Trust & Safety: онлайн-безпека з OLXУ XXI столітті інформація – це все. Якщо зловмисники заволодіють вашими персональними даними, вони можуть вас пограбувати, шантажувати, використовувати інформацію проти вас або вашого бізнесу. Краще цього не допустити, ніж розбиратися з наслідками.
Про те, як хакери крадуть особисту інформацію користувачів інтернету, чим загрожують такі витоки і як захистити свої дані в мережі, редакція OLX розпитала Михайла Чайкіна, міжнародного консультанта з кібербезпеки, технічного радника з кібербезпеки та діджиталізаціі американського фонду CRDF Global.
Кожну другу компанію колись зламували
Як кажуть фахівці з кібербезпеки, добрий злам – той, про який ще ніхто не знає. Наприклад, у 2017 році український бізнес постраждав від вірусу Petya: він проник в інфраструктуру компаній після оновлення програми M.E.Doc. За інсайдерською інформацією, хакери готували цю атаку близько двох років. Тобто M.E.Doc зламали заздалегідь, але до останнього моменту ніхто ні про що навіть не здогадувався.
Через це неможливо навести точну статистику, як часто бізнес страждає від дій кіберзлочинців. За даними одного закритого дослідження, близько 50% всіх компаній коли-небудь стикалися з інцидентами, пов’язаними з інформаційною безпекою.
Ці цифри змінюються залежно від розміру бізнесу. Маленькі компанії зазвичай менше вкладаються в кіберзахист – і для них відсоток зламів досягає 70%. У великих корпорацій, навпаки, показники нижчі.
Але й у великих компаніях трапляються форс-мажори. Наприклад, три роки тому корейські хакери зламали 11 банків з Південно-Східної Азії через систему банківських переказів SWIFT. Злочинцям вдалося отримати близько $80 млн.
Інший приклад. У липні цього року шахраї отримали несанкціонований доступ до 130 облікових записів знаменитостей у Twitter: Ілона Маска, Білла Гейтса, Барака Обами та інших американських бізнесменів і політиків. На їхніх сторінках з’явилися повідомлення з проханням переказати гроші на Bitcoin-гаманець і обіцянкою повернути отриману суму в подвійному розмірі. Таким чином шахраї зібрали близько $100 тис.
Здавалося б, і в азіатських банків, і у Twitter величезні бюджети на інформаційну безпеку – але їх зламують. Це означає, що навіть «найсерйозніший» бізнес не може вважати себе абсолютно захищеним.
З мого досвіду, приблизно 30-40% компаній недооцінюють ризики з кібербезпеки. Це призводить до негативних наслідків: вони не вкладають гроші в технічні рішення із захисту даних на зразок ліцензійних антивірусних програм, не проводять аудитів безпеки, не звертаються до експертів, які можуть імітувати злам і таким чином виявити «прогалини» в IT-інфраструктурі.
За статистикою, в 64% зламів мета хакерів – украсти персональні дані користувачів: ПІБ, дату народження, домашню адресу, номер телефону, електронну пошту, фінансові дані тощо. У 31% випадків зловмисники планують потім вимагати гроші, і ще в 5% – роблять усе заради «спортивного» інтересу.
Дані користувачів продають у даркнеті за тисячі доларів
Одна з найпоширеніших «точок» зламу – електронна пошта. З особистого архіву листів можна «поживитися» найрізноманітнішою інформацією: від паспортних даних жертви – до банківських реквізитів, через які можна вивести гроші. З корпоративних листувань хакери дізнаються інсайдерську інформацію про бізнес, наприклад, про кредити компанії, майбутні угоди тощо.
До того ж через пошту можна отримати доступ до інших сервісів, які прив’язані до цієї електронної адреси, – наприклад, до соцмереж, особистого профілю в онлайн-банкінгу або на інших онлайн-платформах. А під час зламу корпоративної пошти легко «вийти» на бази з даними про клієнтів компанії, системи з управління виробничими процесами, отримати доступ до внутрішніх чатів і документів.
Украдену інформацію зловмисники продають у даркнеті. Іноді – за сотні мільйонів доларів. Наприклад, з лікарні можна вкрасти базу з даними про захворювання пацієнтів – а потім продати її компанії, яка займається розробкою ліків. Так бізнес буде знати, кому та які препарати рекламувати.
З банку можна вкрасти інформацію про паспортні дані та платіжні картки користувачів – і продати їх шахраям, які оформлять на них онлайн-кредити.
Свіжий приклад із життя: зараз у даркнеті за $3 тис. продають українську базу ДАІ. Завдяки таким даним шахраї можуть, наприклад, зробити дублікат техпаспорта на авто і таким чином легалізувати машини, які викрали з-за кордону. Або навіть спробувати переоформити авто без відома власника. На жаль, державні організації, як правило, приділяють кіберзахисту ще менше уваги, ніж бізнес.
Якщо не технічний злам, то соціальна інженерія
Ще 10-15 років тому паролі здебільшого були короткими й простими – на кшталт «123456». Тому хакери створювали програми, які генерували різні комбінації літер або цифр, – і за кілька хвилин або годин підбирали правильну.
Зараз більшість сайтів вимагають довші та складніші паролі – з цифрами, великими літерами та спецсимволами. Підібрати їх можна тільки в одному випадку – якщо це одна з декількох сотень найпоширеніших комбінацій: «Qwerty123», «Qwerty_123», «Qw-123456» тощо.
Якщо ж ви вигадали унікальний пароль мінімум з десяти ніяк не пов’язаних між собою символів – на кшталт «2; H8d90-kS13» – його можна вважати надійним. Теоретично підібрати можна будь-яку комбінацію, але для цього потрібні місяці або роки, і навряд чи хакер захоче витрачати стільки часу.
Водночас не варто використовувати однаковий пароль всюди, яким надійним він би не був: для кожного облікового запису потрібно вигадувати свій. Інакше, якщо хакер якось дізнається один, то отримає доступ одразу до всіх ваших даних.
Довіряти важливі комбінації спеціальним програмам для зберігання паролів я не раджу – адже їх теж можна зламати. Краще зберігати все в голові. Але розумію, що це не завжди вдається. В крайньому разі можна використовувати менеджер паролів від Google або сервіс «Зв’язка ключів» від Apple: величезні корпорації приділяють кібербезпеці більше уваги, ніж невеличкі компанії-розробники.
Якщо хакери не можуть підібрати пароль технічними засобами, вони переключаються на методи соціальної інженерії – за допомогою психологічних маніпуляцій. Наприклад, ви гуляєте з собакою. До вас підходить людина, яка вже давно за вами стежить, і під час невимушеної бесіди дізнається, як звуть вашого улюбленця. А ім’я тварини – це поширений варіант кодового слова, за яким можна отримати доступ до пошти та інших сервісів. Іноді для цього навіть не треба виходити на вулицю: жертва сама про все розповідає на своїй сторінці в соцмережах – достатньо просто детально вивчити її пости.
Тому не варто публікувати будь-що, що можна використовувати проти вас, паспортні дані, фото з номерами вашого автомобіля тощо. Також не потрібно розповідати, що ви їдете у відпустку і квартира буде порожньою – в цей час її можуть пограбувати.
Важливо бути пильним і не розкривати будь-яку особисту інформацію незнайомим людям. Наприклад, якщо вам дзвонить нібито менеджер вашого банку і каже: «На ваш рахунок надійшов платіж, назвіть PIN-код вашої картки, щоб ми могли його прийняти» – цього в жодному разі не можна робити. Краще самому передзвонити на офіційну лінію підтримки вашого банку або зайти у відділення особисто, щоб уточнити деталі.
Ще один приклад з життя: кілька тижнів тому шахраї розсилали SMS-повідомлення від імені компанії АТБ – про розіграш купона з 79% знижкою на покупку мобільного телефона Huawei P40. Нібито для того, щоб його отримати, необхідно пройти запропоноване опитування. Так жертва в ігровій формі сама розкриває особисті дані та добровільно передає їх зловмисникам. Перед тим, як брати участь у таких акціях, потрібно зайти на офіційний сайт компанії або її сторінку в соцмережах і додатково перевірити інформацію.
Що робити, якщо вас зламали
Про те, що хтось отримав доступ до вашого облікового запису, можна дізнатися за повідомленнями про дії, яких ви не робили. Наприклад, на пошту приходить лист із підтвердженням покупки, про яку ви чуєте вперше. Також більшість онлайн-платформ або сервісів показують історію ваших відвідувань: коли ви авторизувалися та з якого пристрою.
Наприклад, на OLX про злам можуть свідчити такі ознаки:
– у вашому профілі зникли оголошення;
– з’явилися чужі публікації;
– з’явилися повідомлення, яких ви не надсилали;
– змінилися контактні дані.
Якщо ви підозрюєте, що вас зламали, я рекомендую відразу змінити пароль і написати в службу підтримки платформи або сервісу. Якщо до облікового запису були прив’язані фінансові дані, то варто зателефонувати в банк і попросити заблокувати скомпрометовану картку.
Також можна написати заяву в Кіберполіцію, але, як показує досвід, такі звернення не часто закінчуються затриманням злочинців. Річ у тім, що більшість інтернет-сервісів, якими користуються українці, – це продукти інших країн. У нашої Кіберполіції немає повноважень оперативно отримувати інформацію із закордонних офісів таких компаній. Поки слідчі чекають відповідь на свій запит, хакери встигають «замести сліди».
Іноді сам ресурс надсилає користувачу лист: «Ваш обліковий запис міг бути скомпрометований. Будь ласка, змініть пароль». У такому випадку варто діяти за інструкцією, не ігнорувати таке повідомлення. Але спочатку переконайтеся, що лист прийшов від адміністраторів ресурсу, а не від зловмисників, які маскуються під них. Для цього подивіться, з якого поштового домену вам написали: він повинен збігатися з URL-адресою компанії. Наприклад, офіційні повідомлення від OLX приходять тільки з [email protected].
Як компаніям захистити своїх користувачів
Один з найефективніших методів захисту від зламу – двофакторна аутентифікація. Це працює так: для входу в обліковий запис користувач вводить свій логін, пароль, а також одноразовий код, який приходить йому в SMS або мобільному додатку. Таким чином хакер не зможе отримати доступ до аккаунту жертви, якщо не заволодіє її мобільним телефоном. Останнє набагато складніше, ніж просто підібрати або «виманити» пароль, тому системи з двофакторною аутентификацією прийнято вважати надійними.
Головна складність такого рішення з боку бізнесу – це вартість впровадження. Йдеться про десятки тисяч доларів. Також компанія повинна мати розвинену інфраструктуру, щоб можна було технічно інтегруватися з необхідними сервісами.
З боку користувачів головна перепона такого рішення – якщо платформа дозволяє вимкнути двофакторну аутентифікацію і користуватися звичайною, то люди самі часто вибирають цей варіант, щоб «не витрачати зайвий час і заходити на платформу швидше». Але така необачність може коштувати їм витоку особистих даних.
Крім двофакторної аутентифікації, я раджу компаніям впроваджувати суворі вимоги до паролів співробітників та користувачів, регулярно проводити аудит і тестування своєї IT-інфраструктури «на міцність», навчати команду азів кібергігієни. Хоча повністю запобігти зламам неможливо, але що краще захищені дані – то вища ймовірність, що хакер пройде повз і вибере більш непідготовлену жертву.
Текст: Валентина Шимкович
