ничего не требуется делать, главное иметь под рукой телефон. Но так же это самый не надежный второй фактор.

• Push‑уведомления
  Практически то же самое, что sms подтверждение. Немного безопаснее, так как уходят угрозы связанные с доставкой SMS.

• Приложения‑аутентификаторы(TOPT‑приложения)
  Специальное приложение (Google Authenticator, Яндекс‑Ключ) генерирует одноразовые коды, которые автоматически обновляются каждые 30 секунд. Одноразовые коды генерируются на устройстве и сервере, никуда не передаются по сети. После ввода они сравниваются.
  
  Этот вариант подходит большинству пользователей. Оптимален с точки зрения удобства и безопасности. Поддерживается большинством критичных сервисов: Госуслуги, Яндекс ID, Google, Apple ID.
  
  Хорошая статья, где объясняется, как работает TOPT. И еще одна.

• Аппаратные ключи

Максимальная степень защиты. Ключи хранятся на отдельных физических устройствах и привязаны к конкретным сервисам. Соответственно защищены от фишинга(использование поддельных сайтов).

Для подтверждения доступа нужно подключить или поднести к устройству.
Лучший выбор для самых критических сервисов. Но не все сервисы поддерживают этот способ. Также подобные ключи стоят денег.

Есть статьи по использованию аппаратных ключей и U2F.

Слабость кода из SMS

SMS код — самый распространенный и наиболее уязвимый второй фактор. Настоятельно рекомендую отказаться от SMS подтверждений и переходить на более надежные способы, где это возможно.

Большинство уловок мошенников нацелены на получение кода из SMS. НИКОГДА НЕ НАЗЫВАЙТЕ КОД ИЗ SMS УВЕДОМЛЕНИЙ!!!!!!

Важно понять почему SMS считается самым уязвимым методом 2FA. Угрозы исходят не только от обманов, но и от уязвимых технологий:

• Социальная инженерия — обман: мошенники играют роль сотрудников ЦБ, МВД, сотовых операторов. Центральный Банк России у себя ведет список мошеннических схем. Советую ознакомиться, чтобы быть в курсе.

• Подмена SIM‑карты: имея ваши персональные данные, мошенники могут обманом убедить сотовых операторов перевыпустить SIM‑карту. После этого все коды будут приходить сразу к ним.

• Вредоносное ПО: Специальные вирусы на устройстве могут перехватывать входящие SMS или читать их из файлов синхронизации между устройствами.

• Получение кода во время демонстрации экрана: мошенники звонят через мессенджеры и просят демонстрировать экран. Во время демонстрации приходит SMS с кодом, с помощью которого они заходят в аккаунты.

• Переставить SIM‑карту в другой телефон: в случае физического утери телефона злоумышленники могут переставить вашу SIM‑карту в другой телефон. Теперь они могут получить полный доступ к вашим SMS.

Что делать, чтобы защитить SMS‑коды, если от них нельзя отказаться:

1. Не сообщайте коды подтверждения.

2. Установить PIN‑код на SIM‑карту. PIN‑код устанавливается через настройки или в салонах оператора связи.

3. Отключите показ уведомлений SMS на заблокированном экране.

4. Не демонстрируйте экран незнакомым людям.

Внутренняя оборона и усложнение жизни врагу

Внутренняя оборона — не паранойя, а стратегия по снижению ущерба.

Даже самые неприступные стены можно преодолеть. Умный защитник готовится к этому сценарию, поэтому выстраивает внутреннюю оборону. Внутренняя оборона — система препятствий, которая замедлит и запутает противника в случае прорыва.

Внутренние барьеры разделяются на несколько категорий:

• Юридическо‑административный барьер
  Использование официальных законов и процедур для создания непреодолимых препятствий — мощный барьер.
  
  Какие есть административные способы защиты себя?
  
  Самозапрет на кредиты можно установить как полный, который полностью закрывает возможность оформления потребительских кредитов, микро-займов, кредитных карт. Так и частичный  запрет на дистанционное оформление или запрет оформления в МФО или банке.
  
  Ограничение сделок с недвижимостью без личного участия без ведома владельца не смогут оформлять документы по недвижимости.
  
  Самозапрет на оформление SIM‑карт. Получив доступ к вашим паспортным данным, злоумышленники могут оформить SIM‑карту на ваше имя и пользоваться ею для обмана. Это ставит под угрозу других людей, так и вас. Вы будете под подозрением у МВД.

• Система подтверждений действий
  Любые критические действия должны подтверждаться через независимый канал. Это не даст злоумышленнику быстро поменять настройки под себя и заблокировать вам доступ к аккаунту. Установите дополнительные проверки: введение секретного кода, кода из SMS кода, отправленного на электронную почту.
  
  Примеры действия с подтверждением: изменение настроек безопасности, переводы в банках, изменение лимитов.

• Подтверждение действий доверенным лицом
  Мошенники манипулируют человеком. Методы рассчитаны на 1-ого человека. Когда действия проверяются 3-им лицом, шанс ошибки резко падает.
  
  С 01.09.2025 появился Сервис второй руки по инициативе ЦБ. Вы назначаете доверенное лицо, которое будет подтверждать ваши действия. Крупные переводы и оформление кредитов будут блокироваться до подтверждения доверенным лицом.
  
  Эта инициатива нацелена на защиту самых уязвимых слоев населения: пожилых и подростков. Но так же ее можно добавить и се��е, чтобы в случае обманов ваше доверенное лицо могло вас остановить и образумить.

• Стратегия лимитов
  Вы искусственно ограничиваете информационный или финансовый поток. Это ограничит возможный ущерб и усложнит кражу, так как нужно дополнительно снимать лимиты — трата времени, лишние действия и больше следов преступлений.
  
  Лимиты, которые можно выставить: суммы переводов, кол‑во переводов, лимиты на кол‑во скаченных файлов.

• Принцип дробления ценностей
  Ни одна утечка не должна давать доступ ко всем вашим данным. Кража превращается в сложную и долгую операцию по получению к разным сервисам. В итоге это становится просто невыгодно.
  
  Храните документы и данные в разных логических и физических носителях.
  Деньги храните в разных банках и на разных счетах.

Внутренняя оборона — стратегическая концепция, которая смотрит на безопасность реалистично: не «если взломают», а «когда взломают». Использование сервисов становится более осознанным, что повышает как ваше внимание, так и профит от использования.

Что делать если взломали

Даже самая крепкая оборона может пасть. В такое случае ваша цель — выбить врага из крепости и максимально быстро восстановить внешнюю оборону.

План для достижения ликвидации взлома:

• Немедленные действия
  
  Завершить все сеансы. Экстренно выйдите на всех устройствах. Это делается в разделе Безопасность в любом приложении. Противника необходимо выбить из крепости.
  
  Смените пароль. Злоумышленник уже получил доступ к вашему аккаунту и знает или успел сменить пароль. Смена пароля после взлома будет надежно защищать. После прорыва надо восстановить стены и баррикады.
  
  Предупредить близких и всех, кто под угрозой. Часто мошенники взламывают аккаунты, чтобы под вашим видом выманивать деньги у людей. Предупреждение близких уменьшит вероятность чужих потерь.

• Восстановление безопасности и оценка ущерба
  
  Проверьте, что делали через аккаунт — история входов и действий, переводы, список подключенных сервисов, отправленные письма. Оцените ущерб, нанесенный при прорыве обороны.
  
  Проверка настроек безопасности — изменения резервных почт, настроек, пересылок писем, выдать доступов и так далее. Изменение настроек безопасности заложит бомбу замедленного действия, которая через время рванет.
  
  Сообщите в техподдержку об инциденте, они сразу будут закрывать лазейки для мошенников и лишат возможности действовать. Проведут проверки и восстановят доступы. Так же разберут инцидент, чтобы в дальнейшем защищать других пользователей.
  

• Минимизация ущерба и информирование
  
  С 01.10.2025 в банках сделали специальную кнопку пострадавших от мошенничества для запуска ликвидации ущерба, нанесенного мошенниками.

  Перевыпустите документы, которые оказались под угрозой. После обновление мошенники будут иметь старые и неактуальные данные.
  

Доп советы

Никто не застрахован от утечек данных. Стоит проверять слитые данные о себе. Проверку можно делать на ресурсе HaveIBeenPwned. Чаще всего они скажут об этом.

В случае физического доступа к телефону злоумышленники начнут использовать ваши мессенджеры для обмана ваших близких. Самые популярные мессенджеры имеют функции дополнительного пароля, который стоит поставить.
ВНИМАНИЕ!!! Пароль на приложение нужен, чтобы дополнительно защитить мессенджеры от злоумышленников, а не чтобы скрывать переписки от мужа или жены.

Не храните деньги на картах, храните их на накопительных счетах. Мошенники могут оформить подписку на вашу карту, Если на карте пусто, списание не пройдет, и вы будете уведомлены об этом.

Если вы все‑таки встретились с такой ситуация, то:

• Перевыпустите карту. Это обновит ее реквизиты. Старые реквизиты будут неактивны.

• Напишите в чат техподдержки запрос "Оспаривание операции". Банк проведет проверку. Если мошенничество подтвердится, вернут деньги.

Вывод

Главное задача — сделать кражу ваших данных максимально невыгодной для злоумышленника

Каждое правило из этой статьи — новый барьер для штурма крепости, который усложняет поиск крепости, преодоление барьеров, а так же дает вам время и поводы для дополнительного реагирования.

Надеюсь, что статья полезна и даже если не будете соблюдать все правила из этой статьи, то будете знать о них и рассказывать знакомым, чтобы они обезопасили себя и близких.

Статьи с конкретными примерами

Что делать если вас взломали

• Кнопка пострадавших

• Памятки по основным сервисам от Сбера

• Что делать если взломали Госуслуги

Защита на конкретных примерах

• Инструкция по настройке 2FA для Госуслуг - По коду TOTP

• Что делать для защиты Telegram и WhatsApp

• Настройка защиты Telegram - статья старая, но актуальная

• Настройка TOPT 2FA для Google аккаунта

• Установка PIN-кода на SIM-карту

Что делать в случае потери устройства

• Что делать если украли телефон

• Советы от Сбера в случае утери телефона

Доп статьи из которых можно дополнить свои знания

• Схемы мошенников

• 10 советов по защите личных данных в Интернете

• 10 советов по защите Android

• Статья по защите своих данных от 2021г