Повышение киберграмотности и кибергигиены на работе и в обычной жизни
Изображение: Shutterstock.ai
Какие данные существенны?
Номера телефона, паспорта, пароли от личной или рабочей почты, почтовые адреса, а если в целом – то какие угодно. Если злоумышленник разрабатывает человека, любые факты о вас могут быть полезны и собраны буквально по крупицам. Кодовым словом в банке может быть имя родственника, пароли от рабочей почты и личной – одинаковые. Хакерам достаточно мелочи, поэтому любому пользователю компьютеров и смартфонов следует проявлять бдительность и тщательно беречь информацию о себе.
Преступникам «помогают» люди
Распространенный вектор кибератак на компании и отдельных людей - угрозы социотехнического характера или т.н. методы социальной инженерии. Человек способен ощущать эмоции - доверие, радость и особенно страх, которые побуждают к импульсивным действиям, и злоумышленники этим пользуются.
Почти каждый сталкивался с мошенническими звонками по телефону: эти разговоры чаще происходят впопыхах, застают жертву «на бегу» требуют быстрых действий, часто мотивированных страхом. Трудно представить женщину, которая сможет сохранить хладнокровие и срочно не перевести денег «спасителю своего взрослого ребенка на срочное лечение в результате ДТП». Этот манипулятивный сценарий жесток, но не для злоумышленника.
Лучшая профилактика киберпреступлений – осведомленность о важности социального аспекта в этих преступлениях плюс технические способы защиты. О них поговорим далее.
Социальная инженерия – любые действия мошенников, подталкивающие жертву совершить ошибку. Например, манипуляции сознанием, в результате чего жертва переводит злоумышленнику деньги, передает коды, пароли доступа к информационным системам или сама запускает вредоносное ПО или ПО, помогающее злоумышленнику получить доступ к телефону, компьютеру жертвы. Также примерами может служить фишинг, подбрасывание вредоносной флешки и многое другое.
Можно ли подделать голос и внешность знакомого человека?
Да, можно. Но если вы хорошо знаете человека, его манеру речи или диалектические особенности, то нынешним моделям АI сложно будет подделать их так, чтобы вас обмануть. Для обучения нейросети необходимому голосу потребуются многие часы аудиозаписи в открытом доступе.
То же самое касается дипфейков – метода подделки внешности и мимики. Если ваш собеседник – человек очень публичный, его внешность сымитировать возможно, но скорее всего вы распознаете подделку.
Настороже надо быть с незнакомыми и малознакомыми людьми – «доброжелателями» и «спасителями», коллегами или руководителем, с которыми вы разговариваете редко или не слышали их никогда.
Маленький человек вовсе не маленький
Человеку может казаться, что его роль не настолько значительна в компании, чтобы стать объектом кибератаки. Но злоумышленнику достаточно одной учетной записи.
Здесь стоит рассказать про вишинг (англ. voice phishing) - социотехническая атака, направленная на добычу информации посредством звонка. Представьте ситуацию - в середине рабочего дня вам звонит «руководитель службы безопасности» и в срочном порядке под страхом компрометации вашего устройства просит вас передать ему учетные данные. В данном случае может сыграть фактор испуга, ведь ситуация срочная и на первых порах можно поддаться этой растерянности. В таком случае многие забывают банально удостовериться, а действительно ли этот человек является работником компании.
Как отличить человека от ненастоящего?
Внимательно слушайте собеседника, не бойтесь высказать недоверие прямо и хладнокровно задавайте уточняющие вопросы - возможно, злоумышленник начнет теряться и даже проявлять нервозность и агрессию. Даже если «руководитель» окажется настоящим, бдительность при передаче конфиденциальных данных будет только плюсом.
Старайтесь перепроверять информацию: по работе уточнить канву вопроса или точный номер телефона можно у лица, который наиболее часто взаимодействует с «шефом» или «коллегой». Хорошая практика – уточнять мелкую деталь, которую может знать только сотрудник компании. С родственниками можно договориться о неких кодовых словах или знаках, подтверждающих личность.
Лучшая практика - очная встреча или видеозвонок (но все же следует помнить про дипфейки).
Как безопасно обращаться с информацией на работе и в обиходе?
Наш девиз: «Семь раз проверь, один раз открой».
Если информация получена из открытых источников - кто-то переслал, или информация скачена из интернета - помимо проверки файлов и архивов антивирусом следует параноидально обезопасить факт открытия вложения.
Не вставляйте незнакомые usb-устройства в компьютер: флешки, зарядки и т.п. могут нести в себе вредоносное ПО. Если есть возможность, проверяйте сторонние флешки с помощью ИБ-специалиста.
Обменивайтесь конфиденциальной информацией очень аккуратно, зашифрованные архивы, пароли передавайте в другом источнике, или на листке бумаги.
Как быть с почтой и паролями
Пароль к учетной записи рядового сотрудника может быть ключом ко взлому всей инфраструктуры компании.
По обращению с паролями можно дать следующие общие рекомендации:
- Не хранить пароли в текстовом документе на компьютере
- Не пересылать пароли в открытом виде по почте или в мессенджерах • Не пользоваться функцией в браузере «запомнить пароль»
- Передавать пароли, записанные на бумаге – главное убедитесь, что эта «бумажка» не уйдёт никуда дальше
- Использовать надежные пароли, состоящие из букв разного регистра и знаков
- Best practice - использовать парольные менеджеры • Использовать MFA – многофакторную аутентификацию
- Менять пароли по умолчанию
- Устанавливайте разные пароли к сервисам
- Соблюдайте рекомендации по социотехническим атакам
Что касается почт, есть прекрасная рекомендация: рабочая почта – для работы, личная – для личных целей, например, отслеживания заказов и чеков, а «мусорная почта» – для всех прочих регистраций, где она требуется. Личные почты, к сожалению, очень часто встречаются в публичных утечках.
Как не попасться на удочку?
Почта традиционно является целью фишинговых атак. Большинство периметральных средств защиты просто не дают таким письмам дойти до своих адресатов в компаниях, но всё равно могут остаться под угрозой, ровно, как и личные почтовые ящики. Но хакеры, в погоне за наживой, придумывают всё более и более изощрённые способы реализации данной атаки. Недавний кейс: файлу с голосовым сообщением удалось обойти фильтр. Пользователю пришло якобы сообщение с автоответчика в рабочей почте, прослушать которое можно только с веб-версии почтового клиента. Открываешь ссылку, а там фишинговый сайт, который с радостью примет твои учетные данные.
Если говорить про методы защиты от фишинговых рассылок с точки зрения человеческого фактора - необходимо тщательно проверять письма - злоумышленник может выдать себя манерой общения, ошибкам, ссылками «подозрительного вида» (например, www. moss.ru вместо www.mos.ru). При малейшем сомнении обратитесь с данным письмом к службе безопасности, они с большей вероятностью разберутся, не открывайте это письмо или вручную проверьте реальное написание адреса нужного сайта.
И напомним, какие организации никогда не звонят сами
Официальные службы никогда не звонят через мессенджеры. Это важный признак мошенника на другом конце. ФССП, ФСБ, службы безопасности банков даже из самых лучших побуждений «помочь избежать штрафа», «уберечь денежные средства», «уберечь вас от ареста за статью УК РФ» никогда не звонят сами. Если у вас возникают опасения, уточните информацию самостоятельно по официальным телефонам.
Опубликовано 05.04.2024
