Цифрова безпека може видаватися складною темою. Особливо в редакціях, які ведуть багато соцмереж, зокрема й із багатьох пристроїв, але не знають як їх ефективно захищати. 

Експертка з цифрової безпеки «Інтерньюз-Україна» Аліна Елєвтєрова у тексті пояснює, що таке мультифакторна аутентифікація, чи може хтось шпигувати через камеру ноутбука, де зберігати кожен пароль від усіх облікових записів, а найголовніше — кому потрібні ваші дані.

Чому цифрова безпека важлива

У щорічному звіті від Microsoft про питання кібербезпеки є важлива теза: базові правила кібергігієни досі рятують від 99 % атак у цифровому просторі. Правила досить прості: використовувати мультифакторну аутентифікацію, користуватися принципом Zero Trust, використовувати антивірус, оновлювати застосунки та захищати свою важливу інформацію. 

Для України питання цифрової безпеки загострене через активні бойові дії Росії, адже кібератаки росіян — елемент інформаційної війни. За даними урядової команди реагування на комп’ютерні надзвичайні події CERT-UA кількість цифрових інцидентів збільшилася на 15,9 %. Всього їх зафіксували 2543.

«Інтенсивність атак залишається високою протягом усього періоду з початку повномасштабного вторгнення, включно з цим роком. Лише за січень ми обробили понад 400 кіберінцидентів, 9 із яких були критичними та високого рівня. Кількість кібероперацій проти України продовжує зростати, і це пов’язано з активною залученістю російських злочинних хакерських угруповань і комерційних компаній до атак їхніх військових хакерів», — зазначив Євген Бриксін, заступник керівника групи реагування на комп’ютерні надзвичайні ситуації (CERT-UA).

Кому потрібна ваша інформація?

Може здаватися, що ваше листування в месенджерах, робоча пошта, злитий пароль і сам пристрій нікому не потрібні. Але, щоб розвіяти цей міф, важливо розуміти механізми кібератак і мотивацію зловмисників. 

Одна з найпопулярніших атак — фішинг. Це вид соціальної інженерії, через який злочинці змушують людей самостійно передавати логін і пароль. У ланці «пристрій — сервіс — користувач» часто користувач виявляється вразливим. Також фішинг часто є найдешевшим способом атаки, а зловмисники починають від найпростішого. 

Атаки можуть відбуватися різними способами:

1. Підробний сайт: злочинці поширюють покликання на сайт, схожий на справжній (Google, Facebook, OLX тощо). Людина вводить на сайті свій логін і пароль, але, оскільки сайт підробний, ці дані дістаються шахраям. 

2. Фішингові розсилки: останнім часом почастішали випадки фішингу начебто від СБУ, ДСНС, податкової тощо. На пошту чи в будь-який месенджер приходить повідомлення, яке спонукає користувача завантажити файл у вкладенні. Файли можуть мати різні розширення: .rar, .exe, .bat, .zip. Коли людина запускає такий файл на своєму пристрої, встановлюється шкідливе програмне забезпечення. Воно може навіть якийсь час непомітно жити в системі (наприклад, якщо це програма для віддаленого доступу до комп’ютера) або ж одразу зашифрувати дані й вимагати переказ грошей на криптогаманець. 

3. Повідомлення зі зламаних акаунтів друзів чи колег: злочинці, які мають доступ до акаунтів реальних людей, можуть писати в повідомлення: «Позич гроші» абощо. Такі злами й розсилки часто робляться масово: для шахрая буде успіхом навіть якщо на 1000 повідомлень перекажуть гроші 10 людей. 

Як зрозуміти, що перед вами фішингове повідомлення?

1. Шахраї грають на емоціях, для них важливо, щоб людина приймала рішення через страх, тривогу, або навпаки — обіцянку виграшу. Тож повідомлення часто будуть мати сильну емоційну складову: «Негайно завантажте файл і заповніть документ, або ми заблокуємо ваші рахунки» тощо.
2. Якщо ви отримуєте листа, який змушує вас щось завантажити. Зловмисники користуються темою війни як додатковим емоційним каталізатором, тож це можуть бути «плани евакуації» абощо. Щоб перевірити, чи правдиве повідомлення, часто достатньо зайти на офіційні сайти відомств. 
3. Покликання  в листі, яке веде на сайт, відмінний від оригінального. Наприклад, ви помітили, що сайт називається не facebook.com, a facelook.com, хоча виглядає ніби справжня соцмережа. Тож варто перевіряти покликання, на які ви переходите. 

«Також важливо пам’ятати, що після зламу акаунту в соцмережах або робочої пошти зловмисники отримують доступ до вмісту повідомлень, контактів ваших колег і близьких, приватного листування. Часто це їх може цікавити більше, особливо якщо ви працюєте в медіа або громадському секторі», — зазначає Ольга Гужва, менеджерка проєктів із цифрової безпеки ГО «Інтерньюз-Україна». 

Також зловмисники можуть збирати зламані паролі та продавати їх третім особам, зазначає вона. Потім цю базу даних можуть придбати російські кіберзлочинці та використовувати у своїх цілях.

Як ще можуть отримати пароль? 

Компанія NordPass щорічно публікує список найпопулярніших паролів. Разом із незалежними дослідниками кібербезпеки, вони аналізують витоки даних та інші інциденти, і потім збирають ці паролі в безособову табличку. Можна побачити, що в топі досі такі комбінації як qwerty, 12345, admin, password тощо.

Зловмисники знають, що користувачі схильні використовувати нескладні комбінації, або ті, які легко передбачити. Тож іноді пароль можуть «вгадати». Зловмисники також використовують програмні скрипти або спеціальні програми, що намагаються автоматично вводити різні комбінації паролів, доки не знайдеться правильний. Це називається атакою методом перебору. Великі корпорації намагаються захищатися від подібних небезпек, але, наприклад, якщо у вас є власний сайт і він не так добре захищений, така атака може виявитись успішною. 

Також варто пам’ятати, що існують ситуації, які користувачі не можуть контролювати. Це витоки даних від самих компаній. Наприклад, 2019 року кіберзлочинці зламали графічний сервіс Canva й отримали доступ до паролів і поштових адрес користувачів. Якщо цей пароль людина використовувала ще на якихось сервісах, то після купівлі цих даних зловмисники просто використають логін і пароль для входу в акаунт. 

На жаль, на такі випадки користувачі не можуть вплинути, але важливо пам’ятати про цю небезпеку й використовувати всюди різні паролі. Тоді, навіть якщо один із них стане відомий, його не зможуть використати для входу в іншому акаунті. 

Щоб подивитися, чи не фігурувала ваша пошта у зливах інформації, можна використати сайт Have I Been Pwnd? Його створив австралійський дослідник безпеки Трой Хант. Просто введіть свою пошту та подивіться на результат пошуку по сайту. Тут зібрана інформація з публічних витоків даних. Якщо ви побачите, що якийсь із ваших паролів злили, змініть його, особливо якщо він використовується десь іще. 

«Пароль має бути довгим, складним, унікальним та не типовим», — говорить Ольга Гужва. — «Зберігати їх варто в надійних місцях, як-от менеджери паролів. Це зашифроване сховище, яке допомагає як генерувати нові складні комбінації, так і безпечно їх зберігати. Не варто зберігати паролі в нотатках, на робочому столі, пересилати собі в чаті Telegram. Ці способи не можуть бути надійними».

Що буде, якщо зламають пошту?

Коли йдеться про пошту, може здаватися, що вона не дуже важлива, особливо якщо робоче листування відбувається через інші канали. Проте часто пошта — це тільки частинка інформації, до якої можуть отримати доступ зловмисники. Якщо у вас є Google-акаунт, то з логіном і паролем для входу шахраї отримують доступ до ваших листів, документів на Google Drive, резервних копій, файлів із телефону та фотографій, які зберігаються на хмарі. Далі злочинці можуть, наприклад, шантажувати цією інформацією. Або вкрасти вашу ідентичність, щоби створити фейковий акаунт і з нього розповсюджувати певні наративи.

Ще через робочу пошту можна розсилати спам вашим контактам, фішингові листи, а також скидати паролі до інших облікових записів (якщо в них є функція відновлення пароля через надсилання повідомлення на пошту). 

Тобто наслідки щонайменше неприємні. Уявіть, що в один момент ви втрачає доступ до фото, важливих файлів із пошти, на яку зареєстровані інші облікові записи. 

Запобігти такому сценарію можна, зокрема, й завдяки  порадам від Microsoft:

1. Увімкніть двофакторну автентифікацію. Це додатковий спосіб підтвердження вашої особи через дзвінок, смс, код із застосунку або push-сповіщення. Це може захистити, якщо у зловмисника є ваш пароль, але немає фізичного доступу до телефона. Отримавши сповіщення про вхід, який ви не виконували, терміново змініть пароль і в параметрах «Активні сесії» вийдіть з усіх пристроїв.

2. Не довіряйте за замовчуванням повідомленням, які отримуєте, та стороннім програмам. Перевіряйте інформацію.
3. Використовуйте антивірус. Безплатних варіантів антивірусів може бути достатньо (CleanMyMac, MalwareBytes), також підійдуть вбудовані рішення в операційних системах (Windows Defender).
4. Оновлюйте програми та операційну систему, щоби зловмисники не змогли використати старі вразливості. Налаштуйте оновлення, щоб вони відбувались автоматично.
5. Знайдіть, де лежать ваші важливі дані, та додатково захистіть їх. Не використовуйте слабкі паролі (короткі, типові, однакові на всіх облікових записах). 

Тож хорошою ідеєю буде виділити трохи часу та ресурсу, щоб розібратися з безпековими налаштуваннями сервісів, якими ви користуєтесь. 

«Великим компаніям так само не вигідно, щоб до вашої інформації отримували доступ шахраї, тож гайди з безпеки можуть бути прості, з детальним описом налаштувань. Також можна використати довідки самого сервісу: часто там є статті про захист від фішингу та рекомендації з налаштувань облікових записів», — каже Ольга Гужва.

Безпека і приватність: у чому різниця

Коли ми дивимося налаштування приватності, варто розуміти, що це не те саме, що безпека. Часто ці два поняття плутають або взаємозамінюють. Продукти, які обіцяють приватніший перегляд сторінок в інтернеті, не є за замовчуванням безпечнішими. 

Наприклад, вкладка інкогніто не врятує користувача від слабкого пароля на пошті, або від вірусу, який завантажиться після натискання на лінк. Цей режим (інкогніто в Google Chrome, приватний режим у браузерах Safari та Firefox) призначений для приватного перегляду вебсторінок. Основна його функція полягає в тому, щоб не зберігати історію перегляду, файли cookie, дані форм та іншу особисту інформацію після завершення сесії перегляду. Тобто це зручний варіант, якщо ви користуєтеся чужим комп’ютером і не хочете, щоб ваша історія пошуку збереглась. 

Вкладка інкогніто також не ховає трафік від інтернет-провайдера. Якщо ви хочете, щоб вашу історію браузера знали тільки ви, увімкніть VPN. Після активації, ваш провайдер побачить тільки те, що ви пішли на сервери VPN, а те, що ви гуглили, умовно «червоні панди», — не побачить. 

Водночас вашу історію бачитиме VPN-сервіс, тому важливо обирати не першу-ліпшу програму в пошуку. Важливо, щоб сервіс комунікував, що він робить із даними користувачів — чи збирає їх, чи зберігає в себе. І щоб його юрисдикція була нейтральною. Користуватися російськими програмами не варто. З безоплатних простих варіантів підійде Psiphon і ClearVPN (останній безплатний тільки для українців і просить підтвердження через «Дію»). 

А що ж таке файли cookies, про які пишуть майже всі сайти, що ви відвідуєте? Cookie — це невеликі текстові файли, які вебсайти зберігають на вашому комп’ютері чи мобільному пристрої, коли ви їх відвідуєте. Ці файли містять невелику кількість текстової інформації, яка використовується для збереження стану сесії, відстеження користувачів, збереження налаштувань та інших цілей. Власне, через ці файли ви можете один раз увійти у Facebook і залишитися залогіненими після закриття браузера. Коли ви чистите cookie, ця інформація видаляється із браузера й ви знову стаєте для сервісів «незнайомцем». 

«Важливо пам’ятати, що навіть продукт, який вважається найбезпечнішим, все одно потребує додаткового налаштування. За замовчуванням деякі функції можуть бути вимкнені, тож варто поцікавитись основними безпековими налаштуваннями застосунків, якими ви користуєтеся», — додає Ольга Гужва. 

Тож чи може СБУ шпигувати через камеру?

Теоретично таке можливо. І не обов’язково СБУ — це можуть бути звичайні кібершахраї.

Шкідливе програмне забезпечення, таке як програми для віддаленого доступу або «троянські коні», може використовувати камеру комп’ютера без дозволу. Якщо комп’ютер або мобільний пристрій був скомпрометований або заражений шкідливим програмним забезпеченням, зловмисники можуть віддалено ввімкнути камеру й відстежувати вас.

Щоб захистити себе від цього, можна зробити такі кроки: 

1. Використовуйте надійне антивірусне програмне забезпечення та регулярно оновлюйте його.

2. Впевніться, що всі програми на вашому комп’ютері або мобільному пристрої оновлені до останньої версії, оскільки оновлення часто містять заходи безпеки проти відомих вразливостей.

3. Не встановлюйте програми з ненадійних джерел. Піратські програми можуть мати вшите шкідливе ПЗ, яке автор використовуватиме так, як йому заманеться.

4. Не завантажуйте підозрілі файли та не переходьте за підозрілими покликаннями.

5. Камеру можна фізично закрити. Якщо на комп’ютері немає вбудованої шторки, підійде будь-який інший варіант (шматок скотчу тощо). 

Є до кого звернутися

Звичайно, що тут описані не всі можливі сценарії кібершахрайства та способи захисту від нього. Варто обирати план дій враховуючи діяльність людини. Проте пам’ятати базові правила безпечної поведінки в інтернеті не завадить усім. 

«В Україні є громадські організації, які працюють у сфері цифрової безпеки, їхні експерти допоможуть розібратися з проблемою, обрати найкращі налаштування для пристроїв і соцмереж, допоможуть розробити політики безпеки для організації. Також є багато освітніх ресурсів — курси від “Дії”, Prometheus тощо. Серед організацій можна звернутися до “Інтерньюз-Україна”, “Лабораторії цифрової безпеки”, а також проєкту Nadiyno. Так, тема цифрової безпеки може здаватися складною, але, якщо розбити її на маленькі щоденні практики, буде простіше вводити її у своє життя», — підсумовує Ольга Гужва.

Читати також: Як платформи боротимуться з дезінформацією на виборах 2024 року — висновки Politifact 
Читати також: На «ти» з інтернетом. Наскільки українці адаптовані до онлайн-життя — в дослідженні цифрових навичок