Всем привет! Ранее мы уже рассказали о том, как Большой Брат следит за тобой, с помощью каких сервисов можно проверить свою анонимность, об опасностях выездных поездок и способах защититься на конфах, а также немного коснулись темы эксплойтов. Сегодня же речь пойдет о столь странно звучащем явлении, как офлайн-взломы.
Сразу оговоримся, что, разумеется, мы расскажем не только о том, как вас могут взломать непосредственно без интернета, но и о том, как злоумышленники могут облегчить себе онлайн-взломы с помощью офлайн-взломов. В общем, статья будет обо всем, что требует вашего внимания даже тогда, когда вы не в сети. Итак, погнали!
Плечевой серфинг
Это, пожалуй, один из наиболее доступных и наименее опасных для злоумышленника способов получения не предназначенной для него информации. Почему? Да потому что законодательством не предусмотрено какой-либо ответственности за подглядывание в чужой экран из-за спины. Вы, конечно, всегда сможете дать такому «хацкеру» по его наглому лицу. Вот только в данном случае отвечать перед законом придется скорее вам, нежели ему. С тем, почему это безопасно для «редиски», разобрались.
Но чем это опасно для нас? Ну подглядел кто-то что-то и подглядел — подумаешь? В принципе при соблюдении всех мер предосторожности — да. Но давайте будем честны: даже базовые меры безопасности для большинства нормальных людей выглядят как ритуалы параноиков (отсюда, кстати, и название рубрики). Ну не заносят «нормальные» люди (в большинстве своем) все рабочие чаты в отдельный закрытый мессенджер, не дожидаются прихода домой, чтобы посмотреть баланс в интернет-банкинге и не меняют графический рисунок блокировки экрана каждый раз после того, как сканер отпечатка пальца не сработал из-за дождика.
А зная тот же графический рисунок, можно заразить ваше устройство настолько глубоко (причем дистанционно), что даже опытному спецу по кибербезу будет проще посоветовать вам купить новый гаджет, чем убедиться, что все зловреды удалены. «Случайно» подсмотренные цифры на вашем балансе — это +100500 к вероятности стать объектом интереса для «кибергопников». Обычных, кстати, тоже никто не отменял. И да, конечно, это непрямая угроза. Но это угроза — и этим пользуются, уж поверьте. Причем массово! Так что, если вам кажется, что кто-то смотрит ваши переписки — вам не кажется. И смотрит он не только переписки.
Плечевой серфинг 2.0
Это уже более продвинутая версия того, что описано выше — подглядывание из-за плеча с помощью камеры. Вот сидит кто-то в другом конце кафе, залипает в свой телефон. И вы даже не подозреваете, что навороченная камера этого телефона нужна не для селфи, а чтобы видеть за 20 метров, что происходит на вашем экране. А ведь такое можно проворачивать еще и через взломанные камеры наблюдения. Спойлер — их безопасность откровенно никакущая.
Защититься от этого можно, используя специальные накладки на экран, преломляющие исходящий от него свет так, что разглядеть что-либо можно лишь под прямым углом. Но даже это не даст 100% защиты — ведь взломанная камера может быть прямо над вами. Поэтому все конфиденциальное советуем вообще не смотреть в публичных местах — только дома. А лучше в бункере :)
Проводки, флешки и прочие удобные гаджеты
Вы наверняка видели шпионские фильмы, где очередной «суперхацкер» вставляет магическую флешку и «все само взламывается». И конечно же, вы уверены, что в жизни такое невозможно. А если и возможно — только на уровне тех, кто «взламывает Пентагон». Но… нет — сегодня это доступно любому школьнику, у которого есть ровные руки и 15–20 баксов на одноплатный мини-ПК.
Вы должны понимать, что любому проводному устройству, подключенному к вашему гаджету, будь то чужая зарядка, внешний жесткий диск, USB-лампа — да что угодно, будет гораздо проще взломать вас, чем «хакеру-удаленщику». Причем вы об этом даже не узнаете. Вот купили вы стильную светящуюся мышку где-то на «Авито», воткнули ее себе в ПК — и на несколько лет ваш ПК стал «коллективной собственностью», а не частной.
Вот такая страшилка. И да — это происходит. Массово!
Как от такого защититься? Покупать только оригинальные комплектующие и не подключать свои гаджеты физически к чему бы то ни было. Причем не только через USB — через другие интерфейсы также возможен взлом. А вот разборка устройства, увы, вряд ли поможет. Во-первых, далеко не факт, что в нем что-то будет. Во-вторых, если что-то будет, оно может быть замаскировано под «так и должно быть» либо залито компаундом.
Находки и подарки
Это чуть более изощренное продолжение описанного выше. Если вы внезапно нашли какой-то гаджет, или флешку, или даже CD — ни в коем случае не вставляйте это в рабочую машину. Для изучения подобного должен быть отдельный, изолированный от интернета ПК.
Сюда же мы относим подарки от друзей и коллег. И даже подарки от тайного Санты! Да-да, любые подарки, сделанные сюрпризом от неизвестного дарителя, это киберзапрет! Причем даже если кто-то из ваших знакомых сказал, что подарок от него — он все равно должен восприниматься как подарок от злоумышленника. Зачем так упарываться? Потому что люди говорят разное. Кто-то мог что-то не так понять или даже реально отправить вам подарок, но по пути этот презент мог быть заменен на гаджет-взломщик.
Поэтому еще раз повторим: ни при каких обстоятельствах не используйте гаджеты, полученные сюрпризом. Особенно если вы работаете в компании или команде, у которой «есть что красть».
Радиоволны
Wi-Fi, Bluetooth, NFC — все это радиоволны. И все это — интерфейсы. На самом деле ими опасно даже пользоваться по прямому назначению дома — ведь никогда не знаешь, кто твой сосед или прохожий на улице. Но, разумеется, здесь безопасностью жертвуют в угоду удобству — это обоснованный риск.
А вот оставлять их включенными, когда они не нужны — это уже необоснованный риск. Тот же Wi-Fi передает в эфир столько информации о вашем гаджете, что при наличии даже поверхностных компетенций в «теме», можно воспроизвести чуть ли не весь ваш день посекундно.
Уязвимость Bluetooth — это вообще отдельный мир. Все дело в том, что их достаточно редко фиксят. Многими из них злоумышленники пользуются годами — и даже сами производители гаджетов не знают о «дырах». Либо знают, но молчат из коммерческих соображений.
Вот вы, например, знали, что практически любым iPhone можно удаленно управлять, если его владелец использует AirPods? Нет? Теперь знаете. Конечно, когда подобная инфа становится публичной, производители все же залатывают дыру. Но сколько дыр остается незамеченными…
Реальный социальный инженеринг
Ну и вишенка на тортике — Его Величество Социальный инженеринг (офлайн). Основная причина, почему это работало, работает и будет работать — нежелание людей вникать в тему. И это понятно — ну не может человек быть профессионалом и в том, и в этом, и еще «уметь в кибербез + психологию» до кучи. Гораздо проще загуглить «ТОП способов социальной инженерии», не вестись на них и думать, что ты защищен.
Но ты не защищен. СИ — это творческий процесс. Буквально. Это, если угодно, взлом психики человека. Поэтому защититься от подобного раз и навсегда невозможно. Ну разве что перестать вообще с людьми контактировать. Единственное, что можно противопоставить — это думать наперед. Вы должны составить для себя список тем, о которых ни при каких обстоятельствах не будете распространяться. Например, о том, где вы храните сбережения.
Наблюдайте за тем, кто и о чем разговаривает с вами. Наблюдайте за тем, как собеседник реагирует и какие события происходят после той или иной фразы, небрежно сказанной вами. Старайтесь «додумывать», а зачем кому-то та или иная информация. Только не перегибайте — иначе можно стать социофобом. Ну и, разумеется, при выявлении очередной собственной уязвимости — фиксите ее.
Подводя итоги
Как видите, даже если вы «вне сети» — киберугроз все еще предостаточно. Да и «классические» угрозы тоже никто не отменял. Перечисленное выше — это лишь верхушка айсберга и ни в коем случае не должно восприниматься как исчерпывающий список. Основная цель материала — заставить задуматься о том, как ваши офлайн-действия влияют на вашу онлайн-безопасность. Надеемся, у нас получилось «нагнать жути». А на этом у нас все, до скорых встреч!
