На крок наперадзе хакера: простыя парады па кібербяспецы

У сучасным узаемазвязаным свеце наша жыццё круціцца вакол лічбавых тэхналогіяў. Ад анлайн-банкінгу да аддаленай працы, ад камунікавання ў сацыяльных сетках да медычных даных – мы перадаём велізарную колькасць асабістай і канфідэнцыйнай інфармацыі ў лічбавую сферу. Уявіце сабе, што інтэрнэт – гэта гіганцкая гульнявая пляцоўка. Тут весела і поўна пацешных рэчаў, але часам ёсць схаваныя небяспекі, якія мы не можам убачыць, напрыклад, закладзеныя міны. Гэтыя небяспекі называюцца пагрозамі кібербяспекі. Калі не прытрымлівацца захадаў бяспекі, зламыснікі могуць пашкодзіць нашы кампутары і скрасці важную інфармацыю.

Гэта кароткі гід дапаможа вам распазнаваць лічбавыя пагрозы і заставацца ў бяспецы ў інтэрнэце. Нашы простыя, але эфектыўныя парады дапамогуць вам з патэнцыйнай ахвяры кібер-ашуканцаў ператварыцца ў упэўненага і інфармаванага лічбавага карыстальніка.

Вось жа, распачынаем падарожжа ў бок бяспечнага лічбавага досведу!

Што такое фішынг?

Фішынг – гэта від ашуканскай дзейнасці, што ажыццяўляецца кіберзлачынцамі. Яны
адпраўляюць замаскаваныя электронныя лісты людзям або арганізацыям пад выглядам паведамленняў з аўтарытэтных крыніц, каб прымусіць чытача перайсці па спасылках на падазроныя вэб-сайты або перадаць канфідэнцыйную інфармацыю, такую як банкаўскія рэквізіты, паролі ўліковых запісаў або дадзеныя крэдытных картак.

У некаторых фішынгавых лістах могуць быць вірусы, замаскіраваныя пад бяскрыўдныя ўкладанні. Яны актывуюцца, калі вы клікаеце на іх.  Падобная фішынгавая атака можа мець  пэўную мэту. Напрыклад, скрасці канфідэнцыйныя дадзеныя вашай арганізацыі ці кампаніі.

Злачынцы выкарыстоўваюць некалькі спосабаў дастаўкі фішынгавых прынадаў, напрыклад:

• Фішынг па электроннай пошце: шкоднасны кантэнт дасылаецца па электроннай пошце.
• Смішынг (Smishing): рассылка SMS-паведамленняў на мабільны тэлефон.
• Вішынг (Vising): выманьванне інфармацыі праз тэлефонныя званкі.

Кожная з гэтых прынадаў выглядае як аўтэнтычная, а, каб заваяваць ваш давер, адпраўнік, як правіла, прадставіцца чалавекам або арганізацыяй, з якімі вы знаёмыя. Выяўляць гэтыя спробы сацыяльнай інжынерыі становіцца ўсё цяжэй, паколькі ашуканцы ўдасканальваюць свае “прыёмы”. Яны граюць на нашых сацыяльных інстынктах (напрыклад, жаданні быць карыснымі) ці нашых эмоцыях, такіх як страх ці гнеў.

Як пазбегнуць фішынгу?

Злачынцы шукаюць у інтэрнэце агульнадаступную інфармацыю пра людзей, каб зрабіць свае фішынгавыя электронныя лісты больш пераканаўчымі. Задумайцеся, якая інфармацыя пра вас  даступная ў інтэрнэце? Гэта дапаможа вам зрабіць некалькі простых крокаў, каб не стаць мішэнню фішынгавай атакі па электроннай пошце.

• Ва ўсіх сацсетках ёсць розныя ўзроўні наладаў канфідэнцыйнасці  карыстальнікаў. Праглядзіце гэтыя налады сваіх уліковых запісаў  і пераканайцеся, што ваша інфармацыя не з’яўляецца агульнадаступнай.
• Памятайце, што не толькі вы можаце размяшчаць інфармацыю пра сябе ў інтэрнэце. Звярніце ўвагу  на тое, якую інфармацыю пра вас публікуюць чальцы вашай сям’і, сябры ці калегі па працы. Пры неабходнасці папрасіце іх выдаліць любую інфармацыю пра вас.
• Складзіце просты кантрольны спіс, які лёгка запомніць, з найбольш характэрных прыкметаў фішынгу (гл. ніжэй), на падставе якога спраўджайце падазроныя электронныя лісты. Калі ў вас узніклі падазрэнні ў дачыненні да атрыманага вамі электроннага ліста, паведаміце пра гэта свайму ІТ-адміністратару або правайдару паслугаў электроннай пошты, а пасля выдаліце падазроны электронны ліст.

Характэрныя прыкметы фішынгу

Паколькі кіберзлачынцы робяць свае фішынгавыя лісты ўсё больш пераканаўчымі, каб заваяваць ваш давер, заўсёды рабіце паўзу, каб падумаць, ці не выклікае ў вас падазрэнняў той ці іншы электронны ліст. Вы ўсё адно будзеце быць на крок наперадзе іх, памятаючы пра характэрныя прыкметы фішынгавых атак.

• Электронны ліст пачынаецца з агульнага або безасабовага вітання, напрыклад, “Дарагі сябра” ці “Паважаны кліент”? Калі да вас не звяртаюцца па імя, гэта можа сведчыць пра тое, што адпраўнік вас не ведае і ў яго не павінен быць ваш адрас электроннай пошты.
• Праверце адрас электроннай пошты адпраўніка, падвёўшы курсор мышкі да графы “Ад каго”(From) або клікнуўшы на стрэлку ўніз побач з імем адпраўніка, каб атрымаць больш падрабязную інфармацыю пра адпраўніка. Ці супадае імя з адрасам электроннай пошты і ці выглядаюць яны праўдзіва? Калі не, дык адпраўнік, магчыма, спрабуе выдаць сябе за кагосьці іншага.
• Ці ёсць у гэтым электронным лісце нешта пільнае, напрыклад запыт наконт вашых банкаўскіх рэквізітаў або нейкія дзеянні, якія неабходна зрабіць, каб пазбегнуць страты нейкай паслугі? Памятайце, што ваш банк або іншыя профільныя арганізацыі ніколі не будуць накіроўваць вам падобныя запыты па электроннай пошце. Калі вы бачыце падобны запыт, будзьце асцярожныя і звяжыцеся з арганізацыяй (напрыклад, з банкам), каб наўпрост удакладніць інфармацыю.
• Заўсёды правярайце запыты на скід пароля або аўтэнтыфікацыю, адпраўленыя вам па электроннай пошце або SMS. Яны павінны прыходзіць толькі ў тым выпадку, калі вы самі зрабілі запыт на змену пароля або паспрабавалі прайсці аўтэнтыфікацыю праз свой анлайн-акаўнт. Кіберзлачынцы могуць адпраўляць падманлівыя запыты, каб скрасці вашы паролі: калі маеце сумневы, не клікайце і паведамце пра гэта правайдару паслугаў вашага ўліковага запісу.
• Вам прапануюць нешта бясплатна або са значнай зніжкай? Спытаеце сябе, ці не занадта добра гэта гучыць, каб быць праўдай? Такая тактыка выкарыстоўваецца, каб прымусіць вас запанікаваць, што вы можаце змарнаваць добрую магчымасць, калі не будзеце прытрымлівацца інструкцыяў, змешчаных у электронным лісце. Калі гэта гучыць занадта добра, каб быць праўдай, дык,  хутчэй за ўсё, гэта хлусня.

Некаторыя з гэтых прыкметаў таксама могуць прысутнічаць пры махлярстве з тэкставымі  паведамленнямі (смішынг) і ашуканскіх галасавых выкліках па тэлефоне (вішынг). Агульныя рэкамендацыі адносна такіх відаў махлярства наступныя:

• Скарочаныя і непазнавальныя спасылкі – дакладная прыкмета махлярства, не вядзіцеся на прынаду.
• Рэальныя ўстановы ніколі не папросяць вас такім чынам прадставіць асабістыя даныя.
• Калі вам здаецца, што гэта занадта добра, каб быць праўдай, ці вы ў чымсьці не зусім упэўненыя, тады не рэагуйце.
• Звяжыцеся наўпрост з адпаведнай арганізацыяй, выкарыстоўваючы іх афіцыйны нумар тэлефону, які павінен быць паказаны на іх афіцыйным сайце, каб спраўдзіць, ці спрабавалі яны звязацца з вамі.

Вы клікнулі на прынаду?

Калі вы лічыце, што сталі ахвярай фішынгавага электроннага ліста, і ўжо перайшлі па спасылцы, ва ўкладанні або падалі канфідэнцыйную інфармацыю, вы ўсё адно можаце распачаць гэтыя дзеянні, каб звесці да мінімуму разбуральныя наступствы атакі.

• Калі вы падалі канфідэнцыйную інфармацыю, напрыклад, ваш пароль або банкаўскія рэквізіты, змяніце паролі на ўсіх вашых уліковых запісах і звярніцеся ў свой банк, каб атрымаць кансультацыю, што вам варта рабіць далей.
• Выкарыстоўвайце антывірусную праграму для поўнага сканавання вашай прылады, каб яна магла выявіць усе магчымыя вірусы і паспрабаваць выдаліць іх.
• Калі вы сталі ахвярай махлярства, вам варта паведаміць пра гэта ў мясцовую паліцыю.

Агульныя парады па кібербяспецы:

• Сцеражыцеся падазроных паведамленняў. Гэтыя паведамленні могуць прыходзіць у выглядзе электронных лістоў, тэкставых паведамленняў або допісаў у сацыяльных сетках. Яны могуць утрымліваць прапановы чагосьці, што здаецца занадта добрым, каб быць праўдай, або могуць выклікаць пачуццё тэрміновасці.
• Не пераходзьце па спасылках і не запампоўвайце файлы з падазроных паведамленняў. Гэта можа спрычыніцца да ўсталявання шкоднасных праграмаў на вашу прыладу або крадзяжу вашай асабістай інфармацыі.
• Паведамляйце пра падазроныя паведамленні. Гэта дапаможа папярэдзіць іншых пра махлярства і выдаліць паведамленне.
• Выкарыстоўвайце надзейныя паролі і рэгулярна мяняйце іх. Так хакерам будзе складаней угадаць вашы паролі.
• Уключыце двухфактарную аўтэнтыфікацыю. Гэта павышае ўзровень бяспекі вашых уліковых запісаў, паколькі для ўваходу ў сістэму патрабуецца дадатковае пацвярджэнне, напрыклад, код з вашага тэлефону.
• Рэгулярна абнаўляеце сваё праграмнае забеспячэнне. Гэта тычыцца вашай аперацыйнай сістэмы, вэб-браўзэра і іншых прыкладанняў. Абнаўленні часта ўтрымліваюць выпраўленні для сістэмы бяспекі, што ліквідуюць уразлівасці, якімі могуць скарыстацца хакеры.
• Зважайце на тое, якой інфармацыяй вы дзяліцеся ў інтэрнэце. Не дзяліцеся асабістай інфармацыяй, такой як нумар вашага банкаўскага рахунку або нумар сацыяльнага страхавання, з незнаёмымі вам людзьмі.
• Сцеражыцеся фішынгу. Фішынгавыя рассылкі – гэта электронныя лісты або паведамленні, якія спрабуюць падманам прымусіць вас перайсці па спасылцы або спампаваць файл, які змяшчае шкоднаснае праграмнае забеспячэнне. Часта яны могуць выдаваць сябе за рэальныя кампаніі або арганізацыі.
• Абараняйце свае паролі. Ніколі ні з кім не дзяліцеся сваімі паролямі і кодамі і не перадавайце іх па электроннай пошце, тэлефонных званках, тэкставым паведамленнях або ў сацыяльных сетках. Рэкамендуецца выкарыстоўваць надзейныя паролі і рэгулярна іх мяняць. 

Прытрымліваючыся гэтых парадаў Агенцтва ЕС па кібербяспецы (ENISA), вы можаце абараніць сябе ад фішынгавых атак.

Еўрапейскі саюз працуе на розных франтах, каб павысіць кіберустойлівасць, абараніць наша камунікаванне і даныя, а таксама забяспечыць бяспеку анлайн-грамадства і эканомікі. ЕС супрацоўнічае з іншымі краінамі, каб дапамагчы ім умацаваць свой патэнцыял па абароне ад пагрозаў кібербяспекі ў розных краінах свету, а таксама ў шасці краінах Усходняга партнёрства ў рамках разнастайных праграмаў, такіх як EU4Digital. EU4Digital – гэта флагманская рэгіянальная праграма ЕС па падтрымцы лічбавай трансфармацыі і гарманізацыі лічбавых рынкаў у краінах Усходняга партнёрства. 

Праверце свае веды ў сферы кібербяспекі і прайдзіце гэты тэст.

Visuals: The European Union Agency for Cybersecurity (ENISA)