Выступление Тамары Чечеткиной, руководителя отдела маркетинга информационной безопасности, VK, в рамках XI Всероссийского форума персональных ассистентов 2023 16-17 ноября.
Вопрос информационной безопасности касается абсолютно всех. Если вам кажется, что вы недостаточно важное лицо, чтобы заинтересовать хакеров, именно вы можете стать входным окном для угрозы. Под ударом могут оказаться данные и финансы ваших близких, друзей, компании, в которой вы работаете. Обезопасить конфиденциальные данные в сети помогут простые правила.
Вы уверены в надежности своего пароля?
Самое важное для нас в сети — аккаунты. В первую очередь они защищаются паролями. Особенно важны те аккаунты, с которых можно совершить какое-либо критическое действие: покупка, оформление документов и т.д. Не менее важен доступ к электронной почте — через неё можно сменить пароли во многих других аккаунтах.
Попробовать на прочность ваш пароль может брутфорс — метод подбора паролей, при котором на место каждого символа подставляются разные варианты. Это делается автоматически. Метод обогащают парольными словарями, содержащими базы слитых паролей. Поэтому не стоит использовать очевидные комбинации, такие как “qwerty”, “password”, “привет”. Пароль, состоящий только из чисел, легко подобрать. По-настоящему надёжным можно назвать пароль из 12 или более символов, содержащий специальные символы, цифры и буквы в верхнем и нижнем регистре. На надежность пароля также влияет то, где он используется, как давно установлен и как он хранится.
Решить вопрос хранения поможет менеджер паролей. В зависимости от потребностей есть мобильные, десктопные, корпоративные версии. Он сам придумает надежный пароль и сохранит его. Базы данных таких приложений надёжно защищены.
Недопустимо с точки зрения безопасности хранить пароли в заметках, файлах, избранных сообщениях. Вредоносные программы могут собирать информацию со всех открытых источников на вашем устройстве. А вот сохранение пароля в браузере — неплохой вариант. За каждым браузером стоит команда безопасности, и вероятность того, что хакеры взломают его, мала. Достаточно безопасно использовать SMS-сообщения для авторизации вместо пароля, перехватить его проблематично. Самый безопасный способ авторизации — использование биометрии.
Социальная инженерия и фишинг
Социальная инженерия — это методы психологического воздействия на человека с целью совершения им определенного действия. Фишинг является одним из инструментов социальной инженерии. По статистике 80% успешных атак на компании начинаются с фишинга.
Этим путём идёт мошенники, когда у них не получается взломать ваш аккаунт. Пользователь перенаправляется на подставной сайт, где требуется ввести конфиденциальные данные например: логин-пароль, данные двухфакторной аутентификации, коды из смс, данные банковской карты, пин-коды. Чаще всего ссылки на фишинговые сайты содержатся в рассылках.
Векторы психологических атак
Мошенники — это люди, которые хорошо разбираются в видах психологического воздействия, умеют манипулировать, хотят получить данные и заработать. Ваши эмоции они будут использовать против вас.
Есть шесть психологических векторов атак:
- Невнимательность
- Любопытство
- Страх
- Жадность
- Раздражение
- Желание помочь
В мошеннических схемах используют 2 главных рычага:
1. Авторитет. Обращение идёт от некого официального лица: госорганы, начальник, компании-клиенты, компании-партнеры, крупные телекоммуникационные операторы, кредитно-финансовые организации.
2. Срочность. Необходимо выполнить действие сейчас/в течение 2 часов/сегодня.
Примеры популярных мошеннических схем
Сейчас активно развиваются нейросети. С точки зрения безопасности это предвещает наплыв звонков от мошенников с имитацией голоса знакомого человека. Если звонок кажется подозрительным, надо найти способ связаться с человеком и убедиться, что просьба действительно исходила от него.
При одной из разновидностей фишинга приходит письмо от знакомого с просьбой проголосовать в конкурсе. На страничке конкурса вас попросят подтвердить ваш аккаунт. Единственным действующим методом избежать попадания на сайт-подделку является внимательность к адресной строке знакомых сайтов в случаях, если вас просят оплатить что-либо или ввести личные данные. Чаще всего мошенники меняют в адресе пару символов. Любая мошенническая схема работает по причине того, что из-за обилия окружающей нас информации мы не замечаем мелочей. А вот наличие у сайта сертификата безопасности ничего не гарантирует.
Как быть хитрее мошенников?
Мошенники всегда придумывают новые схемы, но принципы остаются прежними. Вас должно насторожить:
1. Неожиданное/ необычное сообщение
2. Незнакомый отправитель
3. Сообщение вызывает эмоцию
4. Есть акцент на срочность
5. Содержание потенциально опасных элементов
Если письмо или звонок соответствуют большей части данных критериев, первым делом надо остановиться, успокоиться и проанализировать информацию. Обязательно перепроверяйте информацию и критически относитесь к любым утверждениям.
Бизнес конференции в Москве в 2023-24 году, список в формате PDF
#pa #personalassistant #персональныеассистенты #личныепомощники #форумперсональныхассистентов #interforum #interforums
