І не тільки, якщо ви працюєте онлайн. Це питання набагато ширше, тому що, перебуваючи за комп’ютером чи іншим пристроєм, який має доступ до Інтернету, ми доволі часто нехтуємо кібер безпекою. Але насправді ситуація наступна – чимало операцій, в тому числі фінансових, ми здійснюємо онлайн, тому ризик раптово позбутися власних статків значно зростає. Давайте поговоримо про безпеку при роботі онлайн, щоб персональні дані, конфіденційна ділова переписка та інша важлива інформація не потрапили в руки зловмисників.

Соціальна інженерія – що це таке?

Під цим терміном розуміють комплекс психологічних прийомів, які мають на меті отримати гроші чи іншу винагороду незаконним шляхом. Яскравий приклад соціальної інженерії – герой Джо Пеші, один із двох мокрих бандитів, який переодягається в поліцейського, щоб напередодні Різдва пройтися по багатому району і виявити, хто з жителів не відпочиватиме вдома. Пригадуєте цю сцену? Вдома у Маккалістерів царював такий переполох, що фіктивний поліцейський міг би виманити в довірливих людей чимало важливої інформації.

В чому полягає небезпека соціальної інженерії?

Із пандемією коронавірусу у 2,5 рази збільшилась кількість атак на робітників, які працюють дистанційно. Досить часто кібер злодіям навіть не потрібно вдаватися до складних зломів захищених онлайн-платформ та сервісів – довірливі користувачі самі віддають доступ до власних коштів чи приватної інформації.

Люди, які знаються на соціальній інженерії, дуже небезпечні, бо володіють психологічними прийомами маніпуляції свідомістю. Тому серед головних методів протидії прийомам соціальної інженерії візьміть за золоте правило один незмінний принцип: перебуваючи в мережі, НЕ ВІРТЕ НІКОМУ. Маємо на увазі незнайомих людей, які надсилають незрозумілі пропозиції, чи будь-якими іншими способами намагаються вивідати у вас конфіденційну інформацію.

Які ж прийоми інтернет-шахраї використовують найчастіше? Давайте поговоримо про це.

Фішинг, вішинг, смішинг

Фішинг (від англ. «fishing», тобто рибалка) – ефективний прийом соціальної інженерії, адже жертва навіть не здогадується, що фіктивне посилання перенаправляє на сайт зловмисників, які й перехоплюють платіжні дані карти. Далі вже зрозуміло, що відбувається – жертва залишається зі спустошеними рахунками.

Вішинг – це «офіційні» дзвінки від нібито банків чи інших сервісів. Шахраї вміють так записати попередньо голосові повідомлення, що абонент, несамохіть піддавшись на вербальні маніпуляції, вибовкує потрібні їм дані.

Смішинг – це різновид фішингу через SMS. Якщо вам приходили незрозумілі смс-ки від невідомих номерів із привабливою пропозицією, а в тексті повідомлення є посилання на фішинговий сайт. Це повідомлення називається мотивуючим, його ціль – щоб ви перейшли за посиланням.

Як уберегтися від атак зловмисника в мережі?

Але існують доволі прості способи протидії фішингу, вішингу та смішингу:

1. Ніколи не переходьте за підозрілими посиланнями. Якщо не впевнені, проігноруйте лінк, не потрібно по ньому переходити. Завжди звертайте увагу на назву сайтів, чи немає «битої» назви.
2. Ніколи не розпаковуйте незрозумілі файли з розширеннями .rar (та й будь-якими іншими архівними розширеннями), .dll та .exe (такі розширення мають файли, які запускають виконання якоїсь команди чи програми, під такі файли дуже часто маскується шкідливе ПЗ (віруси, трояни і черв’яки. А цього добра в інтернеті вистачає). Одним словом, не відкривайте файли з будь-якими підозрілими розширеннями, щоб не запустити в свою систему небажаних гостів.
3. Пам’ятайте, що працівники банків ніколи не запитують конфіденційну інформацію по телефону, в месенджерах та за допомогою електронної пошти.
4. Якщо вам надійшло радісне повідомлення про те, що ви здобули перемогу в лотереї – ви можете поцікавитися у свого мобільного оператора, чи була така акція та уточнити її деталі.

Як протистояти ризикам, які надходять з мережі

• Немає різниці, чи ви працюєте віддалено, чи в офісі. Використовуйте робочий ноутбук лише для робочих завдань. Це суттєво знизить ризик крадіжки конфіденційної інформації.
• З’єднання повинне бути надійним. Уникайте користування публічними мережами, адже за сусіднім столом із ноутбуком і склянкою чаю може сидіти непримітна людина, яка в цей час займатиметься крадіжкою грошей чи персональних даних з відвідувачів закладу. Такі теж випадки траплялися, не потрібно думати, що вас це не зачепить. Така ситуація може трапитися з кожним.
• Доступ до корпоративних даних не повинні мати всі підряд, включаючи стажерів та новачків.
• Корпоративний захист даних означає не лише встановити надійний антивірус на головному сервері. Це також означає, що на роботі потрібно завести звичку використовувати цифрові ключі доступу та шифрування важливої корпоративної документації.
• В компанії час від часу повинні проводитися освітньо-практичні семінари щодо безпечного поводження в мережі. Співробітники повинні вміти протидіяти випадкам використання соціальної інженерії в злочинних цілях.

Таким чином, впроваджуючи подібний комплекс заходів у практику своєї компанії, ви можете убезпечити себе в майбутньому від недобросовісних людей. Пам’ятайте, що безпечна робота за комп’ютером – це відповідальність кожного працівника, а не лише керівництва компанії. Як стверджує віковічна мудрість: «Попереджений – значить озброєний».