Правила кібербезпеки. Фото: Unsplash.
Гакер може спіймати вас на гачок, навіть якщо ви жодного разу в житті не генерували пароль із дати народження. Абсолютна безпека в інтернеті — це недосяжна константа. Саме від змінних залежить, що ви отримаєте в підсумку. Дотримання правил інформаційної безпеки змінить ваше діджитал-життя на краще, а гакерів, навпаки, залишить ні з чим.
з'ясувало, чому кіберзлочинців годують персональні дані, навіщо потрібно захищати особисту інформацію та як правильно це робити.
Злочинні схеми: на чому заробляють гакери
У липні 2020 року світ сколихнула наймасштабніша гакерська атака в історії Twitter. Злочинці зламали акаунти відомих бізнесменів і політиків і опублікували від їхнього імені повідомлення приблизно такого змісту: перекажіть кошти на криптогаманець — і ми подвоїмо вхідні платежі. За лічені години гакери розбагатіли приблизно на $110 тис.
У списку жертв злому опинилися Білл Гейтс, Ілон Маск, Джо Байден, Барак Обама, Каньє Вест, Кім Кардашьян, компанії Apple та Uber, а також найбільші криптовалютні біржі CoinDesk, Binance і Gemini.
Гакери зламали Twitter. Фото: Bleeping Computer.
Українські гакери теж не сплять. У жовтні кіберполіція затримала групу злочинців, які зламали понад 100 млн електронних гаманців, акаунтів в ігрових серверах і банкінгах зі спрощеним входом. Використовуючи збережені в налаштуваннях браузера логін і пароль, вони виводили гроші з чужих рахунків.
Українські гакери зламали приблизно 100 млн акаунтів. Фото: Укрінформ.
З початку 2020 року Служба безпеки України нейтралізувала 460 кібератак, 20 гакерських угруповань і 16 ботоферм потужністю понад 60 тис. ботів.
У зоні ризику передусім фінансова галузь, державні й медичні установи, оборонні та промислові підприємства, онлайн-сервіси, сфера послуг, телекомунікації, IT-компанії та блокчейн-проєкти. Об’єктами атак стають люди, комп’ютери, сервери та мережеве обладнання, вебресурси, мобільні пристрої, банкомати й POS-термінали, а також Інтернет речей (IoT).
Методи, з допомогою яких працюють гакери, майже незмінні: кіберзлочинці використовують шкідливе програмне забезпечення, підбирають облікові дані, застосовують маніпулятивні прийоми соціальної інженерії та експлуатують вразливості вебресурсів.
Статистика кіберзлочинів у 2020. Фото: СБУ.
«Популярним і простим є фішинг — наприклад, вам надсилають повідомлення з лінком на щось цікаве. Будьте уважні до дрібниць. Якщо приходить е-mail, ніби хтось намагається зайти у вашу пошту і треба негайно змінити пароль, переконайтеся, що це лист саме від google, а не gÖogle, наприклад», — радить Єгор Аушев, співзасновник школи кібербезпеки CyberSchool і компанії, що розробляє стратегії з кібербезпеки, CyberUnit.tech.
Крім того, зловмисники створюють клоновані сайти з привабливими акціями або розіграшами. Авторизуючись на підозрілих ресурсах, користувачі добровільно віддають свої дані в базу злочинцям. Так, минулого місяця шахраї «дарували» фейкові 2,5 тис. грн від імені мережі супермаркетів АТБ.
Шахрайська схема розіграшу. Фото: Сайт міста Кременчуга.
Навіщо комусь може знадобитися ваша особиста інформація? Основний мотив кіберзлочинців — фінансова вигода. Як-то кажуть, data is the new gold (дані — нове золото): інформацію можна купувати і продавати на чорному ринку, а також використовувати для підроблення документів.
Здебільшого це витоки з банків і державних установ. «Злита» звідти інформація допомагає шахраям завоювати довіру жертви під час телефонної розмови. Людина вважає, що такі дані може знати тільки працівник банку, розсекречує пароль і може попрощатися з грошима.
Утім, не всі гакери — злочинці. Так званим black hat (чорний капелюх) протистоять white hat (білий капелюх) — спеціалісти з інформаційної безпеки, або етичні гакери. Вони не порушують закон, а намагаються виявити дірки в системах і покращити захисні механізми.
Що мені загрожує в інтернеті
Формально персональні дані — це ваші ім’я та прізвище, місце й дата народження, паспортні дані, адреса проживання, сімейний статус, освіта, професія, посада та доходи. Особиста інформація охоплює ще й акаунти в соцмережах, онлайн-рахунки, побутове та ділове листування в інтернеті — так званий цифровий профайл, який є важливим активом нашого життя.
Виклавши фото з геолокацією, позначивши статус у фейсбуці, оплативши будь-що карткою або з допомогою смартфону, ми залишаємо цифровий слід і створюємо навколо себе кіберпростір, відкритий як для друзів, так і для зловмисників.
Правила безпеки в інтернеті. Фото: Кіберполіція України.
У топі кіберзлочинів — поширення шкідливого ПЗ, крадіжка номерів кредитних карток і банківських рахунків, злом паролів, захоплення акаунтів у соцмережах і порушення авторських прав. Ви вже стали жертвою інтернет-шахрайства, якщо:
- вам телефонували невідомі компанії з рекламою товарів і послуг;
- від вашого імені в інтернеті публікували інформацію, яку ви не поширювали;
- ваші паспортні дані виклали у відкритий доступ;
- у налаштуваннях з’являлися невідомі пристрої, з яких перевіряли вашу пошту, фейсбук чи інстаграм;
- без вашого відома з рахунків зникали кошти.
«Хтось досі живе в парадигмі «кому я потрібен» або «мене не зламають». Таких людей зловмисники використовують як вектор атаки на основні цілі — керівників підприємств або інфраструктури корпорацій. Про безпеку онлайн-ресурсів дбає дуже малий відсоток населення. Переважно це відомі публічні люди, які розуміють ціну витоку інформації», — говорить Аушев.
Як захистити особисті дані. Фото: Кіберполіція України.
Іншими словами, недбалий користувач ставить під загрозу не лише себе, а і своє оточення, найчастіше — родину та керівництво. Іноді гакери отримують доступ, але не показують себе до потрібного моменту. Пам’ятайте: якщо вас досі не зламали, можливо, ви просто про це не знаєте.
П’ять заповідей особистої кібергігієни
White hat порівнюють: коли проїжджаєш повз аварію, обіцяєш собі їздити 60 км/год, а вже через п’ять хвилин знову перевищуєш швидкість. З безпекою в інтернеті те ж саме: кібергігієна має стати звичкою на підсвідомому рівні.
Пароль грає роль
Жодних дат народження й символічних чисел. Генеруйте випадкові послідовності цифр і літер. На кожен обліковий запис ставте інший пароль і час від часу змінюйте його. «Краще не використовувати таємне питання для входу в акаунт. Відкрию таємницю: дівоче прізвище вашої мами дізнатися дуже легко, а отже, весь кіберзахист «ляже» за мить», — додає експерт.
Інформаційна безпека. Фото: Кіберполіція України.
Спеціаліст радить увімкнути двофакторну аутентифікацію, але не через СМС, бо їх можуть перехопити. Краще користуватися спеціальними застосунками — наприклад, Google Authenticator. Паролі можна зберігати в застосунках, які завантажуються на телефон і зберігають інформацію офлайн, а не на чужих серверах невідомого походження.
Сім разів прочитай — один раз клікни
Мисліть критично й дотримуйтеся культури zero trust (нуль довіри), тобто не довіряйте нікому стовідсотково. Варто бути обережним із посиланнями, push-сповіщеннями, повідомленнями, особливо якщо це відвертий клікбейт.
Слідкуйте за дозволами, які надаєте застосункам, і намагайтеся переглядати користувацьку угоду. Так ви принаймні будете знати, що TikTok кожні 30 секунд перевіряє вашу геолокацію, список встановлених застосунків, контакти, повідомлення, історію дзвінків, а потім надсилає цю інформацію на 70 різних серверів, 30% із яких — китайські.
Тримай гаджети як належить
Регулярно проводьте аудит своїх пристроїв, оновлюйте програмне забезпечення, перевіряйте роботу антивірусу.
Не варто забувати про захист бездротової мережі. Оновіть ім’я та пароль роутера, які стоять за замовчуванням від виробника, відімкніть віддалене керування. Переконайтеся, що ваш маршрутизатор використовує шифрування WPA2 або WPA3. До безоплатного вай-фаю в громадських місцях під’єднуватися ризиковано.
Роби бекап
Увімкніть резервне копіювання важливих даних в автономному режимі на зовнішній жорсткий диск або в хмарне сховище. Однак інтимні фото краще так не зберігати. «Якщо ви зробили їх на телефон, під'єднаний до інтернету, переконайтеся, що ви там гарно вийшли, і будьте готові до того, що колись вони можуть стати публічними», — говорить Аушев.
Бережи особисте
Не вказуйте в соцмережах номер телефону чи адресу. Якщо це все-таки робоча сторінка, зробіть контакти та список друзів приватними, доступними обмеженому колу користувачів. Геолокаціями краще не зловживати.
Перш ніж щось опублікувати, пройдіть тест «білборда»: чи готові ви побачити на білборді те, що надсилаєте або виставляєте?
Як захистити себе в інтернеті. Фото: STEM IS FEM.
Як захистити бізнес від кібератак
«Нещодавно ми спостерігали за атакою на українську компанію-розробника SoftServe і виробника розумних гаджетів Garmin. До речі, керівництво останнього ухвалило рішення заплатити викуп гакерам. Сьогодні на ринку діють нові правила гри: чим краще ви дбаєте про кібербезпеку, тим конкурентнішою є ваша компанія, як порівняти з іншими гравцями», — зазначає Аушев.
Найчастіше бізнес страждає від DDoS-атак, покликаних вивести систему з ладу величезною кількістю запитів. Наприклад, замовляючи DDoS-атаку на сайт конкурента, підприємець збільшує продажі на власному ресурсі. Незадоволені клієнти просто залишають недоступний сервер і шукають альтернативу. Віддалений режим у час пандемії — теж виклик для бізнесу. Злочинці атакують активніше, а за відновлення роботи вимагають викуп у криптовалютах.
Як захистити бізнес від кібератак. Фото: Unsplash.
Зламати можна що завгодно. Гакери вважають систему захищеною, якщо її злом коштує дорожче за інформацію, яку вона зберігає. Аушев радить українським підприємцям не бути самовпевненими та вести послідовнішу політику кібербезпеки.
Не можна захистити бізнес один раз і вважати, що відтепер усе завжди буде надійно. Кібербезпека — це постійний процес, за який мають відповідати окремі люди в компанії. Вони проводять регулярні аудити інфраструктури, навчають співробітників, стежать за оновленням ПЗ, оцінюють ризики та розробляють стратегію з кібербезпеки, яка є невіддільною частиною бізнес-стратегії загалом.
Єгор Аушев
Співзасновник компаній з кібербезпеки CyberUnit.tech & CyberSchool
Мене зламали: що робити
Насамперед попередьте своє оточення про те, що ваші акаунти зламали. Через один нескладно отримати доступ до іншого.
Після цього треба встановити, у який спосіб чужа людина або група людей заволоділи вашим обліковим записом. Зверніться до кіберполіції або до приватних компаній, що займаються кібербезпекою. Спеціалісти з’ясують проблему, полагодять пристрій, допоможуть відновити доступ.
Єгор Аушев — Співзасновник компаній з кібербезпеки CyberUnit.tech & CyberSchool
І все ж подбати про захист особистої інформації до того, як на вас напали, у десятки разів дешевше, ніж виправляти наслідки. Гакерських атак здебільшого можна було уникнути, якби користувачі мали високий рівень цифрової грамотності й дотримувалися базових правил кібергігієни.
Безоплатно прокачати свої знання з кібербезпеки допоможуть освітній серіал «Персональні дані» на державному порталі «Дія» та курс «Основи інформаційної безпеки» на Prometheus.
Помилка в тексті? Виділіть її мишкою і натисніть: Ctrl + Enter
