З метою проведення загальної інформаційної кампанії щодо протидії зростанню кількості шахрайств, пов’язаних із здійсненням фінансових операцій через Інтернет, шахрайськими (фішинговими) повідомленнями, Інтернет-жебрацтвом та шахрайством з надзвичайною ситуацією, Обухівська районна державна (військова) адміністрація направляє рекомендації щодо протидії вищезазначеним видам Інтернет-шахрайств та Інструкцію з використання застосунків для обміну повідомленнями та рекомендації щодо проведення вебконференцій.
ІНСТРУКЦІЯ
з використання застосунків для обміну повідомленнями та рекомендації щодо
проведення вебконференцій
ЗМІСТ
1.Налаштування безпеки спілкування у популярних месенджерах (Telegram, Viber, WhatsApp, Messenger)
2.Основні аспекти безпечної роботи з системами відеоконференцій
3.Кібернебезпека використання невідомих мобільних додатків та телеграмботів
1.Налаштування безпеки спілкування у популярних месенджерах (Telegram, Viber, WhatsApp, Messenger)
Скрізне шифрування:
- Лише відправник і одержувач мають доступ до вмісту повідомлення
- Індивідуальні та групові повідомлення видаляються з серверів одразу після доставки.
- Захищає персональні розмови від розповсюдження.
Навіщо необхідне скрізне шифрування?
При спілкуванні в Інтернеті ваші дані подорожують мережею, що дає можливість підслуховувати ваші чати та повідомлення електронної пошти всім бажаючим — чи це державні органи, зловмисники або просто цікаві люди. Наскрізне шифрування дозволяє покласти цьому кінець. Коли ви використовуєте засоби зв'язку із наскрізним шифруванням, ніхто, крім адресата, не може бачити та читати ваші повідомлення.
Двофакторна аутентифікація:
- Лише ви можете вносити зміни у свій обліковий запис,встановивши PIN-код.
- Ваш PIN-код дає змогу активації акаунту на іншому пристрою, тому ніхто не зможе вкрасти ваш обліковий запис, якщо не знає вашого PIN-коду.
- Якщо ваш PIN-код введено неправильно, певні частини вашого облікового запису буде заблоковано.
Навіщо необхідна двофакторна аутентифікація?
Цей метод використовується для захисту персональних даних, «ускладнення» роботи зловмисникам. У сучасному світі зламати простий і короткий пароль, яким користується більшість людей через зручність запам'ятовування, не важко. Тому якщо хакер пройде перший шар захисту, йому доведеться отримати доступ до телефонного номера або електронної пошти, що набагато складніше. Також двофакторна ідентифікація попереджає про спроби злому облікового запису. У цьому випадку вам на телефон або пошту може прийти одноразовий код, який ви не запитували, і потрібно якнайшвидше змінювати пароль.
Як захистити себе у мессенджері Viber
Як включити двофакторну аутентифікацію у Viber:
- Натисніть (Android) (iOS)
- Натисніть Налагодження
- Натисніть Конфіденційність
- Натисніть Двофакторна аутентифікація
- Введіть 6-значний PIN-код
- Натисніть Далі
- Введіть PIN ще раз
- Натисніть Далі
- Адреса електронної пошти, яку ви раніше використовували для налаштування облікового запису Viber, з'явиться на сторінці підтвердження електронної пошти
- Натисніть «Далі», щоб продовжити та завершити налаштування двофакторної аутентифифікації
- Або введіть адресу електронної пошти, якщо у вас не налаштовано електронну адресу або ви хочете використовувати іншу адресу
- Ви отримаєте підтвердження налаштування двофакторної аутентификації Як включити скрізне шифрування у Viber:
Чат 1-на-1:
- Натисніть Чати
- Виберіть чат 1-на-1
- Натисніть «Інформація» (Android) або назви чату (iOS) у верхній частині екрана
- Натисніть Інформація чату
- Знайдіть замок шифрування під зображенням контакту
Груповий чат:
- Натисніть Чати
- Виберіть групу
- Натисніть «Інформація» (Android) або назви групи (iOS) у верхній частині екрана
- Android: натисніть «Інформація про чат».
- Знайдіть замок шифрування під зображенням групи
Як перевірити яку інформацію про вас бачать інші користувачі:
- Натисніть (Android) (iOS)
- Натисніть Налагодження
- Натисніть Конфіденційність
- Оберіть інформацію, яку інформацію ви бажаєте сховати.
Як захистити себе у мессенджері WhatsApp
Як включити двофакторну аутентифікацію у WhatsApp:
- Виберіть свій Акаунт.
- Виберіть «Меню двофакторної аутентифікації».
- Далі натисніть «Увімкнути» та створіть шестизначний пароль. Вам потрібно буде вводити його періодично та кожного разу, коли ви реєструєте WhatsAppна новому пристрої.
- Введіть адресу електронної пошти, якщо ви забудете або втратите код.
Як включити сповіщення безпеки у WhatsApp:
- У налаштуваннях натисніть Акаунт.
- Виберіть Безпека.
- Натисніть перемикача «Показати сповіщення системи безпеки» та поставте важіль зеленого кольору.
Як захистити себе у мессенджері Telegram
Як включити двофакторну аутентифікацію у Telegram:
- Натисніть кнопку меню у верхньому лівому куті екрана.
- Натисніть Налаштування.
- Натисніть Конфіденційність і безпека.
- Натисніть Двофакторна аутентифікація.
- Введіть пароль
Як включити скрізне шифрування у Viber:
- Відкрийте Telegram.
- Натисніть значок олівця (новий чат) у нижньому правому куті екрана.
- Натисніть « Новий секретний чат».
- Виберіть контакт, щоб почати секретний чат.
Як перевірити яку інформацію про вас бачать інші користувачі:
- Натисніть кнопку меню у верхньому лівому куті екрана.
- Натисніть Налаштування.
- Натисніть Конфіденційність і безпека.
- У Розділі «Приватність» можна переглянути та змінити доступ до ваших даних.
Як захистити себе у мессенджері FacebookMessenger
Як включити скрізне шифрування у FacebookMessenger:
- Перейдіть до профілю користувача. Це можна зробити, вибравши чат, який ви маєте з ними, і натиснувши зображення профілю.
- У розділі «Інші дії» виберіть «Перейти до секретної розмови», а потім почніть переписку
Як включити двофакторну аутентифікацію у FacebookMessenger:
- Відкрийте настройки безпеки та авторизації у Facebook.
- Перейдіть до розділу Використати двофакторну автентифікацію та натисніть Редагувати.
- Виберіть потрібний спосіб перевірки та дотримуйтесь інструкцій на екрані.
При налаштуванні двофакторної автентифікації ви зможете вибрати один із способів перевірки:
- Ключ безпеки на сумісному пристрої.
- Коди для входу, що генеруються стороннім додатком для автентифікації.
- Коди у SMS, що надходять на мобільний телефон.
2.Основні аспекти безпечної роботи з системами відеоконференцій Підготуйте середовище для роботи
Витоки даних часто трапляються ненавмисно. Наприклад, на дошці для записів позаду Вас могла залишитися певна конфіденційна інформація з попередньої онлайн-зустрічі . Тому перед початком розмови переконайтесь, що в полі зору веб-камери немає жодних конфіденційних даних.
Встановіть контроль доступу
Більшість платформ для проведення зустрічей в форматі відео дозволяють створювати групи користувачів або обмежувати доступ через Інтернет-домен, таким чином приєднатися до дзвінка зможе лише обмежене коло осіб.
Для додаткової безпеки відеоконференцій встановіть пароль. Як правило, під час створення конференції він генерується автоматично, і усі, кого було запрошено до розмови, повинні будуть його ввести. Однак, не варто вставляти пароль у посилання на зустріч. Ініціатор конференції також може повністю контролювати, хто підключається до розмови, залишаючи користувачів у режимі очікування.
Налаштуйте безпечну передачу файлів
У багатьох додатках відеозв'язок шифрується за замовчуванням . Деякі сервіси шифрують за замовчуванням лише чат, в такому разі шифрування відеозв'язку потрібно встановити самостійно. Іноді додатки також дозволяють встановлювати обмеження щодо типів файлів, які учасники можуть надсилати. Наприклад, можна заборонити надсилання виконуваних файлів формату .exe.
Керуйте залученістю учасників
Більшість платформ також дозволяють контролювати, хто і коли саме приєднався до дзвінка. Це можна відстежити за тим, хто з зареєстрованих учасників підключився, або за списком учасників, який можна завантажити після завершення дзвінка. У списку учасників також часто доступна інформація щодо часу підключення та відключення користувачів — таким чином можна перевірити, чи був користувач присутнім протягом усієї тривалості дзвінка.
Встановіть обмеження доступу до екрану
Обмежте можливість спільного доступу до екрана для хосту або людини, яка обирає хост. Так Ви уникнете ризику витоку даних. Під час спільного використання екрана поширюйте лише необхідні програми, а не весь робочий стіл. Оскільки, навіть піктограма або ім'я файлу на робочому столі може містити конфіденційну інформацію. Важливо. Перш ніж використовувати будь-яке програмне забезпечення для відеоконференцій, ознайомтесь з усіма параметрами в налаштуваннях системи. Як можна помітити з рекомендацій, існує безліч налаштувань, від яких залежить конфіденційність ваших даних. Також варто пам'ятати про те, що за безкоштовний додаток Ви можете заплатити власною інформацією.
Зверніть увагу, що розробники ПЗ для конференц-зв'язку Zoomвипустили оновлення для iOS-версії свого ДоДатка після того, як стало віДомо, щовін переДає Деякі Данікористувачів у Facebook.
НагаДаємо, невіДомі зловмисники зламали кілька Десятків YouTube-каналів,перейменували їх з використанням різних бренДів Microsoftі “запустили живу” трансляцію нібито віД імені Білла Гейтса.
Також внасліДок перевантаження інформацією та ізоляцію через Covid-19, користування програмами обміну повіДомленнями значно зросло. ЖоДна платформа не віДчула це на собі так, як WhatsApp-використання збільшилось понаД 40% у всьомусвіті
Окрім цього, Двох хакерів - 26-ти та 20-ти років - викрили у розповсюДженні шкіДливого програмного забезпечення. За Допомогою вірусу вониотримували логіни тапаролі До різних систем інтернет-банкінгу,екаунтів соціальних мереж, електронних скриньок своїх жертв.
1. Кібернебезпека від використання невідомих мобільних додатків
У наш час, а саме у час технологічного прогресу, майже у кожної людини є смартфон і кожна людина користується різноманітними мобільними додатками. Призначення цих мобільних додатків буває різним, але інколи люди не знаходять необхідної програми у сертифікованих магазинах, таких як PlayMarketабо AppStore(які ретельно перевіряють весь софт), і тоді вони допускають серйозну помилку, а саме намагаються знайти додаток з потрібними можливостями не в офіційному магазині, а в іншому інтернет просторі. Користувач може наткнутися на неавторизований магазин, завантажити піратський софт й, таким чином, поставити під загрозу власний мобільний пристрій або втратити особисті дані через завантаження додатку з нього. Додатки, завантажені таким чином, можуть уповільнити операційну систему, отримати доступ до особистої інформації та надіслати її розробнику програми чи іншій групі зловмисників. Шкідливі програми можуть мати бекдори, які дозволяють групам загроз отримати доступ до пристрою користувача або навіть заблокувати використання пристрою.
Окрім додатків, завантажених з невідомих джерел, небезпечність яких очевидна, небезпечними для користувачів можуть бути й сертифіковані магазинами додатки. Існує багато прикладів таких додатків, наприклад досить відомий троян Joker, який шпигує за користувачами і встановлює на їхньому пристрої ще більш небезпечне шкідливе ПЗ, нещодавно знову проник у магазин GooglePlay. За короткий термін заражені цим вірусом програми набрали понад 100 тисяч завантажень. До таких програм відносяться: Smart SMS Messages, Blood Pressure Monitor, Voice Language Translator, Quick Text SMS. Ці програми отримуючи від користувача дозвіл на запис голосу або відправку повідомлень здатні записувати дані користувача та продавати їх у «потрібні руки». Через те, що користувач може надати подібним додаткам занадто багато дозволів, тому що вони «так просять» для коректної роботи, ці додатки можуть навіть встановлювати різне ПЗ та заробляти на користувачах, показуючи їм рекламу.
Звичайно, компанії Googleта Appleаналізують програми та видаляють їх з магазину, якщо знаходять щось підозріле. Але користувач сам має бути свідомим та розуміти, що, встановленому нещодавно інженерному калькулятору не потрібен ніякий дозвіл на відправку повідомлень чи контактів, він повинен лише рахувати.
Кібернебезпека від використання Telegramботів
Небезпечними можуть бути не тільки мобільні додатки, а й боти у додатку Telegram. Такі боти можуть бути запрограмовані на злам облікових записів користувачів, пошук контактної інформації в інтернеті, розсилку спаму та виконання інших шкідливих дій. Для проведення таких атак та приховування джерел атак зловмисники можуть поширювати шкідливі боти через ботнет. Ботнет - це кілька підключених до Інтернету пристроїв, на кожному з яких працює один або кілька ботів, часто без відома власників пристроїв. Кожен пристрій має власну IP-адресу, і трафік ботнета надходить з безлічі IP- адрес. Це ускладнює виявлення та блокування джерела шкідливого трафіку з боку роботів. Часто ботнети ростуть самі по собі, розсилаючи із заражених пристроїв спам- повідомлення, що заражають інші пристрої.
Ось основні типи ботів:
Спам-боти
Спам-боти можуть збирати адреси електронної пошти зі сторінок контактів або гостьових книг. Крім того, вони можуть розміщувати рекламний контент на форумах або розділах коментарів, щоб залучити трафік на певні сайти.
Шкідливі чат-боти
Ці чат-боти видають себе за живих людей, наслідуючи реальне людське спілкування. Часто їхніми жертвами стають користувачі, які не усвідомили, що спілкуються із шкідливими програмами, метою яких є отримання особистої інформації, включаючи дані кредитних карток.
Боти - обмінники файлів
Ці боти отримують від користувача запит (наприклад, популярний фільм або музичний альбом) і у відповідь повідомляють, що вони мають доступний для завантаження файл і надають посилання. Користувач переходить за посиланням, завантажує та відкриває його, і неусвідомлено заражає свій комп'ютер або телефон.
Моніторингові боти
Ці боти використовуються для перевантаження поштових серверів і для великомасштабних крадіжок даних.
Більш того в умовах війни телеграм боти можуть використовуватися ворогом як елемент боротьби. Наприклад, у Центрі протидії дезінформації при РНБО України у березні інформували про появу телеграм, який зламує та краде акаунти користувачів. В повідомленні РНБО наведено приклад чат-бота @DdosInstruction_bot, який нібито має «інструкцію з кібервійни». Якщо його запустити на своєму пристрої, він пропонує «перевірити ваш акаунт». Як тільки «перевірка» пройдена, людина відразу ж втрачає доступ до свого облікового запису. Це означає, що в подальшому злочинці можуть використовувати його у своїх цілях.
Демонстрація роботи небезпечного бота @DdosInstruction_bot
Звичайно, щоб бот немає доступу до даних користувача, якщо той сам йому його їх не надасть, тому варто дотримуватися наступних правил, щоб знаходитися у безпеці:
Увімкніть в Telegramдвоетапну перевірку: «Налаштування» > «Конфіденційність і безпека» > «Двоетапна перевірка» (тоді кожен вхід в акаунт буде супроводжуватися СМС кодом);
Користуйтеся, за можливості, лише офіційними ботами (це ті, в яких є синя відмітка від Telegram);
Ні в якому разі не пишіть боту паролі, коди та інші конфіденційні дані, вони йому точно не потрібні;