С каждым годом цифровой жизни у нас накапливается все большее количество учетных записей. Согласно оценке экспертов, в среднем один человек имеет 168 паролей для личных учетных записей, большая часть из которых создавались уже давно и не использовались длительное время. При этом неактивные учетные записи также являются угрозой безопасности, являясь привлекательной целью для преступников.
Специалисты компании по информационной безопасности ESET подготовили рекомендации по повышению цифровой безопасности с помощью очистки неактивных и усиления защиты действующих аккаунтов.
В чем опасность неактивных учетных записей?
Учетные записи, которые длительное время были неактивными, могут быть взломаны. Это связано с использованием старых или неуникальных данных для входа, которые, возможно, попали в руки хакеров в результате утечки данных в прошлом.
Эти учетные записи могут стать целью хакеров. Для этого киберпреступники могут использовать следующие методы:
- Вредоносное программное обеспечение для похищения информации. По данным отчета, 3,2 миллиона учетных данных были похищены в прошлом году; большинство (75%) – с помощью угроз для похищения данных.
- Крупномасштабные утечки данных, где хакеры собирают целые базы паролей и имена пользователей от сторонних компаний.
- Утечка учетных данных, когда хакеры вводят взломанные данные для входа в автоматизированное программное обеспечение как попытку получить доступ к учетным записям, в которых вы повторно использовали тот же скомпрометированный пароль.
- Методы подбора паролей, когда злоумышленники пытаются угадать ваши пароли с помощью различных инструментов.
Зачем злоумышленникам взламывать неактивные учетные записи?
Взломанная учетная запись может использоваться злоумышленниками с различными целями. В частности, киберпреступники могут:
- Использовать их для отправки спама и мошеннических сообщений вашим контактам (например, если это неактивная электронная почта или учетная запись в социальной сети), или даже проводить убедительные фишинговые атаки от вашего имени. Они могут попытаться получить конфиденциальную информацию от ваших контактов или обманом заставить установить вредоносное программное обеспечение.
- Найти в вашей неактивной учетной записи личную информацию или сохраненные данные карты. Эти данные могут быть использованы для мошенничества с личными данными или для отправки фишинговых электронных писем от имени поставщика услуг учетной записи с целью получения дополнительной информации. Срок действия сохраненных карт может закончиться, но те, которые еще не просрочены, могут быть использованы для совершения мошеннических транзакций от вашего имени.
- Продать учетную запись в даркнете, если она имеет какую-либо ценность, например, аккаунт программы лояльности или авиамили, о которых вы, возможно, забыли.
- Вывести средства со счета (например, если это криптокошелек или банковский счет).
Неактивные бизнес-аккаунты также являются привлекательной целью, поскольку они могут предоставить злоумышленникам легкий доступ к конфиденциальным корпоративным данным и системам. Киберпреступники могут украсть и продать эти данные или потребовать за них выкуп.
Например, взлом с использованием программы-вымогателя Colonial Pipeline в 2021 году начался с неактивной учетной записи VPN, которая была взломана злоумышленниками. Этот инцидент вызвал серьезную нехватку топлива на всем восточном побережье США. Тогда как атака с использованием программы-вымогателя в 2020 году на местный орган власти в Лондоне частично произошла из-за опасного пароля в неактивной учетной записи, связанной с серверами муниципалитета.
Как снизить риски?
Некоторые поставщики услуг, например Google, Microsoft и X, теперь автоматически удаляют неактивные учетные записи после определенного периода времени, чтобы освободить вычислительные ресурсы, снизить расходы и повысить безопасность пользователей.
Однако, когда это касается вашей цифровой безопасности, всегда лучше действовать на опережение. Чтобы снизить риски, выполните следующие действия:
- Периодически осуществляйте аудит и удаление неактивных учетных записей. Самый простой путь их найти – это поискать в вашей электронной почте с помощью слов "Добро пожаловать", "Подтвердите учетную запись", "Бесплатный пробный период", "Спасибо за регистрацию", "Верифицируйте учетную запись" и другие.
- Воспользуйтесь менеджером паролей или списком сохраненных паролей в вашем браузере и удалите все неактивные учетные записи или обновите их, если они были помечены как небезопасные или скомпрометированы.
- Ознакомьтесь с политикой удаления учетной записи поставщика услуг, чтобы убедиться, что вся личная и финансовая информация обязательно будет удалена, если вы закроете учетную запись.
- Прежде чем создавать новую учетную запись, подумайте дважды, действительно ли это необходимо.
- Используйте программу по безопасности, которая позволит сканировать и блокировать вредоносные программы, выявлять фишинговые веб-сайты, а также предупреждать о подозрительной активности.
Для тех учетных записей, которые вы хотите сохранить, кроме обновления данных для входа и сохранения их в менеджере паролей, включите двухфакторную аутентификацию, чтобы даже если у хакера будет ваш пароль, он не смог взломать ваш аккаунт.
Кроме того, никогда не осуществляйте вход в конфиденциальные учетные записи через общедоступные сети Wi-Fi (по крайней мере без использования VPN), поскольку киберпреступники могут перехватывать ваши данные для входа.
Также будьте внимательны к фишинговым сообщениям, которые пытаются обманом заставить вас передать свои данные для входа или загрузить вредоносное программное обеспечение (например, для кражи данных). Никогда не переходите по ссылкам в нежелательных сообщениях и не поддавайтесь на попытки манипуляции, например, что вы должны деньги или что ваша учетная запись будет удалена, если вы не примете меры.
Скорее всего, большинство из нас имеют десятки, а то и сотни неактивных учетных записей, разбросанных по всему Интернету. Уделяя несколько минут в течение дня ежегодно наведению порядка, вы могли бы сделать свою цифровую жизнь более безопасной.
О компании:
ESET – эксперт в области защиты от киберпреступности и цифровых угроз, международный разработчик решений по ИТ-безопасности, ведущий поставщик в области создания технологий обнаружения угроз. Основанная в 1992 году, компания ESET сегодня имеет расширенную партнерскую сеть и представительства в более чем 180 странах мира. Главный офис компании находится в Братиславе, Словакия.
