Сохранили код: названы самые популярные пароли в 2019 году

С их помощью мошенники могут взламывать аккаунты, выманивать или красть деньги пользователей.

Топ-10 самых популярных в мире логинов и паролей в 2019-м сохранили лидерство с прошлого года, говорится в исследовании DeviceLock (есть у «Известий»). Эта ситуация характерна и для России: десятка кириллических пин-кодов также осталась неизменной (среди них — «пароль», «йцукен», «любовь»). С помощью этих данных мошенники взламывают почты, через которые можно восстановить доступ к онлайн-банку или заказать товары в интернет-магазине за чужой счет. При этом ЦБ и банки отчитываются о том, что активно повышают финансовую грамотность своих клиентов, проводя лекции, мастер-классы и размещая обучающие материалы на сайтах.

Годами в топе

Самые популярные в мире пароли как в 2018-м, так и в 2019 году, состояли из наиболее простых сочетаний клавиш: 123456 и qwerty, а также их комбинаций (например, 1q2w3e). Кроме того, в топ-10 попали пароли password и 111111.

Такие данные содержатся в ежегодном исследовании компании по кибербезопасности DeviceLock, которое проводилось в третий раз. В него вошли почти 5 млрд уникальных пар логинов и паролей, попавших в открытый доступ из-за массовых утечек персональных данных. Крупнейшие из них — «сливы» из генеалогического сервиса MyHeritage (180 млн), приложения для фитнеса и учета питания MyFitnessPal (49 млн) и облачного сервиса для создания видео Animoto (40 млн).

Сохранение топа самых распространенных паролей характерно и для России: наиболее популярные кириллические коды в 2019 году — «пароль», «йцукен» и «я». В прошлом году слова в тройке просто стояли на других местах. В топ-5 входят пароли «любовь» и «привет». В десятку — «наташа», «люблю», «максим», «андрей» и «солнышко», говорится в исследовании.

Главная опасность в том, что с помощью распространенных паролей легко получить доступ и к другим сервисам, где используется такая же информация для входа, опасается автор исследования — технический директор DeviceLock Ашот Оганесян. Он добавил: взломав почту, мошенник анализирует письма с оповещениями о регистрациях и может получить в распоряжение ключи к множеству сервисов, в том числе — с данными платежных карт. А также, например, к интернет-банку.

— Информация может использоваться для фишинговых атак. Другой вариант — сообщения в соцсетях от имени друзей с просьбой о срочной помощи деньгами. Кроме того, всё чаще после взлома аккаунта у пользователя требуют выкуп, обещая в противном случае разместить от его имени экстремистские материалы, — рассказал Ашот Оганесян.

Пароль от денег

Правилами интернет-банкинга запрещается использовать пароли, которые ранее применялись в каких-то аккаунтах, поскольку они могли «утечь», рассказали в Росбанке. Также есть ограничение на использование простых паролей, добавили в ВТБ.

В кредитной организации подчеркнули, что эти меры не так эффективны, если клиент добровольно передает третьим лицам данные для доступа к своим деньгам — полные реквизиты банковских карт, пароли, одноразовые коды подтверждения. Всё чаще мошенники звонят гражданам под видом сотрудников банков или госучреждений, вводят их в заблуждение и получают нужную информацию для хищения средств, сетуют в ВТБ.

— При целевой атаке на клиента злоумышленники занимаются сбором информации. Использование скомпрометированного пароля, а также сведений из личной почты сильно облегчает получение доступа к системе дистанционного обслуживания, — отметил директор департамента информбезопасности Росбанка Михаил Иванов.

Еще одна проблема заключается в том, что пользователи сами сохраняют платежные данные для автозаполнения форм в учетных записях, подчеркивает консультант центра информбезопасности компании «Инфосистемы Джет» Александр Рогозин. Он пояснил: мошенники могут применить их для регистрации на сторонних сайтах и совершения покупок. Например, для приобретения электронных сертификатов в интернет-магазине Amazon.

В онлайн-сервисах злоумышленники могут похищать не только деньги, но и бонусы, которыми потом можно оплатить реальные покупки или услуги, добавил антивирусный эксперт «Лаборатории Касперского» Дмитрий Галов.

По его словам, финансовые организации активно работают над кибербезопасностью аккаунтов даже со слабыми паролями. При входе в учетную запись анализируется не только введенный код, но и устройство, используемое ПО, поведение клиента. Это позволяет обратить внимание на подозрительную активность и, например, запросить дополнительную информацию для авторизации, пояснил эксперт. Кроме того, для проведения финансовой операции обычно требуется подтвердить решение одноразовым паролем из SMS или отпечатком пальца, рассказал директор департамента информбезопасности банка «Открытие» Владимир Журавлев.

Использование простых и распространенных паролей говорит о низкой компьютерной грамотности, считают опрошенные «Известиями» представители банков. Они добавили, что для безопасности своих клиентов проводят программы повышения их финансовой осведомленности. В том числе размещают обучающие материалы на сайтах, устраивают открытые лекции и мастер-классы, а также оповещают о новых способах мошенничеств через SMS и письма.

Свою программу повышения финграмотности запустил и Банк России — в частности, его представители проводят открытые занятия в вузах, сообщили «Известиям» в регуляторе. В ЦБ добавили, что при нем создана Ассоциация развития финансовой грамотности, которая занимается обучением волонтеров для повышения финансовых знаний у россиян и отбором лучших практик. Уделяется ли особое внимание безопасности паролей, «Известиям» в ЦБ не сообщили.

Источник: audit-it.ru