По версии Яндекса, речь идет не о кавалерийской атаке со взломом, а о «сборе скомпрометированных аккаунтов в течение длительного периода времени» - к тому же «85% аккаунтов» уже всплывали в подобных базах, их владельцев просили сменить пароль. Этого сделано не было, что дало Яндексу повод говорить: «Такие аккаунты, скорее всего, заброшены, либо созданы роботами».
В Mail.ru сделали акцент на «легкомыслие пользователей», который используют слишком простые и одинаковые пароли, не ставят на компьютеры антивирусную защиту — это и позволяет разгуляться злоумышленникам. Владелец Gmail, Google, на момент написания заметки ситуацию не комментировал.
На популярном компьютерном ресурсе Хабрахабре пользователь Vanor пишет: «Тут результат нескольких атак: и брутфорс, и фишинг, и кейлогер». Переведем это на доступный язык.
Брутфорс — так называемый «полный перебор» паролей. Злоумышленник узнает ваш логин от почты (его, в общем-то, никто и не скрывает). После этого в поле входа он вводит логин — предположим, dima123@mail.ru — и запускает специальную программу, которая начинает подбирать пароли. Впрочем, популярные интернет-ресурсы «замечают» парадоксально быстрый перебор (человек не сможет по 30 раз в секунду вводить пароль) и вводят либо таймер отсчета до следующей попытки, либо капчу (сложнораспознаваемую картинку из цифр и букв), либо вовсе аккаунт блокируют.
Фишинг — метод мошенничества, при котором жулик представляется именем популярного бренда, администрацией ресурса, кем угодно еще, и просит у пользователя его пароль. В электронном письме говорится, например: «В связи с обновлением базы данных просьба повторно авторизоваться на нашем почтовом сервере. В поле «ответ» введите пароль в точности как при регистрации». Доверчивый пользователь вводит пароль и отправляет его злоумышленникам.
Кейлогер — программа, регистрирующая действия пользователя на его компьютере. Скачивается она обычно самим пользователем — тот думает, что это добродушное программное обеспечение, скажем, по ускорению компьютера. Кейлогеры умеют «запоминать» движения мыши и нажатые клавиши. Злоумышленник таким образом узнает все пароли.
«Истории про миллионы паролей, якобы украденных при «взломе» сервисов Яндекса и Mail.ru, есть ровно одно рациональное объяснение. Если кто-то решил покормить дорогих российских телезрителей страшилками про уязвимость негосударственных веб-почт — значит, мы скоро услышим о планах государства по решению этой проблемы», — считает Антон Носик, видный деятель российского интернета.
По его мнению, вариантов дальнейшего развития событий два: либо будет «закручивание гаек» под видом заботы о данных пользователей, либо масштабный распил бюджетных денег на интернет-аналог «Почты России». Подозрения Носика в некоторой степени своими действиями подтвердил депутат Госдумы, председатель думского комитета по экономической политике и бизнесу Евгений Федоров.
Буквально 9-го сентября Федоров потребовал, чтобы Генеральная прокуратура проверила Google на предмет нарушений российского законодательства. И, видите ли, уже сегодня «утекают» 5 миллионов ящиков Gmail…
«Мировую систему интернета контролируют США, — рассказал Федоров «МК». — Дорога может быть только одна: контролировать хранение данных граждан на национальном уровне. Мы подготовили законопроект, который обяжет размещать дата-центры (большие компьютеры с огромными жесткими дисками, предназначенные для хранения данных — «МК») компаний, работающих с информацией российских пользователей, на территории РФ. То есть все почтовые ящики, соцсети, ресурсы должны храниться на нашей территории и под нашим контролем». Инициатива, по мнению Федорова, даст новые рабочие места инженерам, поднимет общий уровень технической квалификации и обезопасит пользователей от утечек..
Последний вопрос — как выяснить, «угнали» ли ваш почтовый ящик в эти трагические дни. Компании разослали пользователям сообщения о необходимости смены паролей, но лишняя проверка не помешает. Вот список сайтов, на которых это можно сделать:
http://games-gen.com/mails/check1.html
http://games-gen.com/mails/check2.html
http://games-gen.com/mails/check3.html
Достаточно ввести адрес своей электронной почты и узнать ответ.
Вообще, рекомендуется использовать сложные пароли, состоящие из букв, цифр и символов. Кроме того, принести определенные плоды может банальное транскрибирование. Фраза, например, «МаксимГорький», набранная латиницей, превращается в сложную каракатицу, защищая вас от хакеров.