Сегодняшнее мое утро началось с сообщения РБК о том, что якобы хакеры взломали сервера «Яндекса» и похитили миллионы учетных записей. В принципе, я уже привык к нежеланию наших журналистов разбираться в ситуации и к их желанию как можно быстрее выпустить статью с искрометным заголовком, но меня эти таинственные «хакеры» уже начинают раздражать. Давайте называть вещи своими именами. Никто ничего не взламывал, просто в очередной раз миллионы домохозяек ввели свои пароли на какой-то фишинговой странице. Это уже давно не ново и еще пять лет тому назад в Интернете гуляли списки паролей пользователей «В Контакте». Теперь пришло время «Яндекса» и «Mail.Ru».
Я вижу в данной ситуации некоторые другие варианты сбора такого количества паролей. Пароли можно запросто собрать, изготовив свою обертку к клиентам «Облака» и «Яндекс.Диска», поскольку пароли к этим сервисам соответствуют паролям к почте и никогда не требуют SMS-пароля (впрочем, у этих сервисов ни одна форма такого не требует). При этом, если сделать так, чтобы приложение реально работало, передавая после сохранения данные для авторизации туда, куда положено, то можно будет даже собирать обновления на случай смены пароля, так как для пользователя такое поведение приложения будет незаметным (если, конечно, не начать слать с его учетной записи миллионы писем в день, а в этом сегодня смысла нет, так как с таким же успехом можно просто зарегистрировать новый ящик). Пока что таких случаев зафиксировано не было, но хочу заранее предупредить пользователей: перестаньте использовать сторонние приложения для работы с теми сервисами, которые имеют для вас какую-то ценность.
Далее варианты несколько более простые: трояны и фишинговые страницы. Со всем этим мы уже знакомы и сильно заострять внимание на них я не буду, скажу только, что трояны умеют красть пароли не только из браузера, а и, к примеру, из почтового клиента. Красть вводимые данные могут также и непонятные расширения к браузерам. Я, к примеру, столкнулся с тем, что одно достаточно популярное расширение к Google Chrome, позволяющее скачивать видео с видеохостингов и социальных сетей, размещает на произвольных страницах рекламные баннеры, которых там не должно быть, а это, между прочим, AdWare. Заметил я это тогда, когда рекламный баннер появился у меня в Интернет-банке, где его ну никак не должно было быть.
Как видите, среди возможных по моему мнению вариантов сбора такой базы нет никаких хакеров. А знаете, почему? Потому что держать конфиденциальные данные пользователя в открытом виде ― полнейший маразм. Практически у всех популярных сервисов пароли хорошо шифруются и восстановлению не подлежат вообще (это называется хеширование), то есть в базе данных сервиса хранится только хеш, соответствующий вашему паролю, а для идентификации по паролю он сравнивается с хешем, полученным от введенного значения при авторизации. Как видите, пользы от взлома такой базы достаточно мало и вкладывать время и деньги в расшифровку таких данных будут только в том случае, если они для кого-то важны.
Для чего такие данные могут использоваться? Много для чего, начиная от взлома путем попытки восстановления пароля доступа к наивным Интернет-банкам, разработчиков которых вообще нужно судить за создание заведомо дырявого программного обеспечения, и заканчивая угоном аккаунтов от онлайн-игр (я был просто в шоке, когда услышал, сколько люди готовы отдать за продвинутый аккаунт какой-то там онлайн игры). Полезными для злоумышленников будут от силы 10% таких пар логин-пароль, но и это, в принципе, очень даже неплохо, если суммарное количество пар стремится к пяти миллионам.
Конечно же, я сразу же нашел все эти базы, о которых сообщали в новостях, поскольку у меня в них свой интерес: я составляю статистику по наиболее часто используемым паролям для корректировки настроек фильтра паролей по сложности (он имеет свой словарь, благодаря которому пароль «qwerty777» никак не будет признан безопасным) а также лично для себя выделяю актуальные тренды по названиям почтовых ящиков. Последние со времени последнего слива стали сложнее. Это объясняется, в первую очередь, тем, что логины «masha» и «vasya» были заняты еще в начале нулевых, поэтому современным Мариям и Василиям приходится изощряться и придумывать себе что-то вроде «masha11051987» или «vasya92volgodonsk». Такие имена, конечно, выглядят ужасно криво, но, тем не менее, достаточно популярны, поскольку пользователи почему-то в первую очередь приветствуют идентификацию по дате рождения. Тренды паролей за последние годы мало изменились. Скорее, просто мимикрировали, в результате чего пароли «123456789» и «qwerty» родили таких мутантов, как «qwerty123456789» и подобные. Говорить о том, что это ужасно безопасный пароль, я думаю, глупо, однако пользователям, которые их используют, очень нравится подсказка, которая выделяет поле зеленым фоном и говорит, мол, пароль просто бесподобен по своей уникальности.
Как обезопасить себя от таких взломов? Да очень просто. Для начала удалить Microsoft Windows (и чего ради вы ее до сих пор используете?) и избавиться таким образом от 99% угроз. Оставшийся процент ― человеческий фактор. Здесь нужно просто внимательно смотреть на адрес сайта, на котором вы вводите свои данные. Сайт «passportyandexru.pp.ua» вряд ли имеет отношение к «Яндексу». Не стоит и скачивать на свой компьютер что попало, а еще не лишним будет игнорировать все предложения о редактировании файла «hosts» если только вы не уверены на все 100% что это необходимо. Благодаря этому замечательному файлу передать свои данные злоумышленникам запросто можно даже работая исключительно с правильными формами в официальных доменах.