ОБЩЕСТВО
16 февраля 2024, 00:01
Ты мне больше не «подружка»: названы самые популярные пароли 2023 года
Зачем злоумышленники собирают о пользователях данные, которые кажутся безобидными
Наталья Ильина
МОШЕННИЧЕСТВО
КИБЕРПРЕСТУПНОСТЬ
КИБЕРБЕЗОПАСНОСТЬ
ИНТЕРНЕТ
В топ самых популярных паролей в России в 2023-м вошли «123456», «1000000» и «12345zz», а также «йцукен», «подружка» и «пароль». Об этом говорится в исследовании DLBI. Комбинации остаются простыми из года в год. Хотя организации, которые хранят чувствительные сведения, требуют устанавливать сложные сочетания символов и двухфакторную аутентификацию, доступ к менее значимым сайтам злоумышленники всё еще могут получить за минуту. Информацию о людях используют социальные инженеры, а также ее применяют для создания дипфейков, предупредили эксперты.
Какие пароли чаще всего используют россияне
И в мире, и в России самыми популярными паролями в 2023 году стали «123456», «123456789» и «1000000». Если первые два также занимали лидирующие позиции в предыдущий год, то последний попал в рейтинг впервые. В топ-10 входят не только вариации из последовательных цифр, но и сочетания «123123qwe», qwerty и «Qwerty123». Раньше все три в список не попадали. В России рейтинг также пополнился сочетанием «12345zz».
Такие выводы содержатся в исследовании сервиса разведки утечек данных и мониторинга даркнета DLBI (есть у «Известий»). Эксперты проанализировали 200 млн учетных записей (пар электронная почта и пароль), попавших в открытый доступ из-за сливов информации в прошлом году. Из них лишь 44 млн оказались уникальными, то есть одна и та же пара логин/пароль присутствует в среднем в пяти разных утечках.
Самыми распространенными кириллическими комбинациями символов в 2023 году оказались «йцукен», «подружка», «пароль», «12345Е», «ЙЦУКЕН123». Причем «подружка» до этого в рейтинге не фигурировала. В топ-10 также вошли «привет», «123йцу», «марина», «йцукен12345» и «йцукенгшщз».
— Пользователи не просто выбирают простейшие пароли, но применяют одни и те же сочетания для различных сервисов. Это создает угрозу взлома с помощью повторного их использования (password reuse), — предупредил основатель DLBI Ашот Оганесян.
в России зафиксирован всплеск фишинговых сайтов
За месяц мошенники создали почти 5 тыс. поддельных страниц магазинов и агрегаторов
Проблема в том, что пользователи зачастую не разделяют ресурсы на «важные» и «не очень», отметил генеральный директор SafeTech Lab Александр Санин. Люди, как правило, используют два-три стандартных пароля для всех своих сервисов. После взлома одного доступ открывается сразу к нескольким, пояснил эксперт. Таким образом, под угрозой могут оказаться даже корпоративные аккаунты.
Как компании защищают пароли пользователей
— Почти все методики подбора основаны на так называемых словарях — базах похищенных паролей. Тогда злоумышленнику не нужно перебирать все возможные комбинации символов. Во время атаки применяются словари размером более 100 гигабайт, а также используются графические процессоры, позволяющие ускорить этот процесс, — предупредил начальник управления информационной безопасности Ренессанс Банка Дмитрий Стуров.
Быстрое развитие технологий, в том числе квантовых, позволяет за минуту взламывать пароли меньше 10 символов, состоящие только из строчных букв, а сочетания из цифр — еще быстрее, уточнили в МТС-банке. Сложные комбинации символов также более устойчивы, если произошла утечка сведений с ресурса, — их труднее и дольше дешифровать, добавил руководитель аналитического центра компании Zecurion Владимир Ульянов.
Впрочем, крупные компании, которые работают с чувствительными данными пользователей, обычно предъявляют высокие требования к паролям. Устанавливать сложные сочетания символов требуют в ВТБ, Росбанке, Газпромбанке, «Зените», «Абсолюте», крымском РНКБ, а также в «Мегафоне», сообщили «Известиям» в пресс-службах этих организаций.
В частности, в пароле необходимо использовать хотя бы одну заглавную букву, одну строчную, одну цифру и один спецсимвол, уточнили в ВТБ. Сочетание требуется регулярно менять, добавили в РНКБ. Причем важно, чтобы новый пароль не повторял предшествующие.
Кроме того, крупнейшие финансовые организации применяют двухфакторную аутентификацию — еще и с помощью кода из СМС. В пресс-службе «Вконтакте» заявили, что также рекомендуют всем пользователям использовать второй фактор, а еще — в соцсети есть возможность применять беспарольный метод авторизации через OnePass.
Сейчас обязательное подтверждение вторым фактором также есть на «Госуслугах». «Известия» направили запрос в Минцифры о требованиях к паролям.
Чем опасна утечка даже нечувствительных данных
Тем не менее даже если хакеры получат доступ к менее чувствительной информации (не финансовой и не паспортным данным), это несет негативные последствия, констатировал Александр Санин из SafeTech Lab.
— Применение простых паролей на «неважных» сервисах чревато тем, что злоумышленники могут собрать множество информации о пользователе с разных «неважных» сервисов (адрес почты с одного сервиса, дату рождения с другого, адрес регистрации с третьего) и объединить в одну базу. И уже эта совокупность информации может быть использована во вред, — пояснил он.
Сведения о человеке могут использоваться для атак на него. В последнее время мошенники стали персонифицировать подход к каждой жертве, говорил в интервью «Известиям» зампред ЦБ Герман Зубарев. Злоумышленники стали предварительно изучать людей: их профиль в соцсетях, круг друзей, место работы, материальное положение. Они также оценивают, на какую сумму человеку могут выдать кредит.
Сбор и накопление данных о гражданах — тренд последних месяцев, заявлял и зампред правления ВТБ Вадим Кулик на Уральском форуме ЦБ по кибербезопасности. По его словам, злоумышленники перестали монетизировать украденные сведения в моменте. Усиление киберразведки заметно, но при этом пока неизвестно, по каким сценариям эта информация будет применяться против граждан.
Вадим Кулик также рассказал, что зафиксированы первые случаи, когда мошенники применяли записи голоса, чтобы подменить биометрию клиентов, сгенерировав разговор от их лица. Также преступники используют дипфейки. Они создают образ человека по открытым фото и видео в Сети, затем «подтверждают личность» на видеоконсультации с банком и получают доступ к средствам клиента.
На базе фотографий с помощью искусственного интеллекта действительно можно сделать реалистичное видео, подтвердил Александр Санин. При помощи этой комбинации злоумышленники пытаются обмануть те или иные сервисы, выдавая себя за пользователя
Темный сегмент: главные тренды киберпреступности в даркнете на 2024 год
Злоумышленники будут активнее пускать в ход криптодрейнеры и загрузчики вирусов
Молодежное сообщество ВЫЗОВ вместе с Владом Шевцовым, физиком, преподавателем, автором блога «Влад Физмат», резидентом продюсерского центра Инсайт Люди посетило компанию «Киберпротект» в рамках научно-популярного проекта «Креативная лаборатория».
Молодые ученые-участники создадут контент в разных форматах, адаптированных под 5 национальных социальных сетей. После того, как обученная команда смонтирует и обработает материалы, готовые видео распространят в соцсетях Сообщества и обеспечат их продвижение. По предварительным прогнозам, каждый видеоматериал (информационный сюжет, интервью и другие) наберет больше 100 тыс. просмотров.
«В современном мире очень важны такие проекты, как «Креативная лаборатория». Благодаря им широкая аудитория, особенно молодежь, узнает о достижениях отечественной промышленности. Участники Сообщества активно используют социальные сети, которые помогают привлечь внимание молодого поколения, и доказывают престижность российских инновационных компаний», — поделилась Елена Бочерова, исполнительный директор компании «Киберпротект».
В ходе посещения «Киберпротекта» участникам рассказали, как компания начинала свой путь, о влиянии локдауна и санкций, а также объяснили необходимость работы на 100% российском программном обеспечении. Елена Бочерова отметила важность развития экосистемы российского ПО. «Наша главная задача — защищать данные и ИТ-инфраструктуру российских компаний. Мир находится под постоянным гнетом кибератак, некоторые из которых, к сожалению, достигают своих целей, поэтому сегодня крайне важно разрабатывать собственные продукты для резервного копирования, надежной киберзащиты, быстрого восстановления данных и гарантии отказоустойчивости информационных систем», — подытожила эксперт.
«Киберпротект» входит в число самых инновационных предприятий России и является Национальным чемпионом в сфере IT-разработок. Компания стала призером Международной премии #МЫВМЕСТЕ в номинации «Ответственный бизнес», лауреатом Национальной премии «Приоритет-2022» и получила множество наград за свои проекты. Ее продукты входят в Единый реестр российских программ для электронных вычислительных машин и баз данных Минцифры России, сертифицированы ФСТЭК и используются как в частных, так и в государственных учреждениях, а также в критической инфраструктуре.
«В условиях современного общества кибербезопасность особенно важна. Защита информации — ключевая задача не только частных лиц, но и предприятий, целой страны. Без должной безопасности риски может понести каждый, поэтому нужны мощные и суперсовременные решения для защиты данных. Компания отлично проявила себя и доказала, что является инновационной и важной для информационной безопасности нашей страны», — поделился Влад Шевцов.
Молодежное сообщество ВЫЗОВ объединяет молодых людей со всей России, которые интересуются наукой и культурой. Основная цель движения заключается в продвижении отечественных достижений через медиапространство при помощи активной молодежи. Важной задачей Сообщества является формирование общественного мнения о необходимости развития науки, инноваций и культуры в молодежной среде. ВЫЗОВ открыт для всех желающих в возрасте от 18 до 35 лет, независимо от места проживания. Для того, чтобы стать участником Сообщества, необходимо подать заявку на официальном сайте:https://vyzov23.ru/resident. После этого претенденты пройдут конкурсный отбор, по результатам которого смогут присоединиться к команде.
Чайник, фотографирующий ваши перемещения по комнате, смартфон, передающий данные о привычках владельца неизвестно куда, компьютер, внезапно оживший и научившийся делать print screen вашего экрана. Это не фобии обезумевших параноиков, а современная реальность. Небольшие махинации - и ваши гаджеты превращаются в настоящих шпионов, которыми, как марионетками, за ниточки управляют спецслужбы, коварные мошенники и хитрые маркетологи. Что делать, если вы внезапно почувствовали за собой «компьютерную слежку»?
Олеся_Емельянова
Александр_Божьев
