Nenaudokite to paties slaptažodžio

„Šiandien kibernetinių bei sukčiavimo grėsmių, kai nusitaikoma į žmogaus asmens duomenis, yra ne viena, tad verta savo įrenginiuose naudoti kelias apsaugas, o gyvenime stengtis neprarasti budrumo, išlaikyti kritinį mąstymą. Dėl Europos Sąjungoje veikiančio duomenų apsaugos reglamento mūsų teisė į duomenų bei privatumo apsaugą saugoma įstatymo“, – atkreipia dėmesį Mantas Užupis, „Tele2“ IT saugumo vadovas.

M. Užupis sako, kad Bendrasis duomenų apsaugos reglamentas (BDAR) numato, jog turime teisę žinoti, kas ir kokiu tikslu tvarko mūsų asmens duomenis. Taip pat galime paprašyti, kad tie duomenys būtų panaikinti, nebesaugomi, jeigu jie, pavyzdžiui, nebėra būtini pasirinktoms paslaugoms gauti. Įmonės ir institucijos jiems patikėtus klientų duomenis turi tvarkyti atsakingai atsižvelgdamos į minėto reglamento reikalavimus.

„Deja, žmogaus asmens duomenis savo piktavališkiems tikslams neretai siekia išvilioti sukčiai ar nusikaltėliai. Taigi savo asmens duomenis ar kitokią tik jums skirtą informaciją būtina rūpestingai saugoti, pirmiausia, jų neatskleisti neaiškiems asmenims ar nepatikimoms organizacijoms. Viena pamėgtų nusikaltėlių taktikų – apsimesti atstovais iš patikimų įmonių arba įstaigų, kad sukeltų žmonių pasitikėjimą, ir taip išvilioti reikalingą informaciją“, – dėl neapdairaus patiklumo pabrėžia saugumo vadovas.

M. Užupis kviečia būti budriems ir savo asmens duomenų (vardo, pavardės, adreso, telefono ir pan.) jokiais atvejais neskelbti viešai, pavyzdžiui, socialiniuose tinkluose, jų negalima suvesti į atsitiktinai iššokusius reklaminius skydelius ar paspaudus ant gautos nuorodos, jei nesate įsitikinę siuntėjo ar nuorodoje siūlomos paslaugos patikimumu.

„Net tais atvejais, kai pasitikite siuntėju, visada verta pasitikslinti, ar tikrai reikia tiek jūsų asmens duomenų, kiek prašoma, kam ir kokiu tikslu jie bus naudojami, kiek laiko saugomi. O kad atsiskaitymas internetu būtų saugesnis, galima pasitelkti kai kurių mokėjimo įstaigų siūlomomis virtualiomis vienkartinėmis kortelėmis, kurių duomenys panaudojami tik vieną kartą“, – sako saugumo ekspertas.

Kita situacija, pasak įmonės saugumo vadovo, kai duomenys yra pavagiami, nutekinami kaip nusikaltimo pasekmė: „Didesnė grėsmė kyla, jei naudojate tą patį slaptažodį daugelyje paskyrų. Taigi sužinojus, kad įvyko slaptažodžių vagystė iš tam tikros programėlės, reikėtų pasitikrinti, ar nenaudojote to paties slaptažodžio kitose paskyrose, ir kuo skubiau juos pakeisti. Jei nutekėjo mokėjimo kortelių duomenys, tokią kortelę reikėtų kuo greičiau užblokuoti ir pasikeisti.“

M. Užupis akcentuoja, kad įsilaužėliai pirmiausia visuomet bandys atspėti slaptažodį pagal bet kokią jūsų asmeninę informaciją – jūsų vardą, pavardę, gimimo metus, tad jų nereikėtų naudoti kuriant savo slaptažodžius. Taip pat vertėtų kiekvienai paskyrai naudoti skirtingus stiprius slaptažodžius – labai gali pagelbėti gera slaptažodžių tvarkyklė, kuri padeda sugeneruoti sunkiai atspėjamus slaptažodžius. Apie netikras ir nesaugias nuorodas gali įspėti „Tele2“ operatoriaus tinklo lygiu veikianti interneto apsaugos paslauga.

JAV ir Rusijoje nutekinama daugiausia paskyrų

Nutekintų paskyrų skaičius pirmąjį 2023 metų ketvirtį pasaulyje siekė 41,6 milijono paskyrų. Tai dvigubai mažiau, palyginus su 80,8 mln. paskyrų paskutinį 2022 m. ketvirtį.

Daugiausia paskyrų šiuo laikotarpiu nutekinta Rusijoje (6,6 mln.), JAV (5 mln.), Taivane (3,9 mln.), Prancūzijoje (3,2 mln.) ir Ispanijoje (3,2 mln.). Taivane šis skaičius išaugo daugiausia – net 21 kartą, lyginant su paskutiniu praėjusių metų ketvirčiu.

„Didžiosios pasaulio ekonomikos – Rusija ir JAV – įprastai užima pirmąsias vietas. Tiesa, Rusija dėl karo Ukrainoje nuo pat jo pradžios tapo aktyviu programišių taikiniu. Kitoms šalims įtakos gali turėti ir atsiradusios saugumo spragos, ir netinkamos kibernetinio saugumo praktikos, ir programišių atakų strategija“, – sako Tautvydas Jašinskas, kibernetinio saugumo kompanijos „Surfshark“ saugumo vadovas.

Tautvydas Jašinskas

Lietuvoje stipriai mažėja nutekinamų paskyrų

Paklausus, kokia situacija yra Lietuvoje, T. Jašinskas teigia, kad visose Baltijos šalyse nutekintų paskyrų skaičius pirmąjį šių metų ketvirtį mažėjo.

Pirmąjį 2023-iųjų ketvirtį Lietuvoje buvo nutekinta 62 proc. mažiau paskyrų nei ketvirtį prieš tai – jų skaičius sumažėjo nuo 21,9 tūkst. iki 8,4 tūkst.

Pagal nutekintų paskyrų skaičių Baltijos šalyse pirmauja Latvija – pirmąjį šių metų ketvirtį šalyje jų skaičius siekė 9,8 tūkst. (28 proc. mažiau nei ketvirtį prieš tai).

Estijoje tuo pačiu laikotarpiu nutekintų paskyrų kiekis buvo mažiausias – 3,9 tūkst. (sumažėjo penkis kartus, arba 80 proc.).

Kokiu tikslu paskyros nutekinamos

„Įprastai paskyras nutekinti siekiama tam, kad atakų metu surinktos informacijos pagrindu būtų galima formuoti naujas atakas. Pavyzdžiui, nutekinę el. pašto adresą ir slaptažodį, programišiai gali bandyti prisijungti prie paskyrų ir perimti jų valdymą, vėliau daryti reputacinę žalą ar apsimesti kitais asmenimis“, – sako T. Jašinskas.

Be to, pasak saugumo vadovo, nutekinta informacija gali būti panaudota apgaulėms rengti. Pavyzdžiui, jei pasisavintas žmogaus vardas, pavardė, el. pašto adresas ir gyvenamosios vietos adresas, programišiai gali apsimesti paslaugų teikėjais ir siūlyti pirkti paslaugas vartotojo namams, o pinigus prašyti pervesti į netikras sąskaitas.

„Neretu atveju pasisavinę duomenis programišiai imasi reketo – už pasisavintus duomenis iš verslų prašo išpirkos grasindami informacijos paviešinimu. Jei įmonės išpirkos nusprendžia nemokėti, ji paviešinama siekiant įbauginti kitus verslus arba parduodama tamsiajame internete (angl. darknet) ir iš jos pasipelnoma. Tokiais incidentais programišių komandos dažnai siekia populiarinti savo vardą, kad turėtų daugiau įtakos ir svertų prijungdamos kitus programišius ar rengdamos didesnio masto atakas“, – atkreipia dėmesį saugumo vadovas.

Kaip vyksta nutekinimas

Paklausus, koks yra pats nutekinimo procesas, T. Jašinskas sako, kad informacijos saugumo srityje duomenų nutekinimu vadinamas incidentas, kai tam tikro subjekto – asmens, įmonės ar organizacijos – duomenis pasiekia, peržiūri ir tam tikrais atvejais pasisavina tokio leidimo neturinčios trečiosios šalys.

Dažniausiai šiuos duomenis sudaro el. pašto adresas, vartotojo vardas, pavardė, slaptažodis ar nuotrauka. Taip pat gali būti nutekinta ir papildoma asmeninė informacija – gyvenamoji vietovė, adresas, IP adresas ar telefono numeris. Ypač retais atvejais nutekinama jautri asmeninė informacija – ūgis, svoris, kredito įvertis ir kita.

„Tokie incidentai dažniausiai nutinka atakuojant įmones, valdančias šiuos vartotojų duomenis. Absoliučia dauguma atvejų programišiai išnaudoja saugumo spragas, atsirandančias dėl žmogiškojo faktoriaus – įmonių darbuotojų klaidų, neatidumo arba programišių įtikinamai surengtų, bet paprastų apgaulių. Ypač retais atvejais atakoms naudojamos itin sudėtingos technologijos – jos kainuoja brangiai, tad galimas programišių grobis tokių „investicijų“ neatpirktų“, – pastebi saugumo vadovas.

Kaip apsisaugoti?

T. Jašinskas sako, kad visa apimantis principas, padedantis išvengti nemalonumų, yra sąmoningas duomenų naudojimas internete: „Prieigą prie asmeninių duomenų suteikite tik tais atvejais, kai ji absoliučiai būtina reikalingoms paslaugoms gauti, o internete viešinkite tik tą informaciją, kurios nutekinimo atveju nesusidurtumėte su sunkumais.

Be to, visas paskyras apsaugokite stipriais slaptažodžiais ir nenaudokite vieno jų daugiau nei vienai paskyrai. Paskyrose taip pat aktyvuokite papildomą prisijungimo apsaugos funkciją – dviejų žingsnių autentifikaciją (angl. two-factor authentification, 2FA). Esant galimybei, naujų prisijungimų informacijos pranešimus nukreipkite į alternatyvią pašto dėžutę (jei tokią turite), kad identifikuotumėte prisijungimus, atliktus ne jūsų.

Taip pat sąmoningai naršykite internete – nesilankykite kenkėjiškuose puslapiuose, nespauskite įtartinų nuorodų, nesidalinkite jokiais asmeniniais duomenimis su nepažįstamais žmonėmis.“

Ką daryti, jeigu informacija jau nutekinta

Jei kyla įtarimų, jog nukentėjote nuo duomenų nutekinimo, pirmiausia T. Jašinskas kviečia nusiraminti – racionalūs sprendimai padės situaciją išspręsti greitai ir su mažiausia įmanoma žala – bei imtis šių žingsnių:

1. Apie incidentą informuokite savo paslaugų tiekėją ar organizacijos IT specialistą. Profesionalai turi geriausias galimybes problemą išspręsti produktyviausiai ir greičiausiai. Jei jie atsisako spręsti problemą, kreipkitės į Nacionalinį kibernetinio saugumo centrą, užpildykite šią incidento anketą – https://www.nksc.lt/pranesti.html.

2. Informuokite atitinkamas institucijas. Jei buvote apgauti prisidengus konkrečios kompanijos vardu, informuokite įmonę, kad jos vardu vykdomos apgaulės, jog ši galėtų apsaugoti kitus vartotojus ir imtis būtinosios saugos veiksmų. Apie incidentą taip pat galite pranešti policijai.

3. Įvertinkite žalą. Pabandykite išsiaiškinti, kokie duomenys galėjo būti prarasti ar pakeisti, pabandykite nustatyti, kokia Jūsų sistemos spraga išnaudota. Atitinkamai imkitės reikalingų veiksmų problemoms spręsti arba ieškoti tikslingos pagalbos.

4. Pasikeiskite paskyrų slaptažodžius. Jei atakos metu kibernetiniai nusikaltėliai gavo prieigą prie jūsų paskyrų slaptažodžių, nedelsdami juos pasikeiskite. Ir, jei to nepadarėte anksčiau, aktyvuokite dvigubos autentifikacijos funkciją.

5. Informuokite savo banką. Jei patekote į apgaulės schemą ir galėjote prarasti pinigus, kuo skubiau informuokite banką, kad šis sustabdytų arba sugrąžintų pavedimą. Tokiu atveju išlieka didžiausia galimybė nepatirti finansinių praradimų.

6. Užblokuokite kreditinę kortelę. Jei perdavėte savo kortelės duomenis – numerį ir CVV kodą – kortelę užblokuokite ir pasikeiskite nauja.

7. Pasikeiskite dokumentus. Jei nusikaltėliams perdavėte savo dokumentų kopijas, dokumentus taip pat pasikeiskite, buvę turėtų būti pripažinti negaliojantys.

8. Jeigu po atakos gaunate nepageidaujamų elektroninių laiškų (angl. SPAM) iš Lietuvos, kreipkitės į Valstybinę duomenų apsaugos inspekciją.

Naujausių įžvalgų apie savo saugumą išgirsite LOGIN konferencijoje jau kitą savaitę. Visa informacija – ČIA.