Бізнес-консультант з безпеки Cisco Systems пояснює, які заходи вжити, щоб не стати жертвою кіберзлочинців, інформує Ukr.Media.
Не покладайтеся тільки на свій розум, довіряйте програмам
Людина - основна проблема кібербезпеки, причому будь-який: і корпоративної та особистої. Про це варто пам'ятати завжди.
Якщо раніше хакери були передусім технічно підготовленими людьми, які здійснювали атаки, користуючись уразливими, то сьогодні зловмисники в мережі - це в першу чергу розумні психологи-професіонали.
Технічні рішення не сильно захистять від загроз, якщо по той бік екрану у складі злочинного угруповання працюють профі. Вони вивчають поведінку людей, описують методи, якими люди користуються, а вже на основі цих даних здійснюють кіберзлочини.
У кіберзлочинців багато різних тактик. Найпоширеніша - відправка повідомлень по електронній пошті, які виглядають як справжні, надіслані нібито з цього домену, наприклад, «Ощадбанку» чи податкової служби.
Якщо користувач квапиться, він не побачить різниці: на око неможливо визначити, чим відрізняється дане повідомлення від фейкового. Кіберзлочинці, наприклад, замінюють символи англійського алфавіту на російські, і в підсумку адреса виглядає як справжня.
На жаль, класична порада - «не відкривайте листи від незнайомих людей» - давно не працює. Обов'язково треба використовувати спеціальні налаштування браузерів або поштових клієнтів, які відстежують і відсікають фальшиві повідомлення.
Не довіряйте незнайомим «друзям», навіть якщо вони сильно схожі на вас
Хакери не втрачають час: вони витрачають тижні і місяці на те, щоб скласти психологічний портрет жертви.
Вивчають ваші звички, улюблену музику і фільми, стежать, де ви відпочиваєте, і в підсумку складають ваш профіль. Вони роблять це не вручну, а використовуючи штучний інтелект.
Технології машинного навчання дозволяють створити фотографію відповідного «друга», виходячи з даних про вас: за вашим лайкам можна визначити, які люди вам подобаються зовні, а які ні.
У підсумку хакери, враховуючи всю специфіку, створюють фейковий аккаунт користувача, але такого, з яким вам точно захочеться дружити - адже він буде схожий на людину з вашого кола спілкування. Коли ви додасте його в друзі, то ймовірність того, що ви будете довіряти йому особисті повідомлення, стане досить високою.
Як відрізнити бота від реальної людини? Проведіть перевірку: запитайте про спільні з вашими інтереси. Якщо це не бот, а жива людина, то потрібно співставити, наскільки те, що у нього написано в профілі, відповідає тому, що він реально пише у відповідях в чаті.
Не хочете безкоштовно майнити чужу криптовалюту? Регулярно оновлюйте софт
Вже скільки разів твердили світу: оновлюйте програми на комп'ютері регулярно або поставте галочку на автоматичне оновлення.
Оновлювати треба не тільки програми, але і плагіни, наприклад, до браузерів - мінімум раз на тиждень. Саме через них кіберзлочинці встановлюють контроль над користувачами і використовують ваш комп'ютер для розсилки спаму, вірусів, організовують DDoS-атаки.
Дуже корисно встановити додаткові безкоштовні розширення для браузера, які заблокують запуск шкідливих скриптів, якщо ви зайшли на шкідливий сайт. Завдання таких скриптів - встановити контроль над комп'ютером користувача або використовувати його, наприклад, для майнінг криптовалют.
Такі розширення, як No, uMatrix або JS Blocker, відключають непотрібні скрипти на більшості сайтів.
Варто користуватися і блокувальниками реклами. Кіберзлочинці нерідко орендують рекламні площі і ставлять туди банери з шкідливим кодом, який запускається, якщо користувач клацає на нього. У результаті комп'ютер заражається, або користувач потрапляє на шкідливий сайт.
Нерідко такі сайти виглядають як справжні, але насправді лише імітують інтерфейс поштового клієнта або інтернет-банку.
Довірливий користувач вводить логін і пароль, а хакери отримують доступ до його поштової скриньки або крадуть дані про банківський рахунок.
У назві сайту може бути змінена лише одна буква, це часто важко помітити.
До речі, вірогідність попадання на такий сайт з планшета або смартфона вище, адже в цьому випадку рядок браузера невеликий, і відстежити помилку на маленькому екрані важче.
І так, це не міф: користувачі Android ризикують більше, ніж користувачі Apple.
Платформа Apple iOS більш закрита, тому не всі розробники мають доступ до нутрощів системи.
До того ж розмістити додаток в Google Play набагато простіше, ніж в Apple Store, тому число шкідливих програм там вище.
Більшість банківських «троянів», які крадуть гроші зі смартфонів, зроблені на Android, для продуктів Apple їх майже не пишуть.
Не будьте самовпевнені
Ще одна поширена проблема користувачів - впевненість у тому, що вони добре і безпомилково друкують на клавіатурі. Проблема найчастіше виникає на смартфонах і на планшетах: віртуальна клавіатура маленька, і пальці зачіпають сусідні букви.
На жаль, зловмисники про це теж знають і створюють спеціальні програми, які дозволяють перебирати в автоматичному режимі всі комбінації і створювати фальшиві сайти.
Наприклад, якщо замість «Ощадбанк» написати «Сбербамк», то можна потрапити на сайт інтернет-кредитів, що до «Ощадбанку», ясна річ, не має стосунку. Або це може бути сайт, схожий на «Ощадбанк» за інтерфейсом, який пропонує логін і пароль до онлайн-банку.
- По-перше, треба уважно дивитися на те, що написано в рядку браузера,
- по-друге - використовувати спеціальний інструментарій браузера, який дозволяє блокувати фішингові ресурси (блокувальники скриптів і реклами - див. попередній пункт).
«Когнітивні» паролі
Не можна використовувати один і той же пароль для доступу до різних ресурсів, як корпоративним, так і особистим.
Дуже багато користувачів з року в рік здійснюють одну й ту ж помилку: змінюють паролі 1-2 символу в кінці або на початку, але його основу залишають незмінною.
Щоб зробити різні паролі до різних сайтах і не забувати їх, по-перше, можна використовувати password-менеджер, а по-друге, придумати алгоритм вибору паролів.
Наприклад, існують так звані «когнітивні» паролі, коли ми використовуємо в якості пароля номер паспорту, дату народження, не ім'я вихованця, а асоціацію або, скажімо, перші дві або три літери улюбленого вірша або пісні.
З одного боку, такий пароль важко зламати, але з іншого - ви легко пригадаєте, коли це знадобиться. Адже тут треба пам'ятати не саму комбінацію, а те, що вам подобається.
Кіберзлочинці активно користуються словниками паролів, але ваша особиста асоціація навряд чи в них міститься.
Складність - а значить, і рівень безпеки - пароля більшою мірою визначається його довжиною, ніж конкретним набором. Хоча, звичайно, додавання спеціальних символів, використання і символьних і рядкових букв і цифр теж ускладнює кодове слово.
Загроза з-за плеча
Зловмисники часто користуються неуважністю користувачів і підглядають логін і пароль, які ті вводять в громадських місцях.
Захиститися від цього можна, якщо використовувати спеціальний екран, який захищає від підглядання з боку свого роду «лист», який прикріплюється до смартфону за допомогою липучок і дозволяє бачити тільки вам.
А ось заклеювати камеру на ноутбуці особливого сенсу немає. У масі своїй кіберзлочинці цим не користуються. Технічно стеження можлива, але її ймовірність мала: що особливого зловмисник побачить? А стежити 24 години поспіль за тим, що відбувається в відеопотоці - це занадто дорого обійдеться.
Навіть смарт-телевізори - теоретично більш небезпечна штука, особливо якщо телевізор стоїть перед ліжком: тоді там можна побачити набагато більше. Але на практиці і таке стеження якщо і зустрічається, то дуже рідко.
Це ж стосується і злому інших підключених до інтернету пристроїв - автомобілів, кардіостимуляторів, кавоварок. Так, це можливо, але цим ніхто з кіберзлочинців не займається, їм це просто не потрібно: є більш прості шляхи. Можливо, в майбутньому, але не зараз.
Довіряй, але перевіряй
У сфері безпеки довіра - це саме та точка, де починається провал.
Зараз серед спеціалістів з безпеки широко поширена концепція Zero Trust Security - безпека з нульовою довірою».
Спочатку ми виходимо з того, що ніякої довіри бути не може, і протоколи і програми розглядаємо, виходячи з того, що проти нас діє ворог, він може підмінити когось, видати себе за когось і т. д.
Подібну стратегію я рекомендую і звичайним користувачам. Звичайно, це працює далеко не завжди: адже людині властиво довіряти, а кіберзлочинці користуються цим.
А якщо не довіряти нікому, то жити стає нецікаво, сумно та важко.
Які книги допоможуть зрозуміти психологію хакерів і характер кіберзагроз
Кліффорд Столл, «Яйце зозулі». Роман про американському фахівця, який розповідає, як зловив одного з найбільш відомих хакерів світу. Засновано на реальних подіях. Автор пояснює, як працює фахівець з безпеки, наскільки це насправді нудна робота, що вимагає великої уважності.
Кевін Митник, «Мистецтво обману». Автор розповідає про те, як сам колись був хакером, обманював людей, втирався в довіру, крав дані і зламував системи, а також пояснює, як з цим боротися. Це погляд з двох сторін: з боку хакера і з боку фахівця з безпеки, яким Митник згодом і став. Якщо у вас виникли питання по цій темі, задайте їх фахівцям і читачам нашого проекту тут.