18 червня 2021 Київ, НСК «Олімпійський», вул. Велика Васильківська, 55

В епоху, коли більша частина робочого та особистого життя відбувається онлайн, особливо небезпечно втратити контроль за обліковими записами, електронною поштою чи месенджерами. Сьогодні важливо правильно захищати персональні дані. Щоб допомогти аудиторії iForum убезпечити себе в інтернеті, Мар’яна Капранова, консультантка Лабораторії цифрової безпеки, пояснює, як розпізнати одну з найпопулярніших атак на користувачів та вберегтися від неї.

Що таке фішинг

Фішинг — це атака, спрямована на те, щоб користувач видав шахраям щось важливе. Зазвичай це стосується персональних даних або грошей. Це можуть бути дані для входу в облікові записи, наприклад, email або онлайн-банкінг (так звані credentials), гроші, шкідливе програмне забезпечення, яке теж може збирати персональну інформацію та паролі.

Фішинг не є технологічно складним, бо в його основі лежить людська психіка. Адже задача фішингу — викликати у вас якусь емоцію і спонукати до дії, граючи на цій емоції. Через це фішингові атаки доволі популярні.

Перший дзвіночок: емоції

Очікування винагороди, страх, сором — це постійні супутники фішингових листів:

  • друзі чи рідні потрапили в біду і просять гроші — страх і тривога;
  • нігерійські принци пропонують спадок, а Ілон Маск, Білл Гейтс, Джо Байден роздають біткоїни — очікування винагороди. Хоч може здатися, що все очевидно і зрозуміло, все ж на біткоїн-гаманець зловмисника час від часу приходять гроші;
  • хакер зламав ваш комп’ютер і знає, що ви дивитеся порно та вимагає грошей, а інакше надішле це усім вашим контактам — сором. Цей приклад майже з «Чорного дзеркала» в кінці 2019-го був доволі популярним;
  • прийшов лист, що Instagram заблокує ваш акаунт за порушення копірайту — страх;
  • рахунок від банку про транзакцію з картки — страх і тривога.

Не обов’язково, що всі вестимуться на ці листи. Зловмисники надсилають мільйони листів і навіть якщо на гачок попадеться 1% користувачів — це вже можна вважати успіхом. А будуть вестися ті, кому близькі ті чи інші емоції та ситуації.

Другий дзвіночок: вам дають надію і щось просять

Поки ви читали листа, мозок вже встиг намалювати картину, як друзі та колеги отримують відео, на якому ви дивитеся порно, а ви змінюєте ім’я та прізвище та назавжди їдете з країни.

Або ж Facebook заблокує сторінку з мільйонами підписників: ваша робота і робота колег просто зникне, та ще й на вас чекає неприємна розмова або звільнення.

І після цих неприємних фантазій вам дають надію: перейди за посиланням, надішли кошти — і цього не буде. А щоб цього не сталося, треба зробити все швидко.

Третій дзвіночок: тут і зараз

Щоразу, коли лист тисне на емоції, варто призупинитися та заспокоїтися. Але зловмисники якраз цього не хочуть, адже коли нас переповнюють емоції, наше критичне мислення не бачить очевидних хиб і неточностей. З часом емоції спадуть і ви й одруківку побачите, і що посилання якесь підозріле, і поштова адреса якась дивна, а взагалі, ваша веб-камера вже кілька років як заклеєна ще після перегляду того ж «Чорного дзеркала».

Саме тому шахраї дають вам обмеження у часі. Якщо розглянути кілька прикладів, то завжди будуть певні часові рамки: «Ілон Маск подвоює біткоїни перші 30 хвилин, треба бігом все надіслати».

У цьому випадку часове обмеження було доволі коротке, адже твіт публічний, отже оперативно можуть вжити якихось заходів.

То як захиститися від фішингу?

Фішинг проникає у все більше аспектів нашого життя, а схеми постійно змінюються. Тому точно сказати, що ось такий лист/пост справжній, а такий — ні, на перший погляд, не завжди здається.

Наприклад, ще кілька років тому досить часто приходили фішинги на пошту з повідомленнями про вхід на Google чи Facebook. Тоді радили уважно дивитися на інтерфейс, але ж і Google, і Facebook їх постійно змінюють. Або ж звертати увагу на посилання http замість https — але зловмисники почали робити сайти із захищеним з’єднанням (не всі, але наразі це вже не гарантований показник).

Від цих типових фішингів, щоб навчитись визначати шахраїв-відправників та їхні посилання, раджу пройти Phishing Quiz від проєкту Jizsaw — перш за все це дасть практичні навички розпізнавання фішингу, які є набагато ефективнішими за абстрактні поради.

Поступово фішинги почали з’являтися і в самих соцмережах. Наприклад, минулого року досить популярними були повідомлення про порушення копірайту у Facebook та Instagram. Тож тепер Instagram попереджає користувачів, що посилання переводить на сторонній сайт. Хоч повністю покладатися на цю функцію не варто, бо вона працює не у всіх.

Також останнім часом популярні схеми, коли ламають акаунти користувачів (через той же фішинг або повторне використання паролів) і просять грошей. Чи допоможе тут схема визначення посилання, інтерфейсу? Це ж акаунт вашого друга.

Тому найважливіша порада все ж таки абстрактна: звертати увагу на дзвіночки та не поспішати.

Це може бути важко, особливо, якщо лист заганяє в емоції, які вам складно контролювати і ви забуваєте про будь-яку логіку. Раджу зупинитися, з кимось порадитися, випити чаю — і розум проясниться.

Технічні способи захисту

Перш за все, варто розуміти, що ці поради захистять саме від фішингів, спрямованих на отримання ваших паролів.

Налаштувати двофакторну автентифікацію (2ФА) скрізь, де є така можливість. Навіть якщо ви «провтикаєте» і введете пароль на зловмисному сайті, 2ФА зменшить ймовірність несанкціонованого входу у ваш акаунт. У більшості випадків, вона захистить від фішингу, хоча зрідка бувають і такі схеми, які пропонують ввести код від 2ФА.

Важливо не забути про месенджери, адже туди теж приходять фішинги. Вони також мають можливість двофакторної автентифікації. У випадку з месенджерами це означає, що вам треба встановити пароль або код. Тоді для входу на новому пристрої потрібно ввести як код із SMS, так і пароль/код. Навіть якщо зловмисник перехопить SMS, не знаючи пароля/коду він не зможе увійти у ваш обліковий запис.

Що варто знати, якщо занадто пізно виявили фішинг?

Якщо ви ввели дані для входу в акаунт, тепер важливо вийти з невідомих сесій (якщо є) та змінити пароль на цьому акаунті. Якщо ж у вас такий же або схожий пароль на інших акаунтах — їх теж варто змінити.

Не соромитися. Сором — це навіть потужніший гачок шахраїв, ніж страх. Бо наче і читав про фішинг, і подивився листа ще раз і побачив помилки, і міг же здогадатися, але все ж таки ввів дані…

Помилятися — це нормально. Важливо розказати про це іншим — можливо, ваш приклад вбереже когось від такого випадку.

Організовано зусиллями волонтерів компаній

Спонсори та партнери 2021

Титульний спонсор
Генеральний спонсор
Спонсор Main Stage
Спонсор залу «Інтернет-технології»
Спонсор залу «Майбутнє»
Спонсор залу «Реклама і просування»
Спонсор Міста Майбутнього
Книжковий партнер
Будівельний партнер
Relax-партнер
Автомобільний партнер
Преміальний партнер
з онлайн-маркетингу
Спонсор
Спонсор
Логістичний партнер
Технологічний партнер
Digital-партнер
Інвестиційний партнер
Поліграфічний партнер
Водний партнер
Технічний партнер
Медичний партнер
Партнер розсилки
Cпонсор

Інфопартнери 2021

Генеральний інформаційний партнер