Рисунок: Дмитрий Петров / "Солидарность"
Смартфон для среднестатистического россиянина стал если не центром жизни, то уж точно незаменимым многофункциональным инструментом. Так, еще в 2021 году по степени цифровизации Россия была на 27-м месте, а Москва и Санкт-Петербург обгоняли в цифровом плане многие европейские столицы. На “цифру” замыкается все больше критически важных для человека услуг и сервисов - от записи к врачу и извещения о входе ребенка в школу до управления “умным домом” и банковским счетом. Как защитить свой смартфон и свои данные, “Солидарность” разбиралась вместе с экспертами.
Все чаще смартфон применяется не только для личных нужд, но и в работе, причем в самых неожиданных вариантах: от учета записей клиентов в салонах красоты и медицинских центрах до отчетов об уборке территории сотрудниками коммунальных служб. В итоге мы передаем в “цифру” все больше критически важных данных, которыми рады воспользоваться мошенники. А в последнее время цифровая идентификация используется для доступа к все более важной информации. Например, в начале сентября Минцифры предложило запустить на портале Госуслуг сервис для подтверждения личности граждан. Речь, правда, идет о бытовых ситуациях, вроде подтверждения права на скидку или проезд в транспорте, но лиха беда начало.
Вопрос эффективной защиты своей “цифровой личности” становится остроактуальным не только для крупных компаний, но и для обычных граждан. Тем более что в России утечки личных данных участились.
Так, по данным Центробанка, только за первый квартал 2022 года мошенники похитили у доверчивых граждан 3,3 млрд руб., из которых удалось вернуть лишь 6,2%. Причем в большинстве случаев виноват “человеческий фактор” - неосмотрительность и доверчивость людей. Достаточно вспомнить громкое признание Дмитрия Пескова, пресс-секретаря президента РФ, рассказавшего, что его дочь стала жертвой телефонных мошенников.
Участились и случаи краж баз данных различных компаний - вспомним хотя бы утечки информации о пользователях “Яндекс.Еды” и “Гемотеста”. По сведениям компании Group-IB, только за май - июнь 2022 года в даркнете было выложено рекордное количество баз данных российских организаций - больше 50. При этом в подавляющем большинстве случаев кража происходила не с помощью хитрых хакеров, взламывающих сервера компании, а через “инсайдеров” - нечистых на руку или просто безответственных сотрудников, позволивших злоумышленникам получить доступ к внутренней информации компании.
Даркнет - скрытая сеть, соединения которой устанавливаются только между доверенными пирами (участниками сети, доверенными компьютерами) с использованием нестандартных протоколов (определенных правил связи и обмена информацией).
Так что и разговор о безопасности персональных данных стоит начать с личной ответственности человека за свою жизнь, в том числе цифровую.
К сожалению, огромное количество людей до сих пор думают, что их персональные данные никому не нужны, сами они никому не интересны, да и “чего такого у меня в смартфоне?”. Подход этот в корне неверный - давайте посмотрим, что может быть интересного для мошенников в смартфоне среднестатистического россиянина.
Самое очевидное - банковское приложение. Затем мессенджеры с личной перепиской. Галерея фотографий, техническая информация о которых может содержать и географические координаты мест съемки. К тому же многие хранят в “галерее” и фотографии основных документов, причем не только своих, но и детей - удобно же! Все это - интересная информация для установления вашего уровня дохода и образа жизни, а ведь мы перечислили только три приложения. Для мошенников и спамеров же достаточно вашего телефона и мейла - и данные уже можно продавать.
Надо учитывать и еще очень важный момент: ваш смартфон - это лишь конечное устройство, точка доступа к вашим данным, окно в виртуальный мир. И если вы хотите действительно обезопасить свои данные, то исключительно защитой смартфона не обойдешься.
- Все, что надо знать, например, спецслужбам, люди в 90% случаев добровольно выкладывают в соцсети: где бывают, с кем, что едят или пьют. А потом удивляются: “А чего это ко мне приходит разная тематическая реклама?” Знаете, как в самих США называют тот же Facebook? “ФБР собирает друзей”. Мошенники для сбора данных часто используют схожие методы, - комментирует ситуацию специалист по конкурентной разведке, генеральный директор аналитического центра “Стратегия Восток-Запад” Дмитрий Орлов.
С ним согласен и Дмитрий Галов, эксперт по кибербезопасности “Лаборатории Касперского”:
- Часто люди думают, что они неинтересны злоумышленникам. Конкретные люди им действительно могут быть неинтересны, но их данные и деньги как были, так и остаются значимой мишенью. Полученные данные злоумышленники могут использовать для шантажа, для перепродажи на теневом рынке, для проведения других атак. И это далеко не все возможные варианты.
- Злоумышленник может получить доступ к социальным сетям и попробовать обманом заставить друзей и подписчиков переводить средства по надуманному предлогу, например на лечение, - продолжает список мошеннических схем аналитик компании R-Style Softlab Александр Шолохов. - Кроме этого, получив доступ к переписке жертвы, мошенник может начать шантажировать человека разглашением личной информации. Социальная инженерия - краеугольный камень практически любого несанкционированного доступа к личной информации.
Социальная инженерия (применительно к информационной безопасности) - методики психологического манипулирования людьми с целью совершения ими определенных действий или разглашения конфиденциальной информации.
Так, в 2021 году, шантажируя сотрудницу банка интимными фото, злоумышленники заставили ее предоставить им доступ к банковским выпискам одного из клиентов. Дело получилось громким, поскольку в нем оказались замешаны в качестве заказчиков кражи данных сотрудники известной оппозиционной организации, якобы боровшейся с коррупцией.
Исходя из вышеизложенного, методы защиты вашей “цифровой личности” можно разделить на два основных блока - условно “социальные” и технические.
Прежде всего необходимо осознать, что не всегда “удобно” совпадает с “разумно”, и ограничить себя в использовании определенных возможностей смартфонов и программ. Например, сегодня любой смартфон или браузер предложит вам воспользоваться функцией сохранения паролей. Удобно, да, но тем самым вы передаете все ваши сохраненные пароли “наружу”, особенно если вы еще и синхронизируете данные браузеров на смартфоне и домашнем компьютере.
Уже хрестоматийным стал совет: не использовать везде один и тот же пароль. Лучше держать в голове несколько паролей, чем в одночасье лишиться доступа ко всем вашим сервисам. Хорошо, если там только фото из отпуска. А если еще и данные всей вашей семьи на “Госуслугах”?
Еще об одной привычке, от которой стоит избавиться, напоминает Дмитрий Орлов:
- Некоторые имеют обыкновение держать постоянно включенными GPS и Bluetooth - даже тогда, когда они не нужны. От этой привычки тоже нужно избавляться. Bluetooth вообще лучше подключать только к проверенным устройствам. Скажем, подключать свой телефон с любимым плей-листом к блютуз-колонке случайного знакомого в дружеской компании не стоит.
О необходимости сохранять здравомыслие говорит и Дмитрий Галов, напоминая о жажде наживы у злоумышленников:
- Сегодня крайне распространен такой вид онлайн-мошенничества, как скам. В рамках такой схемы пользователю предлагают щедрое денежное вознаграждение. Чтобы его получить, просят оплатить комиссию, обычно небольшую. Комиссия достается злоумышленникам, а жертва не получает ничего. Если же для перевода комиссии пользователь вводит данные карты, то рискует и их сохранностью.
По словам эксперта, столкнуться со скамом человек может не только в почте, мессенджерах или соцсетях (все эти площадки злоумышленники активно используют для распространения скама), но даже в официальном магазине приложений.
Еще одна особенность, проявившаяся в первом квартале 2022 года, - большое число различных мошеннических приложений, распространяемых через официальные маркеты (магазины приложений). Часто такие приложения эксплуатируют тему полагающихся социальных выплат, но созданы все с той же целью - выманить деньги пользователей. Если человек скачивает и открывает любое из них, он автоматически попадает на мошенническую страницу, где его просят для получения денег ввести личные данные (ФИО и дату рождения) и оплатить взнос якобы за оформление перевода или юридические услуги. Но, выполнив это требование, человек не получает ничего, а “взнос” уходит злоумышленникам.
Эксперты советуют обратить внимание на то, что в первую очередь меняются и развиваются даже не столько мошеннические программы и технические средства мошенников, сколько модели воздействия на людей, методы социальной инженерии, которые они применяют. Мошенники внимательно следят за законодательством, за социальными выплатами, которых сейчас немало, да и появляются все новые, - и используют страхи и надежды общества. Противостоять этому можно только проверенными веками методами - здравым рассудком, разумным скепсисом и постоянным саморазвитием в области защиты данных.
- Важно сочетать технические меры защиты с постоянным повышением цифровой грамотности и развивать критическое мышление, - напоминает Галов.
Прежде всего поинтересуйтесь, к какой информации имеют доступ приложения в вашем смартфоне. Совершенно не обязательно они сразу же “сливают” их злоумышленникам, но компании-разработчику - наверняка. А уж куда они могут утечь дальше - бог весть.
Поэтому специалисты “Лаборатории Касперского” советуют: скачивать приложения только из официальных магазинов или проверять программы, которые собираетесь установить, с помощью антивируса; регулярно обновлять приложения (вместе с ними разработчики выпускают патчи с исправлениями уязвимостей и ошибок); обращать внимание на то, какие разрешения вы выдаете приложению (условному приложению “Фонарик” явно не нужен доступ к контактам); важно использовать надежное защитное решение (антивирус) и на мобильных устройствах, прежде всего на Android.
Патч - “заплатка”. Информация, предназначенная для автоматизированного внесения определенных изменений в компьютерные файлы.
Если же вы используете смартфон не только для личных, но и для рабочих целей, то ответственность возрастает. Служебное и личное необходимо разделять даже на техническом уровне.
Например, лучше не использовать одно и то же приложение и для рабочей, и для личной почты. Если вы пользуетесь для работы мессенджером - стоит завести для его регистрации отдельный телефонный номер (кстати, не только для этого - отдельный номер для всех служебных дел, звонков и регистраций значительно повышает комфортность работы). Не стоит хранить служебные документы в личном “облаке”. Советы, казалось бы, простые, но сколько историй о вскрытых почтах депутатов и чиновников по всему миру мы читаем ежемесячно?
Применить превентивные меры защиты лучше даже к новому, купленному в салоне, телефону. А уж к подержанному - тем более.
- Купили себе новый аппарат - не надо сразу загонять в него все свои данные. Верните телефон к заводским настройкам, обнулите его, - рекомендует Дмитрий Орлов. - Для этого в “Настройках” (у смартфонов на системе Android в “Расширенных настройках”) есть раздел “Восстановление и сброс”. Дальнейшие действия зависят от конкретной модели аппарата. Инструкцию для восстановления заводских настроек можно найти в Сети. Таким образом вы обезопасите себя от, возможно, предустановленных шпионских программ.
Еще один технический совет дает Александр Шолохов:
- Не нужно активировать на смартфоне так называемый root-доступ, то есть открывать доступ к ядру системы Android. Опытный пользователь может использовать этот режим для каких-то задач, но открывать его просто так категорически не стоит. При наличии на устройстве root-прав злоумышленник может получить доступ к любым данным, например к смс-сообщениям с кодами из банка, к учетным данным социальных сетей и к другой персональной информации.
Root-режим (root-права, root-доступ, режим суперпользователя) позволяет менять системные настройки телефона на ОС Android, удалять или изменять системные приложения, осуществлять доступ к другой системной информации, критически важной для функционирования системы. С помощью этого режима можно получить доступ и к критически важной для владельца телефона информации.
Есть и еще вариант “цифровой безопасности”, правда, он для “экстремалов”. Просто не пользоваться смартфоном, всю свою цифровую жизнь вести с профессионально защищенного компьютера, а для коммуникаций использовать максимально простой кнопочный телефон.
Но в любом случае надо понимать, что никакая защита смартфона, никакие антивирусы не помогут, если вы, подобно дочери Пескова, поддадитесь на убедительный голос телефонного мошенника и сами выложите все пароли и пин-коды от банковских карт.
Читайте нас в Яндекс.Дзен, чтобы быть в курсе последних событий
Чтобы оставить комментарий войдите или зарегистрируйтесь на сайте
Чтобы оставить комментарий войдите или зарегистрируйтесь на сайте
Если вам не пришло письмо со ссылкой на активацию профиля, вы можете запросить его повторно