Matant savą slaptažodį, elektroniniu paštu atsiųstą nepažįstamo asmens, norom nenorom išauga budrumas. O kai pasiekiama ta laiško vieta, kur laiško autorius reikalauja 7000 JAV dolerių mainais už „vaizdo įrašo ištrynimą“, išaiškėja ir motyvai. Jokių įrodymų, kad tokia vaizdinė medžiaga iš tiesų egzistuoja, rašytojas nepateikia, tačiau pažada, kad jeigu tokių įrodymų norėsite, jie bus išsiųsti. Tik ne pačiam prašytojui, o dešimčiai asmenų, esančių jo kontaktų sąraše.
Laiškai siunčiami ganėtinai gausiam adresatų skaičiui – 15min redakcija ir jos darbuotojai yra gavę jau tris tokius laiškus, taip pat yra ir viešai apie tokius laiškus socialiniuose tinkluose pranešančių asmenų. Iš kur pas nepažįstamus asmenis atsiranda jūsų slaptažodžiai? Ar tiesa, kad įmanoma vienu metu įrašyti tai, kas vyksta ekrane, ir tai, ką mato kompiuterio kamera? Ką daryti tokį laišką gavus? Siųsti jį į šiukšliadėžę kaip šlamštą, taupyti pinigus išpirkai ar elgtis kaip nors kitaip? Į visus šiuos klausimus padėjo atsakyti kibernetinio saugumo bendrovės „Avedus“ generalinė direktorė ir tinklų saugumo ekspertė Vilma Škarnulytė.
Grėsmė reali, bet ne šiuo atveju
Įmonės vadovė tvirtina, kad dažnai panašiais atvejais, kol neatliekama detali situacijos analizė, neįmanoma tiksliai pasakyti, ar grėsmė vartotojo saugumui ir privatumui tinkle yra reali. Tačiau, remiantis statistika, precedentiniais atvejais ir sakinių formuluotėmis elektroniniame laiške, galima daryti išvadą, kad didžioji dalis tokių atvejų – tai paprasčiausias šarlatanizmas, bandymai išvilioti iš vartotojų nemenką sumą pinigų pasinaudojant psichologinėmis ir emocinėmis manipuliacijomis.
Ekspertė patvirtina, kad egzistuoja tokie žinomi programinės įrangos pažeidžiamumai, kurie leidžia perimti kompiuterio kontrolę taip, kad būtų galima atlikti veiksmus, kuriuos tikina atlikę grasinančių laiškų autoriai. Maža to, priemones, išnaudojančias tokius pažeidžiamumus galima atsisiųsti iš viešai prieinamų interneto svetainių, kurios yra žinomos ir kibernetiniams nusikaltėliams, ir kompiuterių saugotojams.
V.Škarnulytė tvirtina, kad tokius veiksmus – perimti kursoriaus kontrolę, ekrano vaizdą, kameros vaizdą – galima atlikti tada, kai kompiuteryje yra įdiegta atitinkama kenkėjiška įranga (t. y. kompiuteris būna užkrėstas). Tačiau nebūtinai – jeigu kompiuterio įprasta programinė įranga (operacinė sistema, naršyklė) ilgą laiką nebuvo atnaujinta, o ugniasienė nenaudojama, tai programišiai visus šiuos piktybinius veiksmus gali atlikti ir nuotoliniu būdu.
Tačiau ji ramina, kad toks ilgas, psichologiją paveikti bandantis laiškas be jokių įrodymų tikriausiai rašomas ne dėl to, kad jo autorius tokią vaizdinę medžiagą turi ir tik mėgsta su savo auka žaisti katės ir pelės žaidimą. „Tikros atakos atveju jam nereiktų vargintis ir rašyti manipuliatyvaus ilgo laiško, kad įtikinti auką susimokėti. Pagal laiško formuluotę susidaro įspūdis, kad tai tik emocinės manipuliacijos ir patiklių mažiau išmanančių aukų žvejyba. Tai yra paprasčiausias SPAM'as su grasinimu ir mėginimu pasipelnyti pasinaudojant vartotojų emocijomis ir neapdairumu“, – teigia V.Škarnulytė.
Bet tuo pačiu ji įspėjo neatidarinėti prie panašaus pobūdžio laiškų prisegamų rinkmenų bei nuorodų, nes būtent per laiškų priedus ar pateiktas nuorodos gali būti platinama kenkėjiška programinė įranga, kuria programišiai tikrai gali įsilaužti į kompiuterį ir pasisavinti jautrius duomenis, perimti socialinių tinklų paskyras, užšifruoti svarbius failų katalogus ir reikalauti išpirkos, kitais būdais pažeisti vartotojo saugumą ir privatumą.
Iš kur tada pas programišių mano slaptažodis?
Pastaraisiais metais žinių apie didelio masto kibernetines duomenų vagystes, kurių metu buvo prarasti tūkstančių, milijonų ir net šimtų milijonų vartotojų prisijungimo duomenys, netrūko. Ilgainiui internete atsirado ir viešai ar neviešai prieinamos duomenų bazės su prisijungimo vardų ir slaptažodžių deriniais. Viešose duomenų bazėse įrašius savo elektroninio pašto adresą galima pasitikrinti, ar su tuo adresu siejami slaptažodžiai yra nutekėję per kibernetines atakas, po kurių pavogti duomenys buvo išviešinti.
„Paprastai paskyrų prisijungimų informacija naudojama skaitmeninio identiteto klastojimui bei dideliais rinkiniais pardavinėjama su įprastinėmis naršyklėmis neprieinamoje interneto dalyje – „Dark Webe“. Taigi, laiško autorius galėjo kažkokiu būdu įsigyti kontaktų duomenų bazę, kurią dabar manipuliatyviai naudoja siekdamas nelegaliai praturtėti“, – aiškina V.Škarnulytė.
Be to, niekur nedingsta ir jau nebeteikiamų interneto paslaugų prisijungimo vardų duomenų bazės – tikėtina, kad jos nuteka ir patenka į „Dark Webą“.
Tai ką daryti gavus tokį laišką?
„Avedus“ vadovė tikina, kad tokio laiško ignoravimas būtų klaida. „Svarbu skleisti žinią, nes piktavalio sėkmė daugiausia priklauso nuo to, kad žmonės sureaguos emocionaliai, sąmoningai nesuvokdami realaus konteksto“, – sakė ji.
Saugumo ekspertė tvirtina, kad atpažinus tokį manipuliatyvios atakos elektroniniu paštu atvejį būtina ugdyti aplinkinių žmonių sąmoningumą – kaip pavyko identifikuoti ataką, kokie požymiai leidžia tai padaryti. Tai būtų geriausia atsakingo piliečio reakcija.
„Kompiuteriais besinaudojantys žmonės privalo išsiugdyti tam tikrą nepasitikėjimo jausmą, vertinti tokius laiškus įtariai, suprasti, kokiais atvejais tai yra akivaizdus šantažas ir manipuliacijos emocijomis. Nedera atidarinėti laiško priedų ar pateikiamų nuorodų. Būtina papildomai skenuoti kompiuterį atnaujintomis bent poros gamintojų saugumo bei apsaugos nuo piktybinės įrangos programomis. Rekomenduotina aktyvuoti griežčiausią įdiegtos ugniasienės režimą ir žinoti bei kontroliuoti programas, kurios turi galimybę komunikuoti tinkle“, – savisaugos patarimais dalijosi V.Škarnulytė.
O kaip užsitikrinti, kad slaptažodis būtų neatspėjamas?
Lengvi slaptažodžiai yra lengvas grobis programišiams – neretai jie, įsitikinę prisijungimo vardo ar elektroninio pašto adreso tikrumu, bando slaptažodį atspėti „grubia jėga“ (angl. bruteforcing), t. y. vykdydami automatizuotą įvairių skaičių, raidžių ir specialiųjų simbolių kombinacijų tikrinimą. Dėl to saugumo ekspertai primygtinai rekomenduoja susigalvoti kuo sudėtingesnį slaptažodį – ilgą, su skaičių, didžiųjų ir mažųjų raidžių bei specialiųjų simbolių kombinacijomis ir nenaudoti to paties slaptažodžio skirtingoms interneto paslaugoms aktyvuoti.
„Nėra vieno geriausio būdo, kuris užtikrintų visišką slaptažodžių saugumą. Ir visų pirma taip yra todėl, kad vartotojai nekontroliuoja interneto platformų, iš kurių duomenys yra nutekinami, ir kur dažnai jie saugomi nešifruoti. Tiesa yra ta, kad kuo slaptažodžiai ilgesni, įtraukiantys skirtingų grupių simbolių – raidžių, skaičių ar specialiųjų simbolių, neturintys lengvai su vartotojais susiejamų žodžių ar frazių, o geriausia ir išvis neturintys bendrinių žodžių, tuo jie saugesni“, – sakė V.Škarnulytė.
Ji rekomendavo slaptažodžių kūrimą ir tvarkymą patikėti specializuotoms programėlėms (pvz., „LastPass“, „Keeper“, „Sticky Password“ ar panašiai).
Bet jeigu mėgstate slaptažodžius kurti savo rankomis, galite pasinaudoti „Telia“ kibernetinio saugumo eksperto Giedrius Meškausko patarimais.
Kur kreiptis, jeigu įtariate, kad nutiko kibernetinis incidentas
„Duomenų vagystės kibernetinėje erdvėje – tai baudžiamąją atsakomybę užtraukianti nusikalstama veika. Vogtų jautrių asmens duomenų naudojimas šantažui siekiant nelegaliai praturtėti – taip pat užtraukia baudžiamąją atsakomybę. Surinkus kuo daugiau įkalčių, atsakinga pilietinė pozicija būtų kreiptis į policiją ir bendradarbiauti tyrimo metu nustatant nusikaltimo šaltinį“, – sakė V.Škarnulytė.
Paprasčiausias būdas pranešti apie vykdomą ar įvykdytą kibernetinį nusikaltimą – per ePolicijos interneto svetainę.
