Перша лінія оборони або Дещо про онлайн-безпеку для маркетологів. Частина 1

Одне з найгостріших питань, з якими стикається будь-який користувач інтернету – це питання особистої та корпоративної безпеки. Шахрайські схеми стають все більш витонченими. В першій частині матеріалу, присвяченому безпеці в інтернеті, Надія Баловсяк, експерт з кібербезпеки, доцент кафедри медіакомунікацій Українського католицького університету, розповідає про шахрайство онлайн та способи захисту.

Нещодавно експерти з безпеки розповіли про новий вид вразливості, спрямований на власників веб-сайтів. Ця шахрайська схема передбачає відправку власнику веб-сайту електронного листа з погрозами зіпсувати репутацію сайту та таким чином включити його в чорний список за розсилання спаму. Шахраї попереджують, що вони можуть відправити велику кількість електронних листів  (в деяких погрозах йдеться про мільйон) з електронної пошти сайту. І готові не робити це, якщо власник сайту заплатить їм еквівалент третини біткоїна. Автори шахрайської схеми обіцяють тисячі відгуків із звинуваченнями в поширенні спаму, вічне блокування хостингового акаунта користувача та десятки тисяч доларів, які потрібно буде потратити на те, щоб відновити нормальну роботу сайту.

Очевидно, що такий лист виглядає як серйозна загроза, особливо якщо мова йде про бізнес в інтернеті. Де-факто, такий лист є небезпекою для існування бізнесу як такого. І риторика, яка в ньому міститься, націлена на те, що отримувач такого листа злякається та виконає вимоги зловмисників. Водночас варто розуміти, що зловмисники відправляють такі листи великій кількості людей із розрахунку на те, що хоча б хтось з них відреагує. А по великому рахунку, нічим подібним вони займатися не збираються.

Риторика шахраїв з цього кейсу (та й з багатьох інших) та використовувані ними елементи соціальної інженерії такі, що ці погрози можуть вплинути на деяких користувачів і ті можуть, якщо не перерахувати біткоїни зловмисникам, то, принаймні, задуматись про це та звернутись до свого керівництва чи адміністратора сайту.

Цей приклад є лише одним з багатьох інших кейсів, які доводять, що розуміння інтернет-загроз та базових правил онлайн-безпеки в наш час потрібні фахівцям практично всіх спеціальностей. А наведений приклад демонструє те, як першою мішенню для шахраїв можуть стати не досвідчені системні адміністратори чи веб-майстри, а маркетологи чи фахівці з комунікацій, задача яких якраз і полягає, поряд з іншим, в турботі про репутацію бізнесу, яку зловмисники погрожували знищити.

Сучасний активний користувач інтернету впевнений, що він знає про безпеку достатньо аби почуватися захищено в онлайн-просторі. Проте базових правил на кшталт «використовуйте складний пароль» чи «не переходьте по незрозумілим посиланням» сьогодні уже не достатньо. Адже змінюються і загрози, і використовувані шахраями технології.

З кейсу, з якого ми почали цю статтю, стає зрозуміло, що його автори націлювались не лише на порівняно недосвідчених користувачів, а, говорячи мовою маркетингу, вони дуже добре розуміли свою цільову аудиторію і сформулювали меседж, на який вона точно відреагує. Іншими словами, системний адміністратор, побачивши такого листа, на погрозу знищити репутацію сайту, може й не відреагувати, а ось фахівець з маркетингу та комунікацій напевно що принаймні задумається. Фахівець з маркетингу має доступ до важливих комунікаційних платформ компанії, це, як мінімум, електронна пошта та соцмережі. Тому він теж є мішенню зловмисників, які уже набили руку не лише на простій розсилці небезпечних посилань, але й у виборі для цього правильного часу та у формулюванні правильних меседжів.

Тому ми вирішили присвятити декілька матеріалів основам онлайн-безпеки. Деякі згадувані в них речі можуть бути знайомі, проте окрім них ми запропонуємо вам кейси, в яких описані більш чи менш успішні спроби зламу як електронної пошти, так і сайту чи корпоративної сторінки в соцмережах.

Джерела загроз: чого потрібно боятись та на що звернути увагу

Основні джерела загроз для пересічного користувача інтернету – це віруси, які поширюються по електронній пошті, небезпечні фішингові посилання у соцмережах, пошті та месенджерах та проблеми, які можуть бути пов’язані з фізичним доступом до пристроїв. Не варто також забувати і про базові правила безпеки, як то складні паролі та обережне поводження з публічним Wi-Fi.

Можливість доступу через робочі пристрої та корпоративні акаунти до внутрішніх документів, часто таких, які є комерційною таємницею, вимагає більш уважного ставлення до захисту цих пристроїв та акаунтів. Саме тому такі базові правила безпеки, як наявність антивірусу та використання складних і неповторюваних паролів, не можуть ігноруватися та робочому ноутбуці.

Чи є життя без антивірусу

Серед досвідчених інтернет-користувачів існує думка про те, що антивірус уже давно перестав обов’язковим до використання як на домашніх, так і на робочих комп’ютерах.

Проте практика та випадки зараження показують, що це не так. В березні 2018 року в результаті зараження та некоректної роботи сервісів скорочення посилань (аналогів колишнього goo.gl) посилання, отримані в результаті скорочення, вели на заражені сторінки, в коді яких містився вбудований майнер криптовалюти. Це означає, що якщо ви відвідали таку сторінку, то, умовно, замість форми реєстрації на тренінг вас перенаправляли на сторінку з дивним вмістом, наприклад, на статтю про пікап. І, якщо у вас не встановлено антивірус, ваш комп’ютер – в кращому випадку – починав майнити криптовалюту, тобто працювати занадто активно, будучи зайнятим фоновими процесами. Не виключено, що надалі комп’ютер жертви міг заражати скорочені посилання. Водночас антивірус доволі швидко реагував на цю загрозу, блокував роботу майнінгового вірусу та рекомендував закрити сторінку.

Вибір антивірусу для робочого комп’ютера – це зазвичай задача системного адміністратора. А для домашнього використання чи невеликих компаній рекомендуємо скористатися незалежними рейтингами антивірусів, наприклад, AV-Test і обрати найкращий для себе продукт.

Якщо потрібно перейти по посиланню, щодо якого є сумніви, можна скористатись сервісом VirusTotal. Цей сервіс уміє перевіряти посилання та файли та повідомляти, чи є вони безпечними, чи все ж вони заражені.

Паролі: як спростити те, що має бути складним

Ще один банальний аспект безпеки, про який знають, здається, всі – це унікальний, складний та неповторюваний пароль. Інша справа, що реалізувати цю задачу складно за умови величезної кількості акаунтів, які належать пересічному користувачу інтернету.

Для того, щоб зробити пароль максимально складним, а значить – більш захищеним від зламу шляхом перебору (брутфорсу), варто замінити парольне слово на парольну фразу. А для її створення розробити власну систему, наприклад, умовні перші три літери назви сервісу, після чого дві значимі для вас цифри, потім ще декілька літер чи спеціальних символів.

Ще одним виходом з ситуації може стати використання двофакторної авторизації. Про цей інструмент безпеки та налаштування її для Google-акаунтів можна прочитати тут, для Facebook – тут . Щоб не чекати на СМС-підтвердження для авторизації, можна налаштувати список довірених пристроїв, на яких СМС-код не буде запитуватись.

Проте окрім правильного налаштування паролів проблемою є старі паролі, які уже потрапили у зламані бази та які повторюються з актуальними паролями. Знайти свій пароль у базах втрачених паролів допоможе сервіс, а перевірити свій емейл там же – інструмент. Факт появи в цих базах є майже звичним явищем, головне – змінити пароль і потурбуватись, щоб той, який уже потрапив в поле зору зловмисників, більше ніде не повторювався. Ще одним зручним інструментом перевірки пароля є чат бот @mailsearchbot, який у відповідь на вказаний вами мейл покаже перші 7-8 символів пароля із зламаних та оприлюднених парольних баз.

Покращити захист своїх пристроїв можна за допомогою апаратного ключа, наприклад, виробництва Yubico. Його використання означає, що відкрити пошту чи соцмережі на нових пристроях можна буде лише після того, як ключ вставлено у USB-роз’єм (або ключ підтримує WiFi / NFC та знаходиться поруч).

Захистити гаджет

Окремою проблемою є фізичний захист пристроїв. Багато компаній використовують політику BYOD (bring your own device) в тому чи іншому вигляді. Це означає, що співробітник може читати корпоративну пошту чи працювати з корпоративними сторінками в соцмережах на своїх ноутбуці чи смартфоні. А це, у свою чергу, заставляє по-іншому подивитись на безпеку цих пристроїв, особливо якщо такий пристрій загублено чи вкрадено. Розблокування такого смартфону повинно здійснюватися по паролю чи біометричним параметрам. Для покращення захисту такого гаджету можна розглянути варіант шифрування його вмісту. Також повинна бути присутня особлива увага до додатків, які на нього встановлюються, принаймні, такі додатки повинні мати обмежений доступ до інформації з телефона та іншої інформації. За допомогою цього посилання ви можете дізнатися, як знайти загублений Android-пристрій та заблокувати його чи видалити з нього дані.

Що стосується дозволів додатків, які встановлюються на телефон, тут теж потрібно бути обережним. Статистика показує, що дуже багато додатків, особливо для Android-гаджетів, містять приховані модулі, які, в кращому випадку, збирають і передають дані, в гіршому – використовують їх, наприклад, для інших цілей. Корисним додатком для роботи з дозволами для Android-пристрою є Google Apps Device Policy. Цей додаток може захистити дані і зробити так, що адміністратор системи  G Suite  зможе дистанційно видалити інформацію з втраченого пристрою.

Подивитись дозволи для окремого додатку можна через додаток Play Market, якщо прокрутити до розділу «Докладніше» сторінки додатку та скористатись останнім на сторінці пунктом «Дозволи для додатка».

Змінити дозволи можна у розділі налаштувань Anroid-пристрою, де потрібно знайти пункт «Програми» та вибрати потрібний додаток. А далі просто варто вивчити додатки з точки зору елементарної логіки. Зрозуміло, що додатку типу «годинник» не потрібен доступ до мікрофону, а додатку типу «Сільпо» – до камери.

В розділі з переліком програм можна також подивитись всі додатки з певними дозволами. Для цього в налаштуваннях програм є пункт «Дозволи додатків». Наприклад, ви можете побачити, яким додаткам дозволений доступ до камери, а яким до геолокації.Прочитати про налаштування для iOS можна, наприклад, тут.

Автор: Надія Баловсяк, експерт з кібербезпеки, доцент кафедри медіакомунікацій Українського католицького університету