Национальная служба экономической разведки

Национальная служба экономической разведки – это крупнейшая Российская организация, занимающаяся сбором, обработкой и анализом информации экономического характера о ситуации в различных секторах рынка, а также его участниках.
Национальная служба экономической разведки специализируется на комплексном информационно-аналитическом обеспечении ведущих предприятий Российской Федерации. Благодаря профессионализму и огромному опыту сотрудников службы, мы добиваемся самых лучших результатов в работе и гордимся нашим вкладом в защиту экономической безопасности предприятий России.
Служба имеет представительства в разных регионах России, включая города федерального значения.

Пароль – это секрет

Для авторизации на различных ресурсах как правило необходимо ввести логин и пароль. Обычное дело. Однако это не отменяет необходимости быть бдительным куда, как и при каких обстоятельствах это происходит

 

 

Мошенники могут выманить ваш пароль от почты, сервисов госуслуг, банковских сервисов или соцсетей, сымитировав форму ввода логина-пароля известного сервиса на своем (постороннем) сайте. Не попадайтесь — пароль от почты может проверять только сам почтовый сервис и никто другой! То же касается госуслуг, банков и соцсетей. Чтобы не стать жертвой обмана, каждый раз при вводе пароля нужно на секунду задуматься и проверить, куда именно вы входите и что за окошко требует вводить данные. Здесь встречаются варианты …

 

Безопасным сценарием ввода пароля считается если вы входите в свои почту, соцсеть или онлайн-сервис через их собственный сайт. Это самый простой вариант, но нужно убедиться, что вы действительно заходите на легитимный сайт и в его адресе нет никакой ошибки. Если вы заходите в онлайн-сервис, нажав на ссылку в присланном вам сообщении или перейдя по ссылке из результатов поиска, перед вводом пароля внимательно сверьте адрес сайта с названием требуемого сервиса. Это важно делать потому, что создание фишинговых копий легитимных сайтов — любимый прием мошенников. Адрес фишингового сайта может быть очень похожим на оригинальный, но отличаться от него на одну или несколько букв в названии или располагаться в другой доменной зоне — например, в фишинговом адресе вместо буквы «i» может стоять «l». А уж сделать ссылку, где написан один адрес, а переход происходит на совершенно другой и вовсе несложно.

 

Еще бывает, что вход на сайт выполняется при помощи вспомогательного сервиса. Это — вариант для удобного входа без создания лишних паролей: так часто заходят в программы для хранения файлов, совместной работы и так далее. В роли вспомогательного сервиса обычно выступают большие провайдеры почты, соцсетей или государственных услуг. Кнопка входа называется «Вход через Госуслуги», «Войти с VK ID», «Sign in with Google», «Continue with Apple» и так далее. Для ввода имени и пароля поверх вашего сайта открывается другое окно, принадлежащее вспомогательному сервису (тому самому Google, Apple, Госуслугам, соцсетям и т. п.). Схема работает так: внешний сервис проверяет, что вы — это вы, и подтверждает это сайту, на который вы входите. Очень критично сверить адреса в обоих окнах — проверить, что всплывающее окно с запросом пароля действительно открылось на сайте, от которого вводится пароль, а основное окно действительно принадлежит сайту, на который вы хотите войти. Во всплывающем окне у многих провайдеров также написано, на какой сайт дальше будет проводиться вход. В этой схеме вы попадаете на нужный сайт, но сам он никогда не видит вашего пароля. Проверка пароля проходит на стороне вспомогательного сервиса (Google, Госуслуги и т. п.). У IT-специалистов такой способ входа называется Single Sign-On (SSO). Такой способ упрощает пользователю жизнь, но снижает уровень безопасности.

 

Случается, что мошенники с целью кражи пароля присылают вам письмо или сообщение со ссылкой для входа, нажимаете на нее и попадаете на сайт, очень похожий на легитимный сервис почты, соцсети, обмена файлами или электронной подписи документов. Сайт просит вас войти в свой аккаунт, чтобы доказать, что вы — это вы, а для этого необходимо указать свой e-mail и пароль от почты, сайта госуслуг, банковского сервиса или соцсети прямо на этом сайте. Всплывающего окна от легитимного сервиса, как в предыдущем варианте, либо вовсе нет, либо же дополнительное окно также относится к постороннему сайту. Это — обман, чтобы выманить пароль от учетной записи! Ведь этот посторонний сайт даже не может проверить введенный пароль — он его просто не знает, а пароли никогда не передаются между сайтами. Благо, что сейчас, по крайней мере крупные почтовые сервисы, серьезно работают над безопасностью и такие случаи редкость.

 

Чтобы защититься от краж паролей нужно: внимательно проверять адрес сайта, на котором у вас запрашивают пароль; вводить пароль для любого сервиса только на сайте, принадлежащем самому этому сервису, и нигде больше; если появляется отдельное окно для ввода пароля — убедиться, что это обычное окно браузера, в котором вы видите адресную строку и можете проверить адрес.

 

 

По материалам Касперский