Мошенники в Facebook: что это было и почему молчит интернет-гигант? Что бы было, если бы мы ввели данные
Всем известно, что пароли бывают сложными и не очень. Например, alpine - не очень сложный пароль, и устанавливать его паролем пользователя root на миллионе подключенных к Интернету устройств -- по меньшей мере неразумно. 7_U]Ah"C же, напротив, достаточно сложный пароль. Это вам подтвердит любой продвинутый Интернет-пользователь, а некоторые даже смогут объяснить почему. Мол, и длиннее он, и символов в нем разных много: тут вам и заглавные и прописные буквы, и спец-символы всякие. В общем, сложный он, и уж точно сложнее пароля alpine .
А как сравнить сложность двух паролей, когда разница не так очевидна? Например, какой пароль сложнее: 7_U]Ah"C или xrmdCawGZ ? Хотя второй пароль, казалось бы, состоит из меньшего разнообразия символов, - букв разного регистра, - он длиннее на один символ. Достаточно ли этого, чтобы компенсировать скудность алфавита?
Алфавитом называется множество символов, из которых может состоять пароль. В нашем примере пароль 7_U]Ah"C составлен из алфавита, содержащего следующие символы:
- Латинские буквы в обоих регистрах: a-z, A-Z (26*2=52 шт.)
- Цифры: 0-9 (10 шт.)
- Специальные символы: ! , " , # , $ , % ... (32 шт.)
Сложность пароля (или криптоключа) выражается в т.н. коэффициенте трудоемкости шифра (work factor). Наиболее распространенное объяснение сути КТШ звучит так: это время и компьютерные ресурсы, необходимые для взлома пароля путем полного перебора (brute force ) всех его возможных вариантов. Из комбинаторики знаем, что количество комбинаций из M (размер алфавита) по N (длина пароля) равняется M**N (M в степени N).
Сложность пароля обычно называют его битностью . Говоря, что пароль K-битный , мы имеем в виду, что его сложность сравнима со сложностью пароля из K нулей и единиц (алфавита из всего двух символов: 0 и 1). Например, 7_U]Ah"C -- 52-битный пароль: K = log2 (94**8) = log2 (6095689385410816) ~ 52 .
У пароля xrmdCawGZ более скромный алфавит: из латинских букв в обоих регистрах, всего получается 26*2 = 52 символа. Сложность, соответственно, равна M**N = 52**9 = 2779905883635712 , а битность -- K = log2 (2779905883635712 ) ~ 51 . Следовательно, первый пароль приблизительно в два раза сложнее второго, что в общем не является преимуществом.
Возникает вопрос, зачем тогда нам алфавиты из всех этих кавычек, скобочек и прочих закорючек? Не легче ли просто выдумывать длинные пароли из более привычных символов? Ответ прост: не зачем. Лучше и надежнее будет запомнить длинную пассфразу, пусть в ней и не будет экзотических знаков. В настоящее время надежной считается пассфраза битности 128 и выше. То есть, фразы из 20 букв будет вполне достаточно.
Пароли - это ключи от ваших виртуальных хранилищ данных в интернете - от аккаунта почты, онлайн игры, личной странички в соцсети и т.д. Конечно же, он должен на 100% отвечать такому критерию, как надёжность. То есть он должен быть устойчив к взлому, или подбору. К сожалению, многие пользователи это простое, но обязательное требование к паролям игнорируют. И в итоге, как правило, становятся жертвами злоумышленников. У них пропадают деньги, конфиденциальные данные, геймплейные достижения и пр.
Известно, что 1% пользователей сети то ли из-за лени, то ли из-за халатности при регистрации предпочитают использовать примитивные комбинации, которые можно подобрать с 3-4 попыток. Примеры - «123456», «qwerty», «mypassword». Это, безусловно, является очень большой глупостью. «Лёгкий» ключ для пользователя является «лёгким» и для взломщика.
Эта статья расскажет вам о том, как составлять надёжные пароли и как проверить их на устойчивость к взлому.
Какой пароль можно назвать надёжным?
Хорошие ключи от учётной записи имеют следующие характеристики:
1. Длина не меньше 10-15 символов (самые устойчивые комбинации и того больше - 20-35 символов).
2. Символьный состав: большие и маленькие английские буквы, цифры, спецсимволы.
3. В комбинации отсутствуют словарные слова (parol, kod, vhod), личные данные (номер телефона, имя, e-mail и т.д.), логические последовательности букв и цифр (1234, 246810, abcdefg).
Чем сложнее, надёжнее комбинация, тем труднее сделать её подбор. Чтобы установить придуманную пользователем последовательность из 12 знаков, может понадобиться свыше 1,5 млн. лет.
Создание сложного ключа
Рядовые пользователи Сети и специалисты по безопасности уже нашли множество правильных ответов-решений на вопрос «Как создать надёжный пароль?». В рамках этой статьи мы познакомимся с тремя наиболее практичными способами.
Способ №1: подмена букв
Не на всех первых мобильных телефонах поддерживался русский язык, и их владельцы отправляли СМС-ки, используя транслитерацию. То есть писали латинскими буквами по-русски, а недостающие литеры заменяли символами. Например: «ч» - «4». Фраза «Что делаешь?», выглядела как «4to delaesh?». Этот же принцип лежит и в основе данного способа составления ключей.
Возьмите какое-нибудь слово или словосочетание, а затем запишите его с использованием «хитрых» обозначений. Вместо пробелов можно использовать в качестве разделителей любые спецсимволы «~», «/», «.» и др. Например, можно придумать такую комбинацию:
«Опасная зона» запишем как «onACHA9I#3OHA».
Как видите, слова мы записали латинскими буквами и вдобавок заменили кое-какие русские литеры. Вместо «п» - «n», «я» - «9I», «з» - «3» (цифра «три»). И поставили разделитель «#» между словами. Вот и получился достаточно сложный вариант. Чтобы разгадать такой тип символьного сочетания, компьютерным злодеям придётся как следует покорпеть.
В помощь таблица символьных обозначений русских букв:
Способ №2: создание «читаемого» ключа в генераторе
1. Откройте в браузере онлайн-сервис - http://genpas.peter23.com/.
2. В опции «Режим работы» клацните радиокнопку «Произносимый пароль… ».
3. Дополнительно включите/отключите символьные наборы для комбинаций ключа и установите его длину.
4. Нажмите кнопку «Генерировать».
5. Выберите наиболее оптимальный вариант из генерированных последовательностей.
6. Разбейте выбранный пароль на фрагменты из 2-3 символов и придайте каждому фрагменту определённый смысл. В такой «логической цепочке» очень легко запомнить самую сложную комбинацию. В качестве примера давайте разберём ключ, созданный в этом генераторе:
Xoh)ohfo1koh
- Xoh) - можно прочитать как «Хох» + «смайлик»;
- oh - «ох»;
- fo1 - пусть это будет какая-то загадочная аббревиатура;
- koh - кох - опять вариация начального слога.
Способ №3: добавка спецсимволов в простые слова
1. Возьмите за основу какое-либо хорошо знакомое вам слово:
space2017
2. Придумайте сочетание спецсимволов из 2 или 3 знаков.
«+_&»
3. Добавьте сочетание в начале и в конце слова в зеркальном отображении.
+_&space2017&_+
4. В итоге вы получите достаточно «крепкий» ключ. Безусловно, его нельзя назвать самым устойчивым, однако он легко запоминается и по своей структуре не является примитивным.
Внимание! Перед составлением пароля обязательно ознакомьтесь с требованиями сервиса, на котором регистрируетесь. К примеру, на портале Майл.ру нельзя использовать кириллицу (русские буквы).
Проверка ключа на надёжность
Проанализировать устойчивость выбранной комбинации можно на специальных сервисах.
Предоставляет пользователю подробный анализ указанной комбинации (символьные наборы, длину), а также оценивает её сложность в процентах.
Сообщает о том, сколько времени понадобится на подбор указанного ключа. Предупреждает о недопустимых (примитивных) символьных последовательностях.
Пользуйтесь только надёжными паролями! Они являются залогом вашей безопасности в Сети.
Невероятно, но факт: за всю историю интернет-бизнеса гиганты индустрии сделали всего одну действительно хорошую миноритарную инвестицию. Удачных покупок было много: eBay приобрёл PayPal, и теперь он стоит дороже родительской компании. YouTube и Android стали суперсущественными частями бизнеса Google, а Instagram и WhatsApp – Facebook. Мы (автор представляет Mail.Ru Group - Forbes) купили ВКонтакте и Delivery Club. Продолжать этот список можно не бесконечно, но довольно долго. А миноритарный пакет оказался счастливым и значимым для инвестора только однажды, и это знаменитая история доли Yahoo в Alibaba. При этом нельзя сказать, что никто не пытался инвестировать – ещё как пытались.
Второй фактор – отсутствие синергии между родительской компанией и бизнесом, в который сделана миноритарная инвестиция. В этом плане ситуация кажется стабильной – вряд ли что-то изменится в худшую или лучшую сторону.
И, наконец, недостаточно сильный талант к seed-инвестированию у руководства компаний, а также отсутствие достаточного времени и фокуса на этот вид деятельности. Значимость этого фактора, вероятно, будет уменьшаться: инструментов оценки становится всё больше, аналитику стартапы делают всё лучше, мировой опыт накапливается, и успех инвестиций с каждым годом всё меньше зависит от искусства и всё больше – от сухого расчёта.
В целом, я бы поставил на то, что в ближайшем будущем ситуация заметно не изменится, и каждый продолжит заниматься своим делом: венчурные фонды – инвестировать, а интернет-гиганты – создавать свои продукты и покупать чужие.
Как мы столкнулись с новым в нашей истории видом мошенничества с вовлечением в него самого крупного и любимого половиной человечества интернет-гиганта — социальной сети Facebook. За неимением возможности связаться с представителями социальной сети, публикуем собственное мнение редакции
Сообщение от Facebook
Итак, на нашу редакционную почту пришло письмо от Facebook, в котором крайне запутано сообщалось нечто про авторские права и верификацию страницы, что якобы мы обязаны подтвердить, что именно мы являемся ее правообладателем. Если мы не сделаем этого в течение 48 часов, страница будет заблокирована навсегда. В письме содержалась ссылка на анкету, которую нужно срочно заполнить. Вот скрин этого письма:
Мы прошли по ссылке на страницу анкеты, и по-началу нас ничего не смутило. Страница была размещена на защищенном домене apps.facebook.com и полностью отвечала нашим представлениям о бренд-стилистике всемирной социальной сети. Смотрите сами:
Кинулись заполнять анкету, но остановились в месте, где требуется указать свой пароль. Если бы у нас был один аккаунт, то, возможно, мы бы и ввели пароль от него, но в форме явно не прослеживалось, о каком именно аккаунте идет речь, что нас и остановило. Facebook часто запрашивает ввод пароля при выполнении операций с аккаунтом, но мы никакую операцию от него «не просили» и заподозрили неладное.
Никакой информации о подобных «письмах счастья» ни в справках социальной сети, ни в поисковой выдаче обнаружить не удалось, и мы вернулись к изучению самого письма. Адрес отправителя тоже не вызвал сомнений, но в поисках хоть какой-то информации мы решили посетить портал facebooksupport.com , с которого было отправлено письмо от адресата [email protected] .
И тут нашему взору открылась чудная картина!
Важное сообщение от владельца домена гласит, что этот домен не имеет никакого отношения к корпорации Facebook. Владелец домена также указывает, что его домен был использован мошенниками для получения данных пользователей Facebook, чтобы в дальнейшем обманным путем увеличивать суммы счетов, которые выставляет пользователям Facebook. Тем, кто уже передал свои данные мошенникам, предлагалось скачать PDF файл и связаться с владельцем домена. Позднее информация на странице была изменена, но мы успели сделать скриншот - такого вы больше нигде не увидите. Что бы было, скачай мы тот PDF файл тоже, к слову, неизвестно.
Кстати, обычно крупные IT компании выкупают все доменные имена, связанные с названием их компании, чтобы избежать подобных мошеннических действий, которые несомненно бьют по репутации компании и законодательство обязывает владельцев зарегистрированных товарных знаков следить за их использованием и нести за это ответственность. Почему этого не сделал Facebook, непонятно, и главное непонятно, как Facebook допустил размещение мошеннической формы отправки данных на своем интернет-ресурсе.
На момент публикации приложение-анкета все еще доступно, а значит мошенники продолжат незаконно собирать и использовать личные данные пользователей.
Что бы было, если бы мы ввели данные
Сами понимаете, мошенники получили бы доступ к нашим страницам, данным привязанных карт и распорядились этой информацией по своему усмотрению от нашего имени.
Как не стать жертвой мошенников: универсальные правила
Подобные письма мошенники могут отправлять с помощью технологии email spoofing, то есть подмены адреса почты, с которой отправляется письмо. Она же часто используется для рассылки спама и фишинговых писем. В России с ней уже познакомились многие клиенты Сбербанка, так как мошенники часто пользуются такими приемами для выманивания данных банковских карт.
Первое и главное - если вы получили любое странное письмо, остановитесь! Не бросайтесь заполнять никакие анкеты, отвечать на смс и пр. Мошенники, задав вам проблему - блокировка аккаунта, карты и пр., рассчитывают именно на вашу мгновенную реакцию. Именно поэтому всегда устанавливают вам сжатые временные рамки для ответных действий. Попробуйте обратиться в поддержку! К слову, при получении письма именно в Facebook нам самим не удалось этого сделать по причине отсутствия у социальной сети понятного интерфейса взаимодействия с пользователями в России. Уже позже, когда стало понятно, что мы столкнулись с мошенниками, мы отправили жалобу на приложение, указав, что приложение ворует данные пользователей. На момент публикации ответа от сети мы не получили.
Второе - проверьте альтернативный канал связи , на который еще могло бы поступить сообщение от адресата. В нашем случае мы смотрели, а не пришло ли уведомление о возможной блокировке страницы внутри самого Facebook. Если вам пришло письмо от банка - звоните в колл-центр.
Третье - еще раз проверьте: откуда пришло сообщение. Если речь об е-мейле, проверьте доменное имя, с которого вам пишут. Не поленитесь вбить это доменное имя в браузер - именно этот шаг вывел нас на мошенников.
Четвертое - внимательно, очень внимательно все читайте: каждую точку, запятую, каждое слово - любая незначительная неточность, опечатка должны наводить на мысль, что-то тут не так, а уж тем более ошибка в имени компании!
И наконец, убедившись, что перед вами мошенники - сообщите в службу поддержки компании , под именем которой они пытаются вымогать данные. Крупные корпорации, если они дорожат репутацией, обязаны мгновенно реагировать на такие обращения.
Желаем вам не становиться жертвой мошенников, и берегите свои кошельки! Ну, а если вы столкнулись с чем-то подобным - обязательно напишите нам, мы сделаем так, чтобы об этом узнали все!
Стремление США к информационной монополии заставляет IT-гигантов искать новые места для хранения информации. Так, компания Google неоднократно заявляла, что спецслужбы периодически запрашивают у нее те или иные данные.
. Одной из главных причин, почему американская компания пошла на столь неожиданный шаг, стала агрессивная политика властей США. Белый дом ни перед чем не останавливается в вопросе информационной монополии. Это беспокоит интернет-пользователей по всему миру и свидетельствует о том, что решение российских властей о переносе информационных центров имеет под собой почву.
Большинство центров обработки информации находится в США. Этот факт вызывает неподдельное беспокойство у корпоративных клиентов компании, проживающих в разных уголках планеты. Обеспокоенность усилилась во сто крат после разоблачений экс-агента ЦРУ , который открыл миру правду об информационной безопасности и настоящей травле IT-гигантов со стороны американских спецслужб.
Компания Google неоднократно заявляла, что спецслужбы периодически запрашивают у нее ту или иную информацию. Иногда отказать властям США, на территории которых расположено большинство дата-центров, она просто не в состоянии. В связи с этим было принято решение о строительстве центра обработки информации в голландском городке Эймсхавен в северной провинции Гронинген.
Место выбрано неслучайно. Во-первых, власти Нидерландов не так сильно зависят от США, как многие другие европейские страны, во-вторых, из-за географического расположения будущего дата-центра, который построят в суровом климате, что станет естественным элементом для необходимого охлаждения оборудования.
Как ранее заявлялось, строительство дата-центра в Эймсхавене займет четыре года и потребует инвестиции в размере 772 миллионов долларов. Дата-центр раскинется на площади в 44 гектара. Его энергопотребление будет вдвое меньшем, чем на стандартных серверах-хранилищах в США, не в последнюю очередь благодаря относительно холодному климату, который позволяет экономить на охлаждении. Помимо Google в Нидерландах свои дата-центры намерены построить Apple и Microsoft. Таким образом, IT-гиганты надеются убедить своих клиентов в независимости от американских властей и сэкономить на оборудовании.
В этой связи решение российских властей о переносе дата-центров на территорию нашей страны кажется не просто оправданным, а экономически выверенным. Кроме того, учитывая отечественный климат, становится очевидно, что для строительства в России дата-центров есть все предпосылки, а также, что более важно, только таким образом можно обеспечить безопасность информации.
