Facebook Pixel

Як захиститися від крадіжки персональних даних

Олексій Ясінський
Director of B4 Department, BAKOTECH

Персональні дані часто потрапляють в поле зору хакерів: вони дорого коштують, вони затребувані і є безліч способів їх отримати. Поговоримо про те, як персональні дані потрапляють до рук зловмисників, хто повинен їх захищати і як конкретна людина може подбати про збереження своїх персональних даних.

Що таке персональні дані і хто повинен їх захищати

Відповідно до Закону України «Про захист персональних даних», персональними даними є відомості про ідентифіковану особу або такі, завдяки яким можна ідентифікувати конкретну людину.

Турбота про збереження персональних даних лягає не тільки на їхнього власника, а здебільшого на компанії, яким ми ці дані передаємо. А робимо ми це постійно: користуємося послугами банків, купуємо товари в магазинах, реєструємося на сайтах або влаштувалися на роботу. Компанія, якій ми довірили свої дані, повинна зробити так, щоб їх не вкрали саме у неї, а нам же залишається стежити за тим, кому ми надаємо таку цінну інформацію.

Як персональні дані потрапляють до рук зловмисників

Є безліч варіантів, як хакери можуть вкрасти ваші дані. Іноді це відбувається навіть випадково, а якщо точніше — завдяки щасливому випадку для хакера. Куди більшу цінність для зловмисників представляють дані компаній — наприклад, інформація, що являє собою комерційну таємницю. Але так уже вийшло, що найбільш простою точкою входу в інфраструктуру компанії є саме рядовий співробітник: його пошта, месенджер або пристрій. Таким чином, зламуючи телефон конкретної людини, хакер отримує доступ до всього: від логінів і паролів в корпоративні сервіси до особистих фотографій на клауді або історії листувань.

Але все-таки найчастіше наші дані «витікають» у мережу через злом застосунків і сервісів, якими ми користуємося. Не дивно: щоб отримати відчутну вигоду від продажу вкрадених даних, хакер повинен вкрасти тисячі записів. Для цього він може зламати тисячу пошт, телефонів, акаунтів, а може хакнути один слабо захищений додаток або державний сервіс із захистом родом з початку нульових.

Крім персональних, цінність можуть представляти й інші дані, які ми «транслюємо в мережу»: історія пересувань, пошуку, відвіданих сайтів і дій на цих сайтах. Коли нам здається, що це нікому не цікаво, слід згадати про те, що в іншому кутку рингу розвивається екосистема загроз: нові технології у хакерів, поява поняття злому як сервісу та послуги, організованість зловмисників і попит з боку замовників. Є люди, в яких бізнес побудований на шантажуванні інших користувачів. Красти все підряд — раптом щось буде корисним.

Наприклад, у деяких країнах можна купити інформацію про авіаперельоти і всі деталі майбутніх рейсів: список пасажирів, паспортні дані, за якими куплені квитки, багаж, маршрут тощо. Залишається лише здогадуватися, кому знадобиться така інформація і про кого саме.

Тому я і акцентую увагу на тому, що збереження даних повинно бути першочерговим завданням саме компаній. Сучасна людина не може перестати користуватися всіма благами людства й інтернетом загалом. Водночас захистити свої дані від добре спланованих атак їй не під силу.

Правда, це не означає, що взагалі нічого не треба робити. Якщо боротьбу з хакерами-професіоналами ми довіряємо компаніям, то захиститися від любителів-новачків і не потрапити під «широкий закос» нам якраз-таки під силу.

Як захистити дані самостійно

Увімкнути двофакторну аутентифікацію

Йдеться про підтвердження логіну куди-небудь через додатковий сервіс — лист на пошту, повідомлення в телефон тощо. Отримавши логін і пароль, хакери мають доступи до всіх даних, двофакторна аутентифікація дуже значно впливає на ситуацію. Вона робить логін і пароль марними для хакера, адже щоб потрапити, куди потрібно, йому необхідно буде отримати повноцінний доступ і до другого фактору: телефону, пошти тощо.

Переходити на e-SIM

Так ви захистите другий фактор аутентифікації. Часто він полягає в дзвінку або SMS-повідомленні на телефон — вам приходить пароль у повідомленні, ви його вводите і входите в додаток. Або ж надходить дзвінок від робота, який говорить «для підтвердження входу натисніть цифру 1». Якщо телефон потрапив до рук зловмисника, то він може витягнути сім-карту і вставити її в інший телефон, таким чином отримавши можливість пройти другий фактор.

E-SIM — цифрова сім-карта, позбавлена фізичних недоліків. Її неможливо витягнути з телефону і, як наслідок, отримати доступ до дзвінків і СМС. Даний тип карти захищений безпосередньо операційною системою пристрою, що є досить значним шифруванням. Тому потрібно впроваджувати e-SIM як тільки з'явиться така можливість. Якщо ж перехід на e-SIM із якихось причин вам недоступний, то щонайменше встановіть надійний пін-код на сімку.

Піддавати все сумніву

Вивчайте рекомендації сервісів, на яких ви перебуваєте. Наприклад, банк не дзвонитиме вам із метою актуалізації даних або якихось інших дій з картою — вас попросять приїхати до відділення або зробити щось в застосунку. Ну й інші хитрощі на кшталт «ви виграли мільйон — надішліть CVV для отримання» — теж, будемо чесні, зі сфери фантастики.

Перш ніж приймати рішення, слід:

· Придивитися до посилань та листів

· Не обговорювати телефоном банківські дані

· Ще раз перевірити підозрілі запити

· Спілкуватися тільки перевіреними каналами

· Розібратися в технологіях, якими користуєтеся

Варто пам'ятати, що якщо прицілилися в конкретну людину, то її вивчать до кісточок і надішлють такий лист, який вона отримує кожен день: від колег, родичів, друзів або партнерів. Лист може навіть виглядати ідентично і бути написаний з урахуванням особливостей мови звичного вам відправника, але тим не менш бути фейковим. З іншого боку, це вже більш просунутий рівень і такі атаки зазнають далеко не всі підряд.

Найчастіше користувачі потрапляють в поле зору хакерів-початківців постійно. Потрібно просто бути уважним і діджитал-підкованим. Наприклад, коли «Дія» роздавала підприємцям по 8000 грн в якості допомоги, з'явився фейковий портал, який крав ці гроші з рахунків замість того, щоб їх нараховувати. Фейк просив ввести номер картки, паролі тощо. Якщо «включити скептика» — ніхто в текстовому вигляді ніколи не питає CVV код. І ось — під загрозою всі, хто працює як ФОП.

Вище викладені рекомендації допомагають захистити себе та свої дані на побутовому рівні. Здоровий рівень параної дозволить знизити ризик і підвищити захищеність.

Як усунути наслідки крадіжки даних

Головне, що потрібно засвоїти, — ризик є завжди. Описані заходи, якийсь софт для безпеки та взагалі всі кроки, які можна зробити, лише знижуватимуть ймовірність злому. Тому про те, що робити, якщо все-таки ви стали жертвою витоку, знати необхідно.

Те, що потрапило в інтернет, не зникне звідти ніколи. Вкрадені дані — не виняток, тому передусім потрібно зробити їх неактуальними і замінити. Якщо це дані банківської картки — перевипустіть карту і змініть паролі, якщо це паспортні дані — змініть документи, номери телефонів, паролі, пристрої і доступи в акаунти — купуйте і реєструйте нові.

Крім цього, потрібно зрозуміти, як стався злам, і наступного разу вжити заходів для захисту, щоб ситуація не повторилася. Для цього проведіть самостійне розслідування: подумайте про те, де використовували вкрадену інформацію останнім часом, перегляньте логи месенджерів та листування в пошті. Найчастіше зловмисники намагаються обдурити, а не зламати. Наприклад, користувачі куди частіше відправляють свої фотографії зловмисникам самі, ніж стають жертвами злому телефонів або хмарних сховищ.

Ваше завдання — бути уважними та думати. Читайте договори, перевіряйте, хто вам пише і телефонує, піддавайте все сумніву, вчитуйтесь в умови на сайтах та інших сервісах — це не гарантує абсолютної безпеки, але вбереже від 99% способів крадіжок, які зустрічаються кожного дня.

Подякувати 🎉
The Page Logo
У вас є цікава колонка для The Page?
Пишіть нам: [email protected]

Редакція не несе відповідальності за зміст матеріалу і може не поділяти точку зору його автора