Как пишет «КоммерсантЪ», отчет Avast показал, что 55% российских пользователей используют одинаковые пароли для разных аккаунтов, хотя 94% знают, что это опасно. 19% респондентов никогда не меняют пароль, а еще 29% — меняют только после взлома, при этом только 10% опрошенных создают сложные пароли. 67% россиян не проверяют свои аккаунты на предмет того, имеет ли к ним кто-то доступ, а 46% — считают, что информация, доступная в их аккаунтах, не может быть интересна злоумышленникам.
Такая позиция может привести к потере аккаунтов и информации о пользователе, которую можно использовать для более таргетированных атак, отмечают в Avast. Несмотря на ежегодные масштабные утечки регистрационных логинов и паролей, пользователи все еще легкомысленно относятся к аккаунтам в почтовых службах, социальных сетях и онлайн-магазинах, отмечает глава представительства Avast в России и СНГ Алексей Федоров.
Подбор паролей к популярным сервисам — достаточно распространенная криминальная профессия, а угнанные таким образом аккаунты чаще всего продают на профильных форумах в даркнете и используют для спама или типового фишинга, подтверждает основатель и технический директор компании DeviceLock Ашот Оганесян. При этом только некоторые крупнейшие сервисы, например Facebook и Gmail, ведут автоматический контроль активности пользователя и в случае необычного входа предупреждают о том, что его, вероятно, взломали.
При одном из распространенных сценариев развития атаки, взломав «бесполезный» аккаунт в соцсети, злоумышленник извлекает всю доступную информацию с этого профиля, на основе которой составляет персональный словарь для подбора более сложных паролей от интернет-банка или корпоративной почты, объясняет руководитель отдела технического сопровождения продуктов и сервисов ESET Russia Сергей Кузнецов. По данным одного из опросов ESET Russia, из-за действий злоумышленников теряли доступ к своим учетным записям 59% пользователей, а 21% участников опроса сообщили, что их аккаунты взламывались неоднократно.
Если одни и те же пароли используются для корпоративных и личных целей, то хищение или подбор такого пароля может поставить под угрозу не только личную информацию, но и предоставить злоумышленникам доступ к корпоративной, добавляет эксперт по кибербезопасности Кирилл Керценбаум. В то же время за последние годы произошел качественный сдвиг в уровне надежности механизмов авторизации и аутентификации пользователей — в частности, «за счет тотального внедрения систем многофакторной аутентификации и менеджеров паролей», полагает он.
«Думать о себе или своей организации „мы никому не интересны“ — большая ошибка», — согласен старший антивирусный аналитик «Лаборатории Касперского» Денис Легезо. «Сценарии бывают самые разные, включая заражение слабого звена в цепи поставщиков крупной компании, чтобы в итоге скомпрометировать ее периметр безопасности. Началом такой цепи может стать учетная запись человека, не имеющего непосредственного доступа к ценным ресурсам», — поясняет он.