Експерти прогнозують, що незабаром з’являться такі професії, як мережевий юрист та консультант з безпеки особистого профілю. Водночас вже є фахівці з цифрової безпеки, активно працює кіберполіція. Спершу здається, що все це існує у паралельному всесвіті і ніколи не перетнеться із нашим повсякденним життям.

Одна з найпоширеніших нині ілюзій пересічного користувача: “Кому я взагалі потрібен? Я не маю важливих даних і без проблем заведу собі нову пошту. А безпека – це дуже складно, незручно, всі ці паролі, ну його”. Насправді, що перше, що друге твердження – помилкові. Ми розкажемо, кому і навіщо може знадобитись ви та ваша інформація, і як це може вам зашкодити. Також пояснимо, чому зробити власне перебування в інтернеті безпечним не так вже й складно, як здається.

Кому ви потрібні і для чого?

Едвард Джозеф Сноуден. Знаєте хто це? Це американський програміст, системний адміністратор, екс-працівник ЦРУ та Агентства нацбезпеки (АНБ) США. П’ять років тому він передав газетам The Guardian та The Washington Post інформацію, що АНБ стежить за інформаційними системами багатьох країн світу. Тоді це спричинило низку міжнародних скандалів. Сноудена оголосили у розшук. Він і досі не повернувся у США.

В одному з інтерв’ю його спитали, чи варто чогось боятися звичайним людям, які не мають жодного відношення до спецслужб, доступу до державних таємниць і не володіють секретною чи цінною на їхню думку інформацією? Суть його відповіді полягала у тому, що будь-яка інформація може стати цінною, таємною чи важливою у руках того, хто вміє нею користуватись.

Велика ймовірність, що ви читаєте цей текст зі смартфона або планшета. У крайньому разі з ноутбука. Якщо ви у публічному місці, озирніться довкола. Кожен має власний ґаджет. Хтось повністю занурений і щось вивчає з екрана, хтось слухає музику, хтось просто тримає пристрій у руках. Є безкоштовний вай-фай? Якщо є, напевне ви вже вимкнули мобільний інтернет і користуєтесь халявною мережею.

А тепер уявіть, що серед усіх людей, яким нібито байдуже один на одного, є підліток, який помирає від нудьги і трохи знається на сучасних технологіях. Насправді йому не треба докладати зусиль, щоб дістатись до інформації у вашому смартфоні, поширити вірус, викрасти чи видалити якісь дані, почати майнити криптовалюту з вашого ґаджета. А якщо ви зберігаєте у діалогах із самим собою чи на гугл диску паролі від різних акаутнів у соцмережах чи від онлайн-банкінгу, вважайте – гра почалась. І це лише для забави, ні більше, ні менше. Цікаво, чи весело вам буде стати мішенню?

“Навіщо це дитині?” – подумаєте ви. Ну передусім підлітки це не діти, це особи, які вважають себе дорослими, часто мають високу самооцінку, юнацький максималізм і жагу до пригод. Окрім цього, сучасні підлітки народжені в епоху цифрових технологій. Тому вони краще знаються на них, аніж дорослі з профільною освітою. Здобувши інформацію про вас: профіль у Instagram з 1000 фоловерів, гугл диск з інтимними фото, месенджер з переписками, про які не слід знати стороннім тощо. Вони можуть шантажувати і вимагати гроші за повернення вам же вашого.

Окей, припустимо, що 9 людей з 10, чию пошту, акаунт чи будь-що інше хакнули, просто створять нове. Комусь не лінь разом із новою поштою, фейсбуком і месенджемом завести й нове життя. І пояснювати всім довкола, чому зі старого акаунта розсилатимуть спам і фото геніталій, чи на що ще стане розуму підліткові. Але для 10-го це може стати точкою неповернення, і він буде готовий заплатити чималі гроші, щоб повернути свої дані.

У липні цього року в США завершилась конференція “26th Def-Con Hacking Conference”. Там відрізнилась дівчинка 11 років. Вона зламала сайт місцевої влади за кілька годин і змінила там результати виборів. Сайт дитина бачила вперше. І користувалась лише дозволеними інструментами. Чи варто говорити про небезпеку для акаунтів, які захищені лише паролем, часто одним і тим самим для усіх соцмереж, пошт і застосунків. Може, у вас ще піратський Windows і паролі від усього у блокноті на робочому столі офісного комп’ютера?

Окрім підлітків ваші дані можуть стати у нагоді конкурентам по бізнесу, недоброзичливим колегам з офісу, колишньому чи колишній, завидющим родичам чи іншим недругам. Часом ваші добрі друзі чи рідні можуть знати важливу інформацію, про яку вам може й не відомо, але так ви теж потрапляєте у групу ризику.

Серед іншого, дані про якомога більшу кількість людей цікавлять великі корпорації на кшталт Google чи Facebook. Це величезні бази даних, які є справжнім капіталом XXI століття. Інформацію можна продавати необмежену кількість разів різним покупцям для різних цілей. Власне, це основний спосіб заробітку Facebook. На основі інформації про користувачів працює одна з найбільш дієвих реклам – таргетована. Тобто, коли у ваших стрічках у соцмережах, у рекламі від гугл те, що ви вже раніше шукали, чи те, що потенційно може вам знадобитись – надто не дивуйтесь. Застосунки і соцмережі знають про нас більше, ніж здається.

Читайте також: Ідеальний шпигун: чому потрібно викинути свій смартфон

Як захистити себе?

Передусім треба розуміти від чого чи від кого захищатись, і що загрожує. Також треба усвідомлювати, що 100% безпека – це міф. Водночас кожен з нас без надзусиль може створити собі залізних 60-70% безпеки, замість 0 чи 10.

Серед того, що може нам загрожувати: фішинг, надсилання заражених файлів у листах, злами акаунтів, віруси, втрата цінної інформації. І це далеко не повний список. Вірогідно, серед переліченого не досить очевидне для розуміння слово – фішинг. Давайте розберемось.

Фішинг

Вид шахрайства, мета якого виманювати персональні дані. Переважно це лист від зловмисників, які видають себе за сервіс, яким ви користуєтесь, наприклад, Gmail або Facebook. Лист переадресовує вас на сайт, що має ідентичний до сторінки входу на ці сервіси вигляд. Тут вам пропонують ввести свій логін та пароль. Це потрібно, нібито для того, щоб підтвердити, що це ваша сторінка, чи що ви не змінювали пароль. Після того, як ви “залогінилися”, конфіденційна інформація стає відомою зловмисникам.

Розпізнати такий лист можна. Ось кілька ознак:

  • суть листа викликає у вас або гостро негативні емоції, тобто страх (“хтось отримав доступ до вашого облікового запису”, “ваш обліковий запис буде заблоковано” тощо) чи навпаки вам обіцяють безкоштовний “смачний сир” (“ви стали 10 000 покупцем і виграли мільйон”, “ви виграли АйфонХ”, “важливі документи”, “смішна картинка чи відео” тощо).
  • Повідомлення вимагає термінових дій: “протягом години”, “просто зараз”, “ви маєте 10 хвилин”. Натомість справжній сервіс дає на дію принаймні добу.
  • Пошта, з якої ви отримали лист, має дивний вигляд, щось схоже на одруківки, наприклад, замість “com” – “con” у загальновідомій адресі. Або пошта просто вам не знайома і ви вперше отримаєте лист від цього відправника.
  • У посиланні, за яким вам пропонують перейти є підозрілі символи, слова, абощо. Якщо маєте сумніви і не дуже розбираєтесь, покажіть адресу, друзям, знайомим, системному адміністратору врешті-решт, якщо ви на роботі. Щоб переглянути лінк сайту повністю без переходу на сторінку, треба клікнути правою кнопкою миші на лінк, обрати з меню “Скопіювати посилання”, а потім вставити у текстовий документ і уважно переглянути. 
  • Якщо це лист на пошті нібито від Facebook, то спершу перевірте чи прийшов він вам у самому Facebook. Для цього треба зайти в “Налаштування”, обрати вкладку “Вхід та безпека”, в ній прогорнути вікно донизу і обрати вкладку “Останні листи від Facebook”.
  • Також для більшої впевненості можна у браузері Google Chrome поставити розширення “Захист паролю“. Що це дає? З розширенням, після вводу паролю на іншому сервісі окрім accounts.google.com, приходитиме попередження, що ви вводите пароль на “лівому” сайті. 

Заражені файли

Якщо ж ви просто отримали у листі якийсь файл, на який не чекали, він може бути зараженим. Щоб не підхопити вірус, передусім не відкривайте такі файли без перевірки після завантаження. Якщо є нагальна потреба, документи та таблиці MS Word та Excel можна відкрити онлайн у Google Docs та Google Sheets. В крайньому разі файл можна завантажити на комп’ютер, але одразу не відкривати. Перед запуском перевірити на сайті virustotal.comПроте майте на увазі, що деякі файли можуть нанести шкоду і без відкриття.

Якщо з невідомої адреси ви отримали відео- чи фото-файл, який можна переглянути тут і зараз, не кваптесь клікати на нього. Такі файли можуть бути “провідниками”, тобто якщо навести на нього курсор, то висвітиться лінк. І якщо вибачите адресу якогось незнайомого сайту, посидьте краще на пошті, не ходіть на той сайт. Видаліть лист і живіть далі.

Яким має бути пароль?

Пароль – це перше та найбільш елементарне, що може захистити вашу домашню вай-фай мережу від сторонніх користувачів, а ґаджети від зайвих копирсань. Тому пароль має бути і йому слід бути надійним. Це очевидно, але чи не найпопулярнішим варіантом вирішення ситуації з величезною кількістю облікових записів у різних соціальних мережах лишається такий: один пароль на все або з одним редагованим знаком.

Більшість встановлює пароль, який так чи інакше пов’язаний з їх особою. І його доволі просто підібрати. Це переважно дати народження, прізвища, імена рідних, друзів, домашніх улюбленців тощо. Найбільш прикрий факт, що попри настанови тисяч експертів, досі найпопулярніший пароль за інформацією компанії SplashData – “123456”. На другому місці пароль – password.

Здається, що гарний довгий пароль запам’ятати неможливо, але це не так. Є спосіб, як створити надійний пароль на 15-20 символів і запам’ятати його одразу після генерації. Цікаво?

  • Візьміть папір і ручку, або просто відкрийте замітку у смартфоні чи блокнот на комп’ютері.
  • Напишіть фразу, яку ніколи не забудете: кілька рядків з вірша чи пісні, якийсь прозовий вираз, прислів’я, життєве кредо чи як сварила мама в дитинстві абощо. Наприклад: “Роби, що повинен і будь, що буде”
  • Випишіть тепер першу і останню букву кожного слова, якщо слово з однієї літери, запишіть її один раз. У нас виходить: рищопнібьщобе.
  • Порахуйте скільки було слів у фразі та скільки вийшло букв після останнього кроку. Далі допишіть кількість слів на почату, а кількість букв вкінці або навпаки. У нас: 7рищопнібьщобе13. І це ваш надійний пароль на 17 символів.
  • Спробуйте написати цей пароль тримаючи в голові тільки фразу.

Можна якісь букви зробити великими, чи рахувати не тільки слова, а й розділові знаки. Також можна вигадати власну систему, за якою будете адаптовувати цей пароль під різні соціальні мережі. Наприклад, дописувати на початку великими літерами першу і останню букву соцмережі чи іншого сервісу, яким користуєтесь. З нашим паролем буде так: для Facebook – FK7рищопнібьщобе13, для Gmail – GL7рищопнібьщобе13 і так далі.

Як і де можна зберігати паролі?

Якщо тримати в голові паролі чи іншу важливу інформацію (номери рахунків, лічильників, платежів тощо) вам складно, є купа цікавих рішень. Якщо ви довіряєте своєму блокноту в твердій обкладинці і на ньому не написано “Нотатник для паролів”, то окей. Це може бути для когось зручно.

Для того ж, щоб зберігати паролі та важливу інформацію в електронному форматі, можна користувати спеціальними сервісами, застосунками чи програмами, що встановлюються на комп. Одна з таких – KeepassХ. Це програма з відкритим вихідним кодом, для зберігання паролей. Вона має кредит довіри серед програмістів-розробників, а також не надто складна у користуванні. Можна переглянути кілька оглядових відео і за годинку розібратись. Завантажувати цю, та загалом і будь-які інші програми, варто лише(!) з офіційного сайту.

KeepassХ безкоштовний. Інформація, яка там зберігатиметься буде доступна лише в офлайн режимі. Якщо полюбляєте шпіонські штучки, можна приховати інформацію у програмі, створивши кілька облікових записів. Можна й взагалі замаскувати існування у вас на комп’ютері цієї програми.

І кілька “не” щодо паролів від експерта з цифрових технологій Андрія Маштакова:

  • Не варто зберігати паролі у файлику на гугл-диску, на робочому столі комп’ютера у вордівському файлі з назвою “паролі” чи у папці “особисте”.
  • Не варто записувати паролі на листочках, які легко губляться серед макулатури.
  • Не пересилайте паролі у месенджерах чи СМС.
  • Пароль, який знає більше ніж одна людина – ненадійний.

Подвійна аутентифікація

Цей крок допоможе убезпечити облікові записи віз злому. Зокрема, якщо ви просто трапились на чужому шляху, а не тому що хочуть зламати саме вас. А якщо ви користуєтесь соціальною мережею, месенджером чи поштою, де взагалі не можна налаштувати два фактори аутентифікації, варто замислиться чи надійний цей додаток.

Що це таке подвійна аутентифікація? Це теж саме, що й подвійна авторизація. Тобто для входу в акаунт деінде треба спершу ввести пароль, а потім пройти ще один спосіб авторизації. Це може бути підтвердження через СМС, генератор кодів, а також фізичне (за допомогою зовнішнього носія, наприклад, флешки) чи біометричне (відбиток пальця, сканування обличчя тощо) підтвердження. Звучить складно, але на практиці все просто.

Експерт з цифрової безпеки Антон Кушнір, радить використовувати, як другий фактор аутентифікації саме генератор кодів.

“СМС це зручно, але не дуже надійно, адже може не бути зв’язку чи ви будете у роумінгу. Фізичний фактор сумнівний, адже, наприклад, якщо використовувати флешку, а найчастіше це саме вона, то заходити в акаунт можна буде лише з гаджета, куди цю флешку можна підключити. До того ж це річ, яку не складно загубити. Сканування відбитків пальця, це круто, але знов таки доступно не для всіх гаджетів і не завжди працює коректно. Найкращий варіант – генератор кодів. Навіть якщо розрядився телефон, на якому встановлений додаток, що генерує коди, телефон вкрали чи ви його загубили, можна мати кілька згенерованих одноразових кодів, в тому ж KeepassХ або в іншому надійному місці і ви завжди потрапите у свій акаунт” – стверджує експерт.

Як налаштувати подвійну аутентифікацію

Гугл пошта досить надійна і зручна, до того ж вона одна з найпопулярніших серед українців. Тому розберемось саме з її налаштуваннями.

Отже, щоб налаштувати два фактори авторизації потрібно:

  • зайти на пошту.
  • У верхньому правому куті є кнопка, що має вигляд дев’яти маленьких квадратиків “Застосунки гугл”. Треба на неї клікнути і у вікні, яке з’явиться, перейти на вкладку “Акаунт”, що одразу вгорі.
  • На сторінці “Акаунт” переходимо у розділ “Безпека і вхід”. Там треба знайти вкладку “Двофакторна аутентифікація”. Для увімкнення потрібно буде вказати номер мобільного телефону, щоб отримати SMS або дзвінок із кодом.
  • Ми вже розібрались, що зручним та надійним другим фактором буде одноразовий код. Для генерування таких кодів встановіть додаток для смартфонів “Генератор кодів Google”. Він безкоштовний і доступний для Android та iPhone. 
  • На випадок втрати мобільного телефона треба згенерувати десять одноразових кодів доступу, роздрукувати чи переписати та зберігати у надійному місці.
  • Далі слідуйте рекомендаціям, що підказуйте гугл і насамкінець перевірте чи все вийшло.
  • Також можна додати можливість використати інший другий фактор, наприклад СМС, якщо с генератором кодів в якийсь момент не складеться.

По схожій схемі вмикається двофакторна аутентифікація у Facebook. Тут треба також зайти у налаштування. Далі “Безпека і вхід”, потім “Використання двофакторної аутентифікації”. Там вказуєте, який для вас буде зручний другий фактор, перевіряєте і готово. Насправді в інших соціальних мережах та месенджерах це не на багато складніше.

Як переконатись, що пошта у безпеці і не знає більше, ніж треба

Перше, що варто зробити, це зайти у налаштування пошти. Вгорі обрати “Фільтри та заблоковані адреси” та “Пересилання POP/IMAP”. Тут перевірте чи не пересилається ваша пошта на невідомі вам електронні скриньки.

Тепер можна повернутись у вже знайомий нам розділ “Вхід та безпека“. Тут перевірте авторизовані додатки. Звідси видаліть ті, які не впізнаєте або якими давно не користуєтесь. Тут же подивіться, яка електронна пошта вказана як резервна для відновлення доступу для вашого облікового запису. Якщо ви зараз не маєте доступу до цієї пошти або вона незахищена (слабкий пароль, немає двофакторної аутентифікації) – замініть її на захищену чи просто видаліть. Також тут перевірте, чи вказано телефон для відновлення – якщо це номер, до якого ви вже не маєте доступу – замініть на актуальний. Якщо досі у вас є секретні питання типу “дівоче прізвище матері” – це можна видалити. Така опція позбавлена сенсу та надійності.

У наступній вкладці “Дії на пристроях і безпеку акаунта” можна переглянути, на яких пристроях ви залогінені у цей обліковий запис. Якщо там є “ліві” пристрої, видаліть їх та постарайтесь розлогінитись або змініть пароль.

Ці нехитрі маніпуляції можна зробити у Facebook. Тобто перевірити в налаштуваннях актуальність резервної пошти та номеру телефона для відновлення сторінки. Також перегляньте на який пристроях ви залогінені і які застосунки мають доступ до вашого Fb.

Які месенджери краще зберігають таємницю листування

Передусім, зі слів експерта Андрія Кушніра, будь-який інтернет-месенджер більш безпечний, ніж мобільний зв’язок. Адже до дзвінків та sms через мобільних операторів мають доступ спецслужби (і не лише) країн, де працюють ці оператори.

Є месенджери двох типів. Перші шифрують повідомлення між пристроєм та сервером. Це означає, що сервіс може прочитати зміст вашого листування. Інші використовують  наскрізне шифрування (end-to-end, з кінця в кінець, від точки до точки). Таке шифрування відбувається між двома пристроями і сервіс не не має доступу до суті вашого листування. Більш надійним визнане наскрізне шифрування. Його використовують для усіх розмов та повідомлень (включно з груповими) WhatsApp, Signal та Wire.

Та незалежно від типу шифрування у будь-якому месенджері, яким ви користуєтесь варто налаштувати двофакторну аутентифікацію. Без неї месенджер, як і пошту чи соцмережі, не можна вважати захищеним, бо зловмисники можуть просто “вкрасти” акаунт і не ламати шифрування. До речі, зламати шифрування можна, але це дуже тривалий та ресурсовитратний процес. Ще експерти радять, вимкнути резервне копіювання усього листування в хмару. У WhatsApp треба зайти у “Налаштування”, далі обрати “Повідомлення”, потім “Вимкнути бекап у Google Drive”. І не забудьте після цього видалити вже накопичений архів повідомлень у Google Drive.

Віруси та майнінг

Не можна сказати, що віруси – це пройдений етап, проте, щоб нині підхопити вірус, треба завантажити щось зовсім нерозумне з такого ж нерозумного сайту. Чи хтось принесе вам вірус на флешці. Тобто шляхи, про які всім відомо дуже давно. І від цього переважно рятує антивірус. А якщо вже завантажили щось сумнівне просто перевірте на virustotal. Зараз інша хвороба – криптовалюти, а точніше їхній майнінг.

Читайте також: Цифрова валюта: як справи у біткоїна в Україні

Якщо ви помічаєте, що комп’ютер раптово гріється, гуде, довго завантажується, довго вантажаться окремі сторінки, ігри чи програми, то вітаємо – 99%, що з вашого пристрою хтось майнить криптовалюти. Як це може статися? Способів мільйон. Зараз достатньо просто зайти на якийсь сайт, щоб хакери отримали інформацію, за допомогою якої будуть майнити криптовалюту на вашому компі, допоки ви користуєтесь браузером, з якого зайшли на той сайт. Наприклад, сайт professorweb.ru. Помітив дивну “властивість” сайту експерт з інформаційної безпеки Дмитро Снопченко.

Також є багато онлайн-кінотеатрів, де під час перегляду вами фільмів, хтось на вас заробляє. І це ще складніше розпізнати, бо трохи зайве навантаження на комп’ютер всі списують на завантаження фільму онлайн і слабкий інтернет. Ще одна історія п’ятирічної давнини, як майнили криптовалюту на комп’ютерах людей, що грали у Counter-Strike. Думати, що зараз такого немає, дуже наївно.

Щоб перевірити, що саме навантажує комп’ютер, відкрийте диспетчер задач на комп’ютері (Ctrl-Shift-Esc) та в браузері (в усіх по-різному). Далі закрийте програму чи сторінку, що несе найбільше навантаження. Якщо за якийсь час процес самовідновиться, потрібна буде детальніша експертиза. Тут краще звернутись, до фахівця. Якщо ви на роботі, то розкажіть про підозри системному адміністратору.

Щоб почуватись безпечніше, можна вдатись до профілактики. Не так давно у мережі з’явилися розширення, що дозволяють відстежити програми-майнери. Наприклад, для Chrome це No Coin. Утім перш ніж встановити, його краще також перевірити і знайти офіційну версію. Окрім цього, на комп’ютері варто поставити антивірус класу Internet Security.

Та й здорова параноя не завадить, що стосується всього цифрового життя. Як то кажуть: “Будьте уважні та обережні”.

Ганна Веретенник, “Український інтерес”

Читайте нас також у Facebook, Telegram, Twitter, дивіться в Instagram