Як захиститися від злому — кілька елементарних правил, яких ніхто не дотримується

Найважливіше правило — не натискати на все підряд. Йдеться навіть про посилання, які ви отримуєте в повідомленнях від друзів чи електронних листах від колег. Якщо ви не очікували отримати це посилання, і воно видається підозрілим або адреса сайту не така, якою мала би бути, то треба подумати перш ніж натискати. Відповідно, якщо вам присилають цікаву програму з проханням запустити її, то варто перепитати в адресанта через якийсь інший канал комунікації, чи справді за умовним посиланням notavirus.exe — фото з відпустки.

Є два основних індикатори в назві сайту, на які варто звернути увагу. Перший — це назва сайту. Тобто якщо вона виглядає в стилі totallynotavirus.com, то, можливо, з цим сайтом щось не т. е. Другий — зловмисники можуть використовувати назву сайту, схожу до реальної. Наприклад, використати google.com, але замість двох букв «о» — одну. Краще дивитися на головний корінь назви сайту.

Окрім того, варто організувати свої паролі. Зараз є велика кількість ресурсів, з якими ми працюємо в інтернеті. Майже всі вимагають авторизації. Ми часто встановлюємо прості паролі або повторюємо один пароль на різних ресурсах. Це не сприяє захисту даних, тому що такі паролі легко зламати. Тому доцільно використовувати парольний менеджер, який дозволить згенерувати надійний пароль і зберегти його. Для користування парольним менеджером необхідно запам’ятати лише пароль від, власне, самого менеджера. Але цей пароль має бути складним та надійним, і використовуватись лише для цього менеджера. Варто також подумати, що станеться, якщо база парольного менеджера стане недоступною і ви втратите доступ до всіх ваших сервісів та застосунків. Продумайте та розробіть детальний план для такого випадку. Як правило, для відновлення всіх доступів рекомендується використовувати обліковий запис вашої електронної пошти, до якої ви повинні пам’ятати пароль.

Яким має бути надійний пароль? Парольні менеджери дозволяють згенерувати надійний пароль. Якщо у вас немає можливості скористатися парольним менеджером, то варто пам’ятати: комп’ютеру легко перебирати комбінації паролів. Проте що довша комбінація, то більше часу знадобиться комп’ютеру, щоб це зробити. Тому можна взяти фразу, яку ви легко запам’ятаєте, й написати цю фразу без пробілів, замінити якусь одну літеру на цифру. Це буде набагато ефективніше, ніж вигадати п’ятизначний чи шестизначний пароль з різними символами, які ви забудете одразу після того, як придумали. Але все ж таки краще скористатися парольним менеджером, який створить вам надійний пароль.

Задля безпеки ваших облікових даних радимо завжди ставитися до цього відповідально. Перше правило — не ділитися вашими обліковими даними (паролем, токенами, ключами) та інформацією, яка використовується для доступу до сервісів, якими ви користуєтеся.

Перевірте налаштування безпеки соціальних мереж, електронної пошти та месенджерів. Останнім часом майже всі сервіси мають для цього окреме меню. Наприклад, у вашому акаунті Google є сценарії, за якими ви можете легко перевірити такі налаштування безпеки: які пристрої мають доступ до ваших облікових записів, які ваші налаштування приватності, яку саме інформацію ці сервіси про вас збирають, як її обробляють та з якими компаніями діляться нею.

Увімкніть двофакторну авторизацію на важливих для вас ресурсах: у соцмережах, онлайн-банкінгу, фінансових сервісах. Вона передбачає використання двох факторів. Перший — це ваш логін та пароль, а другий — це ваша власність: телефон, фізичний USB-токен. Після введення логіну та паролю система чи веб-сервіс буде вимагати другий фактор для входу. Є ресурси, які підтримують надсилання SMS з тимчасовим кодом. Також можна встановити спеціальний застосунок на телефон. Краще користуватися застосунками або фізичними USB-токенами, тому що SMS як другий фактор можна обійти, перевипустивши SIM-карту.

Зверніть увагу на те, як ви зберігаєте дані. Треба пам’ятати про три основні атрибути інформації: конфіденційність, цілісність і доступність. У межах конфіденційності варто знати, хто має доступ до інформації та може її прочитати: тільки ви чи ще хтось? Якщо так, то хто це може бути?

Стосовно цілісності — потрібно знати, як зрозуміти, що вашу інформацію ніхто не модифікував. Тобто повинен бути якийсь журнал дій (іншими словами — версійність) щодо вашої інформації, за допомогою якого ви можете легко побачити, чи хтось змінював вашу інформацію, і коли це відбулося.

Останній атрибут інформації - це доступність. Треба ставити собі запитання: що буде, якщо інформація на цьому носії чи ресурсі пошкодиться або стане недоступною? Чи є у вас резервні копії цієї інформації? З якої періодичністю ви створюєте резервні копії? Чи надійне те місце, де ви зберігаєте резервні копії?

VPN — ще один хороший спосіб захистити дані. Віртуальну приватну мережу або VPN часто використовують, щоб оминути геоблокування: наприклад, подивитися фільми, недоступні в Україні. Проте цей сервіс створений насамперед для захисту даних в інтернеті. Для цього програма створює зашифрований тунель даних і приховує місцерозташування, IP-адресу та дії користувача.

Наприклад, VPN може надійно захистити вас у загальнодоступних мережах Wi-Fi у громадських місцях: у кав’ярні, в магазині чи на вокзалі. Такі відкриті мережі можуть створювати для того, аби збирати дані про користувачів. Сьогодні VPN переважно використовують надійні алгоритми шифрування, тому з'єднання буде зашифрованим, щоб ніхто не зміг перехопити ваші приватні розмови, прочитати електронні листи, відстежити ваші дії в інтернеті або вкрасти особисту інформацію.

Проте не кожен VPN зможе належно гарантувати безпеку в мережі. У виборі застосунку слід враховувати низку важливих критеріїв. Найкращий варіант — це VPN, який використовує професійне шифрування даних. До прикладу, зашифрований зв’язок AES-256. Цей протокол використовують військові та банки. Будь-які спроби зламати його будуть невдалими, оскільки на це можуть піти мільярди років.

Також важливо враховувати політику VPN щодо так званих логів, тобто з’ясувати, чи зберігає VPN дані користувачів. У надійного VPN завжди є чітко сформульована політика анонімності. Застосунок не зберігає IP-адресу та історію переглядів, оскільки за ними можна легко відстежити людину. Слід уникати використання застосунків, що продають дані третім сторонам або передають їх правоохоронним органам. І останній, але не менш важливий критерій, — це простота використання технології. Продукт має бути зрозумілим і зручним для користувачів.

Як не потрапити на гачок хакерів

Насамперед використовуйте здоровий глузд. Якщо хтось пише, що помер нігерійський принц і залишив вам мільйон доларів спадщини, то, можливо, варто замислитися перед тим, як надсилати 100 доларів на «оформлення документів».

У фішингових атаках (тобто тих, під час яких користувач сам видає приватні дані) використовуються стандартні техніки, які можна розпізнати за «червоними прапорцями».

• Перший прапорець — це спонукання людини до якоїсь невідкладної або термінової дії. Зазвичай вас просять щось швидко зробити. У таких випадках не поспішайте, подумайте та дізнайтеся про причину такого поспіху через інший канал комунікації.
• Другий прапорець — це прохання надати доступ чи переслати важливу інформацію, наприклад, фінансові чи облікові дані, які можна використати для шахрайських дій.
• Третій прапорець — коли все занадто добре, як у випадку зі «спадщиною нігерійського принца». Звісно, нагорода дуже спокуслива, але це й повинно насторожувати.
• Четвертий прапорець — елемент раптовості: повідомлення чи звернення, яких ви точно не очікували. Постарайтеся зрозуміти, чому саме вам надіслали це повідомлення та чи справді про це знає потенційний відправник.
• П’ятий прапорець — інформація неповна або не схожа на справжню. Варто сконтактувати з людиною, яка надіслала вам цю інформацію та впевнитися в легітимності цього запиту.
• Шостий прапорець — це підозрілі повідомлення з прикріпленими файлами на кшталт not_a_virus.pdf або повідомлення від «податкової», в яких вас просять відкрити прикріпленні файли.

Кібербезпека на роботі

Інформаційна безпека людей у команді переважно залежить від них самих, тому потрібно навчати команду. Це можна зробити через тренінги, новини та тестові фішингові листи. Якщо колеги розуміють, з якими кібератаками та їхніми наслідками можуть зіткнутись у майбутньому, то зможуть професійніше на них відреагувати. Наприклад, програми, завантажені з браузера, а не через магазин застосунків мають більше шансів завдати шкоду чи викрасти дані. Ці знання дозволять більш скептично ставитись до таких застосунків та консультуватись з ІТ-відділом чи спеціалістами з безпеки щодо їхнього завантаження та використання.

Внутрішня система компанії може адаптувати шаблони фішингових листів індивідуально під кожного адресата. Для адаптації потрібно отримати результати попередніх рішень колег щодо тестових фішингових листів. Наприклад, якщо людину зацікавив лист, і вона його відкрила, щоб прочитати, то в майбутньому фішингові тестові листи такої тематики будуть надходити частіше. Якщо хтось все ж таки перейде за посиланням, то можна запропонувати пройти додатковий навчальний курс про те, як розпізнати фішинговий лист.

Також для підтримки тонусу щодо інформаційної безпеки варто постійно стежити за новинами з цієї теми та ділитися ними через внутрішні канали комунікації в компанії. Наприклад, у випадку витоку важливих даних зі сторонніх сервісів ми розмовляємо про це та закликаємо оновити паролі в скомпрометованих сервісах.

Майбутнє кібербезпеки

Залишаються актуальними загрози повʼязані з інтернетом речей — фізичними пристроями, у яких є програмне забезпечення (наприклад, «розумний» чайник чи холодильник). І проблема не в тому, що хтось може зламати ваш холодильник і подивитися, яке молоко ви п'єте, а в тому, що ці заражені девайси використовуються як частинка великих ботоферм для атак на інші ресурси чи для присвоєння акаунтів користувачів. Втім з точки зору кінцевого користувача, способи боротьби з цим такі самі, як і раніше. По-перше, якщо ви купуєте річ, яку ви будете підключати до інтернету, необхідно встановити для неї надійний пароль. По-друге, варто не забувати оновлювати програмне забезпечення. З кожним оновленням компанія виробник намагається усунути знайдені проблеми і вразливості в IoT пристрої.

Як і зараз, існуватиме загроза потрапити на гачок шкідливих програм, які проникають в комп’ютер через вразливості операційних систем або через необізнаність користувачів. Як наслідок, вся інформація на комп’ютері шифрується і надходить повідомлення про те, що потрібно сплатити викуп аби отримати ключ до розшифрування.

Не варто забувати про діпфейки, які дозволяють емулювати дзвінок від близької людини і благати перерахувати гроші. Спосіб захисту від такого способу шахрайства — перевірити інформацію через інше джерело комунікації або перетелефонувати цій людині. Це працює так само для фішингових листів, у яких просять перерахувати гроші.

Ще один небезпечний тренд — ототожнення людини з її цифровим профілем у різноманітних базах даних, соціальних мережах та загалом в інтернеті. Наприклад, паспорт та різноманітні довідки в мобільних застосунках. Компрометація цих баз може заподіяти значну шкоду користувачам. Використовуючи ці дані, будь-хто може представитися іншою людиною в інтернет-сервісах, виконати фінансові операції кредитування чи грошові перекази від імені громадянина, чий профіль викрали.

Тому, що більше країн буде йти в напрямку діджиталізації профілів своїх громадян, то більше буде зміщуватись фокус хакерів в цьому напрямку. Наприклад, кілька років тому в американському бюро з кредитної історії Equifax зловмисники отримали доступ до кредитної історії майже всіх громадян США. Вони отримали записи щодо фінансового стану громадян, їхніх кредитів та поточних фінансових проблем. Така інформація дає можливість створювати правдивіші сценарії фішингу чи слугує для подальших атак на громадян.

Технології розвиваються, загрози модифікуються, але способи боротьби з ними залишаються ті ж самі: бути уважними, мислити критично, перевіряти підозрілу інформацію.

У підготовці матеріалу брав участь Артем Тихонов, інженер напряму інформаційної безпеки MacPaw