Dobre pytanie ;)
Żadnych pozycji w tym temacie nie znam niestety, ale poniżej kilka tipów.
Domyślam się, że mówimy o statystycznym użytkowniku, który zazwyczaj sam w sobie nie jest celem ataku (w rozumieniu spear phishingu, czy wręcz 0-dayów stworzonych specjalnie w tym celu), ale zdarza się, że pada ofiarą masowych ataków (tj. takich, które są przeprowadzane np. na 1mln. "losowych" użytkowników na raz, a nie na tą konkretną osobę) - jest to o tyle istotne, że zmienia się podejście do obrony (tj. ew. dopuszczalne jest pójście na skróty w kilku kwestiach).
Zaczynając od bepieczeństwa samego komputera, to powtórzane do znudzenia "aktualizuj aplikacje/system" jest jak najbardziej prawdziwe (sporo malware korzysta ze starych, znanych publicznie luk w nadzieji, że ktoś nie było popatchowany). Dotyczy to również przejścia na nowego Windowsa jak tylko to ma sens (każdy kolejny Windows wprowadza szereg zmian w okolicach jądra i "rdzenia" systemu, które mają bardzo dobry wpływ na bezpieczeństwo; np. Windows 7 64-bit wprowadził patch guard / wymóg podpisanych sterowników, Windows 8 pozwolił na zabronienie aplikacji używania syscalli do win32k, a Windows 10 przeniósł obsługę czcionek z kernela do procesu z niskimi uprawnieniami).
Poza tym jak najwięcej izolacji, gdzie się tylko da. Kilka pomysłów poniżej.
- Warto potworzyć osobnych użytkowników z bardzo ograniczonymi uprawnieniami, i korzystać z softu słabszej jakości tylko z nich (można to sobie fajnie poskryptować, żeby dana aplikacja odpalana była zawsze z uprawnieniami danego usera). Przykłady aplikacji, z których każda powinna dostać osobnego usera: Adobe Reader, Microsoft Office, VLC, etc.
- (EDIT) Można pomyśleć o używaniu mniej popularnych aplikacji - o ile często są one jeszcze mniej bezpieczne niż ich popularne odpowiedniki, o tyle nie przeprowadza się na nie masowych ataków (to jest to pójście na skróty o którym wspominałem).
- No i standardowo - klikanie każdego exeka i pliku z admina brzmi jak słaby pomysł. Można wrzucić je np. na virus total i zobaczyć, czy ktoś tego już nie wrzucił np. miesiąc temu, i nie jest na zielono.
- Ściąganie exeków z sieci zawsze jest trochę ryzykowne - warto sprawdzić czy mają podpis cyfrowy, i jeśli tak, to czy jest prawidłowy (we Właściwościach Pliku jest zakładka Certyfikaty or sth).
- W przypadku statystycznego użytkownika nie zaszkodzi jakiś antywirus (w przypadku użytkowników będących konkretnym celem danego ataku bym to natomiast odradził, bo zwiększa atak surface).
- Backupy zawsze spoko (ransomware niegroźny jak się ma dobre backupy).
- Idealnie mieć zupełnie oddzielną maszynę (np. na Chrome OS albo Qubes OS), której będzie się używać tylko i wyłączenie do operacji bankowych / na kontach maklerskich / etc (co wymaga wprowadzenia żelaznej zasady typu "nie loguje się na konto bankowe/etc z innej maszyny" i "nie korzystam z tej maszyny do niczego innego").
- (EDIT) W przypadku laptopów/komórek: szyfrowanie dysków (w razie kradzieży).
Jeśli chodzi o korzystanie z sieci, to:
- Jeśli gdzieś korzysta się z public key crypto / certyfikatów, które nie są podpisane przez CA (np. shell na jakimś serwerze, itp), nie jest złym pomysłem spisanie fingerprintów kluczy / certyfikatów i wrzucenie karteczki do portfela - patrz niżej.
- Korzystając z publicznych (tj. niezaufanych) sieci wszystko jest OK w przypadku HTTPS, SSH, itp, pod warunkiem, że albo mieliśmy zapamiętany certyfikat/fingerprint klucza, albo (jeśli dostaniemy warning) zgadza się on z tym spisanym.
- Korzystając z publicznych sieci warto ograniczyć dostęp do czegokolwiek co jest nieszyfrowane (HTTP, FTP, SMTP, POP3). Jeśli koniecznie musimy, to z pomocą przychodzą takie rozwiązania jak tunelowanie w SSH (w stym SOCKS5) lub VPN, oczywiście prowadzące do zaufanych sieci.
- Jeśli chodzi o samo logowanie do różnych serwisów, to generalnie HTTPS jest obowiązkowe. Jeśli dotarliśmy do serwisu i logowania w jakiś dziwny sposób (tj. jakikolwiek poza wprowadzeniem adresu w pasku adresów, w szczególności np. klikając na link w mejlu), to warto 2 razy sprawdzić domenę (może jest .corn zamisat .com ?;>) i rzucić okiem na certyfikat. Ewentualnie otworzyć nowy tab, wejść na danych serwis wpisując jego adres i logując się w tamtym tabie.
- Jeśli chodzi o e-mail, to niestety często lata on niezaszyfrowany po sieci (jest kilka wyjątków - np. wysłanie e-maila w obrębie jednego serwisu, np. gmail-to-gmail). Do tego nie jest problemem podrobienie nadawcy. Z pomoca przychodzi kryptografia i gpg (co pozwala na szyfrowanie i podpisywanie wiadomości).
- (EDIT) No i kwestia haseł: różne, niesłownikowe <-- dwa słowa kluczowe. Idealnie korzystać z jakiegoś generatora (który generuje hasło na podstawie np. domeny i znanego tylko nam sekretu) lub bazy haseł (keepass, etc)
Jeśli chodzi o prywatność, to głównym problemem jest to co się samemu wrzuca w odmęty sieci - ograniczenie tego bardzo zmniejsza problem.
Jeśli chodzi o śledzenie przez strony, to technicznie trudno coś z tym zrobić - nawet jak się wyłączy wszystkie cookiesy, etc, to zostaje fingerprinting. Zresztą, śledznie w przypadku statystycznego użytkownika ma zazwyczaj tylko na celu dostosowanie reklam pod niego, co nie brzmi specjalnie groźnie (vs np. wyciek e-maili, albo wyzerowanie konta bankowego). Pewnie jakieś noscript/adblock/DNT/etc by trochę tu pomogły.
Jeśli chodzi o adres IP, to argumentowałbym, że w przypadku statystycznego użytkownika ukrywanie IP nie jest specjalnie istotne. Masowe ataki które wymagają IP (mniejszość) i tak przeprowadza się na prawie wszystkie IP z danego regionu; IP do śledzenia jest umiarkowanie przydatne (owszem, może zdradzić skąd użytkownik jest, but that's about it) - co chwile się zmienia, nie wiadomo czy siedzi za nim jeden czy wielu użytkowników, etc.
Ostatecznie jeśli jednak nie chcesz by ktoś widział Twoje IP, to pozostają rozwiązania typu VPN/proxy/TOR (ale idzie za tym szereg utrudnień).
Tyle mi przychodzi do głowy na szybko. Pewnie sporo pominąłem, więc domyślam się, że ktoś coś jeszcze zasugeruje.