Інтернет, безсумнівно, відкриває перед нами безмежні можливості для спілкування, навчання та розвитку. Проте водночас він криє в собі численні ризики та загрози для користувачів.
Саме тому 28 січня в Україні відзначають Міжнародний день захисту персональних даних. Він покликаний нагадати про важливість збереження конфіденційності в цифрову епоху, яка нині вже є частиною повсякденного життя мільярдів людей на планеті.
Вікна-новини вирішили поспілкуватися з експертом з кібербезпеки Костянтином Корсуном, який розповів про такі важливі питання, як: чому важливо захищати персональні дані, як це робити за допомогою двофакторної автентифікації, як не потрапити на шахраїв в інтернеті та убезпечити себе.
— Чому важливо захищати персональні дані в інтернеті і які можуть бути наслідки їхнього витоку?
— Захист персональних даних сильно недооцінений в Україні. На жаль, в нашій країні і люди не дуже уважно ставляться до захисту особистої інформації, і держава не приділяє достатньої уваги.
Водночас у Європі величезна увага приділяється цьому аспекту безпеки. Приміром, там вже давно запроваджено GDPR — загальний регламент про захист персональних даних.
GDPR встановлює правила для забезпечення безпеки та конфіденційності персональних даних громадян ЄС, надаючи їм контроль над їхньою особистою інформацією та зміцнюючи їх права в цифровому просторі.
Також у законі Євросоюзу прописані й інші нормативні акти щодо конфіденційності інформації, за недотримання яких накладаються колосальні штрафи розміром у сотні мільйонів доларів. Наприклад, такі випадки уже були з такими великими компаніями як Amazon, Facebook.
Чому важливо захищати персональні дані кожному користувачеві? Наприклад, коли ми заходимо в магазин, нам кажуть: хочете придбати книгу — заповніть форму з прізвищем, ім’ям, по батькові, номером телефону, електронною поштою, домашньою адресою і так далі.
Після вказання усіх цих даних невідомо, як вони будуть зберігатися та захищатися. Відповідно, вони можуть опинитися у безлічі різних людей, які ними часто зловживають. Після цього, вони накопичуються в різних базах даних, і як правило, облік яких ніхто не веде та не контролює ці процеси.
Потім ці дані продаються на хакерських форумах, у Telegram-каналах, а з ними вже там створюється профілювання — побудова профілю потенційної жертви, куди насилають спам чи короткі шахрайські посилання через месенджери.
Фото: Pexels
Власне, для цього й запровадили на території країн ЄС GDPR, який такі моменти й регламентує. Адже персональні дані можна використати проти самої людини, і це робиться насправді. Ось, власне, чому Європейський Союз настільки колосальну увагу приділяє захисту персональних даних, а Україна — ні.
— Як в Євросоюзі відбувається захист особистої інформації та наскільки велика різниця в захисті даних користувачів в Україні?
— Різниця просто колосальна в тому, що одним з ключових методів реалізації захисту персональних даних громадян є започаткування незалежних спеціалізованих органів у кожній країні.
Тобто, вони мають окреме фінансування, окрему процедуру призначення і зняття з посади керівників. І їм не може, наприклад, посадовець наказати перевірити якусь цікаву для нього особу. Вони незалежні в межах своєї країни.
У ЄС відбувається професійний підбір фахівців, які добре знають законодавство та технічний бік питання. Вони перевіряють, як захищаються персональні дані у різних державних базах даних, у різних реєстрах, і неважливо у приватних чи державних.
Також в Європейському Союзі є безліч юридичних компаній, громадських ініціатив та волонтерських проектів, які уважно стежать за дотриманням законодавства щодо захисту персональних даних та повідомляють про порушення уповноваженим чи незалежним професійним органам, які далі проводять перевірку.
— Як працює анонімний режим в браузерах і чому він не гарантує повну анонімність для користувачів?
— Практично нічого у цьому світі не гарантує повну анонімність в інтернеті. Анонімність в інтернеті перестала існувати вже років 20.
Анонімний режим — це захист від людини, яка, можливо, також скористується вашим комп’ютером. Тобто, коли користувач вмикає анонімний режим — це просто не записується історія браузера в інтернеті, але провайдер усе бачить.
Якщо дитина, приміром, хоче приховати від батьків, що вона дивилася в інтернеті — вона просто заходить в анонімний режим, шукає щось і потім закриває цю вкладку. І в історії вона не відображається. В принципі все. Там більше ніякого додаткового захисту не передбачається.
— Як можна розпізнати фішингові атаки, або ж інші види онлайн-шахрайства?
— Я завжди кажу, щоб розпізнати фішингові атаки є два найкращі методи: критичне мислення і здоровий глузд.
Тобто це коли ви у всьому сумніваєтесь, особливо, коли пропонують щось нереальне. Наприклад, повідомлення, що ви виграли мільйон доларів чи квартиру в Києві. Такі сповіщення це одразу треба ставити під сумнів, тому що майже у 100% випадків це шахраї, що хочуть вкрасти ваші персональні дані.
Як розпізнати шахраїв в електронній пошті
— Важливо перевіряти адресу електронної пошти відправника. Це можна зробити, натиснувши на відповідне поле у вашому поштовому клієнті чи веб-пошті. Якщо там багато випадкових букв та цифр перед знаком @, а в самому повідомленні вам пропонують щось отримати, перейшовши за посиланням, зареєструватися, чи надати якісь документи — це 100% шахрайство.
Фото: Pexels
Також в деяких випадках шахраї підставляють чи підробляють адресу електронної пошти таким чином, що вони схожі на легітимні. Але частіше за все, це якийсь випадковий набір букв та цифр в імені.
Ще одним способом перевірки відправника електронного листа є домен компанії. Він йде після символу @. Його потрібно скопіювати та вставити у браузер. Зазвичай у легітимних компаній назва сайту співпадає з його доменом відправки електронної пошти.
Варто пам’ятати, що є різні антиспам фільтри, які не слід відключати у поштових клієнтах. Це ті повідомлення, які попереджають, що отримане повідомлення — можливий спам. І в більшості випадків вони дійсно є спамом.
Але, тут варто бути обережними, адже, по-перше, в спам може потрапляти і легітимна кореспонденція. А по-друге, справжній спам може й у вхідні повідомлення потрапляти.
Тому універсального рішення щодо того, як уберегтися від фішингових атак немає. Але критичне мислення і здоровий глузд допоможуть уникнути шахраїв.
Фішинг у месенджерах
— Якщо вам з незнайомих номерів у месенджерах пишуть люди із запитанням: “Це ти на відео?”, “Свіжа інформація по ракетним атакам” чи “Свіжа інформація по зарплатах”. Тобто, якісь речі, які чіпають багатьох людей з великою вірогідністю від незнайомого номера і необхідно перейти за посиланням — це 99 відсотків якась афера.
Фото: Unsplash
Але можуть бути випадки, коли подібне приходить від вже відомих абонентів. Це буває тоді, коли чийсь аккаунт зламали, приміром, знайомого, родича чи колеги.
В таких випадках шахраї одразу розсилають всьому списку контактів щось коротке та універсальне. Приміром: у мене біда, я потрапив(-ла) в лікарню, потрібні гроші на лікування, ось номер картки, скинь сюди.
Абсолютна більшість людей засумнівається і не надішле гроші, але якийсь відсоток скине, і це окупає всю операцію по зламу аккаунту.
Тож якщо навіть від відомого вам абонента приходить щось нетипове, підозріле, наприклад, людина так не звертається до вас чи не пише в такому стилі, не надсилає вам просто лінки без коментарів — слід подзвонити цій людині і уточнити.
Бажано це робити іншим каналом зв’язку. Приміром, якщо це прийшло у вайбер — перезвоніть просто телефоном.
Як перевірити посилання на наявність вірусів
— Буває, що дуже кортить дізнатися, що ж за посилання надіслала людина і ви, передзвонюєте, щоб це уточнити, а вона не бере трубку. Таке буває.
В такому випадку потрібно правою кнопкою миші, не відкриваючи лінк, скопіювати його. Є безкоштовний ресурс VirusTotal. Там зібрані усі світові відомі антивірусні рішення і безпеки, які протягом однієї хвилини сканують, чи не засвітилося це посилання вже в якихось відомих фішингових кампаніях.
І якщо там буде результат, приміром, 0/90 — це означає, що з 90 перевірок не знайшли жодного підозрілого моменту. Тож такий сайт є безпечним і на нього можна переходити.
Якщо ж результат показав 0/0, тобто сайт не проходив жодної перевірки — на нього можна зайти, але тут вже треба бути обережними та не забувати про здоровий глузд і критичне мислення.
Також варто пам’ятати, що VirusTotal перевіряє лише чи посилання вже засвітилося у якихось шахрайських схемах раніше.
— Як сookie використовується веб-сайтами і чи несе воно якусь загрозу для конфіденційності?
— Cookie — це невеликі файли, які збирають певну інформацію про вас. Наприклад, про вашого інтернет-провайдера, операційну систему, розміри екрану, IP-адресу тощо.
Це робиться для того, щоб при наступному візиті на сайт, інформація вже була доступна і сайт міг швидше завантажитись.
Тим не менш, оскільки сookie містять досить багато технічної інформації, що може бути використана для ідентифікації користувача, вони ставлять питання про конфіденційність. Тому, Європейський Союз прийняв GDPR, який встановлює правила щодо використання сookie-файлів.
Зокрема, GDPR вимагає, щоб веб-сайти давали користувачам зрозумілий вибір, щодо того, які сookie вони хочуть прийняти.
Користувачі можуть прийняти всі сookie, відмовитись від всіх (крім технічно необхідних), або обрати різні варіанти. Недотримання цих правил може призвести до великих штрафів для компаній, як це було з Amazon, Facebook та Google.
— Чи може двофакторна автентифікація підвищити рівень захисту персональних даних та що важливо знати про її підключення?
— Двофакторна автентифікація значно підвищує безпеку вашого аккаунту в соціальних мережах, пошті та інших онлайн-сервісах.
Це додатковий рівень захисту, який вимагає підтвердження вашої особи не тільки за допомогою логіна та пароля (перший фактор), але й через додатковий метод (другий фактор), наприклад, код, отриманий на телефон.
Двофакторна автентифікація робить доступ до вашого аккаунту майже неможливим без вашого відома, навіть якщо хтось дізнається ваш логін і пароль. Якщо хакери вкрали ваші дані для входу, їм все одно потрібно буде отримати доступ до другого фактора, що зазвичай міститься на вашому телефоні.
Фото: Pexels
Однак, важливо знати, що використання SMS як другого фактора не є найбезпечнішим варіантом, оскільки існують способи перехоплення SMS-повідомлень. Більш безпечними є програми такі як Google Authenticator або Microsoft Authenticator. Вони генерують одноразові коди, які змінюються кожні 30 секунд.
Як налаштувати двофакторну автентифікацію
Щоб налаштувати двофакторну автентифікацію потрібно:
- Встановити автентифікатор на телефон.
- Перейти до налаштувань безпеки на сайті, де ви хочете включити двофакторну автентифікацію.
- Сканувати QR-код, наданий веб-сайтом, за допомогою вашої програми автентифікації, щоб пов’язати ваш аккаунт із програмою.
- Вводити одноразові коди з програми при кожному вході в аккаунт.
Надзвичайно важливо увімкнути двофакторну автентифікацію на всіх ключових аккаунтах, особливо на електронній пошті, до якої прив’язані ваші соціальні мережі, месенджери, а також фінансові та інші важливі сервіси.
— Які основні помилки допускають користувачі щодо конфіденційності в інтернеті і як їм можна запобігти?
— Говорячи про основні помилки, можна виділити кілька найбільш розповсюджених, які зазвичай є й найпримітивнішими:
- Недбале ставлення до повідомлень та посилань. Люди часто бездумно клацають на посилання та відкривають повідомлення від невідомих відправників, що може призвести до зараження вірусами, фішингу або інших шахрайських схем.
Як запобігти: Не відкривайте посилання чи вкладення від невідомих відправників і завжди перевіряйте URL-адреси на предмет підозрілості перед клацанням.
- Не оновлювати програмного забезпечення. Неоновлені системи та додатки містять вразливості, які можуть бути використані хакерами.
Як запобігти: Регулярно оновлюйте операційні системи та додатки, щоб захистити свої пристрої від відомих вразливостей.
- Слабкі та повторювані паролі. Використання слабких, простих або повторюваних паролів збільшує ризик взлому акаунту.
Як запобігти: Використовуйте довгі, складні та унікальні паролі для кожного аккаунта.
- Недостатнє використання інструментів приватності. Не використовувати або неправильно використовувати інструменти, які можуть захистити вашу приватність, такі як VPN або Tor Browser.
Як запобігти: Використовуйте надійні VPN-сервіси для захисту вашого інтернет-трафіку, особливо при підключенні до публічних Wi-Fi мереж. Найкраще надавати перевагу платним VPN-сервісам. Та якщо немає такої можливості, можна використовувати Tor Browser. Він не гарантує ніякої приватності, проте це краще, аніж нічого.
Фото: Pexels
- Недооцінювання ризиків. Багато користувачів вважають, що вони не є цікавими для хакерів, і не усвідомлюють реальних ризиків.
Як запобігти: Усвідомлюйте, що кожен може стати мішенню для хакерів. Ваші персональні дані можуть бути використані для шахрайства, фішингу, криптовалютного майнінгу або навіть для використання пристрою до ботнету.
Раніше ми розповідали, що таке ІПСО та що варто про нього знати.
Більше відео? Ексклюзиви, інтерв’ю, смішні шортси і не лише – зазирай на Youtube Вікон. З нами затишно!