Цифровая безопасность для пользователя

ОБЯЗАТЕЛЬНОДЛЯ НОВИЧКОВ

Всем

Цифровая безопасность — набор привычек, которые защищают ваши деньги, фото, переписку и аккаунты в интернете. Речь о повседневных правилах: как хранить пароли, как отличить поддельное письмо от настоящего, что делать, если уже нажали на подозрительную ссылку.

Ниже — единый блок для домашнего и рабочего компьютера. Углублённая теория для специалистов — в разделе 2.08. Физическая безопасность за столом (ИБП, кабели, освещение) — в технике безопасности при работе за компьютером. Современный вход без пароля — Passkeys.

---

Маршрут чтения

Выберите свой путь или идите сверху вниз.

Ситуация	С чего начать	Куда перейти дальше
Только купили компьютер или телефон	Базовые привычки	Менеджер паролей → 2FA
Хотите быстро закрыть главные риски	Чек-лист минимальной безопасности	Домашняя сеть → Телефон
Получили подозрительное письмо или SMS	Как проверить адрес сайта	Типичные атаки
Уже нажали ссылку или ввели пароль	Если уже нажали или ввели данные	Таймлайн после компрометации
Работаете из кафе или аэропорта	Публичный Wi‑Fi	VPN
На работе спрашивают пароль или доступ	Безопасность на рабочем месте	Удалённый доступ
Хотите разобраться в мифах	Мифы и правда	FAQ

---

Базовые привычки

Пароли

Пароль — секретная строка символов, которую вы вводите при входе в сервис (почту, банк, соцсеть). Сервис сравнивает введённое значение с тем, что хранится у него в базе (обычно в виде хеша — одностороннего "отпечатка", который нельзя просто развернуть обратно в пароль).

Главная ошибка — один и тот же пароль на десятке сайтов. Если пароль утёк с одного сайта (это называют утечка базы данных), злоумышленник автоматически попробует его на почте, в банке и в маркетплейсах. Подробнее о том, как устроены пароли на сервере — Как устроены пароли.

Хороший пароль для важного сервиса:

• длинный (от 14–16 символов и больше);
• уникальный (не повторяется нигде);
• случайный (не дата рождения, не "qwerty123", не имя питомца).

Запоминать десятки таких паролей вручную нереально — для этого нужен менеджер паролей.

Менеджер паролей

Менеджер паролей — программа или встроенная функция браузера или операционной системы, которая:

• хранит пароли в зашифрованном виде (прочитать их может только тот, кто знает мастер-пароль);
• генерирует случайные длинные пароли;
• подставляет логин и пароль на нужном сайте.

Популярные варианты:

• Bitwarden — бесплатный, с облачной синхронизацией между устройствами;
• KeePass — файловый хранилище на вашем диске, без облака по умолчанию;
• встроенный менеджер Chrome, Edge, Safari, Firefox — удобен, если вы в одной экосистеме;
• iCloud Keychain (Apple) и Google Password Manager — синхронизация внутри экосистемы производителя.

Вам нужно запомнить только один мастер-пароль — ключ ко всем остальным.

Двухфакторная аутентификация (2FA)

2FA (двухфакторная аутентификация, "второй фактор") — дополнительная проверка личности после пароля. Система просит не только то, что вы знаете (пароль), но и то, что у вас есть (телефон с приложением) или являетесь (отпечаток пальца).

Варианты второго фактора (от более слабого к более сильному):

Способ	Как работает	Риски
SMS-код	Шестизначный код приходит в SMS	SIM можно подменить (SIM-swap), SMS перехватить
Push-уведомление	"Разрешить вход?" на телефоне	Можно случайно нажать "Да" при усталости
TOTP-приложение	Код меняется каждые 30 секунд (Google Authenticator, Яндекс.Ключ, Aegis)	Нужно сохранить резервные коды при потере телефона
Аппаратный ключ	USB- или NFC-ключ (YubiKey и аналоги)	Нужен запасной ключ или резервные коды
Passkey	Криптографический ключ на устройстве	См. Passkeys

Даже если пароль украли через фишинг, без второго фактора войти сложнее. Код из приложения (TOTP) надёжнее SMS: SMS можно перехватить через подмену SIM-карты.

Подробнее про различие "кто вы" и "что вам разрешено" — аутентификация и авторизация.

Обновления и источники программ

Обновление (update, патч) — новая версия программы или операционной системы, в которой закрыты известные уязвимости (дыры, через которые вирус может проникнуть без вашего ведома).

• Включите автообновления Windows, macOS, Android, iOS.
• Обновляйте браузер (Chrome, Edge, Firefox, Safari).
• Скачивайте программы только с официальных сайтов или магазинов (Microsoft Store, App Store, Google Play). Взломанные "кряки" и "ускорители" часто содержат трояны — вредоносные программы под видом полезных файлов.

Привычки на каждый день

Привычка	Что даёт
Уникальный пароль на каждый важный сервис	Утечка на одном сайте не открывает почту и банк
Менеджер паролей	Не нужно запоминать десятки длинных паролей
2FA на почте, облаке и банке	Защита даже при украденном пароле
Обновления Windows, macOS, браузера	Закрывают известные уязвимости
Скачивание только с официальных сайтов	Меньше риска трояна в "кряке"
Открывать сайт вручную или из закладки	Меньше риска попасть на фишинговую подделку
Резервная копия важных файлов	Защита от ransomware и поломки диска — см. облако и бэкап

---

Настройка менеджера паролей (Bitwarden)

Ниже — пошаговая настройка Bitwarden как бесплатного кроссплатформенного варианта. Логика похожа у других менеджеров.

Шаг 1. Регистрация

1. Откройте официальный сайт bitwarden.com — проверьте адрес по инструкции ниже.
2. Нажмите Create Account (Создать аккаунт).
3. Придумайте мастер-пароль — длинную фразу из нескольких слов, которую нигде больше не используете. Пример формата (не копируйте дословно): Лето2024-Чайник-СинийМост-42.
4. Запишите мастер-пароль на бумаге и спрячьте в надёжное место. Без него доступ к хранилищу потерян навсегда.
5. Подтвердите email.

Шаг 2. Установка на телефон и компьютер

Windows / macOS / Linux:

1. Скачайте Bitwarden Desktop с официального сайта или установите расширение Bitwarden для браузера (Chrome, Edge, Firefox).
2. Войдите тем же email и мастер-паролем.

Android / iPhone:

1. Установите Bitwarden из Google Play или App Store (проверьте разработчика: Bitwarden Inc.).
2. Войдите в аккаунт.
3. Включите биометрию (отпечаток или Face ID) для быстрого разблокирования — это удобно, мастер-пароль при этом остаётся главным секретом.

Шаг 3. Первые записи

1. Откройте менеджер → Add Item (Добавить запись).
2. Выберите тип Login (Вход).
3. Укажите название (например, "Gmail личный"), адрес сайта, логин.
4. Нажмите Generate Password (Сгенерировать пароль) — длина 20+, все типы символов включены.
5. Сохраните запись.
6. На сайте зайдите в настройки безопасности аккаунта и смените пароль на сгенерированный (часто там же есть кнопка "сменить пароль").

Начните с самых важных: почта, банк, облако (Google Drive, iCloud, Яндекс.Диск), основные соцсети.

Шаг 4. Импорт старых паролей из браузера

Если пароли уже сохранены в Chrome или Edge:

1. В браузере: Настройки → Пароли → Экспорт паролей (файл CSV). Файл на время храните только на своём ПК.
2. В Bitwarden: Tools → Import Data → выберите формат Chrome/Edge → загрузите CSV.
3. Удалите CSV после импорта (Shift+Delete в Windows).
4. По возможности отключите сохранение паролей в браузере, чтобы не плодить две копии.

Шаг 5. Автозаполнение на сайтах

1. Установите расширение Bitwarden в браузер.
2. На странице входа нажмите на иконку Bitwarden → выберите запись → пароль подставится.
3. Если сайт новый — расширение предложит сохранить логин и пароль после успешного входа.

Встроенный менеджер браузера (альтернатива)

Если Bitwarden кажется лишним:

Chrome / Edge:

1. Настройки → Автозаполнение → Менеджер паролей Google / Менеджер паролей Microsoft.
2. Включите синхронизацию с аккаунтом Google или Microsoft — пароли будут на всех устройствах с тем же аккаунтом.
3. Используйте генератор паролей при регистрации на сайтах.

Минус: привязка к одной экосистеме. Плюс: ничего дополнительно ставить не нужно.

---

Настройка 2FA на основных сервисах

Общее правило для всех сервисов:

1. Зайдите в Настройки → Безопасность / Two-step verification.
2. Выберите приложение-аутентификатор (не SMS, если есть выбор).
3. Отсканируйте QR-код приложением (Google Authenticator, Яндекс.Ключ, Aegis Authenticator).
4. Введите показанный код для подтверждения.
5. Сохраните резервные коды восстановления — распечатайте или положите в менеджер паролей в отдельную заметку. Это одноразовые коды на случай потери телефона.

Google (Gmail, Google Drive, аккаунт Android)

1. Откройте myaccount.google.com → Безопасность.
2. Раздел Двухэтапная аутентификация → Начать.
3. Подтвердите пароль Google.
4. Добавьте Google Authenticator (или другое TOTP-приложение): покажется QR-код → отсканируйте в приложении.
5. Введите 6-значный код из приложения.
6. Скачайте резервные коды (10 штук) — кнопка "Резервные коды" на той же странице.
7. По желанию добавьте Passkey — см. Passkeys.

Microsoft (Outlook, OneDrive, Windows)

1. Откройте account.microsoft.com → Безопасность.
2. Дополнительные параметры безопасности → Двухфакторная проверка → Включить.
3. Следуйте мастеру: добавьте приложение Microsoft Authenticator или стороннее TOTP-приложение.
4. Сохраните коды восстановления.
5. В приложении Authenticator можно включить вход по одному нажатию (без ввода кода) — это push-2FA.

Яндекс (Почта, Диск, ID)

1. Откройте id.yandex.ru → Безопасность.
2. Двухфакторная аутентификация → включите.
3. Установите приложение Яндекс.Ключ (или другое TOTP) и отсканируйте QR.
4. Сохраните резервные коды в настройках безопасности.
5. Для входа в банки и госуслуги, привязанные к Яндекс ID, 2FA на ID сильно снижает риск.

Apple ID (iPhone, iCloud, Mac)

1. На iPhone: Настройки → имя аккаунта → Вход и безопасность → Двухфакторная аутентификация (обычно уже включена).
2. Добавьте доверенный номер телефона близкого человека на случай потери своего.
3. Запишите код восстановления (Recovery Key) — 28 символов. Без него восстановление без всех устройств может занять недели.

Банковские приложения

У каждого банка свой интерфейс, но логика одна:

• включите вход по PIN, биометрии и push-уведомлениям;
• отключите вход только по SMS, если банк предлагает приложение с подтверждением;
• никому не называйте коды из SMS — банк их не спрашивает по телефону.

---

Как проверить адрес сайта (URL)

URL (адрес страницы в браузере) — строка в адресной строке, например https://online.sberbank.ru. Фишинговая страница копирует дизайн настоящего банка, но адрес другой — туда утекают ваш логин и пароль.

Из чего состоит адрес

Пример: https://mail.google.com/mail/u/0/

Часть	Значение	На что смотреть
https://	Защищённое соединение	Предпочитайте https; замок в адресной строке
mail	Поддомен	Может быть любым
google.com	Домен — главное	Именно он определяет владельца
/mail/u/0/	Путь на сервере	Может быть длинным и запутанным

Правило: смотрите на домен — часть непосредственно перед .ru, .com, .рф. Всё, что правее домена (путь, параметры), менее важно для проверки "чей это сайт".

Подмена домена — примеры

Настоящий и поддельный адрес могут выглядеть похоже. Обратите внимание на домен (выделен жирным):

Выглядит как	Реальный домен	Вердикт
https://**sberbank.ru**/login	sberbank.ru	Похоже на официальный (всё равно лучше открыть приложение)
https://**sberbank-security.ru**/login	sberbank-security.ru	Подделка — это другой сайт
https://**sberbank**.evil.com/login	evil.com	Подделка — домен evil.com
https://**sbеrbanк.ru**/login (кириллическая "е")	похож на sberbank	Подделка — homograph-атака
http://192.168.1.5/bank	IP-адрес	Подозрительно для банка
https://**google.com**.login-verify.net/	login-verify.net	Подделка — домен login-verify.net

Пошаговая проверка перед вводом пароля

1. Не кликайте по ссылке из письма или SMS — скопируйте адрес или откройте сайт из закладки / приложения.
2. Посмотрите на адресную строку целиком, не только на логотип на странице.
3. Проверьте домен — совпадает ли с официальным (загуглите "официальный сайт [название банка]").
4. Нажмите на замок слева от адреса → Сертификат — для крупных банков обычно указана известная организация.
5. Если сомневаетесь — закройте вкладку и войдите через официальное мобильное приложение.

Короткие ссылки

Сокращатель URL (bit.ly, clck.ru и т.п.) прячет настоящий адрес. Перед вводом данных:

• используйте сервисы проверки коротких ссылок (например, расширение браузера "Unshorten" или вставка в virustotal.com для проверки репутации);
• или не переходите вообще — откройте сайт вручную.

Подробнее про HTTP и HTTPS — HTTP как основа веб-интеграций.

---

Типичные атаки и сценарии

Фишинг — подделка письма, сайта или сообщения под известный бренд (банк, магазин, соцсеть), чтобы вы сами ввели пароль или данные карты.

Троян — вредоносная программа, которая притворяется полезным файлом (игра, "кряк", документ с макросами).

Социальная инженерия — мошенник обманывает вас словами: звонок "из банка", просьба перевести деньги "родственнику". Компьютер при этом может быть исправен.

Ransomware (программа-вымогатель) — шифрует ваши файлы и требует деньги за "расшифровку". Разбор ниже в отдельном разделе.

Вредоносное ПО (malware) — общее название для вирусов, троянов, шпионов и вымогателей.

Ниже — развёрнутые сценарии с мини-разбором "как это выглядит" и "что делать".

Письмо "от банка"

Как выглядит:

• тема: "Срочно! Блокировка счёта", "Подозрительная операция";
• отправитель вроде security@sberbank-alert.ru (не @sberbank.ru);
• кнопка "Войти в личный кабинет";
• срочность и угроза блокировки.

Мини-разбор:

1. Вы получаете письмо утром перед работой — давление времени.
2. Кнопка ведёт на сайт, визуально как банк.
3. Вы вводите логин и пароль — они уходят мошеннику.
4. Через минуты с вашего счёта списывают деньги или оформляют кредит.

Ваши действия:

• не кликать по ссылке;
• открыть официальное приложение банка или набрать адрес из закладки;
• позвонить на номер с обратной стороны карты;
• письмо можно переслать в службу безопасности банка (адрес ищите на официальном сайте).

SMS про посылку, штраф или выигрыш

Как выглядит:

• "Посылка задержана, оплатите 30 ₽: clck.ru/xxxxx";
• "Штраф ГИБДД, оплатите до завтра";
• "Вы выиграли iPhone, перейдите по ссылке".

Мини-разбор:

1. SMS приходит неожиданно — вы ждали посылку или боитесь штрафа.
2. Ссылка ведёт на страницу оплаты картой.
3. Просят CVV и код из SMS — полный доступ к карте.

Ваши действия:

• не переходить по ссылке;
• посылку проверить в личном кабинете Почты России, СДЭК, Ozon — по номеру заказа из приложения магазина;
• штрафы — через Госуслуги или официальное приложение;
• выигрыш, которого вы не ожидали, — почти всегда мошенничество.

Звонок "служба безопасности банка"

Как выглядит:

• незнакомый номер, иногда подделанный под банк (spoofing номера);
• "С вашей карты пытаются списать 50 000 ₽";
• просят назвать код из SMS, установить приложение, перевести деньги на "безопасный счёт".

Мини-разбор:

1. Мошенник создаёт панику — "операция идёт прямо сейчас".
2. Код из SMS — это подтверждение перевода вам, а не сотруднику банка.
3. "Безопасный счёт" — счёт мошенника.

Ваши действия:

• положить трубку;
• перезвонить банку по номеру с карты или с официального сайта;
• если уже назвали код — сразу звонить в банк и блокировать карту.

Голос "родственника" или "начальника"

Как выглядит:

• WhatsApp / Telegram от "сына", "дочери", "директора";
• "Срел телефон, пишу с нового номера";
• срочная просьба перевести деньги.

Мини-разбор:

1. Эмоциональное давление — "мне срочно нужны деньги, не говори никому".
2. Иногда голос подделан нейросетью (deepfake) — звучит знакомо.
3. Реквизиты ведут на карту незнакомого человека.

Ваши действия:

• перезвонить на старый знакомый номер родственника;
• задать личный вопрос, ответ на который знает только он;
• при работе — подтвердить просьбу вторым каналом (корпоративная почта, личный звонок).

Примеры мошенничества в переписке — мессенджеры, электронная почта.

Всплывающее окно "компьютер заражён"

Как выглядит:

• полноэкранное окно в браузере с красными предупреждениями;
• "Вирус обнаружен, звоните 8-800-XXX-XX-XX";
• громкий звук, невозможно закрыть обычной кнопкой.

Мини-разбор:

1. Вы попали на сайт с агрессивной рекламой или навязчивым объявлением.
2. Это не системное сообщение Windows — это вкладка браузера.
3. "Техподдержка" попросит установить AnyDesk и украдёт данные.

Ваши действия:

• Alt+F4 (Windows) или закрыть вкладку через диспетчер задач;
• не звонить по номеру на экране — Microsoft так не работает;
• очистить историю и кэш браузера; при повторении — проверка антивирусом.

Файл из Telegram или WhatsApp

Как выглядит:

• архив Документы.rar с паролем "1234";
• файл счёт.pdf.exe (двойное расширение);
• "посмотри фото со вчерашней вечеринки".

Мини-разбор:

1. Файл пришёл от знакомого — возможно, его аккаунт уже взломали.
2. .exe — программа, а не документ.
3. После открытия — троян или ransomware.

Ваши действия:

• не открывать, если файл не ждали;
• уточнить у отправителя другим каналом ("ты правда присылал файл?");
• включить отображение расширений файлов в Windows: Проводник → Вид → Расширения имён файлов.

Бесплатный "кряк" или keygen

Как выглядит:

• "Adobe Photoshop 2024 бесплатно, без регистрации";
• keygen.exe, patch.exe, activator.

Мини-разбор:

1. В архиве часто несколько файлов — один полезный, остальные вредоносные.
2. Антивирус может ругаться — сайт пишет "отключите антивирус" — красный флаг.
3. Итог — троян, майнер (нагружает процессор) или ransomware.

Ваши действия:

• не скачивать;
• использовать бесплатные аналоги (GIMP вместо Photoshop, LibreOffice вместо платного Office) или официальные пробные версии.

QR-код на парковке или в письме

Как выглядит:

• наклейка на паркомате поверх официального QR;
• QR в письме "оплатите штраф".

Мини-разбор:

1. Камера телефона открывает ссылку без предупреждения.
2. Страница просит данные карты.

Ваши действия:

• сканировать только из доверенного источника (официальное приложение, табличка от организации);
• после сканирования — проверить URL перед оплатой;
• оплачивать парковку через официальное приложение города.

"Подтвердите аккаунт" в соцсети

Как выглядит:

• DM или письмо: "Ваш аккаунт будет удалён через 24 часа";
• ссылка на копию страницы входа Instagram / VK / Telegram.

Мини-разбор:

1. Страница выглядит идентично настоящей.
2. После ввода пароля аккаунт уходит мошеннику — он пишет вашим контактам от вашего имени.

Ваши действия:

• входить только через официальное приложение;
• включить 2FA в настройках соцсети;
• проверить активные сессии и выйти с незнакомых устройств.

Сводная таблица сценариев

Сценарий	На что обратить внимание	Ваши действия
Письмо "от банка"	Срочность, ошибки в тексте, чужой адрес отправителя, ссылка не ведёт на домен банка	Не кликать. Открыть приложение банка или набрать адрес вручную
SMS про посылку, штраф или выигрыш	Неожиданная ссылка, просьба оплатить "доставку"	Не переходить. Проверить заказ на официальном сайте
Звонок "служба безопасности банка"	Просят код из SMS, установить "защитное" приложение, перевести на "безопасный счёт"	Положить трубку. Перезвонить банку по номеру с карты
Голос "родственника" или "начальника"	Срочный перевод, странный голос, незнакомый номер	Перезвонить на знакомый номер, задать личный вопрос
Всплывающее окно "компьютер заражён"	Полный экран, номер "техподдержки Microsoft"	Закрыть вкладку (Alt+F4). Microsoft так не звонит
Файл из Telegram или WhatsApp	.exe, архив с паролем, имя вроде счёт.pdf.exe	Не открывать, если файл не ждали
Бесплатный "кряк" или keygen	Обещание платной программы бесплатно	Не скачивать — высокий риск трояна
QR-код на парковке или в письме	Ведёт на страницу ввода карты	Сканировать только из доверенного источника; проверить адрес сайта
"Подтвердите аккаунт" в соцсети	Ссылка на копию страницы входа	Входить только через официальное приложение
Просьба установить AnyDesk или TeamViewer	"Техподдержка" из чата или незнакомец	Отказать. Удалённый доступ = полный контроль над ПК

---

Удалённый доступ (AnyDesk, TeamViewer и аналоги)

AnyDesk, TeamViewer, RustDesk, Chrome Remote Desktop — программы, которые показывают ваш экран другому человеку и дают ему управлять мышью и клавиатурой. Легально используются для помощи родственникам и удалённой работы IT-специалистов.

Риски при доступе мошенника

Если вы установили программу по просьбе "техподдержки из чата":

• мошенник видит всё на экране — пароли, переписку, банковские приложения;
• может открыть браузер, зайти в вашу почту, перевести деньги;
• может установить троян без вашего ведома;
• может заблокировать компьютер и требовать выкуп.

Признаки мошеннического "удалённого доступа"

• звонок или pop-up "Microsoft / банк / полиция обнаружили вирус";
• просьба установить AnyDesk "для проверки";
• просьба отключить антивирус;
• просьба войти в онлайн-банк при включённом удалённом доступе;
• давление и срочность.

Правила безопасного использования

• устанавливайте только по просьбе знакомого человека или корпоративного IT, которого вы сами нашли;
• после сеанса помощи — закройте программу и при необходимости удалите;
• в AnyDesk / TeamViewer можно включить режим "только просмотр" без управления;
• никогда не сообщайте код доступа (9-значный ID + пароль) незнакомцам;
• если уже дали доступ — отключите интернет, завершите сеанс, смените пароли с другого устройства.

---

Ransomware (программы-вымогатели)

Ransomware — вредоносная программа, которая шифрует (превращает в нечитаемый набор символов) ваши документы, фото и иногда всю систему, затем показывает сообщение с требованием выкупа (обычно в криптовалюте).

Как попадает на компьютер

• вложение в письме или файл из мессенджера;
• "кряк" или пиратское ПО;
• уязвимость в старой версии Windows без обновлений;
• заражённый USB-накопитель.

Признаки заражения

• файлы переименованы, добавлено расширение вроде .locked, .crypt;
• на рабочем столе текстовый файл READ_ME.txt с инструкцией по оплате;
• компьютер тормозит перед появлением сообщения.

Что делать

1. Отключите компьютер от сети (Wi‑Fi и кабель) — чтобы не распространилось на другие устройства и облако.
2. Не платите выкуп сразу — часто ключ не присылают даже после оплаты.
3. Проверьте, есть ли резервная копия на внешнем диске или в облаке с историей версий — облако и бэкап.
4. Обратитесь к специалисту или в службы помощи при киберинцидентах — иногда есть бесплатные дешифраторы для известных семейств ransomware.
5. Переустановите систему с нуля, если бэкапа нет — данные без ключа восстановить сложно.

Профилактика

• регулярный бэкап по правилу 3-2-1 (3 копии, 2 носителя, 1 вне дома);
• обновления ОС;
• не открывать подозрительные вложения;
• ограничить доступ сетевых папок — см. домашняя сеть.

Подробнее — лечение от вирусов.

---

Если уже нажали или ввели данные

Действуйте быстро — первые часы критичны.

Немедленно (первые 15–30 минут)

1. Смените пароль на затронутом сервисе с другого устройства, если текущий кажется подозрительным (телефон через мобильный интернет, не Wi‑Fi).
2. Если вводили данные карты — позвоните в банк, заблокируйте карту.
3. Если вводили пароль почты — смените пароль почты первой (через неё восстанавливают остальные аккаунты).
4. Включите 2FA, если ещё не было.

В течение часа

5. Проверьте активные сессии в почте и соцсетях — выйдите со всех незнакомых устройств.
6. Проверьте правила пересылки в почте — мошенники иногда добавляют скрытую пересылку всех писем.
7. Смените пароли на связанных сервисах, если использовали тот же пароль (банк, соцсети, маркетплейсы).
8. Предупредите контакты, если взломали мессенджер — от вашего имени могут писать мошенники.

В течение дня

9. Запустите полное сканирование встроенным Defender (Windows) или аналогом; при сомнениях — лечение от вирусов.
10. Проверьте историю операций в банке и у операторов связи.
11. Если устанавливали программу по просьбе мошенника — удалите AnyDesk и подозрительные файлы, рассмотрите переустановку системы.

Не делайте

• не платите выкуп за "зашифрованные" файлы без консультации со специалистом;
• не вводите коды из SMS по просьбе "службы безопасности";
• не продолжайте пользоваться заражённым компьютером для входа в банк.

---

Таймлайн после компрометации

Время	Что происходит у злоумышленника	Ваши приоритеты
Час 1	Пробуют пароль на других сайтах (credential stuffing), входят в почту, меняют пароли восстановления	Смена паролей, 2FA, блокировка карты, выход из сессий
День 1	Настраивают пересылку почты, пишут контактам от вашего имени, оформляют микрозаймы	Проверка почты и банка, уведомление близких, сканирование ПК
Неделя 1	Продают доступ на чёрном рынке или используют для долгих схем	Мониторинг кредитной истории, смена паролей на всех важных сервисах, аудит подключённых приложений к аккаунту Google / Apple / Microsoft
Месяц 1+	Возможны отложенные атаки через оставленные бэкдоры	Переустановка системы при малейших сомнениях, регулярные бэкапы, passkeys на ключевых сервисах

---

Домашняя сеть

Wi‑Fi — беспроводная сеть дома. Пароль WPA2 или WPA3 (стандарты шифрования Wi‑Fi) не даёт соседям и прохожим подключаться к вашему роутеру и видеть ваш трафик.

Роутер — устройство, которое раздаёт интернет по Wi‑Fi и кабелю. Заводский пароль админки (веб-интерфейса настроек) часто одинаковый у тысяч устройств — его нужно сменить.

Базовая настройка роутера

1. Подключитесь к роутеру (обычно адрес 192.168.0.1 или 192.168.1.1 — указан на наклейке).
2. Войдите в админку — смените пароль администратора с заводского.
3. Установите ** WPA2/WPA3** для основной сети, придумайте длинный пароль Wi‑Fi.
4. Включите автообновление прошивки, если есть в настройках.
5. Создайте гостевую сеть для гостей и умного дома — она изолирует их устройства от файлов на вашем ПК.

Гостевая сеть и умный дом

IoT (Internet of Things, "умные" устройства) — камеры, лампочки, розетки, часто слабо защищены. Если их взломают, гостевая сеть не даст доступ к вашему компьютеру.

Подробнее — умный дом и IoT, организация домашней сети.

---

Публичный Wi‑Fi

Публичный Wi‑Fi — сеть в кафе, аэропорту, отеле, метро. Вы не знаете, кто ещё к ней подключён и настроен ли роутер правильно.

Риски

• Прослушивание трафика — на незашифрованных сайтах (http) видно, что вы вводите;
• поддельная точка доступа — сеть "Free Airport WiFi" создана мошенником рядом;
• атака "человек посередине" — подмена страниц между вами и сайтом.

Правила в публичной сети

• не входите в банк и не вводите пароли от почты без необходимости;
• используйте мобильный интернет телефона для важных операций (или раздачу с телефона на ноутбук);
• включите VPN на ноутбуке для шифрования всего трафика — см. ниже;
• отключите автоподключение к открытым сетям в настройках телефона;
• после сессии — "Забыть сеть".

Подробнее — открытый Wi‑Fi.

VPN — когда он нужен

VPN (Virtual Private Network) — программа, которая шифрует весь интернет-трафик между вашим устройством и VPN-сервером. В публичном Wi‑Fi это защищает от прослушивания соседями по сети.

• выбирайте платный или проверенный бесплатный сервис с понятной политикой;
• бесплатные VPN иногда продают данные — читайте условия;
• VPN не заменяет антивирус и осторожность с фишингом.

---

Безопасность смартфона

Смартфон — часто главное устройство: почта, банк, 2FA, мессенджеры. Потеря или взлом телефона равносилен компрометации всей цифровой жизни.

Блокировка экрана

• включите PIN (6+ цифр), пароль или биометрию (отпечаток, Face ID);
• включите автоблокировку через 30–60 секунд;
• не используйте простой PIN "1234" или "0000".

Обновления и магазины приложений

• устанавливайте приложения только из App Store и Google Play;
• на Android не включайте "Установка из неизвестных источников" без необходимости;
• обновляйте iOS / Android — в обновлениях закрывают дыры.

SIM и 2FA

• настройте PIN-код SIM у оператора — защита от извлечения SIM в другой телефон;
• для 2FA предпочитайте приложение, а не SMS;
• сохраните резервные коды — см. Passkeys.

Потеря или кража телефона

1. Позвоните оператору — заблокируйте SIM.
2. С другого устройства: найти телефон (Find My iPhone / Google "Найти устройство") → режим потери → удалённое стирание.
3. Смените пароли почты и банка с компьютера.
4. Проверьте активные сессии в мессенджерах.

См. также телефон для пожилых — там же базовые настройки безопасности.

Разрешения приложений

• не давайте доступ к контактам, микрофону, камере, если приложению это не нужно по смыслу;
• проверяйте список разрешений в настройках телефона раз в несколько месяцев.

---

Безопасность на рабочем месте

Рабочий компьютер принадлежит работодателю. На нём действуют правила компании, а утечка данных может иметь юридические последствия — см. право и защита информации.

Базовые правила

• не используйте личные пароли на рабочих сервисах и наоборот;
• не храните рабочие файлы на личных USB и облаках без разрешения;
• блокируйте экран (Win+L) при отходе от стола, даже на минуту;
• не устанавливайте программы вне списка, разрешённого IT-отделом;
• не пересылайте конфиденциальные данные на личную почту "чтобы дома доработать" без политики компании.

Фишинг на работе

• корпоративная почта — частая цель целевого фишинга (письмо "от директора" с вложением);
• при сомнении — уточните по телефону или корпоративному мессенджеру;
• сообщайте в IT-безопасность о подозрительных письмах — не просто удаляйте.

Удалённая работа

• используйте корпоративный VPN, если его выдал работодатель;
• не работайте с конфиденциальными документами в кафе без VPN;
• отделяйте рабочий профиль браузера от личного.

BYOD (личное устройство на работе)

BYOD (Bring Your Own Device) — политика, когда вы используете свой телефон или ноутбук для работы.

• уточните, может ли IT удалённо стереть устройство при увольнении;
• держите рабочие данные в отдельном контейнере (рабочий профиль, корпоративная почта в отдельном приложении).

---

Дети и пожилые

• Родительский контроль — ограничение времени, фильтрация сайтов, контроль покупок.
• Телефон для пожилых — крупные кнопки и простые настройки.

Правила для всей семьи

• никому не называть коды из SMS, даже "сотруднику банка" или "полиции";
• не отправлять фото документов (паспорт, СНИЛС) в мессенджеры без крайней необходимости;
• объяснить, что звонок с угрозой ареста — мошенничество;
• научить проверять адрес сайта перед оплатой;
• договориться: при сомнении позвонить родственнику перед переводом денег.

---

Мифы и правда

Миф	Правда
"Mac не ловит вирусы"	Mac тоже уязвим; меньше вирусов, но фишинг одинаков для всех
"Антивирус заменяет осторожность"	Антивирус не спасёт от фишинга, если вы сами ввели пароль
"Сложный пароль = безопасность"	Один сложный пароль на 20 сайтов опаснее 20 простых уникальных в менеджере
"2FA по SMS достаточно"	SMS лучше, чем ничего; приложение-TOTP или passkey надёжнее
"Я никому не интересен"	Массовый фишинг не выбирает жертв — автоматически обрабатывает тысячи утечек
"Incognito режим скрывает меня"	Incognito только не сохраняет историю локально; провайдер и сайты вас видят
"HTTPS значит сайт честный"	HTTPS шифрует канал, но поддельный сайт тоже может иметь HTTPS
"Платный VPN = полная анонимность"	VPN меняет точку выхода; фишинг и вирусы он не блокирует
"Достаточно одного бэкапа на флешке"	Ransomware шифрует подключённые диски; нужна копия отключённая от ПК или облако с историей
"Microsoft звонит о вирусе"	Microsoft не звонит пользователям дома с предупреждениями

---

Частые вопросы (FAQ)

Нужен ли платный антивирус?

Для домашнего Windows Microsoft Defender встроен и достаточен при осторожном поведении. Платный антивирус добавляет удобство и иногда защиту от фишинговых ссылок в браузере, но не заменяет менеджер паролей и 2FA.

Можно ли записывать пароли в блокнот?

Бумажный блокнот лучше, чем один пароль на все сайты, но хуже менеджера паролей: блокнот можно потерять, сфотографировать, он не предложит уникальный пароль для каждого сайта.

Что важнее — менеджер паролей или 2FA?

Оба. Менеджер убирает повторное использование паролей. 2FA защищает, если пароль всё же утёк. Начните с менеджера на почте, затем включите 2FA на почте и облаке.

Безопасно ли хранить пароли в браузере?

Лучше, чем "password123" везде. Минус — при компрометации аккаунта Google/Microsoft злоумышленник получает все пароли. Bitwarden с отдельным мастер-паролем изолирует риск.

Как понять, что аккаунт взломали?

• письма о смене пароля, которые вы не запрашивали;
• входы из незнакомых городов в истории активности;
• друзья получают спам от вашего имени;
• пропали деньги или появились незнакомые подписки.

Нужно ли менять пароли каждые 90 дней?

Современные рекомендации (NIST и др.): менять только при подозрении на утечку. Частая смена без менеджера приводит к слабым паролям вроде "Password1!", "Password2!".

Что такое SIM-swap?

SIM-swap — мошенник оформляет дубликат вашей SIM у оператора (через социальную инженерию в салоне связи) и получает ваши SMS с кодами 2FA. Защита — TOTP-приложение или passkey вместо SMS.

Можно ли пользоваться torrent?

Тorrent сам по себе — протокол обмена файлами. Риск — содержимое (пиратские "кряки" с троянами) и видимость IP для правообладателей. Для обычных пользователей безопаснее легальные источники.

Что отправлять нейросети (ChatGPT и др.)?

Не отправляйте пароли, номера карт, персональные данные клиентов, коммерческую тайну. См. ИИ для новичка.

Как проверить, утёк ли мой пароль?

Сервис haveibeenpwned.com — введите email (не пароль). Если email в утечках — смените пароли на всех связанных сервисах, включите 2FA.

Нужен ли отдельный email для регистраций?

Полезная привычка: основной email для почты и банка, второй для сомнительных сайтов и рассылок. Так спам и утечки с мелких сайтов не связаны с главным аккаунтом.

Что делать, если антивирус ругается на мой файл?

Если файл скачан с неофициального сайта — доверяйте антивирусу, удалите файл. Если это ваша программа — загрузите заново с официального сайта или добавьте в исключения только после уверенности.

---

Чек-лист минимальной безопасности

• Менеджер паролей и уникальные пароли на почту, банк, основные сервисы
• 2FA на почте и облаке (Google, Apple, Microsoft, Яндекс)
• Автообновления Windows / macOS / Android / iOS
• Резервная копия важных файлов вне ПК — облако и бэкап
• Блокировка экрана на телефоне, PIN SIM
• Сменён заводской пароль роутера, WPA2/WPA3
• Резервные коды 2FA сохранены в безопасном месте
• Известно, куда звонить при краже телефона или подозрении на взлом
• Родственники знают правило про коды из SMS

---

Куда дальше

• Passkeys — вход без пароля
• Как устроены пароли — хеши, соль, политики
• Право и защита информации в РФ — персональные данные, 152-ФЗ
• ИИ для новичка — что не отправлять в чат с нейросетью
• Опасные скрипты — когда начнёте копировать команды из интернета
• Основы компьютерной грамотности — базовый курс
• Интернет и сетевые сервисы — браузер, поиск, сервисы

---