Информационная безопасность в 21-м веке ничуть не менее важна, чем техника безопасности на производстве. Современные хакеры и мошенники способны на всё - от похищения личных средств и денег компании до полной блокировки промышленных процессов. Лучшее оружие против злоумышленников - даже не антивирус, а элементарная бдительность. Помните: в 90% случаев жертва сама выдаёт критическую информацию, а хакерам не приходится лишний раз и пальцем по клавиатуре ударить.
В приложении «Цифроникель» можно пройти курс Информационной безопасности, состоящий из двух уроков, в лёгкой и доступной форме объясняющих, в чём состоит главная угроза 21-го столетия — века информации. И не просто объясняющих: буквально за 20 минут вы научитесь защищаться от подавляющего большинства атак. Важно понимать, что злые гении вредоносного кода, способные создать вирусы масштаба WannaCry или Petya, поражающие целые страны — это редкое исключение. В основном в интернете — или по телефону — действуют «рядовые» жулики.
Их главное оружие — социальная инженерия, то есть методы обмана, опирающиеся на психологию, и так называемый фишинг, что с английского языка переводится буквально как «рыбная ловля». Злоумышленники забрасывают множество «крючков» одновременно, в надежде на то, что в мутных водах найдётся доверчивая «рыбка». В случае мошенников социальная инженерия опирается на три основных чувства — это жажда наживы, любопытство и страх.
Допустим, вам пришло электронное письмо: ваш банк — будь то «Сбер», «Альфа», ВТБ или любой другой — предлагает компенсацию в размере 3 — 5 тысяч рублей. Событие из разряда «мелочь, а приятно»: золотых гор не обещают, и это может усыпить бдительность многих адресатов массовой рассылки. Но помните: в 99,9% случаев цель любого банка — заработать на клиенте, и никто не будет предлагать деньги просто так. Прочитайте письмо повнимательнее. В электронном адресе отправителя есть хотя бы один лишний или неправильный символ? В оформлении — устаревший логотип банка? В теле письма — вопиющие орфографические ошибки? Для подтверждения компенсации просят ввести номер кредитной карты? Смело удаляйте письмо: это тот самый электронный «крючок», который забросили любители порыбачить.
Второе фундаментальное чувство — страх. Предположим, от администрации вашей любимой социальной сети пришло уведомление: на ваш аккаунт поступила жалоба, и если в течении 24-х часов вы не подтвердите свои личные данные, он будет заблокирован. В такой ситуации главное не паниковать и не терзать себя мыслями о том, как навеки пропадёт список друзей «Вконтакте» или в «Одноклассниках». Методы проверки — те же, что и в случае с электронкой от мнимого банка: адресная строка, оформление, орфография.
Если где-то есть явные ошибки — из вас опять хотят «выудить» личные данные, пускай и не сразу номер кредитки. Важно понимать, что identity theft, то есть похищение вашей оцифрованной личности в интернете — это крайне серьёзно. Притворившись вами, злоумышленники могут в 3 — 4 шага добраться и до банковских данных, так что будьте бдительны. Если где-то в интернете вам предлагают для участия в адресной викторине вбить ФИО, дату и место рождения, и номер мобильного телефона — несколько раз подумайте, прежде чем согласиться на такой «подарок Судьбы». Помните, главный способ защиты от цифровых мошенников — это неукоснительное соблюдение принципа «Бесплатный сыр бывает только в мышеловке».
К сожалению, одними лишь «любителями рыбалки» — то есть буквально любителями в иерархии подземного мира хакеров — список цифровых угроз не ограничивается. Существует такое понятие, как компрометация деловой переписки — это намного серьёзнее. В подобном случае хакеры — не один, а целая команда — под видом клиентов и потенциальных покупателей внимательно изучают ту или иную компанию. Финансовые показатели, реальные контрагенты, кадровая структура, внутрикорпоративная манера общения — их интересует буквально всё. Подготовительная фаза иногда может занимать месяцы.
Затем хакеры наносят удар: как правило, это электронное письмо якобы от высокого начальства о том, что клиент попросил срочно поменять платёжные реквизиты — в противном случае заказ не пройдёт и сделка сорвётся. Очень важно понимать, что здесь многое будет зависеть от уровня профессионализма злоумышленников. Дилетанты создадут похожий адрес на похожем домене — и бдительный сотрудник сразу же поймёт, что письмо вовсе не от начальства. Злодеи средней руки могут создать почтовый ящик с доменным именем компании и заменить всего одну букву в имени начальника — это уже сложнее распознать.
Ну а настоящие маэстро в белых масках, какими мы их привыкли видеть в массовой культуре, незаметно получат контроль над реальным ящиком генерального директора или главного бухгалтера, внимательно изучат его стиль переписки — и отправят абсолютно правдоподобное письмо с действительно существующего адреса. В этой ситуации лучше перебороть естественное чувство смущения, и перезвонить лично условному Василию Петровичу: действительно ли миллионы — а может, и сотни миллионов рублей — должны отправиться по новым реквизитам? Поверьте, такой звонок — даже в пятницу вечером — будет стоить гораздо меньше, чем те чудовищные убытки, которые может повлечь за собой молчание.