Sparčiai kintant kibernetinių grėsmių pobūdžiui, technologijų gigantai imasi ryžtingų žingsnių stiprinti žmonių apsaugą. „Google“ neseniai paskelbė įspėjimą visiems „Gmail“ naudotojams kuo greičiau atsisakyti įprasto prisijungimo su slaptažodžiu ir pereiti prie prieigos rakto (angl. passkey). Savo ruožtu ekspertai primena, kad asmeninių duomenų saugumas priklauso ne tik nuo naudojamų apsaugos sprendimų, bet ir paties žmogaus elgesio, rašoma pranešime žiniasklaidai.

„Slaptažodžiai tampa silpniausia grandimi saugant žmonių duomenis. Juos lengva atspėti, jie dažnai naudojami kelioms skirtingoms paskyroms ir gali būti nutekinami per įvairius duomenų pažeidimus. Net ir papildomos apsaugos priemonės, kaip SMS kodai, ne visada gali apsaugoti nuo sukčiavimo atvejų, kai nuotoliniai sukčiai imituoja oficialius siuntėjus ar svetaines“, – pasakoja Mindaugas Rauba, „Bitės“ technologijų direktorius.

Pasak jo, augantį sukčiavimo mastą puikiai iliustruoja ir pastarųjų metų statistika. Vien pernai Lietuvoje sukčiai iš žmonių ir įmonių galėjo išvilioti apie 19 mln. eurų, skelbė Pinigų plovimo prevencijos kompetencijų centras. Tai beveik 66,7 proc. daugiau nei ankstesniais metais.

Kaip apsaugoti savo „Google“ paskyrą?

„Google“ ragina pamažu atsisakyti tradicinių slaptažodžių ir pereiti prie modernesnių prisijungimo būdų.

„Šiuo metu rekomenduojama naudoti prisijungimą su prieigos raktu (angl. passkey), kuris yra atsparesnis sukčiavimui. Jo saugumas grindžiamas tuo, kad prieigos raktas veikia tik žmogaus patvirtintuose įrenginiuose. O prisijungimui galima naudoti ne tik PIN kodą ar ekrano užrakto piešinį, bet ir biometrinius duomenis – piršto atspaudą ar veido atpažinimą (angl. Face ID). Tokios informacijos sukčiai neturi ir negali pasisavinti“, – pataria M. Rauba.

Pasak „Bitės“ technologijų direktoriaus, prieigos raktų naudojimas praverčia ir tuo, kad šis prisijungimo metodas neveikia fiktyviose svetainėse. Tad šansų nuotoliniams sukčiams išvilioti jūsų duomenis, kuriant netikras svetaines, dar labiau sumažėja.

„Prieigos raktas itin praverčia, kai su „Google“ paskyra norite jungtis prie įvairių svetainių ar socialinių tinklų. Pavyzdžiui, su „Google“ paskyra jungiatės prie „Facebook“ ar skelbimų portalo, nes nenorite kurti naujo slaptažodžio. Tokiu atveju galite būti ramūs, kad jūsų prisijungimas yra saugus, o ir nereikia prisiminti dar vieno slaptažodžio“, – pataria M. Rauba.
Visus slaptažodžius galima saugoti ir sinchronizuoti tarp skirtingų įrenginių naudojant naršyklėje veikiančią slaptažodžių saugyklą „Google Password Manager“.

Svarbiausia – tikrinti informaciją

Jei žmonės nenori naudoti prieigos raktų, M. Rauba rekomenduoja bent jau sustiprinti prisijungimą prie savo „Google“ paskyros su dviejų veiksnių autentifikavimu (angl. two-factor authentication).

„Dviejų veiksnių arba žingsnių autentifikavimas leidžia jums patvirtinti savo tapatybę su papildomu veiksmu. Pirma, įvedate savo slaptažodį, o tada „Google Authenticator“ programėlė jūsų telefone sugeneruoja papildomą kodą, kurį įvedę patvirtinate, kad tai tikrai esate jūs. Papildomą prisijungimo patvirtinimą verta aktyvuoti ir kituose tinklapiuose, ypač socialiniams tinklams“, – pataria vienas skaitmeninių paslaugų bendrovės vadovų.

Vis dėlto, jei taip nutiktų, kad el. pašto slaptažodis buvo nutekintas, apie tai „Bitės“ klientai, pasirinkę paslaugų planus „Saugiau“, gali sužinoti nedelsiant. Šių metų pradžioje į paslaugų planus įtraukta Kibernetinių incidentų patikros paslauga leidžia stebėti iki 5 el. pašto adresų ar telefono numerių, ar šie nepateko į nutekintų duomenų sąrašus.

„Šiuolaikinės technologijos atveria ne tik daug galimybių, bet ir naujų grėsmių. Būtina neprarasti budrumo ir atidžiai tikrinti, kur vedate savo duomenis, ar lankotės oficialiame tinklalapyje, ar gautas laiškas nėra nuotolinių sukčių ataka. Papildomos saugumo priemonės tik padeda apsaugoti savo duomenis, bet daug priklauso ir nuo paties žmogaus elgesio internete“, – sako M. Rauba.

Pastarosiomis savaitėmis visame pasaulyje žaibiškai plintanti pramoga pasitelkiant dirbtinį intelektą (DI) susikurti savo virtualų herojų ar lėlę (angl. AI doll) nėra toks jau nekaltas žaidimas. Kad sukurtų norimą rezultatą, DI technologijos prašo pasidalinti savo nuotraukomis, taip pat nurodyti asmeninių duomenų. Kur jūsų duomenys nukeliauja toliau ir kas juos naudoja? Tai keli iš klausimų, apie kuriuos siūlo pagalvoti IT saugumo ekspertai.

Pataria saugoti šią informaciją

Į dirbtinio intelekto įrankį įkeliate norimą savo nuotrauką, nurodote, kaip norite būti pavaizduotas, kas jums patinka kasdieniame gyvenime ir voila – už kelių sekundžių matote, kaip atrodo į dėžutę supakuota jūsų lėlė antrininkė. Smagu ir linksma, bet ar sutiktumėte dirbtiniam intelektui atiduoti valdyti savo „Instagram“ ar „Facebook“ paskyrų duomenis? Rezultatas, kaip ir naudojant dirbtinį intelektą pramogoms, toks pats – savanoriškai dalinamės asmenine informacija. Kieno serveriuose ši informacija galiausiai nugula? Ar internetinė erdvė kada nors ją pašalins? Anot duomenų apsaugos įrankius kuriančios įmonės „Surfshark“ informacinių technologijų saugumo vadovo Tomo Stamulio, atsakymas yra „Ne“ arba „Negalime to žinoti“.

„Tačiau tikrai įmanoma, kad informacija, pagal kurią esame lengvai identifikuojami, ateityje bus panaudota prieš mus. Duomenys gali būti nutekinami ir naudojami priešiškai, pavyzdžiui, sukčiaujant ar siekiant prisijungti prie žmogaus asmeninių paskyrų“, – įspėja T. Stamulis.

„Surfshark“ ekspertas primena, kokios informacijos apie save negalima atskleisti dirbtinio intelekto šaltiniams, įskaitant žaidimus ir pramogas. Tai asmens kodas, pilnas vardas ir pavardė, telefono numeris. Prie jautrių ir nedalintinų duomenų priskiriama ir informacija apie vaikus, nepilnamečius giminaičius ar draugus, banko ar finansinių paslaugų teikėjo pavadinimai. Taip pat patariama nesidalinti klinikiniais ar medicininiais duomenimis, atskleidžiant informaciją apie sveikatos sutrikimus, ligas, mat, nutekinimo atveju, tai gali padaryti ekonominės žalos, pavyzdžiui, siekiant įsidarbinti. Galiausiai su mažai patikimais šaltiniais nepatariama dalintis asmeninėmis nuotraukomis ar vaizdo įrašais, kadangi vaizdinė informacija gali būti panaudota klastojant žmogaus pirštų antspaudus ir kitus biometrinius duomenis.

3 žaidimo taisyklės

Paklaustas, ar vertėtų neįsitraukti į greitai plintančias, madingas DI pramogas, „Surfshark“ ekspertas teigia, kad svarbiausia yra žinoti, kaip apsaugoti save dirbtinio intelekto ir interneto erdvėse ir pateikia 3 esmines taisykles, kurių verta laikytis.

„Pirma, įsitikinkite, kad jūsų paskyra, su kuria dalyvaujate DI žaidimuose, yra stipri ir saugi. Tai reiškia, jog tiek kompiuteryje, tiek telefone turite įdiegtą VPN apsaugą naršymui, paskyra yra apsaugota stipriu slaptažodžiu ir su įjungta 2 faktorių autentifikacija“, – atkreipia dėmesį T. Stamulis.

Antra, jungdamiesi prie dirbtinio intelekto žaidimų, pateikite kiek įmanoma mažiau tikrų duomenų apie save ir gyvenamąją vietą. Galiausiai, jei naudojatės DI pramogų programėlėmis, atminkite, kad yra įmanoma, jog jūsų duomenys bus nutekinti. Dėl šios priežasties patartina naudotis tokiais DI įrankiais, kurie nerenka jūsų naršymo istorijos, geriausiai prie DI įrankių jungtis nematomu (incognito) režimu ir ne su pagrindinio savo el. pašto paskyra, o jei yra galimybė, naudotis neprisijungus.

Kaip skaityti privatumo politiką?

Kibernetinio saugumo ekspertai įsitikinę, kad dešimties puslapių ilgio privatumo politikas skaito tikrai retas. O visgi, norint naudotis dirbtiniu intelektu saugiai, derėtų susirasti ir peržvelgti bent jau esminius punktus. Kokie jie?

Ieškokite sąrašo, paaiškinančio, kokie jūsų asmens duomenys bus renkami, pavyzdžiui, vardas, el. paštas, kompiuterio IP adresas.
Įsitikinkite, ar nerenkami jautrūs asmeniniai duomenys, tokie kaip jūsų lokacija, biometriniai duomenys, informacija apie finansus ar sveikatą.
Privatumo politika turi nurodyti, kokiu tikslu naudos jūsų duomenis. Pavyzdžiui, teikti ir tobulinti paslaugas, bendrinti su trečiosiomis šalimis, rinkodaros ar kitais konkrečiais tikslais. Žvelkite įtariai, jei privatumo politikoje įrašytos neaiškios frazės, tokios kaip „naudojama verslo tikslais“ arba „paslaugoms gerinti“.
Peržiūrėkite, su kuo bus dalinamasi jūsų duomenimis. Patikimi šaltiniai gana konkrečiai nurodo trečiąsias šalis ar jų kategorijas, kurioms perduodami duomenys. Abejotino patikimumo šaltiniai apsiriboja abstrakčiomis frazėmis – „informacija dalijamasi su „patikimais partneriais“.
Patikrinkite, ar duomenimis bus dalinamasi tarptautiniu mastu, ypač su šalimis, garsėjančiomis žema asmens duomenų apsauga.
Žinokite, kaip ilgai programėlė ar svetainė saugos jūsų duomenis. Venkite naudotis paslaugomis, įvardijančiomis, kad „duomenis saugos neribotą laiką, nebent ištrinsite anketą“.

Duomenų saugumo pažeidimų skaičius pasaulyje kasmet dramatiškai auga. Vien per pastaruosius metus Lietuvoje naudojamas interneto apsaugos įrankis užkirto kelią daugiau kaip 240 mln. kompiuterinių virusų. Atsižvelgiant į sparčiai augančias grėsmes internete, kuriami nauji sprendimai, padedantys laiku sužinoti apie galimus duomenų nutekinimus ir sumažinti jų žalą, rašoma pranešime žiniasklaidai.

Įvairios kibernetinės grėsmės ne tik kelia pavojų išmaniuosiuose įrenginiuose saugomiems dokumentams ir failams, bet ir kėsinasi į žmogaus asmeninius duomenis. Tarp labiausiai pažeidžiamų duomenų – el. pašto adresai, prisijungimo slaptažodžiai ir net telefono numeriai.

„Į nuotolinių sukčių rankas patekę telefono numeriai naudojami įvairioms kibernetinėms atakoms. Sukčiai gali ne tik skambinti apsimesdami bankais ar kitomis institucijomis ir bandyti išvilioti prisijungimo duomenis, bet ir siųsti melagingas žinutes su kenkėjiškomis nuorodomis.

Taip pat nutekinti telefono numeriai gali būti naudojami pačių nuotolinių sukčių, skambinant kitiems žmonėms – dažnu atveju žmogus net nesužino, kad prisidengiant jo telefono numeriu organizuojamos tokios atakos“, – pasakoja Eligijus Rakickas, „Bitės“ produktų vadovas.

Grėsmė skaitmeninei tapatybei

Vis dėlto daugiau pavojų kelia ne nutekinami telefono numeriai, o žmonių el. pašto adresai ir jų prisijungimo slaptažodžiai.

„El. pašto nutekinimas dažnu atveju reiškia, kad kartu nutekėjo ir slaptažodis. O žinant, kad daugiau nei pusė slaptažodžių yra naudojami daugiau nei vienoje vietoje, vadinasi nusikaltėliai gali prisijungti ir kitur. Tai vienas pavojingiausių scenarijų – įsilaužėliai gali gauti prieigą prie visos žmogaus skaitmeninės tapatybės socialiniuose tinkluose“, – sako E. Rakickas.

Be to, įsilaužus į žmogaus asmeninę el. pašto paskyrą, nuotoliniai sukčiai gali matyti praktiškai visą informaciją – nuo kalendoriuje suplanuotų atostogų iki siuntinių, sąskaitų ar bankinių pranešimų. Remdamiesi šiais duomenimis, jie gali kurti suasmenintas sukčiavimo atakas. „Pavyzdžiui, jei nusikaltėlis mato, kad laukiate sąskaitos, jis gali atsiųsti padirbtą laišką su netikra sąskaita ir paskatinti jus pervesti pinigus netikriems gavėjams“, – įspėja „Bitės“ produktų vadovas.

Jis taip pat atkreipia dėmesį, kad dirbtinio intelekto plėtra keičia žaidimo taisykles, todėl žmonės klysta manydami, kad yra niekam neįdomūs.

„Nuotoliniai sukčiai nesirenka pagal žmogaus žinomumą – jiems svarbu pavogtų duomenų kiekis. Jei nutekėjęs jūsų slaptažodis atitinka dar kelias paskyras, jūs jau esate taikinys atakai. Šiuo metu sukčiai gali lengvai suasmeninti atakas ir išsiųsti jas tūkstančiams vartotojų. Jiems nebereikia taikytis į konkretų žmogų – pakanka, kad ant jų kabliuko užkibtų bent keli procentai iš visų turimų kontaktų.

Juo labiau, kad dirbtinio intelekto pagalba tobulėja ir pačios atakos – sukčiavimo laiškuose mažėja gramatinių klaidų. Rengti atakas lietuvių kalba nuotoliniams sukčiams yra gerokai paprasčiau nei prieš kelerius metus“, – sako E. Rakickas.

Skaitmeninis „budėtojas“

Reaguojant į kibernetinių nusikaltimų gausą, „Bitė“ savo klientams pristatė Kibernetinių incidentų patikros paslaugą, kuri nemokamai įtraukta į visus naujus paslaugų planus „Saugiau“.

„Ši paslauga veikia kaip skaitmeninis budėtojas, kuris nuolat tikrina, ar kliento nurodyti el. pašto adresai bei telefono numeriai nepateko į nutekintų duomenų bazes. Tai padeda žmonėms laiku sužinoti, kuri svetainė buvo nulaužta ir kokie asmeniniai duomenys galėjo būti paveikti – ne tik slaptažodžiai, bet ir IP adresai, gimimo data ir kita. Taip pat sistema pataria, ko imtis tokiu atveju – keisti slaptažodį ar įjungti dviejų veiksnių autentifikaciją“, – pasakoja E. Rakickas.

Klientai gali savitarnoje įvesti iki 5 savo ar artimųjų el. pašto adresų ar telefono numerių, kuriuos nori apsaugoti. Paslauga yra įtraukta į paslaugų plano kainą ir nereikalauja papildomo aktyvavimo.

Kaip pabrėžia E. Rakickas, naujoji paslauga ne tik stiprina klientų duomenų apsaugą, bet ir padeda ugdyti sąmoningumą apie kibernetines grėsmes. „Duomenų nutekinimai vyksta nuolat – praktiškai kiekvieną savaitę. Nors nė vienas saugumo sprendimas negali užtikrinti 100 proc. apsaugos, svarbu žinoti apie pavojus ir turėti efektyvių įrankių, kurie padeda reaguoti laiku. Juo labiau, kad ši paslauga veikia ir kaip žmonių edukacijos priemonė – išsamiai paaiškina apie grėsmes, jų tipus ir jų keliamus pavojus“, – sako jis.

Iki šiol Kibernetinių incidentų patikros paslauga veikė kaip papildomai užsakoma paslauga kartu su „Interneto apsauga+“.

Asmens duomenų vagystės tampa vis dažnesnės, tačiau ar susimąstėte, kas vyksta po to? Tai ne tik skaičiai nugulę duomenų bazėje – pavogta informacija parduodama juodojoje rinkoje, o jos pasekmės gali persekioti metus. Vis dėlto, galima sumažinti šią riziką – daugiafaktorinė autentifikacija, nuolatinis stebėjimas ir atsakingas požiūris į kibernetinį saugumą leidžia išlikti žingsniu priekyje sukčių.

Vos keli eurai – tiek juodojoje rinkoje gali kainuoti jūsų pavogtas el. pašto adresas ir slaptažodis. Nors gali atrodyti, kad vienas nutekėjęs slaptažodis nėra didelė problema, nusikaltėliai yra išradingi ir pasitelkia įvairius metodus, kad išgautų maksimalią naudą iš jūsų pavogtų duomenų. Kokie tai būdai ir kaip nuo to apsisaugoti?

Debesijos platformos

Nutekėję prisijungimo duomenys gali suteikti prieigą ne tik prie jūsų el. pašto, bet ir prie svarbių paskyrų debesijos platformose, tokiose kaip „Google Drive“, „OneDrive“ ar „Dropbox“. Jose dažnai saugomi asmeniniai dokumentai, nuotraukos ar finansiniai duomenys, todėl jie tampa lengvu grobiu įsilaužėliams.

Programišiai gali ne tik pavogti ir ištrinti duomenis, bet ir pasinaudoti jais neteisėtai veiklai ar šantažui. Vienas žinomiausių atvejų Lietuvoje – įsilaužimas į grožio chirurgijos klinikos duomenų bazę, kai nusikaltėliai pavogė pacientų duomenis ir nuotraukas, reikalaudami išpirkos bei grasindami juos paviešinti.

Norint apsisaugoti, būtina apriboti prieigą prie svarbiausių duomenų. Peržiūrėkite, kokie failai yra dalijami debesijos platformose, pašalinkite nereikalingus bendrinimo leidimus ir įsitikinkite, kad jautri informacija yra prieinama tik jums. Jei tam tikri duomenys yra ypač svarbūs, verta juos laikyti ne tik debesyje, bet ir užšifruotuose vietiniuose įrenginiuose.

Papildomą apsaugą užtikrina „Samsung Knox Vault“ – saugumo sistema, kuri veikia kaip atskira, sustiprinta aplinka jūsų telefone. Skirtingai nuo įprastų saugumo priemonių, „Knox Vault“ izoliuoja svarbiausius duomenis – slaptažodžius, biometrinius duomenis, mokėjimo informaciją – nuo likusios sistemos ir net nuo operacinės sistemos. Tai reiškia, kad net jei telefonas būtų užkrėstas kenkėjiška programa ar patirtų bandymą įsilaužti, šie duomenys išliktų nepasiekiami programišiams.

Slaptažodžių perdirbimas

Viena dažniausių kibernetinių atakų – slaptažodžių perdirbimas. Jei naudojate tą patį slaptažodį keliose paskyrose, įsilaužėliai gali lengvai jį pritaikyti bandydami prisijungti prie kitų jūsų paskyrų – el. pašto, banko ar socialinių tinklų.

Pavyzdžiui, nutekėjus „LinkedIn“ paskyrų prisijungimo duomenims, milijonai slaptažodžių buvo paviešinti. Nusikaltėliai, pasinaudodami automatizuotais įrankiais, išbandė tuos pačius slaptažodžius „PayPal“ ir kitose finansinėse platformose. Daugelis vartotojų prarado prieigą prie savo sąskaitų, o jų pinigai buvo pavogti.

Kad taip nenutiktų, svarbu laikytis kelių pagrindinių saugumo taisyklių. Visų pirma, kiekvienai paskyrai naudokite stiprų ir unikalų slaptažodį. Taip pat verta įjungti dviejų faktorių autentifikaciją – tai papildomas apsaugos lygmuo, kai prisijungiant reikia ne tik slaptažodžio, bet ir papildomo kodo, siunčiamo į telefoną ar autentifikavimo programėlę.

Papildomą duomenų apsaugą užtikrina „Samsung Personal Data Engine“, leidžiantis lengvai valdyti, kokia asmenine informacija dalijamasi su programėlėmis ir paslaugomis. Jis suteikia galimybę aiškiai matyti, kokie duomenys yra renkami, ir prireikus apriboti prieigą prie kontaktų, buvimo vietos ar kitų jautrių duomenų. Tai ypač svarbu, nes daugelis programėlių prašo leidimų, kurie ne visada yra būtini jų funkcionalumui.

Sukčiavimo schemos („phishing“ ir socialinė inžinerija)

Kai įsilaužėliai gauna prieigą prie jūsų el. pašto ar telefono numerio, jie gali vykdyti įvairias apgaules, skirtas išvilioti dar daugiau duomenų. Sukčiai siunčia įtikinamus el. laiškus ar SMS žinutes, apsimesdami bankais, socialiniais tinklais ar net artimaisiais, manipuliuodami pasitikėjimu.

Viena dažniausių sukčiavimo formų Lietuvoje – netikri bankų, mobiliojo ryšio operatorių ar internetinių parduotuvių pranešimai, raginantys atnaujinti mokėjimo informaciją ar patvirtinti tapatybę. Paspaudę pateiktą nuorodą, vartotojai patenka į suklastotą svetainę, kuri vizualiai atrodo kaip tikra. Įvedus prisijungimo duomenis ar mokėjimo kortelės informaciją, šie duomenys akimirksniu atsiduria nusikaltėlių rankose.

Kad išvengtumėte tokių apgavysčių, niekada nespauskite neaiškių nuorodų el. laiškuose ar žinutėse. Jei kyla abejonių dėl siuntėjo, patikrinkite jo adresą ir pabandykite prisijungti prie paslaugos tiesiogiai per oficialią svetainę. Taip pat verta naudoti apsaugos priemones, kurios gali filtruoti kenkėjiškus laiškus, o įtarus sukčiavimą – nedelsiant pranešti bankui ar kitai atitinkamai institucijai.

Laikantis šių apsaugos priemonių ir pasitelkiant naujausias technologijas, galima gerokai sumažinti duomenų nutekėjimo ir kibernetinių grėsmių riziką. Būkite budrūs, atnaujinkite savo saugumo įpročius ir užkirskite kelią kibernetinėms grėsmėms dar prieš joms atsirandant.