Небезпека онлайн. Як не потрапити в кіберхалепу - Накипіло
Події

Небезпека онлайн. Як не потрапити в кіберхалепу

  • Роман Даніленков
  • 26 червня
  • 1405

Окрім явних небезпек і зрозумілих загроз, які чатують на нас у реальному житті, існує безліч ризиків віртуального світу. Якісь лежать на поверхні, а інші продумані зловмисниками до дрібниць: потрапити в халепу може навіть досвідчений користувач. 

Ми поговорили з Павлом Білоусовим про те, як не вляпатися в інтернеті. Павло — експерт в Школі цифрової безпеки DSS 380. Цифровою безпекою Павло цікавиться майже 20 років. Останні вісім років активно працює з темою: пише статті, коментує в ЗМІ актуальні події (хакерські атаки, злами тощо), є співавтором кількох онлайн-курсів на тему комунікації в онлайні та захисту інформації. 

Якщо узагальнити, кіберзагрози мають на меті: 

  • отримання фінансової вигоди (доступ до онлайн-банкінгу та крадіжка грошей);
  • збір інформації та отримання вигоди (знайти компромат та шантажувати, впливати);
  • терор для залякування, тиску, сіяння паніки (скажімо, вимкнути якесь обленерго чи зупинити рух транспорту).

Різноманітних інструментів та підходів для досягнення цього у зловмисників доволі багато. 

«Я проста людина, навіщо я їм потрібен, мені нічого не загрожує»: це не так, ризик є для всіх

Це розповсюджена та хибна думка, на жаль. Можливо, безпосередньо користувач не є ціллю, а ось його ноутбук — є. Отримавши доступ, можна майнити криптовалюти, атакувати сайти, розсилати спам тощо. Звісно, один комп’ютер не надто впливовий, але коли їх десятки тисяч — це вже «армія».

Навіть якщо користувачу здається, що в нього немає чого вкрасти, це не так. Скажімо, в людини є акаунт на OLX, де він зареєструвався 10 років тому. Нехай він пустий — це вже є цінністю для шахраїв. Бо такий акаунт можна продати за пару сотень гривень іншим шахраям, які з нього будуть продавати неіснуючі товари. І матимуть успіх, бо довіри до акаунту 2012 року більше, ніж до акаунту 2022 року. В результаті екс-власнику акаунта може «прилетіти» від кіберполіції.

Загалом, зловмисники дуже винахідливі та завжді вигадають, як монетизувати користувача, який нехтує елементарними правилами цифрової безпеки. Так само нехтування загрозами впливає на інших людей, бо зі зламаного акаунта можуть писати в соцмережах друзям жертви та просити кошти на лікування чи щось таке. В результаті — знищена репутація з одного боку та втрачені кошти — з іншого.

А що відбулося з початку повномасштабного вторгнення?

Важко виділити щось нове. Проте розширилося коло об'єктів, які атакують, та збільшилася кількість атак. Наприклад, до 24 лютого важко було знайти інформацію про атаки на Starlink. А ось коли доступ наших військових до супутникового інтернету став впливати на хід бойових дій — Starlink став метою. Або ж до війни не надто активно діяли групи в телеграмі з росіянами, які координували дії щодо атак на українські сайти. З війною їхня активність серйозно зросла.


З’явилася загроза для людей, які опинилися в окупації. Якщо раніше вони уявити не могли, що їх можуть зупинити на вулиці, перевірити вміст смартфону та, якщо щось не сподобається окупантам, потрапити «на підвал». І раніше була загроза, що отриманий кимось доступ може нашкодити, але мова про ризики для життя та здоров'я не йшлося.

Багато хто дійсно думає: «та кому я потрібен», «цифрова безпека — це щось дуже складне», «поставлю антивірус та можу розслабитися, мені нічого не загрожує», «нехай цим займаються спеціалісти». Проте зараз цифрова безпека дорівнює фізичній безпеці. 

Як же зберегти свої дані, а може, й життя, в буремні часи? Поради начебто постійно з’являються в медів, але навіть обережні люди не завжди прислуховуються. 

  • Використовуємо складні унікальні та надійно збережені паролі. Як у вас із цим?
  • Двофакторна аутентифікація всюди, де є така технічна можливість. Краще — програма-генератор кодів, ніж код із СМС. Перевіряйте прямо зараз, може, десь забули ввімкнути? Пошта? Соціальні мережі? Аккаунт із доменним реєстратором або хостинг? 
  • Надійні інструменти та поведінка для безпечної комунікації (VPN, месенджери з E2E-шифруванням, як Sіgnal). Автоматичне видалення повідомлень, історії тощо. Вже цікавіше? 
  • Наявність резервних копій важливих або навіть усіх даних. Ну, це у вас точно налаштовано. Нє? 
  • Шифрування вмісту пристроїв. Дошифрували останній незахищений девайс? Відчуваєте полегшення? 
  • Для власників сайтів — заздалегідь підключені сервіси анти-ДДоС. Це не лише для Тоні Старка. Ви теж впораєтесь, особливо якщо долучити хороших спеціалістів.
  • По замовчуванню — недовіра до вхідної інформації (листи, повідомлення, новини тощо) та ретельна її перевірка. Максимальна уважність. Пам’ятаєте слоган зі заставку «Секретних матеріалів»: Trust no one?


Я готовий перейти на захищену сторону цифрового життя. Які програми мені допоможуть? 


Насправді наш мозок — основний інструмент. Він може розпізнати таку загрозу, яку не розпізнає антивірус чи ще щось. У випадку з фішинговими атаками взагалі немає надійніших інструментів, ніж наша уважність та пильність. Проте деякі засоби в арсеналі мають бути, звісно.

  • Месенджер: Signal/Threema (вони є найбільш захищені).
  • VPN: Psiphon/ProtonVPN (VPN створює безпечне з’єднання між вами та інтернетом. Це забезпечує додатковий рівень конфіденційності та анонімності, таким чином, ви можете приховати свою інтернет-активність та місцеперебування. 
  • Браузер (при обмеженому доступі в інтернет): Ceno/TOR.
  • Пошта: Tutanota/ProtonMail (найбільш безпечні поштові сервіси).
  • Анти-ДДоС для сайту: Deflect (ваш сайт витримає атаку кіберворогів).
  • Резервні копії в хмарі: Meg/Google Drive (це ви й так знаєте, але най буде).

Помиляються всі

На 100% захиститися неможливо навіть у теорії. Тут питання ресурсів, швидше. Чим більше грошей або інших ресурсів є на атаку, тим більше шансів, що вона матиме успіх. Втім, бувають випадки, коли припускаються якоїсь банальної та дрібної помилки, яка й все робить. Як кажуть, «завжди підводять дрібниці». 

Найпопулярніший міф: кіберзлочини — це щось таке складне, під силу лише хакерам. Насправді деякі атаки під силу школярам, в яких є 10 хвилин на перегляд відповідного ролика на YouTube.

Існує ілюзія, що мати складний та унікальний пароль достатньо. Уже давно недостатньо. Без двофакторної аутентифікації вже просто ніяк. А ще дехто вважає, що великі компанії — надійно захищені. Згадайте, скільки разів ви чули про різні витоки у Facebook? Сильно допомогли їм їхні мільярди? Отож бо й воно. 

Бережіть себе і в реальному, і в цифровому світі. Бо межа між цими світами значно тонкіша, ніж багатьом здається.

ПІДПИШІТЬСЯ НА TELEGRAM-КАНАЛ НАКИПІЛО, щоб бути в курсі свіжих новин

Ще по темі

Стрім-трансляції, відео, відеопрезентація, репортаж, фотозйомка, статті

ПІДПИШІТЬСЯ НА TELEGRAM-КАНАЛ НАКИПІЛО

Оперативні та перевірені новини з Харкова

X