Направленный луч лазера и взлом через Caps Lock: 5 способов похитить ваши данные прямо сейчас

Павел Белоусов, эксперт Школы цифровой безопасности DSS380 (проект «Интерньюс-Украина»), в колонке для MC.today перечисляет пять неочевидных, но работающих способов взломов данных.

Направленный луч лазера и взлом через Caps Lock: 5 способов похитить ваши данные прямо сейчас

Друзья, мы написали книгу о бизнес-принципах Дмитрия Дубилета «Бизнес на здравом смысле». В ней много полезных советов и вдохновляющих идей от Дмитрия. Купить можно тут. Так вы зарядитесь новыми мыслями и поддержите нашу редакцию 🙂

Привет, Siri!

Павел Белоусов

В Украине пока не очень популярны домашние голосовые помощники, но это вопрос времени. Эти гаджеты могут по команде включить музыку или свет, рассказать новости или открыть «умный замок». И как только производители локализуют устройства и добавят поддержку русского/украинского языка, их популярность наверняка возрастет.

Существует реально работающий способ, как можно «хакнуть» вас через голосового помощника. Направляя специальным образом луч лазера на микрофон голосового помощника (Siri/Google Assistant/Alexa), можно «заставить» его принять луч за голос.

Такой командой может быть как безобидное включение плейлиста с песнями Поплавского, так и открывание входной двери, например. Песни Поплавского еще как-то можно пережить, а вот если таким образом отопрут дверь и «обчистят» квартиру — будет уже не до шуток.

Да, нужен специальный лазер, прямая видимость, но это абсолютно возможно.

Безопаснее, если Шарика и Лео накормит соседка

Есть устройства, которые решают задачи кормежки домашних животных в период вашего отсутствия. Электронный помощник просто насыпает питомцу необходимое количество корма в запрограммированное время.

Но в программном обеспечении одной «умной кормушки» была обнаружена ошибка, которая позволяла «захватить» не одну сотню таких устройств. Эта «дыра» в безопасности давала хулиганам возможность перекормить или оставить голодными чьих-то любимцев.

В новой прошивке эту уязвимость исправили, но вот все ли обновили прошивку? Не факт.

Тут важно помнить, что обновление ПО – необходимый процесс не только для ноутбука или смартфона, но и для всех устройств, которые подключаются к интернету.

Все свое ношу с собой — и зарядное устройство желательно тоже

Теперь о смартфонах. Все знают правило, что нужно обновлять ПО, не устанавливать программы из неизвестных источников, при необходимости — сканировать на наличие вирусов. А все ли знают или помнят, что не стоит подключать к смартфону непроверенные кабели?

Существует относительно доступный способ взлома телефона через специальные кабели зарядки. Например, вы у кого-то взяли провод подзарядить телефон или в кафе/аэропорту подключились на станции зарядки. В таких случаях как раз и есть вероятность того, что злоумышленники «сольют» ваши файлы или модифицируют («заразят») под свои нужды программное обеспечение устройства.

Такие кабели, запчасти и ПО для «хакерских зарядок» можно вполне свободно купить в интернете, а сама атака и вовсе не выглядит атакой. Поэтому лучше всегда носите с собой проверенные (из комплекта, например) шнуры и павербанки или пользуйтесь беспроводной зарядкой, если ваше устройство ее поддерживает.

Похищение данных через светодиоды кнопок Caps Lock, Num Lock и Scroll Lock на клавиатурах

А вот этот способ кражи данных очень сложно было представить, но он реально существует. С его помощью возможна кража паролей, например, с компьютеров, которые даже не подключены к интернету.

Злоумышленники заражают компьютер, он начинает через светодиоды кнопок Caps Lock, Num Lock и Scroll Lock передавать информацию (они очень быстро мигают). Прочитав через камеру видеонаблюдения, можно расшифровать эти данные: например, пароли или данные банковских карт.

Может, теперь стоит добавить к заклеенной веб-камере и светодиоды вышеупомянутых клавиш?

Громко стучите по клавиатуре? Об этом знают не только ваши коллеги

Плохие новости: одним заклеиванием изолентой Caps Lock отделаться не получится. Придется переходить на виртуальную (экранную) или бесшумную клавиатуру. Дело в том, что есть способ распознавать через микрофон, что набирает пользователь: пароль, письмо или какой-то секретный документ. Исходящие от ударов пальцев звуковые волны попадают в микрофон телефона, а алгоритм определяет возможный набранный текст.

Исследователи говорят, что этот метод кражи можно использовать в шумном общественном месте, где печатают несколько человек.

Правда, для успешной атаки злоумышленник должен знать тип материала стола, на котором печатает жертва, поскольку металлические и деревянные поверхности производят различные звуковые волны.

Что мне делать с этими знаниями?

Это далеко не все способы кибератак, которые могут испортить вам жизнь. На самом деле их гораздо больше, причем некоторые из них куда изощреннее.

От всего защититься не выйдет, но большинства проблем удастся избежать, если вы будете:

• использовать надежные пароли и двухфакторную аутентификацию;
• делать резервные копии;
• обновлять программное обеспечение;
• пользоваться теми устройствами и сервисами, которые поддерживают шифрование данных.