Цифрова безпекаМенеджер паролів і двофакторна аутентифікація. Поради експерта, як захиститись від кіберзлочинців
«Якщо шахраям буде складно вас зламати, вони шукатимуть легшу жертву»
Ми всі знаємо, що нікому не можна називати CVV банківської картки або пароль від банкінгу. Звісно, пароль також має бути надійним і відрізнятись на різних сервісах. Проте якщо ми стикаємось із цифровими злочинцями, на практиці знань із цифрової безпеки часто бракує – одночасно з технологіями технічно прокачуються й кібершахраї. Разом з експертом із питань цифрової безпеки ГО «Інтерньюз-Україна» Павлом Бєлоусовим відповідаємо на найважливіші запитання про те, як максимально захиститись від цифрових загроз. Матеріал підготовлено в партнерстві з платформою «Надійно».
Соцмережі, месенджери та пошта
Який пароль захистить акаунт від зламу?
Це має бути довгий пароль з унікальними символами без слів, які не можна зіставити з вами та вашою біографією – не використовуйте день народження, дівоче прізвище матері, ім’я, номер телефону тощо. Такий пароль варто створити під кожні соцмережу / сайт / сервіс, якими ви користуєтесь.
Як правильно формувати хороший пароль? Для цього є менеджери паролів, які й створюють паролі, і зберігають. Наприклад, досить надійний менеджер Bitwarden. За цим лінком ви можете перевірити, наскільки ваш пароль надійний. Тут є ремарка: раджу перевіряти не дійсний пароль, а радше той, що схожий на поточний за кількістю символів і змістом. Наприклад, змінити кілька символів у паролі перед тим, як виконати таку перевірку на схожому сервісі, адже шахраї можуть створювати сайти з таким функціоналом для збирання конфіденційних даних користувачів.
Так само варто за допомогою менеджера паролів генерувати унікальний логін для акаунту. Ми звикли мати один нікнейм та усюди його підставляти. Для нас це зручно, а для шахраїв ще зручніше.
Що таке двофакторна аутентифікація? Навіщо вона?
Навіть якщо пароль потужний, зловмисник може його дізнатись. Щоб обійти другий фактор шахраю треба викрасти ваш смартфон або заплатити купу грошей, щоби перехопити, або з боку мобільного оператора смс. Це можливо, але значно дорожче для злочинця.
Двофакторна аутентифікація ускладнює процедуру зламу: якщо зловмисники вкрали пароль (це і є перший фактор), то підтвердження входу через смс або код (це другий фактор) не дозволить їм так просто зайти у ваш акаунт.
Вхід за допомогою коду зі смс-повідомлення – це менш захищений метод другого фактора, ніж генерація коду на смартфоні за допомогою спеціальної програми. Якщо соцмережа дозволяє змінити другий фактор зі смс-повідомлення на програму, то варто це зробити. Крім того, генерація коду на смартфоні працюватиме без мобільного зв’язку.
Nadiyno — це платформа, що надає безплатну допомогу українцям, які стикнулися з цифровими загрозами. Користувач може отримати індивідуальну консультацію з питань цифрової безпеки — наприклад, як захистити свій смартфон або який месенджер безпечний.
Чи потрібні перевірчі повідомлення для відновлення акаунту? Вони ефективні?
Так, але якщо вони складні. Не раджу вписувати загальновідому інформацію про вас, яку можна нагуглити. Це зараз робиться за три хвилини.
Як захистити дані, які надсилаю поштою та месенджерами, щоб вони не потрапили до рук зловмисників? Чи можуть викрасти фото з переписки з друзями?
Так, і фото, і документи, і повідомлення, які ви надсилаєте комусь, можуть вкрасти багатьма шляхами. Їх можна отримати, зламавши ваш акаунт, перехопивши повідомлення під час листування (у деяких випадках це може зробити провайдер, спецслужби або шахраї) тощо.
Тепер поговоримо про те, як цього уникнути. Не рекомендую надсилати електронною поштою важливі дані, документи або фото. Це стара технологія, яка не планувалась як щось надто захищене. Якщо людина вимушена користуватись поштою, то треба надійно захистити свій поштовий акаунт або обрати сервіс, який заточений на приватність, наприклад, Tutanota або Proton Mail.
Встановіть месенджери, що мають технологію end-to-end encryption (наскрізне шифрування). Це означатиме, що в разі, якщо хтось перехопить повідомлення дорогою від одного користувача до іншого, він не зможе його розшифрувати. Натомість просто отримає набір знаків, такий собі цифровий фарш. Наскрізне шифрування є в таких месенджерах, як WhatsApp і Signal.
Налаштуйте автоматичне видалення повідомлень. Варто видаляти свої цифрові сліди, щоб інформацію, яку ти відправляєш людині, не можна було згодом використати проти тебе. Що ближче ви перебуваєте до окупованих територій, то меншим має бути термін зберігання повідомлень: від однієї години до кількох днів.
На сайті Nadiyno є окремий розділ, присвячений безпеці в умовах війни, де надаються поради, актуальні для людей, які перебувають на тимчасово окупованих територіях, виїжджають звідти чи планують евакуацію родичів. Там можна прочитати про те, як безпечно користуватися месенджерами, як захистити дані чи скинути налаштування.
Чи можуть злочинці отримати доступ до мого акаунту через функцію «відновлення пароля»?
Так, тут є небезпека. Якщо користувач використовує для прив’язки до акаунту неактуальну пошту, наприклад, кілька років нею не користувався, і поштовий сервіс її видалив, є ймовірність, що зловмисник цим скористається.
Побачивши десь вашу пошту, злочинець може зайти та перевірити, чи взагалі ця поштова скринька є. Якщо пошта неактуальна, він може зареєструвати назву пошту на себе, бо вона вже вільна. Тому актуалізуйте ваші дані про пошту, номер телефону, якщо вони прив’язані до якихось акаунтів.
Я б радив загалом вказувати під час реєстрації на сервісах свою непублічну пошту, яка не буде асоціюватись із вами й не можна буде додумати частини її назви. Тоді в разі спроби вас зламати, зловмисники навіть не будуть знати, що їм потрібно зламувати.
Платформа Nadiyno працює в режимі helpline з цифрової безпеки. Спершу можна пошукати відповідь на запитання в «Базі знань» на платформі. Якщо запропонований матеріал не надасть усі необхідні відповіді — зверніться до консультантів. Це можна зробити через чат чи форму-звернення, електронну пошту, месенджери Signal, WhatsApp, Telegram. Лінія працює з 08:00 до 22:00, 5 днів на тиждень.
Персональний комп’ютер і ноутбук
Як захистити свій ПК або ноутбук від зламу?
Отримати доступ до вашого комп’ютера зловмисники можуть багатьма способами. Перше – це надіслати лист із лінком: якщо користувач не буде уважним і перейде за ним, то на пристрій встановиться небезпечна програма. Тож будьте уважні до листів і повідомлень, які вам надходять.
Друге – це можна стати жертвою програмного забезпечення, яке встановили через мережу. Тому тут важливо, щоб на комп’ютері був налаштований фаєрвол.
Робіть вчасні оновлення операційної системи. Так ви знизите ризик того, що зловмисники скористаються якоюсь діркою у старій версії операційної системи. Переконайтеся, що ви використовуєте ліцензійне ПЗ.
Якщо користуєтесь незахищеним інтернетом (невідомий вам провайдер, наприклад), варто використовувати VPN. Він створить окреме захищене з’єднання, у яке набагато важче втрутитись.
Як налаштувати браузер для більшої захищеності комп’ютера?
Головне правило безпеки для браузера – це вчасне оновлення. Зловмисники можуть скористатись, так само як і з операційною системою, прогалинами у старій версії.
Якщо ви не хочете, щоб через браузер відстежували вашу активність, то використовуйте браузери, заточені на приватність. Вони вже мають певні налаштування, які не дозволяють стежити за користувачем. Наприклад, такі браузери: DuckDuckGo та Brave.
Банківська картка
Як захиститись від крадіжки грошей із банківської картки?
Є картки трьох типів: із магнітною стрічкою, з магнітною стрічкою та чипом, з магнітною стрічкою, чипом і безконтактною оплатою. Перший тип краще не використовувати. Її легко скопіювати, для цього у злочинців є спеціальне обладнання. Краще використовувати другий і третій типи карток.
У магазинах краще використовувати Google Pay або Apple Pay, тому що на кожну таку транзакцію випускається нова умовна віртуальна картка. І навіть якщо номер цієї картки хтось перехопить, із нею нічого не можна зробити. Це буде інший номер, не той, що вказаний на картці.
Бажано змінити фізичну банківську картку на фізичну картку без вказаного спереду номеру, якщо ваш банк підтримує таку функцію. Відповідно, коли людина сплачуватиме цією карткою, то під камерами не буде видно її номера.
Прив’яжіть мобільний номер, за яким входите в банкінг, до паспортних даних. Це ускладнить крадіжку вашого мобільного номера шахраями. Також варто обмежити віддалений випуск своєї Сім-карти та заборонити перенесення номера до іншого мобільного оператора.
У банківських застосунках, якщо є технічна можливість — встановіть обмеження на оплату, зняття готівки, динамічний CVV тощо.
Якщо часто публікуєте номер картки для збирання й отримання грошей — заведіть окрему під цю потребу та переказуйте отримані гроші з цієї картки на якусь іншу, яка не фігурує публічно та якою не розраховуєтесь в онлайні та офлайні. Так само для оплати в інтернеті варто використовувати окрему (наприклад, віртуальну) картку, на яку ви переказуєте лише необхідну суму для оплати замовлення в інтернет-магазині.
З дзвінками нібито від банку все просто. Якщо телефонують чи надсилають повідомлення, представляючись банківським працівником / установою — ігноруйте це та самостійно звертайтеся до свого банку (номер телефону чи адресу сайту завжди можна знайти на платіжній картці) та запитуйте в них — чи є у вас «проблеми з рахунком», чи надійшов «переказ від юридичної особи» тощо. Навіть якщо дзвінки та повідомлення надходять нібито від справжніх номерів, які належать банку — однаково потрібно самому ініціювати контакт із банком, бо шахраї можуть підробити вихідний номер.
Звичайно, встановлювати застосунки (не тільки банкінг) треба лише з офіційних магазинів і сайтів. Так само й під час авторизації на сайті банку — перевіряти його автентичність.
За даними невеликого дослідження, яке провела команда платформи Nadiyno (1049 респондентів), 44% опитаних були б раді підсилити свою цифрову безпеку, якби це не видавалося б таким складним. Тому всі поради на платформі структуровані за темами та сформовані у вигляді рішень на реальні ситуації «Які застосунки варто обрати, якщо я перебуваю на окупованій території», чи «Чи безпечний безплатний антивірус». Також для спрощення навігації можна обрати свою операційну систему на пристрої та почати покрокові налаштування (розділ «Почати з простого»).
Цифрова безпека в окупації
Чи можна користуватись соцмережами, перебуваючи в окупації? Яких правил треба дотримуватись, щоби не наражати себе на небезпеку?
Соцмережа може показати ваші політичні погляди через підписки, лайки, публікації. Тож будь-яку інформацію, що може вас наразити на небезпеку, варто видалити. Не лише канали та переписки, варто підчищати все – історію в месенджерах і браузерах, фото та файли на телефоні. Подивіться на свій телефон очима окупанта та видаліть усе, що може привернути його увагу. Щоб ваш профіль не виглядав дивно, підпишіться на інші канали та групи. Це має бути щось нейтральне та релевантне до вас, наприклад, канал про котиків чи вирощування огірків.
Загалом ваш пристрій не має виражати вашу позицію та в ньому має бути нецікаво копирсатися серед усієї цієї безлічі контенту та встановлених ігор.
У звичайних голосових дзвінках (через GSM) не можна нічого важливого обговорювати. Тільки нейтральні теми (погода, розклад міських маршруток). Це стосується й SMS. Важливою інформацією відносно безпечно обмінюватися в месенджерах на кшталт WhatsApp, Signal, Threema, але з обовʼязковим автоматичним видаленням повідомлень у короткі терміни.
Як налаштувати телефон або ноутбук, щоби безпечно спілкуватись?
Обовʼязково треба всюди використовувати VPN (наприклад, psiphon.ca / NewNode VPN). Так інтернет-провайдер і мобільний оператор не зможуть відстежувати вашу активність в інтернеті (побачити, які сайти ви відвідуєте). У разі частих перебоїв з інтернетом (але за наявного зʼєднання) може допомогти отримування інформації через браузер CENO.
Загалом будьте обережні з використанням зв’язку від російських операторів, за допомогою нього можуть відстежувати, де ви перебуваєте. Якщо потрібно уникнути стеження, то варто «загубити» не лише Сім-карту, але й телефон, у якій вона була, адже оператор фіксує унікальний номер вашого смартфона та зможе слідкувати за вами вже з новою Сім-картою.
Я би ще казав, треба мати заготовлену (релевантну з обставинами і яка вам не зашкодить) відповідь на той випадок, якщо в перевіряльника буде запитання щодо використання VPN. Наприклад, із розмов із херсонцями, деякий час без використання VPN ніяк не можна було розрахуватися (ішлося про «Приват24»), усі про це знали й використовували, тому й питань могло не виникнути, чому це стоїть VPN.
Як і де зберігати важливі дані, щоб їх не знайшли окупанти?
Бажано зберігати дані у хмарному сховищі та приховати свою активність у цій хмарі, тобто розлогінитись зі сховища, підчистити історію в браузері. Зберігати на смартфоні, компʼютері, флешці або жорсткому диску не бажано, це легко перевіряється.
Nadiyno.org – це безплатний інструмент підтримки українців із цифрової безпеки.
Повномасштабне вторгнення РФ показало, що з проблемою цифрових ризиків і їхніх наслідків стикається переважна більшість українців.
Відповіддю на нові реалії стала відкрита масова платформа з цифрової безпеки, де кожен українець може поставити будь-яке запитання й отримати відповідь.
На ресурсі розміщені актуальні рекомендації та поради із захисту персональних даних і пристроїв. Українці, зокрема жителі тимчасово окупованих територій, зможуть звернутися по допомогу до операторів гарячої лінії й інших фахівців у формі-зверненні й чатах.
Цей матеріал створено в межах спецпроєкту «Цифрова екстрена підтримка громадянського суспільства в Україні» від ГО «Інтерньюз-Україна», що фінансує Міністерство закордонних справ, торгівлі та розвитку Канади (GAC) через eQualitie Inc. Зміст цієї публікації є цілковитою відповідальністю ГО «Інтерньюз-Україна» й не обов’язково відображає офіційну позицію eQualitie Inc.
Якщо ви представник громадської організації або преси й маєте запитання щодо цифрової безпеки, звертайтеся до ГО «Інтерньюз Україна» й отримайте безоплатну розширену онлайн-консультацію чи тренінг.