„Didžioji dalis atakų rengiamos siekiant finansinės naudos, nes sukaupti duomenys parduodami suinteresuotiems asmenims. Vis tik pasitaiko atvejų, kai siekiama padaryti ir kur kas rimtesnę – reputacinę žalą. Šių metų vietinės duomenų nutekėjimo atakos Lietuvoje parodė, jog daugumai žmonių trūksta žinių, kaip elgtis netekus asmens duomenų ir kokie padariniai laukia tinkamai neapsisaugojus“, – sako „Surfshark“ vadovas Vytautas Kaziukonis.
Kokie duomenys nutekinami dažniausiai?
Tyrimo duomenimis, nuo 2004-ųjų kiekvienas interneto vartotojas vidutiniškai du kartus neteko el. pašto adreso ir slaptažodžio, o iš 100 žmonių vidutiniškai pusė parado vartotojo vardą ir slaptažodžių kodavimo sistemas, kurios gali padėti pasiekti ir pačius slaptažodžius.
„Šių duomenų kombinacijos vagystė ypač pavojinga, nes programišiams tai gali padėti pasiekti vartotojų naudojamas interneto paskyras ir asmens duomenis jose. Be to, socialinių tinklų paskyros dažnai naudojamos prisijungiant prie kitų – mobiliojo ryšio, namų ar net darbui skirtų – paslaugų puslapių. Gavus prieigą prie socialinių tinklų paskyros, tikėtina, jog nusikaltėliai galės prisijungti ir prie daugiau platformų“, – aiškina V. Kaziukonis.
Tyrimas taip pat atskleidė, kad iš 100 žmonių atakų metu vidutiniškai 18 neteko vardo ir pavardės, 16 – tik vardo, 14 – šalies, kurioje gyvena, pavadinimo, pavardės, gimimo datos ar lyties, 9 – telefono numerio. Tuo tarpu itin jautri informacija nutekinama itin retai. Tik 1 žmogus iš 100 neteko sveikatos ar finansinių duomenų – kredito reitingo, pajamų dydžio, ūgio ar kraujo grupės.
„Kuo daugiau asmens informacijos pasisavinama, tuo aiškesnį žmogaus paveikslą programišiai gali nupiešti. Tai leidžia nusikaltėliams kurti specialiai žmonių pomėgius, gyvenimo būdą ar situaciją atspindinčias socialinės inžinerijos atakas. Užmezgus asmeniškesnį pokalbį, žmonės lengviau apsigauna, nes mano, kad pasiūlymas iš tiesų skirtas jiems ir yra pasiruošę paprasčiau į nusikaltėlių rankas atiduoti savo asmeninius duomenis ar net pinigus“, – pasakoja V. Kaziukonis.
Programišių taikiklyje – socialinių tinklų paskyros
2021 m. gali būti rekordiškai sėkmingi programišiams – jau dabar užfiksuota penktadaliu daugiau atakų nei pernai, nors dar neprasidėjo didžiosios metų šventės, kurių metu nusikaltėliai suaktyvėja. Bet kas nutinka su nutekintais duomenimis?
V. Kaziukonis teigia, kad skirtingi duomenys gali sukelti skirtingas problemas – nuo nepageidaujamų žinučių iki tiesioginės finansinės žalos.
„Pavyzdžiui, jei nutekinamas vartotojo el. pašto adresas ir slaptažodis, šie duomenys gali būti pasitelkti vadinamosiose pakartotinio naudojimo atakose. Jų metu įsilaužėliai gauna vienos paskyros slaptažodį ir bando jį naudoti prisijungdami prie kitų paskyrų. Užuot praradę prieigą prie vienos paskyros, tokiu būdu vartotojai gali susidurti su daugybe papildomų problemų“, – aiškina ekspertas.
Jei nusikaltėliai gauna prieigą prie asmeninės ar verslo socialinių tinklų paskyros, taip pat dažnai vykdomos ir vadinamosios fišingo (angl. phishing) atakos. Jų metu žmonės masinami neįtikėtinais pasiūlymais, kuriais susižavėję netikėtai patenka į programišių rankas.
„Turbūt garsiausiai nuskambėjusi tokio tipo atako nutiko praėjusių metų liepą, kai buvo pagrobtos žinomų žmonių „Twitter“ paskyros. Jose pasirodė melagingos žinutės apie neva nemokamai vartotojams atgal dalinamas kriptovaliutas už jų suaukotus pinigus. Žinutėmis „pasidalino“ Donaldas Trumpas, Joe Bidenas, Barackas Obama, Kanye Westas ir kitos žvaigždės, tad nepatyrusiai akiai galėjo pasirodyti, kad pasiūlymas tikras. Šis pavyzdys rodo, kad tokio tipo atakos gali būti pavojingos ne tik duomenis praradusiam žmogui, bet ir jo aplinkai“, – pasakoja V.Kaziukonis.
Fišingo atakos gali būti vykdomos ne tik įsilaužus į socialinių tinklų paskyras, bet ir išsiaiškinus telefono numerį ir žmogaus vardą. Tokiu būdu į telefoną lygiai taip pat gali būti siunčiamos melagingos žinutės su masinančiais pasiūlymais ir nepatikimomis nuorodomis.
Saugoti būtina ir kitą informaciją
Anot V. Kaziukonio, žmonės po truputį pradeda suprasti el. pašto ir slaptažodžių saugumo svarbą, bet vis dar nežino, kad ir kita asmeninė informacija programišiams gali būti taip pat naudinga.
Jei nutekinama itin jautri asmeninė informacija, kaip pavyzdžiui, vartotojo kredito reitingas, ūgis ar batų dydis, ji padeda programišiams sukurti konkrečiam žmogui skirtas ir pritaikytas atakas.
„Nutekėjus banko klientų kreditų reitingams, aukštą kredito reitingą turintys žmonės gali gauti, pavyzdžiui, su „sveikais“ finansiniais įpročiais susijusius pasiūlymus – investavimo galimybes, asmeninių finansų programėlių reklamą. O žemą reitingą turintys – masinančius greitųjų kreditų ar lengvo uždarbio pasiūlymus. Tokiais atvejais žmonės apgaule linkę patikėti lengviau, nes ji atspindi natūralius jų įpročius ir pomėgius, todėl neatrodo įtartina“, – aiškina V. Kaziukonis.
Kaip apsisaugoti?
Saugumo ekspertas pateikia trumpą atmintinę, kuri gali padėti nuo programišių atakų apsisaugoti lengviau:
- Venkite įtartinų ir nepažįstamų nuorodų el. laiškuose, žinutėse ar kitur internete. Jos dažniausiai veda į apgaulingus puslapius, kur grėsmė prarasti dar daugiau duomenų smarkiai išauga.
- Naudokite dviejų veiksnių autentifikavimą (angl. 2FA). Tai atsitiktinis kodas, sugeneruojamas kiekvieno prisijungimo prie paskyrų metu, kai įvedami prisijungimo duomenys. Ši funkcija leis užtikrinti paskyrų apsaugą, jei el. paštas ir slaptažodis bus nutekinti – be sugeneruojamo kodo paskyrų pasiekti nepavyks.
- Naudokite slaptažodžių valdiklius. Tai specialios programėlės, kuriose saugomi vartotojų slaptažodžiai. Tokiu būdu jų nepamiršite, o jei kai kurie jų bus pagrobti, apie tai programa informuos ir padės duomenis atnaujinti.
- Atsiskaitymams naudokite vienkartines korteles (angl. disposable cards). Skaitmeninės atakos metu praradus atsiskaitymams skirtos kortelės duomenis, programišiai negalės pasiekti pagrindinių vartotojo banko paskyrų.
- Naudokite internetinės apsaugos priemones – virtualius privačius tinklus (VPN), antivirusines. Šie sprendimai padės tais atvejais, jei vartotojai patys to nežinodami pateks į pavojingus puslapius.
