Головна Блог Причини витоків даних і можливі ситуації. Як захистити себе?
'
11 Грудня 2020
Причини витоків даних і можливі ситуації. Як захистити себе?

Чи часто ми замислюємося про те, який інформаційний слід залишаємо в діджитал просторі, якими даними можуть володіти потенційні хакери і злочинці у відкритому доступі.


Адже одна справа – це поділитися інформацією в приватній розмові, а інша – коли мова йде про онлайн листуванні, телефонних або онлайн мітингах, реєстрації на форумах або в різних додатках. А потім ми зовсім забуваємо на яких ресурсах реєструвалися.

Згідно з даними FinTech, світовий обсяг витоку даних у 2020 році збільшився на 80%, а кількість фішингових атак з лютого цього ж року зросла на 600% – це рекордні показники в світовій практиці інформаційної безпеки. У більшості випадків атаки на компанії або на конкретних людей відбувалися з метою отримати персональную- 65% і фінансову інформацію – 23%

Спираючись на досвід розслідування подібних кіберінцидентів, можна зробити висновок, що головною причиною є безпечність користувачів, по відношенню до складності паролів облікових записів. Переважно жертвами “цифрових зловмисників” стають заможні і впливові користувачі.

Якщо пояснювати по-простому, що таке витік даних – це коли хакери можуть отримати інформацію зламавши операційну систему, встановлену на мобільний телефон, аккаунт соціальної мережі, email. Маючи в розпорядженні повну інформацію про людину, його родичів і близьких, дівоче прізвище матері і кличку улюбленого кота або собаки – можна зламати електронну пошту, аккаунт в соціальних мережах, обліковий запис, де зберігається вся інформація користувача. Потім хакер може дістатися до більш чутливої інформації. Наприклад, банківський рахунок, з відомими логінами і паролями до системи Приват24, PayPal та інших критично важливим облікових записів.

Всі ми знаємо, що при реєстрації в будь-якому додатку або акаунті, в тій чи іншій системі обміну даними необхідно вказати контактну пошту, на яку автоматично висилається посилання для активації, що дозволяє заходити в особистий кабінет, міняти пароль і т. і. Навіть без подібних лінків персональний email містить листи, в яких вказані логіни і паролі для входу в особисті кабінети онлайн ресурсів. В результаті система ідентифікує користувача, однак, по факту, під його аккаунтом ховається зловмисник.

У нашій практиці ми регулярно стикаємося з такими інцидентами. При зверненні клієнта ми обов’язково робимо повну діагностику ІТ-системи і персональної інформації, використаної клієнтом. При такій діагностиці ми спираємося на свій досвід, моніторимо наявність помилок, які наші фахівці найчастіше виявляють під час проведення аудиту безпеки системи.

Які найпоширеніші помилки?

По-перше, одна з найнебезпечніших і поширених помилок – це однаковий пароль на всіх сервісах. Наприклад, дата народження своєї дитини або дружини при вході в онлайн банкінг, смартфон і т.д., система безпеки на всіх ресурсах його аппрува. Але в один прекрасний момент, користувач вказує цей же пароль для замовлення покупки в онлайн-магазині у якого вже зламана система захисту персональних даних клієнтів або потрапляє на фішинговий сайт. В результаті, зловмисник отримує повний доступ, так би мовити, знаходить ключ від усіх дверей.

По-друге, вже раніше згаданий фішинг. Це відправка шахраями меседжів з пропозиціями, проханнями, навіть погрозами. Найчастіше вони супроводжуються лінками, після переходу на які отримувач таких повідомлень надає зловмисникові доступ до свого смартфону, ноутбука або додатку.

По-третє, безкоштовні e-mail сервіси. Ми звернули увагу, що в основному представники покоління X рідко змінюють паролі в своїй поштовій скриньці, проте часто його роздають контрагентам і будь-яким співрозмовникам. Через невеликий відрізок часу в пошті з назвою [email protected] і паролем vasya123 накопичується така кількість інформації, отримавши доступ до якої можна зруйнувати бізнес або репутацію людини і його партнерів.

У листопаді 2020 року компанія NordPass, постачальник рішень для менеджерів паролів, опублікувала рейтинг найпопулярніших користувальницьких паролів, що минає. Згідно викладеної інформації, тільки 44% з проаналізованих 275 699 516 паролів були «унікальними». Як і попередні роки в п’ятірці лідерів з використання залишаються паролі: «123456», «123456789», «picture1», «пароль» і «12345678». Розшифровка кожного з них займе секунди. Менше половини зі списку паролів є унікальними і новими.

З кожним роком кількість інструментів у кібершахраїв збільшується, але, якщо користувачі онлайн-сервісів будуть дотримуватися ряду простих правил – можна знизити ризик витоку даних в рази навіть при втраті смартфона або комп’ютера:

  1. Установка оновлень для додатків і ОП-ОС. Це допоможе уникнути проникнень в акаунт третіми особами через можливі уразливості додатків. Використовуйте різні паролі і частіше їх міняйте. Для кожного особистого кабінету, аккаунта вкрай важливо створювати різні паролі і періодично їх міняти. Набір символів повинен бути випадковим і не мати прив’язку до дат, що стосуються особистого життя користувача.
  2. Двухфакторна аутентифікація. Для отримання доступу до інформації необхідно встановлювати більше одного інструмента перевірки особистості. Тобто встановлювати пароль і можливість перевірки користувача відправкою повідомлення на інший імейл або підтвердження за допомогою мобільного телефону.
  3. Скоротити інформацію в соціальних мережах. Соціальні мережі – можуть стати відмінним майданчиком для кар’єрного і фінансового зростання, але також це джерело інформації, де зловмисник може оцінити ваш фінансовий рівень, домашню адресу і навіть визначити ваш графік роботи і відпочинку.
Джерело:

Ліга.Блоги

https://blog.liga.net/user/igbyikov/article/38627
Автор статті:
Ігор Биков
Аналітик з питань інформаційної безпеки FS Group

Як і багато інших компаній, FSG використовує на своїх веб-сайтах технологію cookie з метою поліпшення Вашого користувацького досвіду, а також для коректної роботи веб-сайту.

Якщо Ви згодні з використанням усіх файлів cookie на цьому сайті, натисніть кнопку Ok. Щоб дізнатися більше про технологію cookie, її переваги і про те, як її використовує FSG, ознайомтеся з нашою Політикою конфіденційності