Передплатити Підтримати

Один клік, і вас «хакнули»

Як не потрапити на гачок кіберзлочинців: поради фахівця

Соціологічні дослідження показують, що з часом українці все більше інформації отримують з Інтернету, а телебачення, радіо і преса поступово втрачають позиції. Водночас, Інтернет, разом із доступністю, актуальністю і об’єктивністю інформації, може представляти серйозну загрозу для необізнаного в базових правилах безпеки користувача.

Як часто ви звертаєте увагу на зелений замочок з поміткою «https» в верхньому куті браузера? А в якому місці зберігаєте паролі від соціальних мереж і електронних скриньок? Як часто змінюєте паролі? Чи використовуєте подвійну автентифікацію там, де це можливо? Звертаєте увагу на поле «відправник» у рекламній розсилці на пошті?

Подібні питання, на перший погляд, здаються занадто дрібними, щоб звертати на них увагу, але від цього ціна помилки тільки зростає.

Однією із найбільших кіберзагроз як для корпоративного сектору, так і для звичайних людей, є соціальна інженерія. Соціальна інженерія (в кібербезпеці) — це техніка, яка змушує людину зробити те, що вона за своєю волею, робити не мала б. Тобто, соціальна інженерія — це гра на емоціях і вимагає взаємодії людини з якимось об’єктом.

Наприклад, ви отримуєте на пошту лист з неймовірним заголовком — «Ви стали переможцем лотереї і виграли …» і так далі (причому, брати участь, в такій «лотереї» зовсім необов’язково, скоріш за все це звичайна розсилка). Наступним, по сценарію, кроком — буде клікнути на посилання в листі, щоб перейти далі і отримати виграш. Як ви вже могли здогадатись, даний порядок дій є однією з технік соціальної інженерії — це фішинг.

Для успішної реалізації фішингу (у випадку електронної пошти), зловмиснику потрібно згенерувати такий лист, який буде містити посилання, по якому жертва повинна перейти, або шкідливу програму, яку жертва повинна завантажити і запустити на своєму комп’ютері. Перейшовши за шкідливим посиланням або запустивши шкідливий софт, ви можете виконати якусь дію від свого імені, випадково «злити» свої дані (ім'я, логін, пароль, дата народження і т. д.) або взагалі пустити на комп’ютер програмне забезпечення невідомого походження.

Ну, а вже після цього сценарій подій буде обмежуватись лише уявою і практичними навичками хакера. Варто зазначити, що фішинг може бути загальний — універсальна розсилка, орієнтована на велику кількість людей, а може бути цільовий (спірфішинг) — складніша в реалізації і менш розповсюджена техніка. При цільовому фішингу жертва (чи то компанія, чи то конкретна людина) вивчається набагато детальніше, у результаті, «приманка» в електронному листі буде виглядати набагато більш реалістично.

Як розпізнати фішинговий емейл?

Завдяки яким деталям можна зрозуміти, що ціль електронного листа — шахрайство? Найперше, його заголовок. Він надає емоційного забарвлення, у випадку, якщо назва листа містить такі слова, як «Важливо!», «Терміново», «Швидше», або подібні емоційні звороти — варто до нього придивитись.

Наступний елемент — поле «відправник». Хто відправив вам цей лист? Якщо електронна пошта відправника вам невідома, або складається з випадкових символів, або ви сумніваєтесь в походженні листа — перед вами можливий фішинговий лист.

Перший рядок листа починається з «Дорогий користувач», тобто звернення в листі не є персоналізованим — це можливий індикатор того, що ваше ім’я насправді відправнику невідоме.

Останній і найважливіший елемент фішингового листа — посилання, на яке користувач має натиснути, що і є головною метою шахраїв.

Отже, короткі висновки як вберегтись від такої загрози, як фішинг:

  • Не натискайте на посилання в електронних листах, в яких ви не впевнені.
  • Не завантажуйте і не запускайте невідомі об’єкти або програми.
  • Звертайте увагу на електронну адресу відправника.
  • Звертайте увагу на загальну структуру листа, звертання і назву.

Ще одна розповсюджена загроза — витік даних.

Як витоки даних великих компаній можуть зашкодити звичайному користувачу?

Витоки даних стаються завдяки тому, що будь-який інтернет-ресурс, на якому ви реєструєтесь, або вводите свої персональні дані, зберігає їх в базах даних, які в результаті помилки працівників, або спрямованої кібератаки можуть потрапити у відкритий доступ. Хоча подібні витоки даних стаються майже кожного дня і є цілком органічною частиною інтернет-простору (застрахуватись від них практично неможливо), все ж потрапляння особистих даних в відкритий доступ — не є приємною новиною. Наприклад, нещодавно стався витік даних користувачів Фейсбук. У результаті хакерської атаки, у мережі опинились імена, номери телефонів і дати народження приблизно 533 млн осіб — в тому числі і засновника Фейсбуку, Марка Цукерберга.

Повністю попередити витоки даних не можна, але убезпечити себе від його наслідків — завдання цілком реальне. Перше, що треба розуміти — це те, що при потраплянні у відкритий доступ, наприклад, вашого логіна і пароля, зловмисник, ймовірно, спробує доступитись до інших соціальних мереж, ресурсів, електронних скриньок — з вашим паролем і логіном. Саме тому важливим є використання різних паролів на різних ресурсах.

Використання унікальних паролів для кожного сайту є основою поведінки в інтернеті, якою не можна нехтувати. Водночас запам’ятовувати всі паролі не обов’язково — цю функцію виконує менеджер паролів — це програма, яка буде зберігати всі ваші паролі в безпечному і зашифрованому вигляді. Для того, щоб доступитись до бази даних своїх паролів вам необхідно знати лише один мастер-пароль. Тобто, запам’ятавши всього один надійний і довгий пароль, користувач отримує доступ до практично необмеженої кількості паролів до усіх інтернет-ресурсів, соціальних мереж, електронних скриньок, якими користується. Такий функціонал робить менеджер паролів практично незамінною утилітою в повсякденному житті. Найпопулярніші парольні менеджери — це 1Password, LastPass, Dashlane.

Крім того, ніколи не завадить увімкнути двофакторну автентифікацію усюди, де це можливо. Двофакторна автентифікація — це використання ще одного фактору при авторизації на сайті, крім пароля. Другим фактором зазвичай служить СМС повідомлення або підтвердження в спеціальний додаток на телефоні, як Duо або Google Authenticator.

Підсумовуючи: всього декілька простих правил допоможуть вам в рази підвищити рівень персональної безпеки в інтернеті. Цінність цих правил може здаватись не зовсім очевидною, через це кібербезпеку часто порівнюють з страхуванням — в звичайному житті ви її навіть не помічаєте, але коли інцидент все ж стається — кібербезпека моментально дає про себе знати.

Все, що треба — це

  • не натискати на незнайомі посилання;
  • не запускати незнайомі програми;
  • не використовувати один пароль для багатьох сервісів;
  • користуватись менеджером для паролів;
  • користуватись двофакторною автентифікацією.

Едуард Кійко для «ВЗ»