Dažniausiai pagrobtieji duomenys atsiduria vadinamajame Tamsiajame internete (ang. Dark Web), kur anonimiškai nusipirkti juos gali praktiškai bet kas, rašoma pranešime spaudai. Jei duomenų vagystės tokios dažnos ir tokios neišvengiamos – kaip įmanoma save apsaugoti nuo jų padarinių?
Kibernetiniam saugumui – rekordiškai sunkūs metai
Ir taip gana niūrią programišių atakų statistiką šiemet neabejotinai dar labiau padidins karantino sąlygos, privertusios verslo ir viešąjį sektorius ypač greitai taikytis prie radikaliai kitokių veiklos principų. Apie suaktyvėjusias kenkėjiškas atakas pranešė daugumos Vakarų valstybių kibernetinio saugumo tarnybos, taip pat ir lietuviškasis Nacionalinis kibernetinio saugumo centras (NKSC).
„Bitė Lietuva“ kibernetinio ir IT saugumo vadovas Saulius Skirmantas įsitikinęs, kad labai dažnai internetinės platformos puolamos norint pasisavinti iškart visų vartotojų paskyrų informaciją, kuri vėliau perparduodama. Gera naujiena ta, jog dauguma svetainių vartotojų slaptažodžius sugeba neatrakinamai užkoduoti, tad pas programišius jie neturėtų patekti. Bloga naujiena – to paties negalima pasakyti apie kitą asmeninę vartotojų informaciją.
„Kibernetinės apsaugos standartai nuolat kyla, tačiau analogiškai atsiranda ir nauji būdai ją pergudrauti, o neįveikiama apsauga paprasčiausiai neegzistuoja. Jei puolama įmonė ar konkretus žmogus, tikslas paprastai yra pasiekti finansinius jų išteklius. Bet jei puolamos organizacijos, turinčios šimtus milijonų paskyrų, tikslu gali tapti patys duomenys savaime, kuriuos tuomet jau galima perparduoti ir pasitelkti naujoms atakoms“, – aiškina S. Skirmantas.
Tamsiojo interneto struktūra leidžia vartotojams išlaikyti absoliutų anonimiškumą, todėl specialiuose puslapiuose vartotojų informacija atvirai prekiaujama ir teisėsauga tam užkirsti kelią yra kone bejėgė. Pavyzdžiui, per 16 skirtingų atakų iš vaizdo įrašų platformos „Dubsmash“ pernai surinkta 620 milijonų paskyrų duomenų – visus juos galima įsigyti „Dream Market“ puslapyje, kur parduodami ir ginklai bei narkotikai (puslapis prieinamas tik Tamsiajame internete ir per „Google“ jo rasti nepavyks). Paketų kaina priklauso nuo to, ar turimi visi paskyros duomenys. Pavyzdžiui, 15,5 mln. paskyrų su slaptažodžiais kainuoja vos 4 995 JAV dolerius.
Dar vienas būdas išgauti duomenis – pasisavinti juos iš valstybės institucijų. Štai prieš 2018-ųjų JAV rinkimus paaiškėjo, jog Tamsiajame internete parduodami daugiau kaip 80 mln. šalies gyventojų duomenys. Kadangi tai oficiali informacija, visa ji, įskaitant gyvenamąsias vietas ar net dokumentų numerius, buvo tiksli, o sužinoti, į kieno rankas ji galėjo pakliūti per Tamsųjį internetą – nėra galimybių.
Kiek kainuoja jūsų duomenys?
Pavogus duomenis iš puslapių, kuriems nepatikite svarbiausios informacijos, juos dažniausiai bandoma panaudoti pasiekiant jūsų „Gmail“ paskyrą, o per ją prieiti prie internetinių bankų duomenų. Ypač programišiams patogios tokios atsiskaitymo platformos kaip „PayPal“, kurias įmanoma susieti su savo socialiniais tinklais, kas palengvina kelią jumis apsimetančiam sukčiui. „VPNOverview“ platformos atliktas pavogtų asmeninių duomenų kainų tyrimas rodo, kad 10 tūkst. eurų sąskaitoje turinčią „PayPal“ paskyrą Tamsiajame internete įsigyti galima už maždaug dešimtadalį šios sumos.
Tame pačiame tyrime apskaičiuota, kad vieno tikro žmogaus socialinių tinklų prisijungimai kainuoja apie 12 eurų, asmeninė informacija (vardas, adresas, telefono numeris ir t.t.) iki 180 eurų, dar tiek pat jo banko prisijungimai. Be abejo, šitaip „parduodami“ tik į vagišių taikinį jau anksčiau patekę vartotojai.
„Kadangi asmeniniai duomenys ne kartą pavogti ir iš tokių platformų kaip „Linkedin“, „Adobe“, „Yahoo“, „Zynga“ ar net sveikatingumo programėlės „My Fitness Pal“, tikėtina, kad didelė dalis aktyviai internetu besinaudojančių žmonių patys to nežinodami kažkada yra papuolę į bent vieną atakų. Vis tik jei šios paskyros nesusietos su kitomis, nesaugote jose svarbios informacijos, o visur naudojate skirtingus slaptažodžius, jokių realių to pasekmių greičiausiai ir nepajautėte“, – aiškina „Bitė Lietuva“ kibernetinio saugumo specialistas.
Ekstremaliausiais atvejais asmeninių duomenų vagystės priveda ir prie visos tapatybės užvaldymo, kai be žmogaus žinios ištuštinamos jo banko sąskaitos ar netgi paimamos paskolos. „Javelin Strategy & Research“ tyrimo duomenimis, šiemet dėl tokių vagysčių jau patirta 15 proc. daugiau finansinės žalos nei pernai.
Tiesa, Lietuvos vartotojus nuo šių incidentų saugo itin gerai išvystytas elektroninės bankininkystės sektorius bei sąlyginai populiarus dviejų faktorių autentifikacijos (2FA) naudojimas.
Vagystė vagystei nelygi
Ko gero, didžiausias šiemet įvykęs asmeninių duomenų nutekėjimas pasiekė Azijos e-komercijos milžinę „Tokopedia“, netekusią 91 mln. vartotojų duomenų. Vėliau Tamsiajame internete šie pardavinėti vos už 5000 JAV dolerių. Vartotojų laimei, programiškiams išgauti pavyko tik užšifruotus slaptažodžius.
Didžiausias sėkmingas visų laikų atakas yra patyrusi naujienų, paieškos ir pokalbių svetainė „Yahoo“, kuri 2013-2014 m. išvis prarado net trijų milijardų vartotojų paskyrų duomenis. Pati kompanija tikino, kad absoliuti dauguma vogtų slaptažodžių užšifruoti, tačiau vis tiek skaičiuojama, jog įmonei ataka kainavo net apie 350 mln. dolerių.
Istoriškai kiek skaudžiau programišių atakos atsiperka pažinčių portalų naudotojams. Pavyzdžiui, 2015-aisiais iš „Ashley Madison“ svetainės, savo šūkyje kvietusios sutuoktinius programoje megzti romanus, pavogta daugiau kaip 30 mln. vartotojų paskyrų. Svetainės savininkams atsisakius sumokėti išpirką, dalį vartotojų vagys paviešino. Panaši svetainė „Adult Friend Finder“ 2016-aisiais neteko net 400 mln. paskyrų kartu su koduotais slaptažodžiais, kuriuos, kaip parodė vėlesnis tyrimas, atrakinti buvo itin paprasta. Šiais atvejais dėl pačios svetainių prigimties duomenų vertė buvo kur kas didesnė nei „Yahoo“ ar „Linkedin“ atakų atvejais.
„Jei naudojatės patikimomis svetainėmis, net pati rimčiausia kibernetinė ataka negali atskleisti jūsų slaptažodžio, nes šis privalo būti užkoduotas ir nuo pačių platformos darbuotojų. Būtent adekvatūs duomenų apsaugos standartai ir yra pagrindinė priežastis, kodėl niekuomet nederėtų registruotis nepatikinimai atrodančiose platformose, jokiu būdu jų nesieti su savo „Google“ ar „Facebook“ paskyromis ir neatskleisti jose jokios asmeninės informacijos“, – perspėja S. Skirmantas.
Sumažinti duomenų praradimo riziką – lengva
„Bitės“ kibernetinio ir IT saugumo vadovas pataria, jog be abejotinų svetainių vengimo apsisaugant derėtų prisiminti dar kelis svarbiausius elgesio punktus. „90 proc. visų kibernetinių nusikaltimų padaromi dėl elementarios žmogiškos klaidos – kenkėjiškos nuorodos paspaudimo ar to paties slaptažodžio naudojimo kiekviename portale“, – aiškina specialistas.
Ką pravartu prisiminti:
- Niekuomet nespauskite įtartinų nuorodų, kurias gaunate iš nepažįstamų šaltinių;
- Niekuomet nei telefonu, nei el. paštu nesidalinkite konfidencialia asmenine informacija su jokia įmone ar platforma – jos tikrai neprašys jūsų nei banko kortelės numerių, nei slaptažodžių;
- Visose platformose, kur tai įmanoma, naudokite dviejų faktorių autentifikaciją (2FA);
- Venkite neapsaugotų, viešų Wi-Fi tinklų;
- Svarbiausia, naudokitės programėle, kuri padeda susikurti ir saugoti unikalius slaptažodžius. Tai leis mintinai prisiminti tik vieną slaptažodį, bet kiekvienoje platformoje naudoti skirtingas, specialiai vengiant iššifravimo sukurtas kombinacijas. Tokias paslaugas teikia „Avira“, „LastPass“, „Keeper“ ar „Dashlane“ programėlės.
Pasitikrinti, ar jūsų el. pašto adresas yra patekęs į duomenų nutekėjimą galite puslapyje „Have I Been Pwned“ čia, raktinių žodžių (vardų, įmonių pavadinimų ir t.t.) žinomojoje vogtoje informacijoje ieškoti galite „DeHashed“ platformoje čia.