Правила кибербезопасности. Фото: Unsplash.
Хакер может поймать вас на крючок, даже если вы ни разу в жизни не генерировали пароль с даты рождения. Абсолютная безопасность в интернете — это недостижимая константа. Именно от переменных зависит, что вы получите в итоге. Соблюдение правил информационной безопасности изменит вашу диджитал-жизнь к лучшему, а хакеров, наоборот, оставит ни с чем.
выяснило, почему киберпреступников кормят персональные данные, зачем нужно защищать личную информацию и как правильно это делать.
Схемы мошенничества: на чем зарабатывают хакеры
В июле 2020 года мир всколыхнула самая масштабная хакерская атака в истории Twitter. Преступники взломали аккаунты известных бизнесменов и политиков и опубликовали от их имени сообщения примерно такого содержания: переведите средства на криптокошелек — и мы удвоим входящие платежи. За считанные часы хакеры разбогатели примерно на $110 тыс.
В списке жертв взлома оказались Билл Гейтс, Илон Маск, Джо Байден, Барак Обама, Канье Уэст, Ким Кардашьян, компании Apple и Uber, а также крупнейшие криптовалютные биржи CoinDesk, Binance и Gemini.
Украинские хакеры тоже не спят. В октябре киберполиция задержала группу преступников, которые взломали более 100 млн электронных кошельков, аккаунтов в игровых серверах и банкингах с упрощенным входом. Используя сохраненные в настройках браузера логин и пароль, они выводили деньги с чужих счетов.
С начала 2020 года Служба безопасности Украины нейтрализовала 460 кибератак, 20 хакерских группировок и 16 ботоферм мощностью более 60 тыс. ботов.
В зоне риска прежде всего финансовая отрасль, государственные и медицинские учреждения, оборонные и промышленные предприятия, онлайн-сервисы, сфера услуг, телекоммуникации, IT-компании и блокчейн-проекты. Объектами атак становятся люди, компьютеры, серверы и сетевое оборудование, веб-ресурсы, мобильные устройства, банкоматы и POS-терминалы, а также Интернет вещей (IoT).
Методы, с помощью которых работают хакеры, практически неизменны: киберпреступники используют вредоносное программное обеспечение, подбирают учетные данные, применяют манипулятивные приемы социальной инженерии и эксплуатируют уязвимости веб-ресурсов.
«Популярным и простым является фишинг — например, вам присылают сообщение со ссылкой на что-то интересное. Будьте внимательны к мелочам. Если приходит e-mail, что кто-то пытается зайти в вашу почту и нужно немедленно сменить пароль, убедитесь, что это письмо именно от google, а не gÖogle, например», — советует Егор Аушев, соучредитель школы кибербезопасности CyberSchool и компании, разрабатывающей стратегии кибербезопасности, CyberUnit.tech.
Кроме того, злоумышленники создают клонированные сайты с привлекательными акциями или розыгрышами. Во время авторизации на подозрительных ресурсах пользователи добровольно отдают свои данные в базу преступникам. Так, в прошлом месяце мошенники «дарили» фейковые 2,5 тыс. грн от имени сети супермаркетов АТБ.
Зачем кому-то может понадобиться ваша личная информация? Основной мотив киберпреступников — финансовая выгода. Как говорится, data is the new gold (данные — новое золото): информацию можно покупать и продавать на черном рынке, а также использовать для подделки документов.
В основном это утечки из банков и государственных учреждений. «Слитая» оттуда информация помогает мошенникам завоевать доверие жертвы по телефону. Человек думает, что такие данные может знать только работник банка, рассекречивает пароль и может попрощаться с деньгами.
Впрочем, не все хакеры — преступники. Так называемым black hat (черная шляпа) противостоят white hat (белая шляпа) — специалисты по информационной безопасности, или этические хакеры. Они не нарушают закон, а пытаются выявить дыры в системах и улучшить защитные механизмы.
Что мне грозит в интернете
Формально персональные данные — это ваши имя и фамилия, место и дата рождения, паспортные данные, адрес проживания, семейный статус, образование, профессия, должность и доходы. Личная информация охватывает еще и аккаунты в соцсетях, онлайн-счета, бытовые и деловые переписки в интернете — так называемый цифровой профайл, который является важным активом нашей жизни.
Выложив фото с геолокацией, обозначив статус в фейсбуке, оплатив что-либо карточкой или с помощью смартфона, мы оставляем цифровой след и создаем вокруг себя киберпространство, открытое как для друзей, так и для злоумышленников.
В топе киберпреступлений — распространение вредоносного ПО, кража номеров кредитных карточек и банковских счетов, взлом паролей, захват аккаунтов в соцсетях и нарушение авторских прав. Вы уже стали жертвой интернет-мошенничества, если:
- вам звонили неизвестные компании с рекламой товаров и услуг;
- от вашего имени в интернете публиковали информацию, которую вы не распространяли;
- ваши паспортные данные выложили в открытый доступ;
- в настройках появлялись неизвестные устройства, с которых проверяли вашу почту, фейсбук или инстаграм;
- без вашего ведома со счетов исчезали деньги.
«Кто-то до сих пор живет в парадигме «кому я нужен» или «меня не взломают». Таких людей злоумышленники используют как вектор атаки на основные цели: руководителей предприятий или инфраструктуры корпораций. О безопасности онлайн-ресурсов заботится очень малый процент населения. Преимущественно это известные публичные люди, которые понимают цену утечки информации», — говорит Аушев.
Иными словами, безответственный пользователь ставит под угрозу не только себя, но и свое окружение, чаще всего — семью и начальство. Иногда хакеры получают доступ, но не показывают себя до нужного момента. Помните: если вас до сих пор не взломали, возможно, вы просто об этом не знаете.
Пять заповедей личной кибергигиены
White hat сравнивают: когда проезжаешь мимо аварии, обещаешь себе ездить 60 км/ч, а уже через пять минут снова превышаешь скорость. С безопасностью в интернете то же самое: кибергигиена должна стать привычкой на подсознательном уровне.
Пароль играет роль
Никаких дат рождения и символических чисел. Генерируйте случайные последовательности цифр и букв. На каждый аккаунт ставьте другой пароль и время от времени его меняйте. «Лучше не использовать секретный вопрос для входа в аккаунт. Открою тайну: девичью фамилию вашей мамы узнать очень легко, а значит, вся киберзащита «ляжет» за секунду», — добавляет эксперт.
Специалист советует включить двухфакторную аутентификацию, но не через SMS, так как их могут перехватить. Лучше пользоваться специальными приложениями — например, Google Authenticator. Пароли можно хранить в приложениях, которые загружаются на телефон и сохраняют информацию офлайн, а не на чужих серверах неизвестного происхождения.
Семь раз прочти — один раз кликни
Мыслите критически и следуйте культуре zero trust (ноль доверия), то есть не доверяйте никому полностью. Стоит быть осторожным со ссылками, push-уведомлениями, сообщениями, особенно если это откровенный кликбейт.
Следите за разрешениями, которые предоставляете приложениям, и старайтесь просматривать пользовательское соглашение. Так вы по крайней мере будете знать, что TikTok каждые 30 секунд проверяет вашу геолокацию, список установленных приложений, контакты, сообщения, историю звонков, а затем направляет эту информацию на 70 различных серверов, 30% из которых — китайские.
Держи гаджеты в порядке
Регулярно проводите аудит своих устройств, обновляйте программное обеспечение, проверяйте работу антивируса.
Не стоит забывать о защите беспроводной сети. Обновите имя и пароль роутера, которые стоят по умолчанию от производителя, отключите удаленное управление. Убедитесь, что ваш маршрутизатор использует шифрование WPA2 или WPA3. К бесплатному вай-фаю в общественных местах подключаться рискованно.
Делай бэкап
Включите резервное копирование важных данных в автономном режиме на внешний жесткий диск или в облачное хранилище. Однако интимные фото лучше так не хранить. «Если вы сделали их на телефон, подключенный к интернету, убедитесь, что вы там хорошо получились, и будьте готовы к тому, что когда-то они могут стать публичными», — говорит Аушев.
Береги личное
Не указывайте в соцсетях номер телефона или адрес. Если это все-таки рабочая страница, сделайте контакты и список друзей частными, доступными ограниченному кругу пользователей. Геолокацией лучше не злоупотреблять.
Прежде чем что-то опубликовать, пройдите тест «билборда»: готовы ли вы увидеть на билборде то, что отсылаете или выставляете?
Как защитить бизнес от кибератак
«Недавно мы наблюдали за атакой на украинскую компанию-разработчика SoftServe и производителя разумных гаджетов Garmin. Причем руководство последнего приняло решение заплатить выкуп хакерам. Сегодня на рынке действуют новые правила игры: чем лучше вы заботитесь о кибербезопасности, тем более конкурентной является ваша компания в сравнении с другими игроками», — отмечает Аушев.
Чаще всего бизнес страдает от DDoS-атак, призванных вывести систему из строя огромным количеством запросов. Например, заказывая DDoS-атаку на сайт конкурента, предприниматель увеличивает продажи на собственном ресурсе. Недовольные клиенты просто оставляют недоступный сервер и ищут альтернативу. Удаленный режим во время пандемии — тоже вызов для бизнеса. Преступники атакуют активнее, а за возобновление работы требуют выкуп в криптовалюте.
Взломать можно что угодно. Хакеры считают систему защищенной, если ее взлом стоит дороже, чем информация, которую она хранит. Аушев советует украинским предпринимателям не быть самоуверенными и вести более последовательную политику кибербезопасности.
Нельзя защитить бизнес один раз и думать, что отныне все всегда будет надежно. Кибербезопасность — это постоянный процесс, за который должны отвечать отдельные люди в компании. Они проводят регулярные аудиты инфраструктуры, обучают сотрудников, следят за обновлением ПО, оценивают риски и разрабатывают стратегию по кибербезопасности, которая является неотъемлемой частью бизнес-стратегии в целом.
Егор Аушев
Соучредитель компаний по кибербезопасности CyberUnit.tech & CyberSchool
Меня взломали: что делать
Прежде всего предупредите свое окружение о том, что ваши аккаунты взломали. Через один несложно получить доступ к другому.
После этого надо установить, каким образом чужой человек или группа людей завладели вашим аккаунтом. Обратитесь в киберполицию или в частные компании, которые занимаются кибербезопасностью. Специалисты выяснят проблему, починят устройство, помогут восстановить доступ.
Егор Аушев — Соучредитель компаний по кибербезопасности CyberUnit.tech & CyberSchool
И все же позаботиться о защите личной информации до того, как на вас напали, в десятки раз дешевле, чем исправлять последствия. Большинства хакерских атак можно было избежать, если бы пользователи имели высокий уровень цифровой грамотности и придерживались базовых правил кибергигиены.
Бесплатно прокачать свои знания по кибербезопасности помогут образовательный сериал «Персональные данные» на государственном портале «Дія» и курс «Основы информационной безопасности» на Prometheus.