Не новина, що в січні на десятки урядових сайтів здійснили кібератаку. Кульмінацією подій став ніби-то продаж 2 млн персональних даних українців на одному з хакерських форумів. Це змусило багатьох замислитись над особистою цифровою безпекою.
Навіть якщо чиновники запевняють, що дані залишились недоторканими, незайвим буде дотримуватися простих правил захисту.
Ваше слабке місце
Найслабкіше місце у вашому цифровому захисті – це сервіси та провайдери послуг, які зберігають ваші особисті дані. З одного боку, передача цих даних є умовою надання послуг, а з іншого – ви практично не контролюєте захист цих даних, він є частиною відповідальності сервісу.
Тож що ви можете зробити, якщо ці дані стануть публічними через технічний збій, кібератаку або інасайдерський злив на боці провайдера послуг?
Якщо став відомий ваш пароль до сервісу
Перш ніж змінювати пароль на новий, перевірте, чи не використовували ви такий самий на інших сервісах, і спершу змініть його там. Потім можете змінити пароль на сервісі, де він став відомим. Звісно, якщо надалі плануєте цим сервісом користуватись.
Якщо ж таких планів у вас немає, то повідомте про це службу підтримки. Попросіть видалити ваш обліковий запис або особистий кабінет.
Якщо ви використовували двофакторну аутентифікацію, то знання лише вашого паролю не дозволяє зловмисникам отримати доступ до ваших облікових записів. Якщо ж ні, саме час її активувати.
Практично всі важливі сервіси мають такий функціонал, потрібно лише встановити Google Authenticator, а для окремих випадків – і Microsoft Authenticator.
При створенні нового паролю зверніть увагу на його унікальність, криптостійкість і легкість для запам’ятовування. Якщо з останнім маєте побоювання, скористайтесь мнемотехнікою: комбінуйте слова у фрази на зразок «pingvin-na-naschu-h0l0vu».
Такий пароль і легко запам’ятати, і він відповідає вимогам криптостійкості та вимогам спеціальних програм для управління паролями. Зверніть увагу, що замість літери «О» я використав нулі. Також зверніть увагу, які саме ваші дані зберігав сервіс: номер телефону, адресу та інше. Це дозволить вам оцінити ризик і статус цих даних.
У сучасних браузерах на зразок Google Chrome вже є вбудована функція перевірки паролів на присутність у зламаних базах даних. Якщо браузер сигналізує вам про наявність такої загрози, такі паролі варто змінити.
Михайло Кольцов
Наприклад, свої паролі я формую на основі середньовічних латинських текстів. Бо свого часу мав з ними багато часу і знаю їх в оригіналі.
Такий пароль витримує атаку по словнику, добре запам’ятовується, дозволяє створювати підказки на випадок забудькуватості і при цьому відповідає всім вимогам криптостостійкості.
Наприклад, пароль «Sed-divina-essentia-est-primus-403» має 34 символи. Як підказка може бути фраза «14112», і за нею я впізнаю, що треба глянути першу книгу, четверте розрізнення, перше питання, перший розділ і другий аргумент. Це персональний вибір, бо так зручно саме мені.
Двофакторна аутентифікація не раз рятувала знайомих, які необережно використовувати один і той самий пароль до кількох сервісів. Один з них зламали, і на телефон почали приходити повідомлення від Instagram із проханням підтвердити вхід. Якби не двофакторна аутентифікація, обліковий запис вже б почав розсилати знайомим «прохання переказати гроші на картку».
Якщо став доступним ваш електронний підпис
Хоч сам електронний підпис неможливо використовувати без пароля, можна перевипустити його з допомогою авторизованих центрів як онлайн, так і офлайн. Усе одно вам потрібно здійснювати цю операцію раз на рік.
Якщо стали відомими ваш номер телефону або електронна адреса
Фактично ці дані не персональні, оскільки призначені для зв’язку з вами. Але якщо вже вони стали відомими через публічні бази даних, то варто подбати про так звану сегментацію: розділення робочого та особистого комунікаційного середовища.
Для цього вам потрібно мати два телефонні номери, один з яких відомий тільки вашим близьким, а інший призначений для роботи. Те саме стосується й електронної пошти: на одну з них ви реєструєтесь на різноманітних другорядних сервісах, які вимагають заповнення поштової адреси, і хай на неї йде весь спам, а інша – особиста та для роботи з важливими сервісами.
Наприклад, для створення хмарних резервних копій ваших файлів.
Також варто перевірити, чи наявна ваша адреса у базі зламаних облікових записів. Для цього можна скористатись ресурсом Have I Been Pwned. Його регулярно поповнюють новими зламами, тож є висока ймовірність знайти там знайомі облікові записи.
Телефон часто використовується для того, щоб знайти вас у месенджерах і спробувати впіймати на фішинг
вид інтернет-шахрайства, метою якого є отримання доступу до конфіденційних даних користувачів. Один із цікавих випадків був, коли у знайомої вкрали телефон, але нічого не могли з ним зробити, бо він був зашифрований. Власниця захистила апарат шестизначним пін-кодом та з ввімкнутим режимом втрати.
Тоді зловмисники спробували піти іншим шляхом. Через SIM-картку дізнались номер телефону, по номеру знайшли її у Viber і почали надсилати фішингові сторінки з проханням ввести PIN-код, щоб знайти телефон. Нічого в них не вийшло, але спроба була цікава.
Якщо стали відомими номер вашого паспорту та ідентифікаційного коду
Існує побоювання, що завдяки цим даним на вас можуть оформити кредит або зобов’язання. Але для цього недостатньо тільки номера, потрібні копії цих документів. Тож якщо у зловмисників їх немає, то кредит вони не отримають.
Навіть у випадку мікрокредитування вам достатньо повідомити службу підтримки фінансової установи, що ці дії були здійснені без вашого відома. Також ви можете здійснити дії, які описані на сайті Безоплатної правової допомоги.
Звертайте особливу увагу на повідомлення від установ, що слідкують за кредитною історією громадян. Якщо вам прийшло повідомлення, що на ваше ім’я намагаються взяти кредит, то подзвоніть на номер, який вказаний на сайті установи. Але не дзвоніть на номер з повідомлення. Це дозволить зупинити дії зловмисників, і після цього можна вже подати заяву в кіберполіцію.
Насправді, тут усе залежить від якості процедур самих мікрофінансових організацій. Якщо вони не здійснюють належну перевірку і видають мікрокредит тільки на підставі номеру паспорту та РНОКПП, то це мають бути їхні проблеми.
На практиці виявляється, що тим, хто стає жертвою таких дій, більше допомагає навіть не звернення до офіційних органів, а медійний розголос. Зокрема в соціальних мережах.
Благо більшість подібних випадків закінчились добре, але вони вимагали, щоб людина уважно ставилась до повідомлень від установ, що слідкували за кредитною історією. І довелось побігати між відділеннями мікрофінансової установи та поліції.
Тож на практиці краще домовитись про наступне: користувач не повідомляє нікому кодів від облікових записів, що приходять йому на пристрій, а бізнес з державними органами вкладаються у процедури та інфраструктуру.
Перевіряйте себе та рідних
Не зайвим буде під’єднати себе та рідних до автоматичного моніторингу в аналітичних системах, що працюють на основі відкритих даних. Наприклад, модуль «Перевірка фізосіб» від YouControl дозволяє здійснювати перевірку особи у відкритих державних реєстрах і відстежувати зміни статусу.
Це допоможе уникнути ситуацій, коли на вас хтось «повісив» борг і вже було судове засідання, а ви нічого про це не знаєте. Чи, скажімо, без вашої участі на вас зареєстрували компанію, і навіть не одну.
Якщо стала відома адреса вашого проживання
Тут рекомендації з цифрової безпеки навряд чи стануть у пригоді, але скористайтесь цією ситуацією, щоб подбати про фізичну безпеку приміщення і систему моніторингу.
Головне, пам’ятайте, що ваша безпека – це ваша відповідальність. Якщо слідувати елементарним правилам, то жодна кібератака не буде для вас загрозою.
Этот материал – не редакционныйЭто – личное мнение его автора. Редакция может не разделять это мнение.
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: