Як не стати жертвою діджитал-злочинів
Віртуальні загрози – набагато реальніші, ніж ми можемо собі уявити. Розвиток технологій спростив завдання кіберзлочинцям. Сьогодні, щоб вкрасти через інтернет гроші або дані, навіть не потрібні складні технічні навички.
Кіберзлочини – це злочини, при яких зловмисник зазіхає на цифрову інформацію. Мішенню можуть бути будь-які дані: ті, що зберігаються на комп'ютері, на смартфоні, дані акаунтів в інтернеті – від особистого листування у Facebook до платежів у застосунку банку.
Злочинець може опублікувати конфіденційну інформацію або шантажувати, що опублікує. Може видалити або підмінити потрібні вам файли. Може перешифрувати дані так, що їх неможливо буде прочитати, – як це було з відомим вірусом-шифрувальником Petya. Мета може бути фінансовою: наприклад, якщо зловмисник зламає аккаунт онлайн-банкінгу або вкраде цінні документи, які можна продати. Але може бути й інша мета.
Віртуальні атаки – реальні
Бум поширення інтернету збігся з економічним зростанням у багатьох країнах. А ще розвиток технологій спростив завдання кіберзлочинцям. Сьогодні для того, щоб вкрасти через інтернет гроші або особисті дані, навіть не потрібні складні технічні навички. Колись шкідливу програму потрібно було писати самому, а зараз її можна купити.
Стати хакером стало настільки просто, що в 2000-х роках в країнах, що розвиваються, виникли цілі підліткові субкультури, послідовники яких займаються фінансовим шахрайством у мережі.
Джерело: Фільм "Матриця", Warner Bros. & Village Roadshow Pictures
За даними прес-служби Національної поліції України, за неповний 2018 рік було розкрито 2,3 тисячі кіберзлочинів. Для порівняння: в 2017 році, за інформацією МВС, в країні було скоєно 260 тисяч крадіжок (не в інтернеті).
На перший погляд здається, що кіберзлочинність – слабка загроза для українців. Приблизно в 100 разів слабкіша, ніж "традиційні" крадіжки.
Однак Управління ООН з наркотиків і злочинності відзначає, що поліцейська статистика про кіберзлочинність – не найнадійніше джерело для аналізу. Про це йдеться в звіті Всебічне дослідження проблеми кіберзлочинності.
Дві третини країн, які взяли участь в опитуванні, вважають власні системи поліцейської статистики недостатньо технологічними. Тому показники відображають швидше можливості поліції, а не скоєні правопорушення.
Щоб побачити реальну картину, краще звертати увагу на те, скільки людей постраждало від дій хакерів. Ці дані потрібно порівнювати з кількістю жертв "традиційної" злочинності. На графіку нижче це називається віктимізацією.
Таке порівняння показує, що жертвами кіберзлочинців стає набагато більше людей. Конфіденційну інформацію крадуть частіше, ніж викрадають машини або зламують двері. Тих, хто постраждав від шахрайства з кредитними картами, крадіжки персональних даних і несанкціонованого доступу до електронної пошти, – більше в рази.
Представники ООН проводили своє опитування в 21 країні світу. Виявилося, що жертвами різних кіберзлочинів там ставали від 1% до 17% жителів. А жертвами крадіжок зі зломом, пограбувань і крадіжок автомобілів – менше 5%.
Ласа здобич для хакерів
Насамперед зловмисники в мережі полюють за грошима або за даними, які допоможуть отримати доступ до грошей. Найшвидший спосіб обікрасти користувача – отримати його логін і пароль до онлайн-банкінгу. Для цього на комп'ютер або смартфон жертви встановлюється спеціальне програмне забезпечення (ПЗ). Воно запам'ятовує логін і пароль, які вводить людина. Зазвичай "трояни" встановлюють самі ж користувачі, тому що ПЗ маскується під корисну, офіційну та нешкідливу програму.
Друга за популярністю мішень кіберзлочинців – персональні дані: доступи до акаунтів у соціальних мережах, поштові сервіси, архіви з особистими фото і листування в месенджерах. Одним словом, все те, чим можна шантажувати і в підсумку отримати гроші.
Ще такі дані можна продати. Продають зазвичай не дані одного користувача, а відразу велику базу. Великі компанії можуть обробити таку інформацію і використовувати її: для реклами, для аналізу аудиторії. Ви можете навіть не взнати, що дані вкрали.
Найбільшою атакою зі зломом поштових сервісів вважається атака на Yahoo. Тоді хакери вкрали понад 500 мільйонів акаунтів. Звинувачення у цій атаці висунув Мін'юст США в лютому 2017 року проти двох офіцерів ФСБ. Злом відбувся в 2014 році найнятими хакерами, а жертвами атаки стали журналісти, чиновники з Росії та США, російські громадські активісти.
Сльози справі не допоможуть
Буває й інший шантаж: коли дані на комп'ютері псуються вірусом до невпізнання. Щоб повернути файли до початкового стану, вірус вимагає перерахувати гроші.
Яскравий приклад такого вимагання – вірус WannaCry, який називають винуватцем кібератаки століття. 12 травня 2017 року з'ясувалося, що десятки тисяч комп'ютерів в 74 країнах зазнали атаки і злому. WannaCry шифрував дані користувача на комп'ютері і просив за розшифровку $300 в криптовалюті.
Пічд час атаки постраждали не тільки "рядові" юзери, але й безліч державних та приватних установ. Вірус атакував лікарні у Великій Британії, комп'ютери МВС РФ, велику німецьку компанію Deutsche Bahn. Постраждали від нього й українці.
Скріншот діалогового вікна вірусу WannaCry
Язик мій ворог мій
Багато хто може подумати, що потрібно тільки остерігатися неперевірених застосунків і програм – і все буде добре. Але насправді все складніше.
Головний ворог конфіденційності – сам користувач, а точніше, його неуважність і недбалість. Найнебезпечніша зброя кіберзлочинців – не власне шкідливі програми, а соціальна інженерія. Так називаються методи, які допомагають "вивідати" секретні дані у самої людини або змусити її діяти за певним сценарієм.
Зловмисники змушують користувачів відкривати потрібні їм (зловмисникам) файли або передавати паролі. Нападники впливають на психіку. Наприклад, вам надсилають лист з файлом "Звіт_бухгалтерія_липень_2018_ТЕРМІНОВО". Здається, ніби це звичайний безпечний файл з іншого відділу. Слово "ТЕРМІНОВО" остаточно відключає пильність – і ви завантажуєте і запускаєте файл. А там може бути вірус-шифрувальник, який зіпсує все дані не тільки на вашому комп'ютері, але й у всій мережі компанії.
Єдиний спосіб захиститися – взяти за правило не відкривати файли, не перевіривши, від кого вони прийшли. Уважно дивіться на адресу відправника, звіряйте кожну букву. Якщо є хоч найменша підозра, що щось не так, варто уточнити, чи надсилали вам такий файл. Наприклад, подзвонити в бухгалтерію і спитати, чи відправляли вони звіт.
Фізичний доступ до пристроїв
Ще одна загроза безпеці – фізична крадіжка телефону або комп'ютера. Якщо телефон потрапить в руки зловмисників, то все ваше особисте життя і фінанси можуть опинитися під загрозою.
Є програми-невидимки, які після встановлення на смартфон не відображаються в меню, але справно виконують роботу зі шпигування. Наприклад, дозволяють підслухати звуки за допомогою мікрофона, стежити за місцем розташування, отримувати текст, що набирається, записувати дзвінки, мати доступ до камери, перехоплювати повідомлення в месенджерах.
Встановлення таких програм-шпигунів без відома користувача – кримінальна справа. Єдиний легальний варіант використання таких застосунків – попередити людину. Так чинять, наприклад, коли важливо простежити за пересуваннями дитини або літнього родича.
Існують і інші злочинні схеми, при яких не потрібно встановлювати ніякі програми. Наприклад, людина просить у вас телефон подзвонити, оскільки на її рахунку закінчилися гроші. Далі все виглядає так, ніби він звіряє номер, що набирає, а потім кілька хвилин розмовляє по телефону. За фактом же в цей час відбувається синхронізація сесії WhatsApp за допомогою QR-коду. Людина "підключається" до вашого профілю, тобто може читати ваше листування зі свого пристрою.
Висновок простий: не залишайте смартфон, коли виходите з кімнати в незнайомому місці, і не дозволяйте говорити по вашому телефону незнайомцям без нагляду.
Як захистити себе від злому
Стовідсоткового захисту від хакерів, мабуть, не дасть жоден інструмент. Але виконання найпростіших правил безпеки точно знизить ймовірність атаки.
Не ігноруйте повідомлення антивірусів і браузерів. Якщо антивірусна програма або розширення в браузері повідомляє, що заблокувало доступ до веб-ресурсу, то не варто випробовувати долю і все-таки завантажувати сторінку. Не відвідуйте небезпечні сайти.
Регулярно оновлюйте антивірус. Нагадування антивіруса про те, що потрібно оновити базу, – це не спам, а необхідність. Навіть найбільш просунуті антивірусні програми захищають комп'ютер максимум від 40% шкідливих програм. Якщо ж ви не оновлюєте вірусну базу, то надійність захисту знижується ще більше.
Не переходьте за посиланнями. Це стосується і посилань у листах, і прикріплених файлів, і навіть посилань в особистих повідомленнях у соцмережах від друзів. Якщо перед посиланням йде надто вже інтригуючий опис – краще перепитайте друга, про що йдеться. Коли переконаєтеся, що його аккаунт не зламаний, тоді тільки клікайте.
Створюйте резервні копії даних. Робити копії важливих файлів – хороша звичка. Вона врятувала не один річний звіт, а заразом і тисячі нервових клітин. Якщо файли на комп'ютері видалить або зашифрує вірус, у вас буде можливість "знести" операційну систему і завантажити копії файлів, щоб продовжити роботу. Але будьте обережні: якщо ви використовуєте хмарне сховище з автоматичною синхронізацією (наприклад, Google Drive або Dropbox), після атаки файли шифруються і в ньому. Для резервного копіювання краще використовувати спеціальні "хмари" або просто знімний жорсткий диск. Скопіювали на нього файли – і відразу відключили.
Захистіть смартфон. Фізичний доступ до телефону – ключ до фінансової та особистої інформації. Для захисту телефону є спеціальні застосунки, які дозволяють блокувати доступ до інформації і відстежувати, де знаходиться телефон.
Вони відрізняються за функціоналом. Наприклад, застосунок mySafety працює навіть при відключеному інтернеті, тому що послуга надається у партнерстві з мобільними операторами (Vodafone, lifecell і Kyivstar). Крім того, на екрані блокування буде номер, за яким можна зв'язатися з колл-центром і повернути телефон власнику (через кур'єра). За повернення передбачено винагороду, яку компанія виплачує сама. А якщо смартфон не знайдеться, користувач отримає грошову компенсацію.
Є й інші програми – як платні, так і безкоштовні. Вони точно не можуть працювати з вимкненим інтернетом, але в іншому – досить корисні. Якщо ви все-таки хочете заощадити і встановити безкоштовну програму, варто вибрати офіційний застосунок від Apple (для iOS) або Google (для Android). Застосунок від невідомого розробника може сам собою загрожувати безпеці – особливо якщо ви не розбираєтеся в розробниках ПЗ.
Відповідальне співтовариство. Поки блокчейн-ентузіасти мріють про ті часи, коли всі операції будуть легко відслідковуватися, звичайні користувачі змушені захищати свої дані в реальних умовах. Щоб захиститися від кіберзлочинців, нам потрібно вибудовувати співтовариство і ділитися в ньому правилами "інтернет-гігієни".
Наприклад, в Facebook можна побачити пости про те, що знайдена кредитна карта. В цілому ідея відмінна, через соцмережі дійсно можна знайти власника. Але часто автор викладає фото кредитки, на якому чітко видно і номер карти, і термін дії, а це небезпечно. У просунутих групах користувачі вказують на цю помилку. Вони радять перезалити фото без повної інформації, залишивши видимими тільки чотири останні цифри номера. Зайву інформацію можна замалювати у фоторедакторі або просто перезняти фото, прикривши частину цифр пальцями.
Це – яскравий приклад самомодерованого ком'юніті. Більш обізнані учасники дають свої рекомендації і вводять правила безпеки, корисні для всієї спільноти. І цей принцип відмінно працює в усьому.
