Кожен співробітник будь-якої компанії має доступ до різних ресурсів, з якими працює щодня, і часто автоматично вводить паролі без додаткових перевірок. Уявіть, що одного разу вам приходить лист із проханням терміново відкрити вкладення. І тут ІТ-відділ панічно закриває доступи, перевіряє сервіси, а продукт компанії опиняється під загрозою. Під час перевірки виявляється, що саме цей лист став початком катастрофи, а ви – співробітником, через якого все «полетіло».


Зібрали поради з кібербезпеки, які допоможуть захистити вас і вашу компанію від подібних неприємностей.


Сучасні фішингові атаки: якими вони бувають?


Фішинг уже давно не виглядає як масова розсилка з граматичними помилками чи змішаними мовами. Сьогодні атаки стали дуже вишуканими: вони можуть мати «живий» вигляд, бути спрямованими безпосередньо на вас або дублювати офіційні сторінки.


Які види фішингових атак поширені сьогодні?


    

  • Spear-phishing – лист, підлаштований під отримувача (з іменем, позицією, навіть зі згадкою про останню зустріч).
    • 

  • Business Email Compromise (BEC) – шахраї видають себе за керівника або постачальника і вимагають «терміново» переказати гроші чи поділитися файлами.
    • 

  • Credential-phishing – підроблені сторінки для входу (login forms), що крадуть паролі.
    • 

  • Smishing/Vishing – фішинг через SMS або голосові дзвінки.
    • 

  • Malicious attachments – макроси в документах, інфіковані .zip тощо.
    • 



Психологічні тригери, на які «натискають» зловмисники


Кіберзлочинці знають не лише технології, які допомагають їм отримати потрібну інформацію або доступ, а й людську психологію. Тому вони «натискають» потрібні кнопки в мозку людини, щоб досягти своєї мети:


    

  • Терміновість/паніка: «Ваш платіж не пройшов», «Акаунт буде заблоковано за 1 годину». В обмежені терміни людині властиво діяти, не подумавши.
    • 

  • Авторитет: листи від «директора», «юриста», «HR-а» із проханням зробити щось негайно.
    • 

  • Прагнення допомогти: «Колега просить про вашу допомогу», «Чи можете підписати?».
    • 

  • Цікавість/виграш: «Ви виграли», «Ось фото, які вас стосуються».
    • 



Шахраї також можуть комбінувати ці тригери, аби зробити лист максимально дієвим.


Ознаки підозрілих листів і посилань – чеклист


Зазвичай листи не вимагають відповіді протягом 30 секунд. Тому за найменших сумнівів – пройдіться чеклистом та звірте всі пункти.


    

  • Чи співпадає адреса відправника з його імʼям/компанією? Часто ім’я виглядає правильним, а домен – ні. 
    • 

  • Чи є терміновість без логічного пояснення?
    • 

  • Чи містить лист вкладення з незвичним розширенням (.exe, .scr, .zip)?
    • 

  • Наведіть курсор на посилання – куди воно реально веде? Не клікайте!
    • 

  • Несподівані запити на паролі, коди 2FA або платіжні дані (у 99% випадках – це фішинг).
    • 



Якщо сумніваєтесь, подзвоніть автору листа за відомим вам номером, а не відповідайте на лист. Також можна звернутися до ІТ-відділу, щоб отримати допомогу у прийнятті рішення.


Надійний захист: як підібрати пароль і навіщо потрібен менеджер паролів?


Те, що колись вважалося надійним захистом, сьогодні більше звучить як міф. Наприклад, до міфів можна віднести правило про часту зміну паролів або переконання, що поєднання цифр і символів автоматично робить пароль надійним.


Сучасні рекомендації свідчать про інше: довжина пароля важливіша за його складність, а часті примусові зміни лише знижують безпеку – люди починають використовувати передбачувані патерни. Найкраще створювати довгі фрази або комбінації слів і мати унікальний пароль для кожного сервісу.


Також варто звернути увагу на менеджери паролів, які допомагають створювати сильні паролі та зберігати їх. Переваги таких застосунків:


    

  • Не потрібно пам’ятати сотні паролів.
    • 

  • Менеджер автоматично підставить сильний пароль на сайті.
    • 

  • Деякі менеджери попередять про компрометацію пароля.
    • 



Але важливо використовувати надійний менеджер, який має двофакторну автентифікацію, локальне шифрування та схвальні відгуки користувачів.


Двофакторна автентифікація: чому це ваша броня?


Двофакторна автентифікація діє як додатковий шар захисту. Її формула виглядає так: щось, що ви знаєте (пароль) + щось, що маєте (код із застосунку, SMS тощо) або щось, чим ви є (біометрія) = надійний захист.


Навіть якщо кіберзлочинець отримає ваш пароль, без другого фактора атака зазвичай буде зупинена. Для критичних систем рекомендується застосовувати багатофакторну автентифікацію, яка включає сканування біометричних даних, введення коду та підтвердження в застосунку.


Публічний Wi-Fi: що можна перехопити і як захиститися?


У відкритій мережі (кафе, аеропорт) ваш трафік може прочитати будь-хто: від простого перехоплення (HTTP-запити без шифрування) до MITM-атак, коли зловмисник ставить себе між вами та сайтом. Також під Wi-Fi закладу можуть маскуватися зловмисники: ви підключаєтесь, а весь ваш трафік проходить через їхню систему.


Що робити:


    

  • Використовуйте VPN для шифрування трафіку.
    • 

  • Перевіряйте, чи сайт використовує HTTPS (замок у браузері).
    • 

  • Уникайте доступу до внутрішніх систем компанії через відкритий Wi-Fi.
    • 

  • Вимикайте автоматичне підключення до відкритих мереж.
    • 



Штучний інтелект і конфіденційність: чому не варто розповідати секрети чату GPT?


Якщо ви звикли звертатися за допомогою до чату GPT з будь-якого приводу, наприклад, щоб написати листа клієнту, це також може поставити під загрозу вас та компанію. Навіть якщо сервіс обіцяє не зберігати та не використовувати надану вами інформацію, ризик витоку все одно існує.


Тож, коли спілкуєтеся з чатом GPT, не надавайте конфіденційної інформації: особисті дані клієнтів, паролі, внутрішні фінансові цифри – усе, що може зашкодити вам, компанії чи іншим людям. Використовуйте знеособлені приклади: замість «лист клієнта X із рахунком №12345» напишіть «приклад листа від клієнта з фінансовим питанням».


Тест для перевірки знань


Якщо ви ще не впевнені на 100% у власних знаннях з кібербезпеки, пропонуємо пройти тест. Він підкріпить теорію та покаже, що ще потрібно вивчити, щоб не стати жертвою кіберзлочинців.




Пам’ятайте: кібербезпека починається не з програм, а з людей. Зловмисники дедалі частіше грають не з кодом, а з нашими емоціями  терміновістю, страхом, довірою до «авторитетів». Тому найкраща оборона  уважність і звичка перевіряти кожен лист, посилання та запит. Думайте, перш ніж натиснути, і тоді жодна атака не зламає вашу обережність.


   Тетяна Ковальчук, авторка медіаплатформи budni


Читайте ще: Правила кібербезпеки: що важливо знати роботодавцям і працівникам?