Попытки взлома и кражи учётных записей начались примерно в том момент, когда появились и сами учётные записи. Борьба разработчиков со злоумышленниками напоминает гонку вооружений: разработчики создают новые системы защиты, а в ответ мошенники придумывают новые способы взлома и кражи данных. Как же защитить свою учётную запись и не стать жертвой злоумышленников?
Как избежать взлома?Прежде всего необходимо иметь немного здравого смысла. Большинство современных методов взлома основаны на
социальной инженерии; каким бы сложным не был ваш пароль и как бы грамотно не была настроена система двухфакторной аутентификации, всё это бесполезно, если вы вами передадите злоумышленникам все необходимые данные. Основная суть действий взломщиков основана на немедленной реакции пользователя из-за боязни потерять учётную запись или из желания получить что-то невероятно ценное. Злоумышленник старается сделать так, чтобы его жертва не думала и не анализировала происходящее, а как можно скорее предприняла необходимые действия.
Когда вы читаете электронное письмо, сообщение в Discord или любом другом чате, вам нужно отступить на шаг назад и подумать. Почему Blizzard просят вас подтвердить, что вы являетесь владельцем своей учётной записи? Почему ваша учётная запись будет заблокирована, если вы не ответите на сообщение с запросом пароля?
Если у вас есть хоть малейшие подозрения в обоснованности происходящего, ничего не нажимайте и не передавайте никаких данных. Прежде всего стоит проверить фактический адрес, на который вы собираетесь перейти. Различные современные сервисы позволяют маскировать реальные ссылки, поэтому адрес
www.blizzzard.com, по которому вы собираетесь перейти, вполне может перенаправлять вас на
www.otdaymnesvoyozoloto.com.
Бывают, конечно, и обратные ситуации, когда подозрительные на первый взгляд ссылки оказываются официальными электронными письмами, как, например, бывает в ситуациях, когда разработчики рассылают различные опросы с целью узнать мнение игроков относительно той или иной ситуации. Всегда будет полезно внимательно изучить электронный адрес отправителя. В самом худшем случае, если у вас остаются какие-то сомнения, вы всегда можете обратиться в службу поддержки и подробно описать ситуацию. Это в любом случае будет лучше, чем какая-либо реакция на подозрительное письмо.
Пример фишингового письма, которое обвиняет пользователя в продаже учётной записи. Если внимательно посмотреть на отправителя, то видно, что домен отправителя это некий "battle.com" очевидно маскирующийся под официальный бренд Blizzard "battle.net".
Правила безопасностиКогда дело доходит до защиты учётной записи, стоит быть предельно осторожным и внимательным; чтобы в один прекрасный день не столкнуться с ситуацией, когда злоумышленники похитили всё ваше золото в World of Warcraft или распылили все ваши карты в Hearthstone, стоит иметь в виду следующее:
Первое и основное правило: никогда и ни под каким предлогом не разглашайте свой пароль от Battle.net. Мошенники не лишены фантазии и изобретательности и без проблем придумают складную историю, согласно которой вы немедленно должны передать им все необходимые данные. Разработчики регулярно напоминают, что они никогда и ни при каких условиях не будут просить игрока передать им свой пароль от учётной записи. Разработчики также никогда не будут просить игрока перейти по какой-либо ссылке. Все необходимые инструменты для работы есть у них в наличии и без вашего посредничества.
Пример внутриигрового фишингового сообщения от игрока, притворяющегося гейм-мастером.
Второе, и не менее важное правило: старайтесь нигде не использовать один и тот же пароль. Нередки случаи, когда взлом учётной записи происходит из-за того, что были скомпрометированы данные на каком-либо другом ресурсе. Если вы используете один и тот же пароль и для Вконтакте, и для учётной записи Battle.net, то при взломе вашей учётной записи Вконтакте (что явление в наше время отнюдь не редкое), злоумышленники вполне могут попробовать использовать этот пароль и для других популярных сервисов.
В этом смысле худшее, что вы можете сделать – это использовать один и тот же пароль и для своей учётной записи Battle.net и для своей электронной почты. В этой ситуации, если ваш пароль каким-либо образом попадёт в руки злоумышленников, они тут же смогут войти и в вашу электронную почту, которая собственно и является вашей основной защитой от взлома.
Придумывать разные пароли для разных сервисов занятие весьма нетривиальное и пользователи зачастую этим пренебрегают из-за того, что крайне легко запутаться где какой пароль вы установили. Одним из решений являются сервисы для хранения паролей, как например, такую услугу предлагает по умолчанию Google. Есть и другой вариант, который позволит вам с одной стороны сохранить надёжность, а с другой стороны избежать чьего-либо посредничества в столь щепетильном вопросе.
Вы можете разучить какой-нибудь длинный и сложный пароль, и с небольшой хитростью использовать его во всех сервисах. Суть состоит в следующем: в каком-либо месте вашего пароля вы добавляете пару символов, ассоциированных с тем ресурсом, на котором вы регистрируетесь. Приведём пример.
- Допустим, сложный и длинный пароль, который вы разучили, будет выглядеть так: 'slojnyparol'.
- При регистрации Вконтакте вы устанавливаете следующий пароль: 'slojnyparolVK', где 'VK' является указанием на сам сервис Вконтакте.
- При создании Google-почты вы задаёте пароль вида 'slojnyparolGMAIL', где 'GMAIL' вполне явно указывает на сервис Google-почты.
- При создании учётной записи Battle.net установите пароль вида 'slojnyparolBNET'.
Кажется, этих примеров должно быть достаточно, чтобы вы уловили идею: комбинируете ваш сложный пароль с аббревиатурой или сокращением, которое будет ассоциироваться у вас с необходимым сервисом. Таким образом, с одной стороны у вас будет уникальный пароль для любого сайта, а с другой стороны вам не придётся запоминать ничего лишнего, за исключением самих символов, которые вы присвоите каждому сайту.
Отдельно стоит сказать пару слов и о том как выбрать хороший пароль. Эти рекомендации регулярно озвучиваются в подсказках самими сервисами в момент вашей регистрации, тем не менее будет не лишним всё повторить.
Основное правило состоит в том, чтобы смешивать буквы, цифры и спецсимволы. Чем сложнее будет структура вашего пароля, тем труднее будет его подобрать. Также, сложность пароля экспоненциально растёт с его длиной; а значит, чем длиннее пароль, тем он лучше.
Если вы не хотите придумывать пароль самостоятельно, то можете воспользоваться помощью специализированных сервисов по генерации надёжных паролей:
Также вы можете использовать в качестве пароля какую-нибудь фразу вида "I'mGoingToPlayWoW1". Помимо того, что такой пароль довольно легко запомнить, он также соответствует всем необходимым критериям безопасности: наличие строчных и прописных букв, наличие цифр и наличие спецсимволов.
И напоследок правило, несколько потерявшее актуальность для игроков из России и Беларуси: используйте аутентификатор Blizzard. Двухфакторная аутентификация – это самая надёжная защита для вашей учётной записи.
Пример фишингового письмаОдним из направлений, которое выбирают злоумышленники, являются извещения о подарках.
В данном примере мошенники сообщают пользователю, что он получил в подарок питомца, которого для него купил его друг. Кнопка "Получить подарок" будет перенаправлять на поддельный сайт, маскирующийся под официальную страничку Blizzard. Стоит сказать, что разработчики действительно предусмотрели опцию дарить друзьям подарки, однако, одариваемому приходит на почту готовый код активации, без необходимости куда-либо дополнительно переходить. Однако, ранее не сталкивавшийся с этим пользователь, может на заподозрить подвоха, тем более, что сам фишинговый сайт выглядит весьма похоже на оригинал:
Слева – фишинговый сайт, справа – официальный.
Какие уловки используют мошенники?Как уже было сказано, мошенники весьма изобретательны и их сообщения порой максимально похожи на реальные рассылки от разработчиков. Вот некоторые примеры:
- Вы были выбраны для участия в бета-тестировании Diablo V, Warcraft 4 или очередного дополнения к World of Warcraft и вам необходимо ввести различную информацию, чтобы подтвердить свою учётную запись для участия в бета-тесте.
- Вас просят подтвердить ваши контактные данные для получения нового дополнения к игре.
- Сработала система защиты от нарушений, поскольку вы пытались продать свою учётную запись.
- Ваша учётная запись была заблокирована из-за использования стороннего программного обеспечения.
- Мы предлагаем вашему вниманию обновлённую Оружейную, где вы можете просмотреть своего персонажа и его достижения (прилагаемая ссылка выглядит достоверно и очень похожая на настоящую, за исключением пары символов).
- Ваша учётная запись подвергалась неоднократным попыткам взлома и в целях безопасности была временно заблокирована на время проведения расследования; чтобы вернуть доступ к записи вам необходимо сменить ваш пароль.
- Сообщение о том, что вы сменили пароль и просьба повторить его для внесения изменений.
- Доступ к вашей учётной записи был осуществлён из нового непривычного места, войдите в учётную запись, чтобы подтвердить, что это вы.
- Вы должны подтвердить, что являетесь владельцем учётной записи.
- Blizzard запускает конкурс с множеством призов; чтобы принять участие вам необходимо зайти на сайт конкурса под своей учётной записью.
Подобные письма зачастую сопровождаются несколькими ссылками, часть из которых при этом действительно ведёт на официальные ресурсы Blizzard, остальные же перенаправляют на фишинговые сайты. Целью таких манипуляций как правило является кража ваших логина и пароля.
Особо изощрённые мошенники подгадывают отправку своих писем, чтобы она совпадала с реальными рассылками от разработчиков. Например, время от времени разработчики действительно уведомляют о проведении бесплатных выходных или о начале бета-тестирования. Искусно сделанное письмо о начале бесплатных выходных может практически не отличаться от настоящего. Как, например, в данном примере из-за инструмента подмены ссылок, все ссылки в письме выглядят достоверными:
Прежде чем перейти по ссылке, вы можете сперва навести на неё курсор и в левом нижнем углу браузера появится небольшое всплывающее уведомление с указанием ресурса, на который действительно ведёт ссылка. На сенсорных дисплеях вы можете провернуть схожий трюк, если коснётесь ссылки и некоторое время будете её удерживать. Соответственно, если в ссылке указан адрес вида "battle.net", но при наведении на неё отображается что-то совсем другое, то по такой ссылке лучше не переходить.
Стоит обращать внимание и на грамматические ошибки и опечатки – это первый признак фишингового сообщения. Напоследок оставим ссылку на небольшое
пособие по безопасности от самих разработчиков.
Информационная безопасность в наше время невероятно важна и мы с гордостью можем сообщить, что
FunPay предоставляет своим клиентам самый качественный и надёжный сервис; пользуясь услугами
FunPay вы можете быть уверены в безопасности каждой сделки.
FunPay – совмещайте приятное с полезным.
