Як розпізнати фішинг і захистити свої дані: цифрова безпека для держслужбовців

Фішинг — один із найпоширеніших способів викрадення даних державних службовців. Зловмисники видають себе за офіційні установи, колег або техпідтримку, щоб змусити людину розкрити паролі, коди доступу чи службову інформацію.

Отримали підозрілого листа з граматичними помилками, дивними посиланнями й емоційними маніпуляціями? Скоріше за все це фішинг. Наші експерти знають, як розпізнати цей вид інтернет-шахрайства і готові поділитися з вами своїми знаннями.

Ця стаття видана завдяки програмі «Український фонд швидкого реагування», що втілює IREX за підтримки Державного департаменту США. Вміст є виключною відповідальністю громадської організації «Інтерньюз-Україна» і не обов’язково відображає погляди IREX та Державного департаменту США.

Фішинг: емоційні маніпуляції та вкрадені дані

У попередній статті ми визначили свої цифрові активи й оцінили ризики. Наступний крок — зрозуміти, які негаразди можуть трапитися з цим всім.

Найбільш розповсюдженою атакою на цифрові активи в Україні є фішинг. Це вид інтернет-шахрайства, де зловмисники обманом намагаються отримати від користувача щось важливе. Це може бути логін, пароль або інші особисті дані. Також через фішинг у систему може проникнути шкідливе програмне забезпечення.

Фішинг, як будь-яке шахрайство, спрямований на маніпулювання людською психікою, яку ми не можемо додатково захистити антивірусом. Часто він виглядає як електронний лист чи повідомлення від надійних джерел. У ньому зловмисники закликають терміново перейти за посиланням або завантажити вкладення.

Шахраї маніпулюють емоціями користувача, штучно створюють стресову ситуацію: обіцяють заблокувати сторінку, якщо ви не підтвердите особу, просять зробити добру справу і проголосувати за дитину в конкурсі тощо. Якщо ви відчуваєте, що вас терміново змушують щось зробити — найімовірніше це шахрайство.

Також можна звертати увагу на невідповідну граматику, несподівані запити та підозрілі посилання. Якщо ви переходите за посиланнями, вас можуть просити ввести номер телефону, адресу пошти, код із СМС або пароль. Якщо вам надсилають вкладення, текст листа спонукає завантажити його якомога швидше.

Я отримав/-ла фішинговий лист: що робити

1. Не переходьте за посиланнями. Навіть якщо вони від друзів. Краще уточніть іншим способом, чи випадково людину не зламали.
2. Мисліть критично. Якщо це нібито документи від офіційної установи, подзвоніть туди за номерами, вказаними на їхньому офіційному сайті та уточніть, чи надсилали вони такого листа.
3. Налаштуйте двофакторну автентифікацію. У месенджерах та на всіх важливих акаунтах. Навіть якщо ви передасте пароль, є шанс, що зловмисник не отримає доступу до акаунта, адже йому необхідно буде додатково підтвердити особу. Бажано, щоб двофакторна автентифікація відбувалася не через СМС, а використовуючи одноразовий код, який генерує спеціальний додаток (Google Authenticator, Microsoft Authenticator, 2FAS тощо).
4. Оновлюйте операційну систему. Робіть це регулярно, а також не забувайте про апдейти програм та застосунків на телефоні.
5. Встановіть антивірус на комп’ютер, та періодично скануйте пристрій.
6. Отримайте консультацію фахівця. Порадьтесь з ІТ-спеціалістом, якщо ви сумніваєтесь у правдивості листа.
7. Інформуйте на випередження. Обов’язково попередьте друзів, колег та керівництво, якщо вас зламали.

Приклади:

Ми прагнемо зробити цифрову безпеку звичкою українців — підписуйтесь і рекомендуйте наші сторінки у Instagram та Facebook.

👉 Хочете отримати професійну допомогу із захисту своїх облікових записів чи робочих пристроїв? Звертайтесь до фахівців Nadiyno.org і отримайте пораду вже за 5 хвилин.