У ідеальному світі ваш комп’ютер не може заразитися через ваш браузер. Браузери повинні запускати веб-сторінки в ненадійній пісочниці, ізолюючи їх від решти комп’ютера. На жаль, це трапляється не завжди.
Веб-сайти можуть використовувати дірки у безпеці у браузерах або плагінах для браузерів, щоб уникнути цих пісочниць. Зловмисні веб-сайти також спробують використовувати тактику соціальної інженерії, щоб обдурити вас.
Незахищені плагіни для браузера
Більшість людей, на яких здійснюється компрометація через браузери, компрометуються через плагіни їх браузерів. Java Oracle - найгірший, найнебезпечніший винуватець. Apple і Facebook нещодавно зазнали компрометації внутрішніх комп’ютерів, оскільки вони отримували доступ до веб-сайтів, що містять шкідливі аплети Java. Їх плагіни Java могли бути повністю оновленими - це не мало би значення, оскільки останні версії Java все ще містять недопрацьовані уразливості безпеки.
Щоб захистити себе, слід повністю видалити Java . Якщо ви не можете, тому що вам потрібна Java для настільної програми, такої як Minecraft, вам слід принаймні вимкніть плагін браузера Java, щоб захистити себе .
Інші плагіни веб-переглядача, зокрема Adobe Flash Player та плагіни читання PDF, також регулярно повинні виправляти уразливі місця безпеки. Adobe стала кращою за Oracle, реагуючи на ці проблеми та виправляючи їх плагіни, але все ще часто можна почути про нову вразливість Flash, яка використовується.
Плагіни - це соковиті цілі. Уразливості плагінів можна використовувати у всіх різних браузерах за допомогою плагіна у всіх різних операційних системах. Уразливість Flash-плагіна може бути використана для використання Chrome, Firefox або Internet Explorer, що працює під керуванням Windows, Linux або Mac.
Щоб захистити себе від вразливостей плагінів, виконайте такі дії:
- Використовуйте веб-сайт, наприклад Перевірка плагіна Firefox щоб перевірити, чи є у вас застарілі плагіни. (Цей веб-сайт створено Mozilla, але він також працює з Chrome та іншими браузерами.)
- Негайно оновіть будь-які застарілі плагіни. Оновлюйте їх, переконавшись, що для кожного встановленого плагіна ввімкнено автоматичне оновлення.
- Видаліть додатки, якими ви не користуєтесь. Якщо ви не використовуєте плагін Java, вам не слід його встановлювати. Це допомагає зменшити "поверхню атаки" - кількість програмного забезпечення, доступного для використання на вашому комп'ютері.
- Подумайте про використання функції плагінів click-to-play у Chrome або Firefox, яка не дозволяє запускати плагіни, за винятком випадків, коли ви їх спеціально запитуєте.
- Переконайтеся, що на комп’ютері ви використовуєте антивірус. Це остання лінія захисту від уразливості «нульового дня» (нової, невідпакованої вразливості) у плагіні, який дозволяє зловмисникові встановлювати шкідливе програмне забезпечення на вашу машину.
Отвори безпеки браузера
Вразливі місця в самих веб-браузерах також можуть дозволити шкідливим веб-сайтам зламати ваш комп'ютер. Веб-браузери в основному очистили свої дії, а вразливі місця безпеки в плагінах на сьогодні є основним джерелом компромісів.
Однак ви все одно повинні підтримувати ваш браузер актуальним. Якщо ви використовуєте стару невідпрацьовану версію Internet Explorer 6 і відвідуєте веб-сайт з меншою репутацією, веб-сайт може використати уразливості вашого браузера для встановлення шкідливого програмного забезпечення без вашого дозволу.
Захистити себе від уразливостей безпеки браузера просто:
- Оновлюйте веб-браузер. Усі основні браузери тепер перевіряють наявність оновлень автоматично. Залиште функцію автоматичного оновлення ввімкненою, щоб залишатися захищеним. (Internet Explorer оновлюється через Центр оновлення Windows. Якщо ви використовуєте Internet Explorer, дуже важливо бути в курсі оновлень для Windows.)
- Переконайтеся, що ви біжите антивірус на вашому комп’ютері. Як і у випадку з плагінами, це остання лінія захисту від уразливості нульового дня у браузері, що дозволяє шкідливим програмам потрапляти на ваш комп’ютер.
Соціально-інженерні хитрощі
Шкідливі веб-сторінки намагаються обдурити вас завантаженням та запуском шкідливих програм. Вони часто роблять це за допомогою “соціальної інженерії” - іншими словами, вони намагаються скомпрометувати вашу систему, переконавши вас впустити їх під хибними приводами, а не компрометуючи ваш браузер або самі плагіни.
Цей тип компромісу обмежується не лише вашим веб-браузером - шкідливі повідомлення електронної пошти можуть також спробувати обдурити вас відкриттям небезпечних вкладень або завантаженням небезпечних файлів. Однак багато людей заражаються всім - від рекламного програмного забезпечення та неприємних панелей інструментів браузера до вірусів та троянських програм за допомогою соціальних інженерних хитрощів, які мають місце у їхніх браузерах.
- Елементи керування ActiveX : Використовує Internet Explorer Елементи керування ActiveX для плагінів браузера. Будь-який веб-сайт може запропонувати завантажити елемент керування ActiveX. Це може бути правомірним - наприклад, вам може знадобитися завантажити елемент керування Flash Player ActiveX під час першого відтворення Flash-відео в Інтернеті. Однак елементи керування ActiveX подібні до будь-якого іншого програмного забезпечення у вашій системі і мають дозвіл вийти з веб-браузера та отримати доступ до решти системи. Шкідливий веб-сайт, що штовхає небезпечний елемент керування ActiveX, може сказати, що елемент керування необхідний для доступу до певного вмісту, але насправді він може існувати для зараження вашого комп’ютера. Якщо ви сумніваєтесь, не погоджуйтесь запускати елемент керування ActiveX.
- Автозавантаження файлів : Зловмисний веб-сайт може спробувати автоматично завантажити файл EXE або інший тип небезпечних файлів на ваш комп’ютер в надії, що ви запустите його. Якщо ви спеціально не вимагали завантаження і не знаєте, що це таке, не завантажуйте файл, який автоматично з’являється і запитує, де його зберегти.
- Підроблені посилання для завантаження : На веб-сайтах із поганими рекламними мережами - або веб-сайтах, де знайдений піратський вміст, ви часто бачите рекламу, що імітує кнопки завантаження. Ці рекламні оголошення намагаються обдурити людей завантаженням чогось, чого вони не шукають, видаючи себе за справжнє посилання для завантаження. Існує велика ймовірність, що такі посилання містять шкідливе програмне забезпечення.
- “Вам потрібен плагін для перегляду цього відео” : Якщо ви натрапили на веб-сайт, де написано, що вам потрібно встановити новий плагін браузера або кодек для відтворення відео, будьте обережні. Для деяких речей вам може знадобитися новий плагін для браузера - наприклад, вам потрібен плагін Silverlight від Microsoft для відтворення відео на Netflix - але якщо ви перебуваєте на менш авторитетному веб-сайті, який хоче, щоб ви завантажили та запустили файл EXE, щоб ви могли грати їх відео, є велика ймовірність, що вони намагаються заразити ваш комп’ютер шкідливим програмним забезпеченням.
- “Ваш комп’ютер заражений” : Ви можете побачити рекламу, в якій сказано, що ваш комп’ютер заражений, і наполягають на необхідності завантажити файл EXE, щоб очистити речі. Якщо ви все-таки завантажите цей файл EXE і запустите його, можливо, ваш комп’ютер буде заражений.
Це не вичерпний перелік. Злісні люди постійно шукають нових способів обдурити людей.
Як завжди, запуск антивіруса може допомогти захистити вас, якщо ви випадково завантажите шкідливу програму.
Це способи, яким пересічний користувач комп’ютера (і навіть співробітники Facebook та Apple) комп’ютери «зламують» через свої браузери. Знання - це сила, і ця інформація повинна допомогти вам захистити себе в Інтернеті.
