Тимур Турлов: «Только логин и пароль — недостаточно безопасно»

В эпоху цифровизации и распространения дистанционных услуг инвесторы постоянно сталкиваются с киберугрозами, которые чреваты потерей личных данных и, как следствие, активов. При этом большую роль в защите своих средств от мошенников играют сами граждане, которые зачастую уделяют этому вопросу недостаточное внимание.

Советы, как обезопасить свои деньги, в очередном выпуске Freedom Talk дали главный директор по технологиям Freedom Holding Corp. Ренат Туканов и основной владелец компании Тимур Турлов.

Глобальный ущерб от деятельности кибермошенников ежегодно составляет несколько триллионов долларов, отметил Ренат Туканов, что чувствительно даже для таких крупнейших экономик, как США и Китай с $27 и $18 трлн ВВП соответственно. При этом, сказал он, атаки на инфраструктуру корпораций, которые предоставляют программное обеспечение или хранят большие объемы данных, — занятие чрезвычайно затратное с точки зрения и человеческих, и материальных ресурсов.

Поэтому основным объектом для злоумышленников становятся люди, которые, увы, сами сообщают информацию, которая позволяет похищать у них деньги.

Никому не сообщайте код

По словам Рената Туканова, банки и другие операторы постоянно предупреждают в СМС о том, что никому нельзя сообщать код, но люди все равно это делают. Это прежде всего психологический фактор, поскольку мошенники хорошо организованы и обладают своего рода «талантом» по выманиванию данных из наивных людей.

Да, поддержал Тимур Турлов, в основном приходится иметь дело с воздействием социальной инженерии, когда люди совершенно добровольно отдают все ключи.

«Они сами сделали этот перевод, нажали кнопку, прошли биометрию, подтвердили это распоряжение. Иногда даже приезжают в кассу банка, снимают деньги физически и отдают их третьим лицам», — подчеркнул Турлов.

Поэтому, призвали оба спикера, нельзя никому и никогда сообщать коды (банки, госорганы и т. д. никогда не просят это сделать по телефону), которые приходят для подтверждения какой-либо операции. Ко всему прочему нарушение этого правила ведет к тому, что правоохранительным органам трудно расследовать такие дела, поскольку со стороны все выглядит легитимно.

Понятное дело, подчеркнул Ренат Туканов, что мошенники воздействуют на жертву, вводя ее в стрессовое состояние, торопят, но не нужно поддаваться первому порыву. Тем более что кредитные организации тоже видят подозрительные операции и пытаются предотвратить их совершение.

Характерный пример: банк усомнился в том, что транзакция осуществляется не под воздействием, когда женщина настаивала на переводе большой суммы «родственнику» в другую страну. Она подтвердила сотрудникам, что все правильно, но через два дня пожалела, заявила, что человека, которому отправила деньги, не знает.

«Потом такие люди говорят, почему вы не заблокировали перевод, не запретили транзакцию? Они очень хотят, чтобы банки защищали их от самих себя, и те пытаются это сделать. Но что можно предпринять, когда человек настаивает на том, что все правильно?» — сказал Тимур Турлов.

Совет Тимура — даже если вас просит перевести деньги ваш знакомый или родственник, нужно перезвонить ему на тот телефонный номер, который всегда используете. Конечно, и тут можно нарваться на дипфейк, но пока эта технология слишком дорогая для массового применения.

Проверяйте ссылки, на которые переходите!

Для получения данных мошенники часто используют фишинг, когда присылают ссылку, например, на часто используемый ресурс. Кроме того, аферисты научились красть не только логины и пароли, но и сессии в компьютере. Всем известно, что за счет cookies сохраняются истории захода на сайты, поэтому не нужно снова вводить пароль.

Например, приходит ссылка на открытие нового почтового аккаунта и выглядит как настоящая, человек кликает по ней. Жертва проходит все этапы аутентификации, попадает в свой ящик, но он уже находится внутри сайта злоумышленников. Таким образом они и крадут сессию. Поэтому очень важно не механически переходить по ссылке, а обязательно проверять адресную строку. Если она не соответствует реальной, то просто нужно ее закрыть.

«Это базовое правило, — подчеркнул Ренат Туканов. — Обязательно посмотрите на то, с какого браузера пришла ссылка. Там либо должно быть написано account.google.com или microsoft.login.microsoft.com. Если сомневаетесь, просто загуглите».

Правильно создавайте и храните пароли

«Люди придумывают ужасно плохие пароли, в подавляющем большинстве случаев их даже воровать особо не надо», — констатировал Тимур Турлов.

Так, если человек использует, скажем, даты рождения, то подобрать их можно достаточно быстро. Более того, часто они применяют один и тот же пароль для входа на различные сервисы. Поэтому если взломают один, то получат доступ и к другим. Нужно создавать уникальные сложные комбинации для каждого сервиса, используя его подсказки. И хранить пароли можно, например, в телефоне, хотя немногие об этом знают, или в специальных защищенных приложениях.

Еще один важный совет — надежно защитите свой телефон, который, как известно, является хранителем всех ваших данных и куда важнее, чем физический кошелек. Так, Тимур Турлов советует устанавливать не цифровой пароль, который взломать совершенно легко за 15 секунд. Например, на iOS вместо шести цифр можно установить сложный пароль, который трудно подобрать. На это может уйти, возможно, и 15 лет, подчеркнул Турлов.

Используйте двухфакторную аутентификацию

Двухфакторная аутентификация — золотой стандарт безопасности. Даже если злоумышленник получит пароль, без второго фактора (СМС-кода, приложения-аутентификатора или аппаратного ключк) доступ к аккаунту будет заблокирован.

Поэтому, рекомендует Тимур Турлов, нужно обязательно использовать второй фактор, что сильно затруднит деятельность мошенников.

«Когда есть только логин и пароль — это уже недостаточно безопасно, чтобы доверять хоть какие-то значимые данные сервисам, которые не имеют обязательной двухфакторной аутентификации», — сказал Турлов.

Кибербезопасность — не разовая задача, а непрерывный процесс, подытожили участники подкаста.

«Прогресс остановить нельзя, но можно найти баланс между удобством и защитой», — отметил Ренат Туканов.

Инвестируйте время в обучение, используйте технологические инструменты и оставайтесь бдительными — это лучшая страховка от цифровых угроз.