Тривожні кнопки: чому 57% українців не знають жодного способу кіберзахисту

Напередодні Державна податкова служба повідомила, що кількість мільйонерів в Україні зросла на 6% протягом року – до 8500 громадян. Останні офіційно задекларували свій дохід, що перевищував 1 млн грн. Проте ще не всі готові декларувати власні доходи, особливо, якщо вони отримані нечесним шляхом. З огляду ж на те, що через пандемію багато операцій переведено в онлайн, ризик раптово лишитися власних статків зростає. Чому українці не захищають свої дані в інтернеті та чим це загрожує, розповів Mind керівник відділу бізнес-аналітики «OLX Україна» Віктор Нобіуз.

Звична ситуація, коли працівник на віддаленому форматі роботи з одного ноутбука веде ділове листування, замовляє товари та дивиться кіно, може обернутися катастрофою. Як для його гаманця, так і для фінансів компанії та навіть для національної безпеки.

Життя в онлайні – приховані загрози

Через пандемію чимало українців не просто стали працювати вдома, а перенесли в онлайн значну та важливу частину свого життя: пам’ятні фотографії, ділові листи, паролі від сервісів та платіжні дані. Водночас цю цінну інформацію намагаються отримати зловмисники та «заробити» на цьому.

Так, за інформацією Juniper Research, міжнародна сфера е-commerce ризикує втратити 2021 року понад $20 млрд через шахрайство в інтернеті. Це на 18% більше в порівнянні з $17,5 млрд, зафіксованими минулого року. Основні загрози для онлайн-покупців і продавців: крадіжка особистих даних, шахрайство з повторними платежами, «приховане» шахрайство, злам акаунтів, фармінг.

Реальні випадки шахрайства

Один із прикладів, який дуже поширений в Україні, – шахрай, знаходячись у СІЗО, за допомогою одного смартфона продавав товари, що не існували, і надсилав покупцям архіви з ніби-то каталогами одягу. У файлах був зашитий вірус, який крав банківські дані жертви.

Подібні атаки можуть бути більш витонченими: так, кібершахраю з Тернопільщини було достатньо ноутбуку для викрадення понад десятка мільйонів доларів користувачів по всьому світу за допомогою фішингу.

Третій випадок – злодій з Вінниччини з домашнього комп’ютера вкрав 20 000 облікових записів користувачів платіжних систем та електронних гаманців громадян. Приватні дані він продавав на форумах.

Значне зростання таких атак розпочалося з 2019 року, коли весь світ почав масово переходити в онлайн, оплачувати товари карткою та прив’язувати платіжні дані до десятків сервісів.

Такі прості паролі небезпечні тим, що їх легко розкрити методом підбору і зламати будь-який акаунт. В Україні ситуація також виглядає загрозливою: згідно з опитуванням понад 11 000 користувачів інтернету, яке провела компанія OLX у березні цього року:

• 57% не знають жодного способу, як захистити свої акаунти чи платіжні дані;
• 52% опитаних українців не знають, що таке фішинг (кібератака із застосуванням сайтів-підробок);
• паралельно зростає ризикована самовпевненість – відсоток людей, які вважають, що можуть стати жертвою злочинців, зменшився з 75% до 61%.

Поки користувачі думають, що ця проблема їх обходить стороною, кіберзлодії протягом 2020 року «заробили» 252 млн гривень з рахунків наших громадян.

Не одна схема на одному номері

Один із користувачів OLX, Артем, продавав на платформі рульову рейку для Audi a6 за 5000 грн. «Покупець»  запропонував продовжити спілкування у Viber, а там вже заявив, що оплатив товар. Разом із фейковим скриншотом квитанції шахрай надіслав посилання на фішинговий сайт. Слідом просив вказати там свої платіжні дані (номер картки, строк її дії та CVV) та почав підганяти продавця, бо «дуже боявся втратити товар». При перевірці мобільного номера виявилося, що за «покупцем» налічується не одна шахрайська схема.

Українці практично не звертаються до кіберполіції через шахрайство. Згідно з опитуванням, лише 2 з 10 людей напишуть заяву в правоохоронні органи, хоча тільки вони можуть притягнути злодія до відповідальності. До банку звернуться троє з 10 постраждалих, а до служби підтримки сервісу – тільки половина. Більша ж частина респондентів просто закриють вкладку фішингового ресурсу або розкажуть про проблему рідним.

Продавцю дублянки Олександру вже за стандартною схемою прийшло у Viber фейкове сповіщення про оплату товару та посилання на фішинговий сайт – «щоб підтвердити реальність намірів продавця». Чоловік здогадався, що це шахрайська атака, однак все ж таки відкрив посилання – йому було цікаво, що ж буде далі. Продавцю пощастило й, окрім вікна для вводу банківських даних, нічого не було.

Пощастило, адже навіть такі відкриття посилань можуть завдати значної шкоди. Наприклад, лінки здатні запустити вірусний скрипт чи завантажити файл, який згодом витягне всю інформацію з комп’ютера чи зашифрує її в обмін на викуп. Якщо ж такі «ігри з вогнем» здійснюються з робочого ноутбука – наслідки можуть бути катастрофічні для цілої компанії та бізнесу.

Оскільки життя в онлайні та поширення віддаленої роботи поступово стирають кордони між особистим та робочим життям, зникає межа, за якою працівник опиняється в повній безпеці від кібератак. Адже збитки вимірюються не лише в грошах, коли йдеться про стратегічно важливі підприємства.

Як протистояти ризикам кібербезпеки 

Поєднання технологій та процесів захисту з боку держави й бізнесу та знання базових правил кібербезпеки кожним мають бути так само важливими для будь-якого підприємства, як і стандартні правила охорони праці.

Для користувачів базові правила безпеки виглядають так:

• Заведіть окрему картку (можно навіть віртуальну) для онлайн-шопінгу та не тримайте там надто великих сум.
• Встановлюйте складні паролі.
• Ваші платіжні дані маєте знати тільки ви. Навіть працівники банку чи поліції не повинні мати до них доступу.
• Будьте уважними. Перевіряйте адресу сайту та пошти. Кіберзлодії роблять їх дуже схожими з оригіналом знайомих/відомих вам компаній.
• Не відкривайте посилання від сторонніх осіб. Кіберзлодії часто скорочують їх за допомогою спеціальних сервісів (типу bit.ly чи подібних), щоб ввести вас в оману.
• Не довіряйте скриншотам правил чи квитанцій/чеків. Читайте правила на платформі та перевіряйте рахунок в онлайн-банкінгу.
• Завжди звертайтеся до служби підтримки, банку та поліції, якщо підозрюєте шахрайство.
• Прокачуйте свою кібербезпеку на освітніх сайтах, як-от «Онлайн[за]хист», проходьте тести та  онлайн-курси.

Для бізнесу:

• Робочий ноутбук – для робочих задач. Весною 2020 року чимало корпоративних даних злили після атаки через Facebook Messenger. Зловмисники надсилали посилання на безкоштовну підписку на Netflix, за якою ховався фішинговий сайт.
• З’єднання мають бути безпечними. Жодних публічних мереж Wi Fi в ресторанах, торговельних центрах чи на вокзалах. Через незахищені роутери можна перехопити будь-яку інформацію чи атакувати комп’ютер співробітника.
• Налаштуйте різні доступи до корпоративних даних. Наприклад, стажери не мають вільно «серфити» папками з фінансовими звітами та договорами.
• Налаштуйте корпоративний захист даних. Це не просто антивірус на головному сервері. Це використання цифрових ключів доступу та захищеного програмного забезпечення в кожного співробітника, шифрування корпоративних даних.
• Вчасно реагуйте на кібератаки та навчіть співробітників одразу повідомляти про підозрілі речі. Дивний лист від начебто фінансового директора може виявитися фішинговою атакою з підробленого акаунту.
• Навчайте співробітників основам кібербезпеки. Курси з онлайн-захисту є значно дешевшими, ніж викуп за повернення злитих даних.

Для держави:

• Навчати громадян кібербезпеці. Сьогоднішні школярі, які не уявляють своє життя без онлайну, через кілька років працюватимуть на підприємствах із різним рівнем стратегічного значення для країни. Тому громадяни мають ще зі шкільних парт засвоїти базові правила безпеки.
• Керівництво держави вже анонсувало відкриття навчального закладу, у якому навчатимуть спеціалістів із забезпечення кібербезпеки держави.
• Має працювати чітко визначена та легка процедура звернення громадян та бізнесу. Необхідно терміново змінювати ситуацію, коли тільки один з п’яти постраждалих звернеться до держави по допомогу. Разом із цим приватні структури можуть долучатися до розбудови державної кібербезпеки, як це було зроблено на рівні великого бізнесу.
• Кіберзагрози мають бути стандартизовані за рангом їхньої небезпеки з поглядуу ризику втрати життя, національної безпеки, довіри громадськості, типу жертви та взаємозалежності цих параметрів. Дії кіберполіції мають ранжуватися за таким же принципом.
• Активний моніторинг кіберзагроз. Окрім пасивного фіксування повідомлень про онлайн-злочини та пошук злочинців постфактум, уряд має діяти на випередження та постійно перевіряти мережу на предмет кіберзагроз для стратегічно важливих підприємств і міст. У Великобританії, наприклад, превентивно блокуються сайти, на яких система моніторингу знайшла шкідливе програмне забезпечення. Українським аналогом має стати Центр кібербезпеки, запуск якого вже анонсував президент країни.
• У держави має бути надійний план: у якій послідовності та як саме урядові органи реагують на атаки. У разі інциденту низької тяжкості, наприклад, хакерського зламу малого підприємства, може реагувати тільки кіберполіція. Однак у разі національної надзвичайної ситуації, наприклад, спрямованої на електромережу, має бути відповідь кількох державних структур, включно з поліцією, регуляторів енергетичного сектору, спецслужби. Залежно від наслідків нападу також може існувати вимога до політичного керівництва країни.