maddot.ru Техническое → Как защитить свой аккаунт в социальной сети
dd
 
Рубрики
» Компьютеры
» Операционные системы
» Android
» Linux
» Windows
» Разное



» Все статьи (Списком)
Популярное
» Все заметки (Списком)
От Yuriy 23:27 28.09
От Айдар 10:48 04.02
От Роман 22:26 15.06
От Евгений 16:46 13.06
От Mike 00:01 23.04
От Вячеслав 20:44 22.04
От Сергей 18:15 11.02
От Надежда 10:51 24.05
От Надежда 10:42 24.05
От bakaut 17:33 14.02
От vlasmet 08:28 18.11
От Mike 11:51 17.05




Друзья
Хостинг Макхост
Качественный платный хостинг. Широкий спектр качественных хостинг услуг с 2004 года.
Ваш IP: 54.163.209.109
Вы на узле: 178.208.83.19
URL: maddot.ru
Время сервера: 2017-12-17T18:47:32+03:00

Как защитить свой аккаунт в социальной сети

13 Окт 2014

В связи с тем, что в последнее время у нескольких моих друзей воровали личные данные из их аккаунтов в социальных сетях я решил написать эту статью, где я опишу самые популярные и доступные методы взлома аккаунтов в социальных сетях и способы защититься от них. Все советы очень просты и не требуют особенных знаний в IT сфере, но тем не менее следует их знать и понимать. Когда есть понимание о том, как ломают твои странички - приходит и понимание - как их защитить.

То, что не требует разъяснения

Подмена странички в социальной сети - это метод взлома, когда перейдя по ссылки с сайта или набрав адрес вручную (при условии, что ты поймал трояна на компьютер) вместо сайта сети открывается сайт злоумышленника, который выглядит точно так же как и сама сеть. После ввода логина и пароля такие сайты часто отправляют тебя на оригинальную страницу и ты можешь ничего и не заметить. Всегда следи, чтобы в адресной строке браузера отображался именно адрес социальной сети, а не что-то другое. Пользуйся антивирусной программой и постоянно обновляй ее, это также поможет защититься от различных кейлоггеров (программ, которые отправляют "врагу" все, что ты набираешь на клавиатуре).

Использование паролей, выбранных из произведений литературы или песен тоже является недопустимым, наравне с датой рождения, именем, написанным в другой раскладке и подобных.

Переход по ссылкам из электронной почти или личных сообщений на сайте тоже грозит тебе взломом аккаунта - будь то вирус или просто перехват твоей сессии.

Не следует пользоваться JavaScript программами для автоматизации работы с сайтами соц.сетей если ты не понимаешь самого программного кода.

После сеанса работы со своим аккаунтом нажимай кнопку "Выход" а перед этим в настройках (вконтакте) нажимай кнопку - "Завершить текущие сеансы".

Не храни свои пароли в текстовых файлах на компьютере/телефоне, лучше и не сохраняй пароли от социальных аккаунтов в браузере.

Мобильный телефон

Всегда желательно иметь на своем смартфоне программу-антивирус, но есть случаи, когда антивирус не спасет от кражи персональных данных. Допустим, ты дал "другу" телефон, чтобы поиграть/позвонить/еще что-то, а он в это время нажал в твоем аккаунте кнопку восстановить пароль и/или сменить/установить e-mail (при условии, что он знает твой e-mail или мобильный номер - это не сложно) - и тебе пришла смс с кодом по смене/установки мыла. После удаления смс - ты и не узнаешь в ближайшее время, что у человека теперь есть доступ к твоему профилю (ты часто смотришь, какая почта привязана к твоему аккаунту?).

Это, конечно немного утрированно, но действительно работает и очень часто ревнивые парни, не разбирающиеся особенно в IT проделывают такой трюк с подругами. Защититься от этого довольно просто - во-первых установить такой менеджер СМС, который умеет удалять сообщения только после ввода пароля/pin-кода. Во-вторых иметь e-mail агент (если есть) с функцией запуска после ввода пароля/пина. И, разумеется, следить за актуальностью твоей почты в профиле. Три этих простых меры вполне уберегут тебя от подобного метода кражи аккаунта/личной переписки.

Точки доступа WI-FI

Публичные

Никогда не стоит доверять безопасность своего интернет-соединения общественным точкам доступа. Даже, если владелец такой точки и не собирается ничего у тебя воровать не факт, что открытую точку не сканирует третье лицо. Это не так сложно, как может показаться - сейчас существует бесплатное программное обеспечение для этого даже для мобильных телефонов (смартфонов) - я лично имел возможность убедиться в его работоспособности в некоторых публичных сетях (любопытства ради - ничего не крал, честно :) ) причем, процесс кражи сессии сводится к нажатию двух кнопок на смартфоне.

Дома

Если с публичными сетями и так все понятно, что им не стоит доверять, то что тогда с WI-FI дома? Если к тебе домой приходят гости и ты даешь им пароль от своего вайфая - то знай, что твою домашнюю точку можно (скорее всего) сканировать той-же программой, которой сканируют социальные сети.

Если ты недавно разорвал/разорвала отношения с парнем/девушкой или у тебя есть друзья, которые тебе завидуют/ревнуют, или навязчивые поклонники - то лучше смени дома пароль от вайфай (если эти люди были хоть раз у тебя дома). Потому что теперь, стоя у тебя в подъезде они могут совершенно спокойно подключаться к твоему аккаунту и читать твою личную переписку.

Кстати, насчет подъездов - рекомендую настраивать силу сигнала и местоположение роутера так, чтобы сигнал не уходил слишком далеко за пределы квартиры (если возможно). Ведь не обязательно знать пароль от роутера - достаточно скачать эксплойт (специальное ПО для использования определенной уязвимости) для него, чтобы с большой вероятностью взломать твой роутер.
Также рекомендую следить за актуальностью прошивки своего роутера - в новых прошивках обычно устраняют известные уязвимости.

Официальные программы социальных сетей

Если ты пользуешься мобильными (или настольными) программами-клиентами для социальных сетей - старайся выбирать для этого только официальные программы, о которых явно указано на сайте сети. Или выбирай аналоги (желательно с открытым исходным кодом) которыми пользуется большое количество людей, но при таком подходе если доступ к твоему аккаунту будет перехвачен третьей стороной - то сам виноват!

Не обязательно, что автор сторонней программы умышленно похитит твою сессию или данные. Возможно, что он просто будет хранить (что не верно в корне) твои данные в открытом (не зашифрованном виде) у себя на сервере, но как мы знаем - сервер может быть скомпрометирован. Таким образом, даже если автор программы честный человек - не факт, что его сервер также хорошо защищен, как и сервера крупных коммерческих компаний.

Особенно данный пункт касается различных "Скачивателей" для вконтакте, одноклассников и прочих - ведь официальных программ для скачивания контента у таких сетей не существует.

Дополнительные сервисы

Дополнительные сервисы и службы в интернете, такие, как e-mail, необходимый для регистрации в социальной сети необходимо всегда держать в актуальном, защищенном состоянии. К E-Mail необходимо создавать сложный пароль и это правило не менее важно в отношении мыла, для самой социальной сети.

Обычно злоумышленнику проще получить доступ к твоей электронной почте, чем на прямую к твоему социальному аккаунту. Как подобрать сложный пароль - читай ниже в этой статье. А сейчас о некоторых способах защиты своего e-mail аккаунта:

  • При заходе на сайт службы e-mail всегда проверяй в адресной строке браузера, чтобы адрес сайта на котором ты находишься обязательно принадлежал почтовому сервису (это касается и авторизации в социально сети)
  • Не пользуйся сомнительными и не популярными клиентами для работы с электронной почтой
  • Не используй один аккаунт электронной почты для всех сервисов в интернете
  • Привяжи к mail аккаунту свой номер мобильного телефона
  • Настрой почту так (если позволяет почтовый сервис), чтобы ежемесячно тебе приходили отчеты о всех твоих действиях в почте (gmail, например позволяет это сделать)
  • Желательно пользоваться электронной почтой только на компьютере с антивирусом
  • Не переходи по ссылкам из электронной почты (если хочешь все-же посмотреть, куда ведет ссылка - открой браузер в режиме инкогнито на пустой странице и вставь ссылку в адресную строку - но лучше вообще не переходить)

Сложные пароли

Чтобы считать сложность пароля достаточной для защиты от перебора важно соблюдать несколько простых правил составления пароля:

  • 1 - Длина пароля должна быть равной или больше 16 символов
  • 2 - Пароль должен состоять из букв разного регистра (большие/маленькие), цифр, специальных символов (напр. "№;%:?*..) и, если позволяет сайт - то и разных раскладок (кириллица вместе с латиницей), и, желательно использование непопулярных символов (html последовательностей):   
  • 3 - Никогда не использовать одинаковые пароли на разных сайтах *
  • 4 - Менять свой пароль, хотя бы раз в месяц-два
* На самом деле, если везде использовать разные пароли - то вскоре навигация по сайтам может превратиться в мучение, поэтому совершенно не обязательно использовать везде разные пароли - достаточно придумать дополнительный пароль, чтобы указывать его на дополнительных (сомнительных) сайтах, например при загрузке файлов в обменниках и всяких одноразовых чатах. Но для сайтов, где сохранение персональных данных действительно важно - необходимо использовать свои пароли для каждого.

Генераторы паролей

На многих сайтах по безопасности (и не только) можно увидеть сервисы, позволяющие в автоматическом режиме сгенерировать себе сложный пароль. На первый взгляд все представляется достаточно безобидно, но иногда действительность не является тем, чем она кажется.

Допустим, что ты пользуешься подобным генератором паролей довольно часто, найдя один раз подобный сайт в поисковой системе и загружая его из закладок - при таком подходе, если ты кликаешь по закладке в интернет-браузере, находясь на своей страничке в социальной сети, то чаще всего на сайт, который ты загрузишь отправится служебная информация, называемая HTTP_REFERER.

HTTP_REFERER - это специальная переменная, которая будет доступна владельцу посещаемого тобой ресурса. В ней содержится адрес страницы с которой ты перешел на текущий сайт. Допустим, что со своей страницы в соц. сети - "сайт.ру/мой_id" - где сайт.ру - адрес сети, а мой_id - твой id или ник в ней - ты перешел на сайт - "сайт2.ру/генератор_пароля" - тогда программе на "сайте сайт2.ру/генератор_пароля" будет известно, что пришел ты с адреса "сайт.ру/мой_id" - тоесть программе известен твой id в социальной сети. После чего ты генерируешь новый пароль на странице "сайт2.ру/генератор_пароля". И ничего не мешает программе на "сайте2" сохранить к себе в базу твой id и созданный тобой пароль, а потом в автоматическом режиме проверить, зайдя на "сайт.ру" и попробовав авторизоваться с этими данными, поставил ли ты на нем сгенерированный вторым сайтом пароль.

Таким образом мы имеем ситуацию, когда сервис, призванный помочь тебе с безопасностью - сам взломал твой аккаунт, а ты сам этому поспособствовал.

Как не попасть на угон аккаунта через сторонний генератор пароля?
  • 1 - Придумывать сложные пароли самостоятельно
  • 2 - Пользоваться генератором, находящимся на странице регистрации самой социальной сети
  • 3 - Избегать генераторов, находящихся на стороне сервера *
  • 4 - Проверять JavaScript-код генератора *
* Есть в интернете программы, которые отправляют введенные тобой данные на сервер сайта с целью выполнить с ними какие-либо действия (обработка/хранение ..). Такие программы находятся и выполняются полностью на стороне сервера и у тебя нету доступа к их коду - то есть ты не сможешь узнать, что именно делает такая программа. Это нормально - почти все сайты работают именно так, в том числе и сами социальные сети.
Но есть еще и такие программы, которые выполняет не сервер, а твой интернет-браузер. В основном это программы, написанные на языке JavaScript. И код такой программы ты можешь просмотреть, просто нажав на страничке, где ты находишься на правую кнопку мышки и выбрав пункт "Посмотреть исходный код страницы".  Найти такую программу можно, найдя в HTML-коде упоминание о начале и конце кода программы:

<script>
текст программы
</script>
Или так:
<script type="text/javascript">
текст программы
</script>
Или так:
<script type="text/javascript" src="ссылка на файл с программой"></script>
//при таком способе можно скопировать адрес ссылки на файл с программой и вставить его в адресную строку браузера относительно посещаемой страницы (после "/")
Чтобы понять, отправляет ли такая программа сгенерированный тобой пароль на сервер совершенно не нужно понимать программный код. Не нужно вообще разбираться в программировании. Достаточно посмотреть текст программы и попробовать найти в нем адреса страниц на подобии:

http://site.ru/file.php
http://site.ru/file.html
http://site.ru/file/
/file/page.php
/page
./page

Если в тексте программы обнаружатся ссылки, подобные тем, что указаны выше - значит программа что-то отправляет на сервер и в случае с генератором пароля такой программой пользоваться не стоит.
Обычно ссылки сопровождаются конструкцией $.post(ссылка) $.get(ссылка).

Генератор паролей, который не крадет данные:
Вот тут ты сразу и сможешь попробовать проверить представленный ниже генератор пароля на то - отправляет ли он данные ко мне на сервер, или нет. Сразу скажу, что данный генератор написан на JS и его код ты можешь полностью изучить. Он безопасный и генерирует хорошие пароли - но не стоит верить мне на слово, ведь именно об этом я и рассказывал в данном пункте статьи - старайся всегда проверять такие важные для безопасности механизмы в интернете, как генераторы паролей.

Генератор паролей:


На всякий случай - вот полный код генератора, чтобы тебе было легче найти его в HTML данной страницы, используя поиск (CTRL+F) (потому что на данной странице есть и другие скрипты, отвечающие за оформление и отправку комментариев:

<script type="text/javascript">
		var password_length = 18,
			symbols = new Array(
			'A','B','C','D','E','F','G','H','I','J',
			'K','L','M','N','O','P','Q','R','S',
			'T','U','V','W','X','Y','Z',
			'a','b','c','d','e','f','g','h','i','j',
			'k','l','m','n','o','p','q','r','s',
			't','u','v','w','x','y','z',
			1,2,3,4,5,6,7,8,9,0,'&','?','-','_','!','=','@','%',':',';','"','#'
        );
		$(document).ready(function(){
			for(var j = 0; j < password_length; j++) {
				var html = '';
				for(var i = 0; i < symbols.length; i++) {
					html += '<div class="symbol">'+symbols[i]+'</div>';
				}
				html = '<div class="symbols">'+html+'</div>';
				$('#pass_wrapper').append(html);
			}

			$('#go').click(function(){
				$('#pass_field').val('');
				makeSymbol(0);
			});

			function makeSymbol(num_symbol){
				if (num_symbol >= password_length) {
					return false;
				}
				var idx = Math.floor(Math.random() * symbols.length);
				$('#pass_field').val($('#pass_field').val()+symbols[idx]);
				var new_pos = - idx * 40;
				$('#pass_wrapper .symbols').eq(num_symbol).animate({
					top: new_pos + 'px'
				}, function(){
					makeSymbol(++num_symbol);
				});
			}
		});

</script>

Итак, подытожим

  • Всегда проверяй адрес сайта социальной сети в "адресной строке браузера" на которых ты заходишь
  • Если возникли подозрения в том, что сайт не оригинальный - загляни в файл Windows\system32\drivers\etc\hosts или для Linux: /etc/hosts
  • Обезопась свой мобильный телефон от удаления СМС без твоего ведома и установи на него антивирус
  • Не доверяй публичным вайфай сетям.
  • Не доверяй своему домашнему вайфай - следи за актуальностью прошивки и проверяй подключения в админке роутера
  • Старайся использовать защищенные соединения с соц.сетями и почтой - https:// вместо http://
  • Создавай сложные и разные пароли для всех важных сервисов в интернете
  • Используй только официальное программное обеспечение
  • Не сообщай никому свои личные данные, даже администрации самих соц.сетей или почтовых сервисов


ρ1924
Рубрика → Техническое
Метки: вконтакте одноклассники защита взлом безопасность


© При копировании материалов с нашего сайта - не забудь указать ссылку на оригинал. Спасибо.

Поделиться: BB-код

Как защитить свой аккаунт в социальной сети
Готовим блог к Вконтакте
Построение надёжного невзламываемого веб-сервера



B s i

 




Счетчики 

Яндекс.Метрика