Чому цифрова безпека важлива?
У сучасному світі цифрові технології стали невід’ємною частиною нашого життя. Ми зберігаємо на своїх пристроях особисту інформацію, фінансові дані, робочі документи та багато іншого. Однак із розвитком технологій зростають і загрози. Кіберзлочинці використовують вразливості в системах та людську необережність, щоб викрадати дані, гроші або отримувати доступ до приватних акаунтів. Вже давно найбільшу цінність має безпека інформації, адже маючи інформацію про людину – можна її звеличити, а можна зруйнувати. Наприклад знаючи слабкості президента якоїсь країни, спецслужби можуть на нього тиснути…

Типові загрози в інтернеті

Фішингові атаки: спроби обманом змусити вас надати конфіденційну інформацію.

Віруси та шкідливі програми: можуть викрадати дані або пошкоджувати пристрої або інформацію на них.

Злом акаунтів: через слабкі паролі або ненадійну авторизацію.

Підробні сайти: створені для крадіжки платіжних даних або для обману користувачів (як компонент того ж фішингу).

Мета – допомогти вам зрозуміти, як захистити себе та свої дані, інормацію робочих проектів від цифрових загроз. Ми розглянемо основні правила та рекомендації для безпечного користування інтернетом.

Безпека при використанні інтернету

Протоколи безпеки сайтів
Перед тим як вводити особисті дані або здійснювати оплату онлайн, перевірте, чи сайт використовує захищений протокол HTTPS. Іконка замка біля URL-адреси та SSL-сертифікат свідчать про безпеку з’єднання (але є виключення, коряві сайти можуть мати власний сертифікат не від авторизованого центру і лише імітувати безпеку – зазвичай там простий рівень шифрування і при натисканні на замочок будуть попередження). Відсутність такого захисту на завідомо надійному сайті загрожує викраденням трафіку (ваші дані логіну та паролю при авторизації, передача даних Кукі до ваших сайтів), навіть просто підміна картинок на вигідні злочинцю. Тому наприклад Фейсбук використовує власні ресурси і не дасть авторизуватися, якщо помічає що з’єднання не пряме а через небезпечного посередника.

Використання безпечних мереж Wi-Fi (наприклад кафе для роботи з ноутбуку)
Уникайте використання публічних мереж Wi-Fi для важливих операцій (можна роздавати інтернет собі по Wi-Fi з власного телефону).
Якщо необхідно, використовуйте VPN, щоб захистити свої дані від перехоплення (але такі сервіси теж бувають різної якості, варто обирати надійні рішення).

Фішинг через вебсайти
Ретельно перевіряйте URL-адреси сайтів. Шахраї часто створюють сайти, що візуально схожі на відомі сервіси, але мають інші домени (наприклад, google-secure-login.com замість google.com).
Навіть невеликі сайти можуть пропонувати реєстрацію, і їх адміністратори отримавши ваш логін (пошту) та пароль можуть спробувати з ними отримати доступ якщо не до пошти, то до популярних сайтів де з цією ж поштою ви могли реєструватися.

Безпека в електронній пошті

Як уникнути фішингових листів
Ніколи не відкривайте підозрілі листи від невідомих відправників.
Не клікайте на посилання в листах, якщо не впевнені в їхньому походженні.

Ознаки небезпечних листів
Граматичні помилки або дивні фрази.
Терміновість із вимогою негайної дії.
Дивні адреси відправника (наприклад, support@bank-secure-123.com).

Небезпека вкладень
Не відкривайте вкладення у форматі .zip, .exe, або навіть .pdf, якщо вони викликають підозру.
Використовуйте антивірус для перевірки вкладених файлів до їх відкриття навіть від надійних відправників.
Навіть надійний відправник міг бути зламаний чи має вірус, який відсилає від нього листи (такому варто зателефонувати через доступні інші способи комунікації та повідомити про листи, переконатися при підозрі що лист було відправлено авторизовано.

Соціальні мережі та месенджери

Як уникати пасток у Facebook та інших соцмережах
Ігноруйте повідомлення від “служби підтримки” з вимогою ввести дані акаунта чи з погрозами, що ваш бізнес-акаунт чи сторінка, чи група, чи профіль порушили якісь правила і потрібно терміново перейти за посиланням на їх фейковий сайт – 1) якби було порушення, фейсбук би спочатку заблокував, а потім пояснюй що ти не верблюд, 2) фейсбук якщо і пише – то лише, що у вас закінчились гроші на рекламу – поповніть чи додайте інше джерело оплат в рекламному кабінеті 3) якщо і є порушення невеликі (локальне законодавтсво з продажу алкоголю чи подібне то попередження будуть в адмінці бізнес-профілю а не в повідомленнях, 4) навіть просто перехід за посиланням з такого фішингового коментаря частіше всього має скорочену ссилку з редіректом на код який викраде всі ваші Куки з браузера – тому якщо після натискання вручну нічого не вводили в форми на підставному сайті, все одно потрібно змінити паролі не лише в цю соціальну мережу, а в усі сайти, що відвідувались з даного пристрою (особливо якщо ще й зберігаєте в браузері автозаповнення паролів).
Якщо бізнес ваш проводить якісь розіграші для підписників – їм можуть писати фейкові акаунти з логотипом і назвою бізнесу повідомлення про виграш і термінову потребу перейти за посиланням – думаю тут зрозуміло…
Не переходьте за підозрілими посиланнями, навіть якщо вони надіслані від знайомих (їх могли зламати, чи у них вірус).

Фішинг у месенджерах
Шахраї можуть надсилати посилання, які ведуть на фейкові сторінки авторизації або заражені сайти. Завжди перевіряйте, куди веде посилання. Чи не переадресовує воно вас по декілька разів на інші адреси. Бувають і на хороших сайтах віруси, коли переадресація окремої групи користувачів здійснюється лише частково – такі віруси виявити не просто бува.

Небезпека додатків і файлів
Встановлюйте додатки лише з офіційних магазинів (Google Play, App Store), хоч і це буває не гарантія безпеки (додаток міг притворитися корисним, додаток міг бути зламаним чи зламали сайт через який він працює, або сам сервер з якого він працює – тому обирайте популярні додатки).
Не завантажуйте файли від невідомих контактів, з неперевірених сайтів.

Обман з фінансовими операціями

Підробні сторінки для оплати
Перед введенням платіжних даних перевіряйте URL-адресу та SSL-сертифікат. Не довіряйте сайтам, які виглядають підозріло.

Запрошення до банкомату
Шахраї можуть просити вас виконати дії на банкоматі для отримання “переказу”. Це пастка, яка може призвести до втрати коштів. Хоч люди і звикли, що банкомат видає кошти, але там є функції для власноручного здійснення переказів з картки на карту отримувача.

Використання двофакторної автентифікації
Додайте ще один рівень захисту для акаунтів. Наприклад, підтвердження через SMS або додатки типу Google Authenticator. Якщо з додатком Google Authenticator все більш-менш безпечно, але варто не втратити коди скидання на сайті де активуєте такий захист, то СМС можуть бути перехоплені, якщо ви знаходитесь в неконтрольованих умовах – наприклад перебування у місці масового перебування людей де є підозрілий фургон що давно стоїть, чи в якомусь закладі або на допиті у спецслужб з проханням зайти у додаток – вони в більшості випадків мають локальну станцію, що буде імітувати оператора зв’язку і перехоплює дані та може надсилати фейкові дані чи дублі.

Створення та управління паролями

Чому важливі надійні паролі
Слабкі паролі є однією з головних причин зламів акаунтів. Використовуйте складні комбінації символів, цифр і літер.
Просто додати до паролю знак оклику чи два знаки оклику або символ долара ще не робить пароль надійним. Якщо злочинець викраде групу ваших пародлів зі збережених у браузері чи з Кукі браузеру то він зможе зрозуміти логіку створення вами таких паролів.

Як створити сильний пароль

Приклад: G8kL$z9#Yp.
Використовуйте надійні менеджери паролів, щоб запам’ятовувати складні паролі.
Мастерпаролі зберігайте в надійному місці не пов’язаному з мережею інтернет – можете ручкою на папері чи кресалом на камені)))

Уникання повторного використання паролів
Для кожного акаунта створюйте унікальний пароль, щоб злом одного акаунта не став причиною доступу до інших.

Софт і пристрої

Встановлення лише перевірених додатків
Завантажуйте програми на комп’ютер тільки з офіційних джерел. Це зменшує ризик встановлення шкідливого ПЗ.
Добрих хакерів більше немає – вони всі закінчились ще на початку 2000х років – зараз у них у всіх є сім’ї та діти і їм потрібно їх годувати, завантаження піратських фільмів не у вигляді відеофайлу а архівами, завантаження зламаних ліцензійних ігор та кряки для зламу програм – там всюди буде вшито якщо не вірус одразу, то якийсь троянський кінь який сидітиме в системі поки не отримає від власника вказівку на активацію чи повне перехоплення контролю над пристроєм. Той же віндовз теж має бути ліцензійним…

Регулярне оновлення
Оновлення систем і додатків виправляють вразливості, які можуть використовувати кіберзлочинці.

При оновленні системи (як операційної на комп’ютері, керування контентом на сайті чи версії прошивки на телефоні), оновлення потербують і інші програмні комплекси (офісні програми, драйвери, додатки, розширення). Не рідкі випадки уповільнення роботи пристроїв в нових версіях, але це не причина відмовлятися від безпеки.

Куплений планшет чи телефон чи ноутбук в ломбарді скоріше за все вже прошитий на зломану операційну систему, що в фоні слідкує за вашими діями і може мати доступ багато до чого – варто у фахівців замінити операційну систему на оригінальну, безпечну.
Бувають у дешевих виробників тих же доступних смартфонів одразу з магазину прошивка з закладеним небезпечним кодом на рівні РУТ доступу, якщо помітили ознаки, що за пристроєм слідкують (не обов’язково це так, але бути уважним, поміркованим і володіти критичним мисленням ніхто не забороняє) то просте скидання до заводськихз налаштувань в цьому випадку мало чим допоможе (особливо, якщо помітили наприклад, що додаток калькулятор на телефоні чи блокнот яким не користуєтесь але не можете його видалити збирає гігабайти даних в кеші не встигаючи зібрану інформацію відправляти своєму розробнику). В таких випадках лише повна заміна прошивки у фахівця допоможе далі користуватися пристроєм.

Використання антивірусу
Сучасний антивірус може захистити вас від більшості загроз, включаючи віруси та шпигунські програми – Стандартного ВіндовзСекьюріті достатньо для більшості випадків – так, в ньому немає проактивного захисту, але якщо ви в тупу не запускаєте віруси, а перевіряєте файли перед запуском – оновленого цього антивірусу достатньо. Касперский чи Аваст – це все антивіруси-шпигуни, і вони крадуть інформацію з пристроїв… Розповсюдження найновіших вірусів до яких ще немає антивірусних баз які б могли виявити зловред у файлі можливе через різні файло-помийки, сервіси зберігання файлів чи форуми з посиланнями на сервіси поширення файлів або архівів – не варто вестись на дешевий сир з мишоловки, просто так якісні ігри чи хороші розширення до них роздавати ніхто не буде, в них вкладають віруси (бувають виключення – в них вкладають код який пізніше перетвориться у вірус, дозавантаживши собі оновлення чи спрацювавши по часу. Такі підозрілі файли варто відправляти в антивірусні лабораторії розробникам – після їх перевірки вам нададуть відповідь що там виявили.

Фізична безпека пристроїв

Захист за допомогою PIN-кодів
Установіть складні PIN-коди або використовуйте біометричну автентифікацію. Ваш робочий стіл комп’ютера чи ноутбука має блокуватися на такий код, коли відходите від пристрою натискаєте Win+L щоб викликати екран блокування, навіть якщо живете самостійно і лише кіт може натиснути на клавіатурі “щось не те”.

Використання функції “знайти пристрій”
Ця функція допоможе віддалено заблокувати або знайти ваш пристрій у разі втрати.

Уникання підключення до невідомих USB-пристроїв
Шкідливе ПЗ може бути передано через підозрілі зарядні станції або флешки. Відключіть автозапуск з флешок чи дисків (інформація для цього є в Гугл). Перевіряйте носій після підключення до запуску матеріалів з нього.

Навчання та регулярні перевірки

Регулярне навчання
Розповідайте про правила цифрової безпеки своїм рідним і друзям. Це зменшить ризики для всієї родини. Особливо про месенджери.

Як перевіряти свої дані
Використовуйте сервіси типу “Have I Been Pwned”, щоб дізнатися, чи були ваші дані скомпрометовані.

Що робити у разі компрометації даних

Швидкі дії
Змініть паролі.
Відключіть підозрілі пристрої.
Сповістіть службу підтримки платформи або банку, попередьте керівника своєї компанії.

Як перевірити активність акаунта
Перегляньте історію входів і закрийте всі підозрілі сесії. Якщо смартфон був куплений в ломбарді – йому нічого не допоможе, майже всі такі пристрої перепрошиваються на операційну систему яка вся є вірусом і скидання до заводських налаштувань нічого не дасть.

Поради для постійного захисту

Перевірка налаштувань приватності
Змініть налаштування акаунтів, щоб мінімізувати обсяг доступної публічної інформації.

Використання резервного копіювання
Регулярно створюйте резервні копії важливих даних. Майте офлайн копію даних не пов’язану з інтернетом, хоча б раз на місяць…

Як уникати інформаційного перевантаження
Фокусуйтеся на перевірених джерелах інформації про кібербезпеку, щоб уникнути зайвого стресу.

Де знайти більше інформацію про безпекуц в мережі інтернет
Варто підписатися на канал HackYourMom: https://www.youtube.com/@hackyourmom-hackyoumom6166

Дотримуючись цих порад, ви зможете значно знизити ризики, пов’язані з цифровими загрозами, і забезпечити безпеку своїх даних.