Информационные технологии прочно вошли в нашу жизнь и стали критически важными как для бизнеса и государственных структур, так и для отдельных пользователей. Цифровое пространство существует около 40 лет, и вопросы его безопасности по-прежнему остаются острыми.
Почему нужно заботиться о безопасности в интернете?
Если раньше угроза касалась в основном бумажной переписки и документации, теперь возникла проблема безопасности интернет-коммуникаций и приложений. Зачем кому-то похищать или уничтожать эту информацию и как сделать личное цифровое пространство комфортным и безопасным, рассказывает Алексей Савченко, начальник отдела корпоративных сетей «СОЦИУМ-ТЕЛЕКОМ».
– Цели могут быть разными, от мошенничества до геополитического противостояния. Агентами выступают как частные лица, хакеры, так и коммерческие структуры, которые собирают данные пользователей для легального или нелегального использования, в том числе рекламы или откровенно незаконных схем, а также госструктуры. Это могут быть как структуры страны проживания гражданина, так и недружественных государств, которые рассматривают кибератаки как инструмент давления. В такой ситуации защита информации становится вопросом как личной, так и корпоративной и национальной безопасности.
Важно помнить: каждое действие в сети, особенно на корпоративных или официальных ресурсах, должно быть взвешенным.
Например, неосторожные высказывания в соцсетях или комментариях к публичным сообщениям могут стать причиной запрета на въезд в страну или поводом для внимания правоохранительных органов.
Другой пример – мошеннические колл-центры, которые получают информацию о гражданах как из открытых источников – телеграм-каналов, социальных сетей, так и из баз коммерческих структур – банков, автосалонов, частных медицинских центров, социальных организаций.
Значительная часть этого массива – данные скидочных карт, при оформлении которых клиент бесконтрольно распространяет свою персональную информацию. Колл-центры её собирают и затем «обрабатывают» человека с целью произвести в отношении него какие-либо действия, чаще всего мошеннические.
Киберугрозы вышли на новый уровень
Любая технология имеет несколько стадий развития, и методы цифрового воздействия сейчас переходят в стадию зрелости. Сегодня мошенники уже не хакеры-одиночки, а организованные структуры, за которыми стоят государства или даже транснациональные корпорации. Отлаженная система с чёткой специализацией собирает и анализирует персональные данные миллионов людей.
Стать жертвой мошеннических действий с персональными данными может любой гражданин. Если злоумышленники получат логин и пароль от портала госуслуг, последствия могут быть различными, от оформления кредитов на имя жертвы до блокировки важных сервисов. Взломанный аккаунт в соцсетях может стать инструментом репутационной атаки, особенно для публичных лиц и тех, кто ведёт блоги с большим количеством подписчиков, или для сообщений о случившемся несчастье с просьбой перевести деньги на счёт мошенника.
Удобство или безопасность: как найти золотую середину
Сохранить пароль в браузере проще, чем каждый раз вводить его вручную, а двухэтапная аутентификация дополнительно усложняет процесс входа. Как обеспечить защиту данных, не превращая каждое действие в интернете в сложную процедуру?
Чтобы безопасно хранить цифровые активы на значительную сумму, можно создать сверхнадёжный пароль из 20 слов, записать его на флеш-накопитель и разместить в банковской ячейке. Это гарантирует физическую безопасность, но создаст неудобства: для доступа к паролю придётся посещать банк.
Поэтому основное правило безопасности – стоимость защиты информации не должна превышать стоимость самой информации.
Для обычных сервисов (форумы, информационные сайты) допустимы упрощённые методы защиты. Для банковских приложений, почты и рабочих аккаунтов необходимы максимальные меры – сложные уникальные пароли и обязательная двухфакторная аутентификация. Кстати, лучше иметь минимум два адреса электронной почты: один – для важных сообщений, регистрации на сайтах государственных цифровых услуг, налоговых и банковских сервисов, второй – для подписок, карт лояльности и рассылок.
Это простое правило требует минимальных усилий, но значительно повышает уровень личной кибербезопасности: аккаунты остаются защищёнными при взломе «публичного» ящика, уменьшается вероятность атак на ключевые сервисы.
Кроме того, желательно иметь отдельный номер телефона для «Госуслуг» и онлайн-банкинга и в идеале отдельный телефон, который не используется для других целей и выхода в интернет. Также не стоит пренебрегать антивирусной защитой для компьютерной техники и мобильных устройств.
.jpg)
Манипуляция доверием
Сейчас IT-технологии находятся в стадии зрелости, созданы механизмы защиты от большинства способов получения несанкционированного доступа к информации, её использования и искажения. И в этой системе, которая состоит из машины и человека, слабым звеном становится человек.
Современные государственные порталы и банковские сервисы используют двухфакторную аутентификацию (логин/пароль + SMS или push-уведомление), это действенная мера, которая защищает учётные записи пользователей от взлома. Теперь мошенникам проще взломать не систему, которая имеет уровни защиты, патчи, логин-пароль и двухфакторную аутентификацию, а подобрать ключ к человеку с помощью знания психологии, или так называемых методов социальной инженерии. Подавляющее большинство мошеннических действий основано на тонком использовании наших привычек и эмоциональных реакций.
Инструментом для атаки часто становится электронная почта, указанная при регистрации на различных сайтах. Злоумышленники исходят из предположения, что человек использует один и тот же e-mail для всех сервисов, и инициируют вход на портал «Госуслуги». Система отправляет SMS-код подтверждения на привязанный номер телефона, и в этот момент мошенник звонит возможной жертве с просьбой продиктовать код.
Распознать атаку несложно, особенно важно объяснить это пожилым родственникам. Звонки от «служб безопасности» банков или госучреждений, нагнетание эмоций, попытки создать ощущение важности и срочности и подозрительный акцент у звонящего вкупе с просьбой продиктовать код из SMS – стопроцентные признаки мошенничества.
Типичные схемы множатся с каждым днём: «сотрудники поликлиники» сообщают о новом электронном сервисе, «коммунальщики» – о поверке счётчиков или регистрации заявки о заливе соседей, «техподдержка» предлагает обновить данные, а «работники почты» – перенаправить по верному адресу или доставить на дом заказную корреспонденцию или посылку из зарубежного интернет-магазина.
При подозрительных звонках сохраняйте спокойствие и помните, что настоящие сотрудники банков и госорганов никогда не просят сообщать коды из SMS. Поэтому никогда и никому не сообщайте эти данные, кем бы ни представился звонящий! Также представители официальных организаций никогда не звонят через мессенджеры.
Кроме того, даже если это создаёт некоторые неудобства, двухфакторную аутентификацию для важных сервисов и банковских приложений включать нужно обязательно. И даже в этом случае не стоит использовать для входа общедоступные компьютеры, так как есть масса способов восстановить пароль через кэш браузера, а пароль узнать методом социальной инженерии или даже подсмотреть, если злоумышленник находится рядом.
Если на телефон пришла SMS с кодом доступа к сервису, который пользователь не запрашивал, – это явный признак попытки взлома.
Значит, e-mail или логин, а возможно, и пароль аккаунта известен злоумышленникам, и произошла безуспешная попытка входа. Атака пока не удалась, потому что у мошенника нет доступа к телефону, но ситуацию лучше не игнорировать. Желательно сменить пароль для этого сервиса и для всех аккаунтов, где использовался аналогичный пароль.
Мошенники уже используют ИИ
Технологии искусственного интеллекта открыли новые возможности и для преступников. Сегодня мошенники могут, записав короткий образец голоса родственника будущей жертвы, синтезировать любые фразы этим голосом с помощью нейросетей, а также создать реалистичное видео с лицом человека (дипфейк).
Далее жертве поступает звонок с неизвестного номера с сообщением о создавшейся трагической ситуации или правонарушении и просьбой перевести деньги от собеседника, внешность и голос которого полностью имитирует родственника.
Низкое качество изображения при видеозвонке, давление на эмоции и требование срочных действий могут парализовать жертву и отключить бдительность. При подозрительных звонках необходимо сразу перезвонить на известный номер родственника. Даже если вы «видите и слышите» родного человека, сохраняйте хладнокровие и используйте дополнительные способы верификации. Кроме того, важно помнить, что настоящие экстренные ситуации никогда не решаются через мгновенные переводы.
Чтобы уменьшить риск использования внешности и голоса в мошеннических целях, не стоит публиковать видео и оставлять голосовые сообщения в соцсетях и открытых чатах. Также рекомендуется установить в семье кодовое слово, которое неизвестно посторонним.
Дополнительные риски ИИ
При использовании искусственного интеллекта нужно предпринимать те же меры информационной гигиены, что и при использовании сети интернет.
Не разглашайте личные данные, инструментом манипуляции может стать любая информация, попавшая в сеть.
Помните, что запросы к чатам с ИИ аккумулируются и анализируются, на их основе делаются выборки о предпочтениях пользователей для маркетологов. Не исключено, что на каком-то этапе данная информация может быть использована и для таргетированного мошенничества.
Главное правило цифровой эпохи: доверяй, но проверяй.
Современные технологии позволяют подделать почти всё, кроме вашей бдительности.
В следующих материалах Алексей Савченко расскажет о резервном копировании, вирусах и защите от них, фишинге, безопасных паролях и правилах их запоминания.
