Я начну с неприятной, но честной вещи. В 90% случаев, когда человек говорит «меня взломали», его никто не взламывал. Не подбирали миллионы комбинаций. Не сидели ночами, глядя на терминал. Не выбирали именно его. Просто пароль уже был известен. И ждал своего часа.
Где-то в 2016, 2018 или 2021 году вы зарегистрировались на форуме, покупали что-то в Интернет-магазине, создавали аккаунт «на попробовать», оставляли почту ради скидки. А потом сервис взломали, данные утекли, вы об этом не узнали. И вот важный момент, который люди не понимают годами.
Утечка не устаревает
Пароль из 2018 года спокойно работает в 2025. Особенно если он: повторяется, логичен, привязан к вам И именно это используют.
Подбор пароля сегодня
Современный мошенник не думает «какой пароль поставить случайно». Он думает иначе: Какой пароль мог придумать этот человек?
Имя. Год рождения. Город. Машина. Имя ребенка. Кличка собаки.
Все это люди сами выкладывают годами. В соцсетях. В чатах. В комментариях.
Кто хитрее?
Человек уверен, что пароль сложный: Alex1989!
Почему он так думает: не «123456» ведь! Есть символ, легко запомнить. Почему мошенник улыбается: имя + год это первый уровень словаря, такие комбинации генерируются автоматически, в утечках они встречаются тысячами
Как выглядят «нормальные» пароли со стороны атаки
Пароль
Что думает человек
Что видит атакующий
Ivan1990
Логично и просто
Шаблон №1
Ivan1990!
Уже сложнее
Шаблон №1 с символом
Qwerty2023
Новый
Массовый
BMWX5
Личное
Берется из соцсетей
Ivan_mail
Удобно
Привязка к логину
Password123!
Классика
В каждом списке
Самая разрушительная привычка: кейсы
Источник для изображения: gettyimages.com
Один пароль на все. Это не «ленивость». Это человеческая норма. Один и тот же пароль живет: в почте, в соцсетях, на маркетплейсах, в облаке, в мессенджерах.
И дальше происходит то, что в индустрии называется credential stuffing. Не мой термин. Не теория. Официальная классификация атак. Cloudflare о повторном использовании паролей. Суть простая: если пароль сработал один раз, его пробуют везде.
История 1. «Я просто хотел скидку»
Источник: обсуждение на Pikabu
Мужчина, 34 года. Пишет злой пост ночью, с телефона, без абзацев.
«Зарегистрировался в одном магазине ради промокода. Через пару месяцев не смог войти в почту. Потом Авито. Потом Telegram. Я ничего не скачивал, не кликал, не идиот. Как так вообще возможно?»
Дальше, уже в комментариях, выясняется:
почта была старая, с 2015 года
пароль использовался «почти везде»
магазин, где он брал скидку, позже попал в утечку
Он этого не знал. И никто его не предупреждал. И вот момент, который почти всегда ломает людей:
«Я думал, если прошло полгода, то уже не опасно»
Нет. Для утечек время не лечит.
История 2. «Я потерял не деньги, а лицо»
Источник: ветка на VC.ru
Девушка, работает в маркетинге. Пишет спокойно, почти холодно.
«Взломали мой аккаунт в Telegram. От моего имени писали клиентам. Просили предоплату. Я узнала об этом от заказчика. Самое ужасное, что мне поверили не сразу».
Что произошло по факту:
пароль от Telegram совпадал с почтой
почта была в утечке еще в 2020
двухфакторки не было
Деньги она вернула. Репутацию нет. И фраза, которая режет:
«Я всегда считала себя аккуратной в Интернете»
Почти все так считают.
История 3. «Я думал, что пароль знают только близкие»
Источник: комментарии на Reddit, русскоязычное сообщество
Парень, 27 лет.
«Пароль был из имени собаки и года, когда я ее взял. Никто кроме меня этого не знал. Я реально не понимаю, как его могли угадать».
А потом он сам же пишет:
фото собаки есть в Instagram
кличка в подписи
год появления тоже
аккаунт открыт
Пароль был не угадан. Он был собран.
История 4. «Я потеряла доступ к жизни»
Источник: обсуждение на Habr
Женщина, бухгалтер, не айтишник.
«Почта. Госуслуги. Облако с документами. Все ушло за одну ночь. Я плакала не из-за денег. Я не могла войти вообще никуда».
Причина: один пароль, один email, утечка старой базы интернет-провайдера
И ключевая фраза:
«Я даже не знала, что у меня есть цифровая жизнь, пока ее не забрали»
Общий знаменатель всех историй
Ни в одной из них:
не было вирусов
не было «глупых кликов»
не было желания рисковать
Было только:
повторение пароля
вера, что «старое уже не опасно»
ощущение «со мной не случится»
Что люди думали и что произошло
Как человек объяснял
Что было на самом деле
«Я ничего не нажимал»
Использован старый пароль
«Пароль сложный»
Он логичный
«Я никому не интересен»
Работал скрипт
«Это было давно»
Утечка жива
«Я осторожный»
Осторожность не равна защите
Почему такие истории цепляют сильнее цифр? Потому что в них нет злодеев из кино. Есть обычные люди. С работой. С семьей. С усталостью. С привычкой упрощать. И именно это делает подбор паролей через знание о человеке самой тихой и массовой схемой последних лет. Не страшной. Не громкой. А потому особенно опасной.
Откуда мошенники реально берут данные
Источник
Что получают
Почему это работает
Старые утечки
Почта, пароли
Люди их не меняют
Соцсети
Имена, даты
Формируют словари
Маркетплейсы
Телефон, город
Привязка аккаунтов
Форумы
Никнеймы
Часто = логин
Мессенджеры
Фото, имя
Социальная инженерия
Что реально снижает риск
Мера
Реальный эффект
Уникальные пароли
Максимальный
Менеджер паролей
Снимает человеческий фактор
Двухфакторная защита
Ломает цепочку
Минимум личного в соцсетях
Сужает словари
Проверка утечек
Дает понимание риска
Проверять утечки стоит регулярно. Не один раз в жизни.
Подбор паролей через знание о вас работает не потому, что люди глупы. А потому что люди предсказуемы. Мы упрощаем, повторяем, надеемся, что «пронесет». Интернет это помнит. Утечки это сохраняют. Мошенники это используют.
И если после этого текста кто-то поменяет хотя бы один повторяющийся пароль, значит он был написан не зря.
❗️ Материал носит исключительно информационный характер и не является юридической консультацией.
Частые вопросы
1. Меня реально могут взломать, если я никому не интересен?
Да. И именно поэтому это происходит часто. Вы не «цель», вы совпадение. Скрипты проверяют миллионы логинов и паролей из старых утечек. Если комбинация подошла — аккаунт считается валидным, независимо от того, кто вы и чем занимаетесь.
2. Если пароль сложный и с символами, разве этого недостаточно?
Нет, если он повторяется. Даже самый сложный пароль бесполезен, если он уже был в утечке и используется на нескольких сервисах. Атаки сегодня — это не угадывание, а повторное применение уже известных данных.
3. Что важнее: сложный пароль или двухфакторная защита?
Двухфакторная защита. Уникальный пароль снижает риск, но именно 2FA ломает всю цепочку атаки: даже зная пароль, злоумышленник не сможет войти без второго шага подтверждения.
Признанный эксперт в области кибербезопасности с более чем 10-летним опытом. В своей профессиональной деятельности он специализируется на выявлении интернет-мошенничества, анализе цифровых угроз и разработке эффективных стратегий защиты пользователей в онлайн-среде. Он регулярно публикует аналитические материалы, основанные на проверенных источниках и актуальных исследованиях в сфере информационной безопасности. Цель работы Дениса и команды GetScam — повышение цифровой грамотности и обеспечение прозрачности в вопросах киберугроз. Мы стремимся сделать интернет-пространство безопаснее, предоставляя читателям достоверную информацию, рекомендации по защите личных данных и инструменты для распознавания мошенников.
