Как не подарить свой пароль злоумышленникам при входе на сторонние сайты и просмотре «зашифрованных» и «закрытых» документов.
Когда вам предлагают войти в тот или иной онлайн-сервис, подтвердить свою личность или скачать документ по ссылке, обычно требуется ввести имя и пароль. Это привычная операция, и многие выполняют ее, не задумываясь. Но мошенники могут выманить ваш пароль от почты, сервисов госуслуг, банковских сервисов или соцсетей, сымитировав форму ввода логина-пароля известного сервиса на своем (постороннем) сайте.
Не попадайтесь — пароль от почты может проверять только сам почтовый сервис и никто другой! То же касается госуслуг, банков и соцсетей.
Чтобы не стать жертвой обмана, каждый раз при вводе пароля нужно на секунду задуматься и проверить, куда именно вы входите и что за окошко требует вводить данные. Здесь есть три основных варианта: два безопасных и один мошеннический. Вот они.
А уж сделать ссылку, выводящую совсем не туда, куда написано, и вовсе несложно. На рисунке ниже — примеры оригинальных страниц входа на разные сервисы, на которых можно смело вводить имя и пароль от этого сервиса.
Примеры легитимных страниц входа на разные сервисы. Вводить имя и пароль на них безопасно
Во всплывающем окне у многих провайдеров также написано, на какой сайт дальше будет проводиться вход. В этой схеме вы попадаете на нужный сайт, но сам он никогда не видит вашего пароля. Проверка пароля проходит на стороне вспомогательного сервиса (Google, Госуслуги и т. п.). У IT-специалистов такой способ входа называется Single Sign-On (SSO).
Пример SSO-входа на mail.ru через внешний сервис — Госуслуги. Вводить имя и пароль тут также безопасно
Всплывающего окна от легитимного сервиса, как в предыдущем варианте, либо вовсе нет, либо же дополнительное окно также относится к постороннему сайту. Это — обман, чтобы выманить пароль от учетной записи! Ведь этот посторонний сайт даже не может проверить введенный пароль — он его просто не знает, а пароли никогда не передаются между сайтами.
А вот это, судя по адресной строке, вовсе не Netflix. Вводить тут свои данные нельзя!
Когда вам предлагают войти в тот или иной онлайн-сервис, подтвердить свою личность или скачать документ по ссылке, обычно требуется ввести имя и пароль. Это привычная операция, и многие выполняют ее, не задумываясь. Но мошенники могут выманить ваш пароль от почты, сервисов госуслуг, банковских сервисов или соцсетей, сымитировав форму ввода логина-пароля известного сервиса на своем (постороннем) сайте.
Не попадайтесь — пароль от почты может проверять только сам почтовый сервис и никто другой! То же касается госуслуг, банков и соцсетей.
Чтобы не стать жертвой обмана, каждый раз при вводе пароля нужно на секунду задуматься и проверить, куда именно вы входите и что за окошко требует вводить данные. Здесь есть три основных варианта: два безопасных и один мошеннический. Вот они.
Безопасные сценарии ввода пароля
- Вы входите в свои почту, соцсеть или онлайн-сервис через их собственный сайт. Это самый простой вариант, но нужно убедиться, что вы действительно заходите на легитимный сайт и в его адресе нет никакой ошибки. Если вы заходите в онлайн-сервис, нажав на ссылку в присланном вам сообщении или перейдя по ссылке из результатов поиска, перед вводом пароля внимательно сверьте адрес сайта с названием требуемого сервиса.
А уж сделать ссылку, выводящую совсем не туда, куда написано, и вовсе несложно. На рисунке ниже — примеры оригинальных страниц входа на разные сервисы, на которых можно смело вводить имя и пароль от этого сервиса.
Примеры легитимных страниц входа на разные сервисы. Вводить имя и пароль на них безопасно
- Вы входите на сайт при помощи вспомогательного сервиса. Это — вариант для удобного входа без создания лишних паролей: так часто заходят в программы для хранения файлов, совместной работы и так далее. В роли вспомогательного сервиса обычно выступают большие провайдеры почты, соцсетей или государственных услуг. Кнопка входа называется «Вход через Госуслуги», «Войти с VK ID», «Sign in with Google», «Continue with Apple» и так далее.
Во всплывающем окне у многих провайдеров также написано, на какой сайт дальше будет проводиться вход. В этой схеме вы попадаете на нужный сайт, но сам он никогда не видит вашего пароля. Проверка пароля проходит на стороне вспомогательного сервиса (Google, Госуслуги и т. п.). У IT-специалистов такой способ входа называется Single Sign-On (SSO).
Пример SSO-входа на mail.ru через внешний сервис — Госуслуги. Вводить имя и пароль тут также безопасно
Мошеннический сценарий кражи пароля
Вы получаете письмо или сообщение со ссылкой для входа, нажимаете на нее и попадаете на сайт, очень похожий на легитимный сервис почты, соцсети, обмена файлами или электронной подписи документов. Сайт просит вас войти в свой аккаунт, чтобы доказать, что вы — это вы, а для этого необходимо указать свой e-mail и пароль от почты, сайта госуслуг, банковского сервиса или соцсети прямо на этом сайте.Всплывающего окна от легитимного сервиса, как в предыдущем варианте, либо вовсе нет, либо же дополнительное окно также относится к постороннему сайту. Это — обман, чтобы выманить пароль от учетной записи! Ведь этот посторонний сайт даже не может проверить введенный пароль — он его просто не знает, а пароли никогда не передаются между сайтами.
А вот это, судя по адресной строке, вовсе не Netflix. Вводить тут свои данные нельзя!
Как защититься от краж паролей
- Внимательно проверяйте адрес сайта, на котором у вас запрашивают пароль.
- Вводите пароль от любого сервиса только на сайте, принадлежащем самому этому сервису, и нигде больше.
- Иногда для ввода пароля появляется отдельное окно — убедитесь, что это обычное окно браузера, в котором вы видите адресную строку и можете проверить адрес.
- Злоумышленники могут делать сайты-двойники, адреса которых трудно отличить от настоящих. Чтобы не попасть в такую ловушку, используйте надежную защиту от фишинга на всех устройствах и всех платформах.
- Продвинутый способ защиты — использовать менеджер паролей для всех аккаунтов. Он проверяет настоящий адрес страницы и ни за что не введет ваши учетные данные в поля незнакомого сайта, как бы тот ни был похож на что-то известное.
