كيف يقوم محترفو الأمن بحماية المعلومات الشخصية

2024 مؤلف: Malcolm Clapton | [email protected]. آخر تعديل: 2023-12-17 03:46

هل يعقل التخلي عن تطبيقات Wi-Fi العامة والتطبيقات المصرفية والحصول على بطاقة منفصلة لعمليات الشراء عبر الإنترنت - رأي متخصص في أمن المعلومات.

نصف زملائي في أمن المعلومات مصابون بجنون العظمة. حتى عام 2012 كنت على هذا النحو - تم تشفيري بالكامل. ثم أدركت أن مثل هذا الدفاع الباهت يتعارض مع العمل والحياة.

في عملية "الخروج" ، طورت مثل هذه العادات التي تسمح لك بالنوم بسلام وفي نفس الوقت لا تبني جدارًا صينيًا حولها. أقول لك ما هي قواعد السلامة التي أعالجها الآن دون تعصب ، والتي أخرقها من حين لآخر ، والتي أتبعها بكل جدية.

جنون العظمة المفرط

لا تستخدم شبكة Wi-Fi عامة

أنا استخدم وليس لدي مخاوف في هذا الصدد. نعم ، هناك تهديدات عند استخدام الشبكات العامة المجانية. ولكن يتم تقليل المخاطر إلى الحد الأدنى باتباع قواعد السلامة البسيطة.

1. تأكد من أن نقطة الاتصال تنتمي إلى المقهى وليس للمتسلل. تطلب النقطة القانونية رقم هاتف وترسل رسالة نصية قصيرة للدخول.
2. استخدم اتصال VPN للوصول إلى الشبكة.
3. لا تدخل اسم المستخدم / كلمة المرور في المواقع التي لم يتم التحقق منها.

في الآونة الأخيرة ، بدأ متصفح Google Chrome في تمييز الصفحات ذات الاتصالات غير الآمنة على أنها غير آمنة. لسوء الحظ ، تبنت مواقع التصيد مؤخرًا ممارسة الحصول على شهادة لتقليد المواقع الحقيقية.

لذا ، إذا كنت تريد تسجيل الدخول إلى بعض الخدمات باستخدام شبكة Wi-Fi عامة ، فإنني أنصحك بالتأكد من أن الموقع أصلي مئات المرات. كقاعدة عامة ، يكفي تشغيل عنوانه من خلال خدمة whois ، على سبيل المثال Reg.ru. يجب أن ينبهك تاريخ تسجيل النطاق الأخير - مواقع التصيد لا تدوم طويلاً.

لا تسجل الدخول إلى حساباتك من أجهزة الآخرين

أدخل ، لكنني قمت بإعداد مصادقة من خطوتين للشبكات الاجتماعية ، والبريد ، والحسابات الشخصية ، وموقع خدمة الدولة. هذه أيضًا طريقة حماية غير كاملة ، لذلك بدأت Google ، على سبيل المثال ، في استخدام الرموز المميزة للأجهزة للتحقق من هوية المستخدم. ولكن في الوقت الحالي ، بالنسبة إلى "مجرد بشر" ، يكفي أن يطلب حسابك رمزًا من SMS أو من Google Authentificator (في هذا التطبيق ، يتم إنشاء رمز جديد كل دقيقة على الجهاز نفسه).

ومع ذلك ، فأنا أعترف بعنصر صغير من جنون العظمة: فأنا أتحقق بانتظام من سجل التصفح الخاص بي في حالة دخول شخص آخر إلى بريدي. وبالطبع ، إذا قمت بتسجيل الدخول إلى حساباتي من أجهزة الآخرين ، في نهاية العمل ، لا أنسى النقر فوق "إنهاء جميع الجلسات".

لا تقم بتثبيت التطبيقات المصرفية

يعد استخدام تطبيق الخدمات المصرفية عبر الهاتف المحمول أكثر أمانًا من استخدام الخدمات المصرفية عبر الإنترنت في إصدار سطح المكتب. حتى لو تم تصميمه بشكل مثالي من وجهة نظر أمنية ، يبقى السؤال مع نقاط الضعف في المتصفح نفسه (وهناك الكثير منها) ، بالإضافة إلى نقاط الضعف في نظام التشغيل. يمكن حقن البرامج الضارة التي تسرق البيانات مباشرة فيها. لذلك ، حتى لو كانت الخدمات المصرفية عبر الإنترنت آمنة تمامًا ، تظل هذه المخاطر أكثر من كونها حقيقية.

أما التطبيق المصرفي ، فإن أمنه على ضمير البنك بالكامل. يخضع كل منهم لتحليل شامل لأمن الكود ، وغالبًا ما يشارك خبراء بارزون خارجيون. يمكن للبنك حظر الوصول إلى التطبيق إذا قمت بتغيير بطاقة SIM أو حتى نقلها ببساطة إلى فتحة أخرى على هاتفك الذكي.

لا تبدأ بعض التطبيقات الأكثر أمانًا حتى يتم تلبية متطلبات الأمان ، على سبيل المثال ، الهاتف ليس محميًا بكلمة مرور. لذلك ، إذا كنت ، مثلي ، غير مستعد للتخلي عن المدفوعات عبر الإنترنت من حيث المبدأ ، فمن الأفضل استخدام تطبيق بدلاً من الخدمات المصرفية عبر الإنترنت لسطح المكتب.

بالطبع ، هذا لا يعني أن التطبيقات آمنة بنسبة 100٪. حتى أفضلها تظهر نقاط ضعف ، لذا فإن التحديثات المنتظمة ضرورية.إذا كنت تعتقد أن هذا لا يكفي ، فاقرأ المنشورات المتخصصة (Xaker.ru ، Anti-malware.ru ، Securitylab.ru): سوف يكتبون هناك إذا لم يكن البنك الذي تتعامل معه آمنًا بدرجة كافية.

استخدم بطاقة منفصلة لعمليات الشراء عبر الإنترنت

أنا شخصياً أعتقد أن هذه مشكلة لا داعي لها. كان لدي حساب منفصل ، لذلك ، إذا لزم الأمر ، قم بتحويل الأموال منه إلى البطاقة ودفع ثمن المشتريات على الإنترنت. لكنني رفضت هذا أيضًا - إنه يضر بالراحة.

من الأسرع والأرخص الحصول على بطاقة مصرفية افتراضية. عند إجراء عمليات شراء عبر الإنترنت باستخدامها ، لا تضيء بيانات البطاقة الرئيسية على الإنترنت. إذا كنت تعتقد أن هذا لا يكفي للثقة الكاملة ، فاحصل على تأمين. يتم تقديم هذه الخدمة من قبل البنوك الرائدة. في المتوسط ، بتكلفة 1000 روبل في السنة ، سيغطي تأمين البطاقة الأضرار البالغة 100000 روبل.

لا تستخدم الأجهزة الذكية

إن إنترنت الأشياء ضخم ، وهناك تهديدات أكثر من تلك التقليدية. الأجهزة الذكية مليئة حقًا بفرص هائلة للقرصنة.

في المملكة المتحدة ، اخترق المتسللون شبكة كازينو محلية باستخدام بيانات عملاء VIP من خلال منظم حرارة ذكي! إذا تبين أن الكازينو غير آمن إلى هذا الحد ، فماذا تقول عن شخص عادي. لكني أستخدم الأجهزة الذكية ولا أضع الكاميرات عليها. إذا كان التلفزيون ودمج معلومات عني - فليذهب إلى الجحيم. سيكون بالتأكيد شيئًا غير ضار ، لأنني أقوم بتخزين كل شيء مهم على قرص مشفر واحتفظ به على الرف - دون الوصول إلى الإنترنت.

قم بإيقاف تشغيل هاتفك في الخارج في حالة التنصت على المكالمات الهاتفية

في الخارج ، نستخدم غالبًا برامج المراسلة التي تقوم بتشفير الرسائل النصية والصوتية تمامًا. إذا تم اعتراض حركة المرور ، فسوف تحتوي فقط على "فوضى" غير قابلة للقراءة.

يستخدم مشغلو الهواتف المحمولة التشفير أيضًا ، ولكن المشكلة هي أنه يمكنهم إيقاف تشغيله دون علم المشترك. على سبيل المثال ، بناءً على طلب الخدمات الخاصة: كان هذا هو الحال أثناء الهجوم الإرهابي على دوبروفكا حتى تتمكن الأجهزة الخاصة من الاستماع بسرعة إلى مفاوضات الإرهابيين.

بالإضافة إلى ذلك ، يتم اعتراض المفاوضات من قبل المجمعات الخاصة. سعرها يبدأ من 10 آلاف دولار. إنها غير معروضة للبيع ، لكنها متاحة للخدمات الخاصة. لذلك إذا كانت المهمة هي الاستماع إليك ، فسوف يستمعون إليك. هل انت خائف؟ ثم قم بإيقاف تشغيل هاتفك في كل مكان ، وفي روسيا أيضًا.

انها نوع من المنطقي

قم بتغيير كلمة المرور كل أسبوع

في الواقع ، مرة واحدة في الشهر كافية ، بشرط أن تكون كلمات المرور طويلة ومعقدة ومنفصلة لكل خدمة. من الأفضل مراعاة نصيحة البنوك لأنها تقوم بتغيير متطلبات كلمة المرور مع نمو قوة الحوسبة. الآن يتم فرز خوارزمية تشفير ضعيفة بالقوة الغاشمة في غضون شهر ، ومن هنا تأتي الحاجة إلى تكرار تغييرات كلمة المرور.

ومع ذلك ، سأقوم بالحجز. ومن المفارقات ، أن شرط تغيير كلمات المرور مرة واحدة في الشهر يحتوي على تهديد: فقد تم تصميم العقل البشري بطريقة تجعله ، إذا كان من الضروري وضع رموز جديدة في الاعتبار باستمرار ، يبدأ في الخروج. كما اكتشف خبراء الإنترنت ، تصبح كل كلمة مرور مستخدم جديدة في هذه الحالة أضعف من السابقة.

الحل هو استخدام كلمات مرور معقدة ، وتغييرها مرة واحدة في الشهر ، ولكن استخدام تطبيق خاص للتخزين. ويجب حماية مدخله بعناية: في حالتي ، إنه تشفير مكون من 18 حرفًا. نعم ، التطبيقات لها خطيئة احتواء نقاط الضعف (انظر الفقرة حول التطبيقات أدناه). عليك اختيار الأفضل ومتابعة الأخبار حول موثوقيتها. لا أرى طريقة أكثر أمانًا للاحتفاظ بالعشرات من كلمات المرور القوية في رأسي حتى الآن.

لا تستخدم الخدمات السحابية

أظهرت قصة فهرسة مستندات Google في بحث Yandex مقدار خطأ المستخدمين بشأن موثوقية هذه الطريقة في تخزين المعلومات. أنا شخصياً أستخدم خوادم الشركة السحابية للمشاركة لأنني أعرف مدى أمانها. هذا لا يعني أن السحب العامة المجانية شر مطلق. قبل تحميل مستند إلى Google Drive مباشرة ، واجه مشكلة في تشفيره ووضع كلمة مرور للوصول إليه.

التدابير اللازمة

لا تترك رقم هاتفك لأي شخص وفي أي مكان

لكن هذا ليس إجراء احترازيًا إضافيًا على الإطلاق. من خلال معرفة رقم الهاتف والاسم الكامل ، يمكن للمهاجم عمل نسخة من بطاقة SIM مقابل حوالي 10 آلاف روبل. في الآونة الأخيرة ، يمكن الحصول على هذه الخدمة ليس فقط على الشبكة المظلمة. أو حتى أسهل - إعادة تسجيل رقم هاتف شخص آخر لنفسك باستخدام توكيل رسمي مزيف في مكتب مشغل اتصالات. ثم يمكن استخدام الرقم للوصول إلى أي خدمات للضحية حيث يلزم المصادقة ذات العاملين.

هذه هي الطريقة التي يسرق بها مجرمو الإنترنت حسابات Instagram و Facebook (على سبيل المثال ، لإرسال رسائل غير مرغوب فيها منهم أو استخدامها في الهندسة الاجتماعية) ، والوصول إلى التطبيقات المصرفية ، وتنظيف الحسابات. في الآونة الأخيرة ، أخبرت وسائل الإعلام كيف تمت سرقة 26 مليون روبل في يوم واحد من رجل أعمال في موسكو باستخدام هذا المخطط.

كن حذرًا إذا توقفت بطاقة SIM عن العمل دون سبب واضح. من الأفضل أن تلعبها بأمان وتحظر بطاقتك المصرفية ، سيكون هذا جنون العظمة المبرر. بعد ذلك ، اتصل بمكتب المشغل لمعرفة ما حدث.

لدي بطاقتي SIM. الخدمات والتطبيقات المصرفية مرتبطة برقم واحد لا أشاركه مع أحد. أستخدم بطاقة SIM أخرى للاتصال والاحتياجات المنزلية. أترك رقم الهاتف هذا للتسجيل في ندوة عبر الإنترنت أو الحصول على بطاقة خصم في المتجر. كلتا البطاقتين محمية برقم PIN - وهذا إجراء أمني بدائي ولكن تم التغاضي عنه.

لا تقم بتنزيل كل شيء على هاتفك

قاعدة حديدية. من المستحيل أن تعرف على وجه اليقين كيف سيستخدم مطور التطبيق بيانات المستخدم ويحميها. ولكن عندما يُعرف كيف يستخدمها مبتكرو التطبيقات ، غالبًا ما يتحول الأمر إلى فضيحة.

تشمل الحالات الأخيرة قصة Polar Flow ، حيث يمكنك معرفة مكان وجود ضباط المخابرات في جميع أنحاء العالم. أو مثال سابق مع Unroll.me ، والذي كان من المفترض أن يحمي المستخدمين من اشتراكات البريد العشوائي ، ولكنه في نفس الوقت باع البيانات المستلمة إلى الجانب.

غالبًا ما تريد التطبيقات معرفة الكثير. مثال الكتاب المدرسي هو تطبيق Flashlight ، الذي يحتاج فقط إلى مصباح كهربائي للعمل ، لكنه يريد معرفة كل شيء عن المستخدم ، وصولاً إلى قائمة جهات الاتصال ، ومشاهدة معرض الصور ومكان وجود المستخدم.

يطالب آخرون بالمزيد. يرسل UC Browser IMEI ومعرف Android وعنوان MAC للجهاز وبعض بيانات المستخدم الأخرى إلى خادم Umeng ، الذي يجمع المعلومات لسوق Alibaba. أنا ، مثل زملائي ، أفضل رفض مثل هذا الطلب.

حتى الأشخاص المحترفون المصابون بجنون العظمة يخاطرون ، لكنهم واعون. لكي لا تخاف من كل ظل ، حدد ما هو عام وما هو خاص في حياتك. قم ببناء جدران حول المعلومات الشخصية ، ولا تقع في التعصب بشأن سلامة المعلومات العامة. ثم ، إذا وجدت هذه المعلومات العامة ذات يوم في المجال العام ، فلن تتأذى بشكل مؤلم.