OPSEC (Operational Security) — термин из военного и разведывательного жаргона. Звучит угрожающе, но на деле это просто «не давай противнику зацепок». Применимо и к обычной жизни: вашим противником может быть мошенник, хакер, шпион или просто слишком любопытный сосед.
Базовая идея
OPSEC не про «у меня нечего скрывать». Он про «не давать врагу собрать пазл». По отдельности каждая мелочь не критична, но в сумме рисует картину.
Пример: ваше имя — Иван. Это известно. Город — Москва. Это известно. Имя жены — Анна. Это известно. Любимый цвет — синий. Это известно. По отдельности — пустяки. Вместе — это уже ответы на «секретные вопросы» во многих сервисах.
Принципы
1. Минимизация публичной информации. Не выкладывайте лишнего о себе в открытом доступе. Каждая мелочь — потенциальная зацепка.
2. Разделение идентичностей. Личный аккаунт, рабочий, для покупок, для соцсетей — желательно разные email, разные пароли, разные образы.
3. Минимум деталей в разговорах. «Был в отпуске» — нормально. «Был в Турции с женой и тремя детьми с 5 по 19 мая, дома никого не было» — нет.
4. Информационная диета. Каждая регистрация — анализ: «а зачем им мои данные? Что они могут с ними сделать?» Часто можно ограничиться минимумом.
Что обычно «утекает» из обычного человека
Профессиональный «социальный инженер» собирает за день:
- Полное имя из соцсетей.
- Город и район по геотегам в Instagram.
- Имя работодателя по LinkedIn.
- График работы по статусу VK «в сети» / «не в сети».
- Семейный состав по фотографиям.
- Привычки (кафе, спортзал) по чек-инам.
- Дату рождения из открытых поздравлений.
- Имена детей и животных по фоткам.
Этого достаточно для звонка «здравствуйте, я из вашего банка, у вас перевод от Анны на 50 000 рублей, подтвердите код».
Базовые меры OPSEC
1. Закрытые соцсети для личного. Профиль «только для друзей». Никаких публичных Instagram с детьми.
2. Не публикуйте поездки во время отпуска. Геотег «в Турции» = «дома никого нет, можно грабить». Лучше выложить фото по возвращении.
3. Уберите день рождения из публичного. ВКонтакте и Facebook позволяют скрыть.
4. Не отвечайте на «опросы» в соцсетях. «Назовите имя вашего первого питомца», «улица детства» — это вопросы для подбора паролей и секретных вопросов в банках.
5. Не выкладывайте фото билетов, ваучеров, банковских карт. Даже частично. По номеру билета можно отменить рейс. По части карты — сделать выводы.
6. Разные email для разных ролей. «личное@protonmail», «работа@gmail», «покупки@yandex». Утечёт один — другие в безопасности.
7. Не кладите все яйца в одну корзину. Аккаунт Google — это и почта, и YouTube, и Drive, и Pay. Если взломают — потеряете много. Может быть, разделить.
Соцсети и OPSEC
Главный риск — добровольное публикование о себе. Каждый пост — кирпич в стене информации о вас.
Спросите себя перед публикацией:
- Кто это увидит?
- Что они могут с этим сделать?
- Через 5 лет я не пожалею об этом?
Если ответ «не знаю» — может, лучше не публиковать.
Метаданные фотографий
Когда вы фотографируете телефоном, в файле сохраняется EXIF:
- Точное GPS-местоположение.
- Дата и время.
- Модель телефона.
- Иногда — серийный номер.
Загружая фотографию на форум или в чат, вы передаёте все эти данные. Большинство соцсетей стирают EXIF при загрузке — но не все.
Защита: на телефоне выключите «сохранять геолокацию в фото». Или удалите EXIF вручную перед публикацией (есть приложения).
Звонки и психология
Звонок «здравствуйте, я из вашего банка» — главная атака на обычных людей. Защита:
- Никаких кодов из SMS по телефону. Никогда. Банк никогда не просит код.
- Если сомнения — перезвоните на банк по номеру с обратной стороны карты.
- Не сообщайте PIN, CVV, последние цифры карты по телефону.
«Срочно» — главное оружие мошенников. Замедлитесь, подумайте, спросите совета у близких.
Резюме
- OPSEC — это не паранойя, это базовая дисциплина.
- Не давайте информации больше, чем нужно.
- Разделяйте идентичности (личное, работа, покупки).
- Закрытые соцсети для личного.
- Не публикуйте отпуска во время отпуска.
- VPN — один кирпич в стене, но не вся стена.