Kaip saugiai pirkti internete ir išvengti kibernetinių nusikaltėlių pinklių?

Į internetą kasdien persikelia vis daugiau įvairių paslaugų, čia galima apsipirkti, mokėti mokesčius, atlikti pavedimus, deklaruoti pajamas, įregistruoti įmonę, rezervuoti viešbutį, lėktuvo bilietus ir pan. O su vis didėjančiomis galimybėmis asmeninius reikalus tvarkyti internetu, didėja ir rizika patekti į kibernetinių nusikaltėlių akiratį. Norint to išvengti, būtina imtis tam tikrų saugumo priemonių, apie kurias specialiame interviu kalbamės su „General Financing“ informacijos saugumo tarnybos vadovu Vygandu Jonušu.

Papasakokite daugiau apie saugius atsiskaitymus internete? Kokie ženklai rodo, kad el. parduotuvė yra patikima, o kada reikėtų sunerimti?

Visi puslapiai, į kuriuos vedame kokią nors asmeninę informaciją, turėtų naudoti saugų http protokolą (naudojant saugų protokolą, svetainės adresas naršyklės laukelyje prasideda https://...). Naudojant HTTPS mūsų, vartotojų, siunčiamas turinys yra šifruojamas. Jeigu duomenys tarp vartotojo ir el. parduotuvės yra siunčiami atviru tekstu, nusikaltėliai gali šiuos nešifruotus duomenis nesudėtingai nuskaityti. Netgi dar blogiau – jie gali tuos duomenis pakeisti persiuntimo metu.

Pavyzdžiui, įsivaizduokime, kad bankai netaiko jokių saugumo priemonių, vartotojas elektroninėje bankininkystėje atlieka pinigų pervedimą draugui, o tuo tarpu piktavalis atlieka duomenų, kurie keliauja iš vartotojo kompiuterio į elektroninės bankininkystės serverius, nuskaitymą ir pakeitimą. Pasekmės – vartotojo suformuotas pavedimas buvo pakeistas ir, vietoj draugo, kuriam siunčiami pinigai, sąskaitos, buvo įrašytas kitas sąskaitos numeris. Saugus protokolas nuo tokių dalykų apsaugo.

Taip pat prieš apsiperkant kokioje nors el. parduotuvėje reikėtų patikrinti, ar nėra ženklų, kad svetainė yra padirbta. Pirmas indikatorius – pernelyg mažos kainos. Taip pat pasitaiko, kad nėra nurodyti kontaktai arba juose – nieko konkretaus (nėra įmonės pavadinimo, adreso, sąskaitos numerio ir pan.) Naudinga panaršyti internete ir pažiūrėti, ką apie vieną ar kitą el. parduotuvę rašo kiti interneto vartotojai. Taip pat galima naudotis tokiomis svetainėmis, kaip scamadviser.com ir jose patikrinti, ar puslapis yra legaliai veikiantis.

Atsiskaitymams dabar naudojame daugelį formų – banko kortelė, pavedimas el. bankininkyste, mokėjimas tokiais naujais būdais kaip nebankinė mokėjimo kortelė „Revolut“ ir pan. Ką reikėtų žinoti, kad tokie atsiskaitymai būtų saugūs ir netaptume sukčių aukomis?

Jeigu turite kelias korteles, rekomenduoju nelaikyti visų pinigų vienoje kortelėje. Ypač keliaujant. Kortelę galima pamesti, jos duomenis piktavaliai gali nuskaityti, o PIN kodą – tiesiog nužiūrėti. Jeigu turite daug pinigų ir nenorite jų pervesti kitur, galima užsidėti dienos ar mėnesio limitus.

Naudojantis bankomatu visada patariu apsižiūrėti, ar nėra nieko įtartino. PIN kodo neveskite taip, kad visi matytų, reikėtų jį uždengti ranka ar pinigine.

Kalbant apie atsiskaitymus internete, mokėjimas pavedimu yra pakankamai saugus būdas, nes vyksta tiesiai tarp bankų. Jeigu reikia atsiskaitinėti internete, saugiau naudoti debetinę kortelę, nes ji neturi kredito limito. Mokėti kredito kortele nepatartina, nes pateikus kredito kortelės duomenis el. parduotuvėje, ši tikrina, ar kortelė teisinga, o tą darant atsiranda erdvė ir neteisėtiems veiksmams. Visgi jeigu kreditine kortele atsiskaityti tenka, prieš tai kritiškai įvertinkite el. parduotuvę, pagal anksčiau aptartus požymius. Jeigu kyla įtarimas, kad svetainė padirbta, kredito kortele neatsiskaitinėkite.

Naudojant kitus atsiskaitymo būdus, kaip „Revolut“, mobilios aplikacijos ir pan., aplikacijos atidarymas turėtų būti su PIN kodu, telefone turėtų būti įdiegti visi atnaujinimai, o pats aparatas – užrakinamas su kodu arba piršto antspaudu.

Nepamirškite, rakinti telefoną yra būtina visais atvejais. Tai yra vadinamoji saugumo higiena. Taip pat patarčiau išjungti funkcionalumus, kurie leidžia ant užrakinto ekrano matyti gaunamus pranešimus. Verta pereiti visus nustatymus ir išjungti tai, kas neatrodo saugu. Žinoma, taip prarandama dalis patogumo, bet kiekvienas asmeniškai gali pasverti, kas yra svarbiau: funkcionalumas ar saugumas. Verta atsiminti, kad gavus fizinę prieigą prie telefono, nusikaltėliams užtenka kelių sekundžių jį nulaužti ir toliau naudoti savo tikslams.

Naudojantis telefonu reikia kritiškai vertinti, iš kokių svetainių siunčiatės mobiliąsias programėles. Geriausia naudotis oficialiomis Google Play,  App Store, patartina paskaityti atsiliepimus apie programėlės. Atsiranda gudruolių, kurie nulaužia telefonų apsaugas, kad galėtų juose naudoti įvairias nelegalias programėles. Tačiau tokiu būdu prarandamas saugumas, telefonai tampa pažeidžiami, todėl nerekomenduoju to daryti.

Šie principai galioja ir kompiuterinei darbo vietai – kompiuteryje turi būti įdiegti visi atnaujinimai, nes su jais ateina ir saugumo spragų pataisymai.

Kokių saugumo priemonių imasi „General Financing“? Ką darote, kad apsaugotumėte savo klientus nuo kibernetinių pavojų?

„General Financing“ yra finansų įstaiga, jai taikomi įvairūs priežiūros institucijų bei teisės aktų keliami reikalavimai, o nuo 2018 m. įsigalios naujasis Europos Sąjungos Bendrasis duomenų apsaugos reglamentas, kuris įpareigos taikyti dar griežtesnes duomenų apsaugos taisykles. Reikalavimai keliami tiek techninėms, tiek organizacinėms duomenų apsaugos priemonėms. Įmonė atitinka ISO 27001 tarptautinio standarto keliamus reikalavimus, turi tai patvirtinantį sertifikatą. Šis standartas nustato gerosiomis praktikomis paremtus reikalavimus informacijos saugumo valdymo sistemai. Šios sistemos pagrindiniai tikslai – įvertinti riziką bei įdiegti būtinas kontrolės priemones rizikai mažinti, taip užtikrinant informacijos konfidencialumą, vientisumą ir prieinamumą. Taigi, galiu drąsiai teigti, kad „General Financing“ remiasi gerosiomis praktikomis bei deda visas pastangas, kad apsaugotų visų suinteresuotų šalių informaciją.

Kokia situacija Lietuvoje su finansiniais-kibernetiniais nusikaltimais? Kai yra pavagiami mokėjimo kortelių duomenys, įsilaužiama į el. bankininkystę ir pan. Ar yra dėl ko nerimauti?

Informacijos saugumo atžvilgiu, manau, kad Lietuva neišsiskiria iš bendro Europos konteksto. Negalime sakyti, kad čia nieko nevyksta, bet negalime ir teigti, kad vyksta išskirtinai tik čia.

Kalbant apie kibernetinius nusikaltėlius pasaulyje, patys rimčiausi, geriausiai finansuojami ir didžiausią kompetenciją turi valstybės remiami įsilaužėliai arba grupuotės, slapti padaliniai valstybės jėgos struktūrose. Tačiau finansinė nauda nėra jų pagrindinis motyvas. Toliau seka įvairios kriminalinės grupuotės, kurios siekia būtent finansinės naudos.

Tokioms grupuotėms nėra įdomu, iš kokios šalies jie užsidirbs, nors pasitaiko ir tokių kampanijų, kurios yra nutaikytos išskirtinai į Lietuvos gyventojus. Pavyzdžiui, Lietuvos gyventojams elektroniniu paštu buvo išsiuntinėtos suklastotos telekomunikacijų bendrovių sąskaitos, kuriose įterptas kenkėjiškas programinis kodas; ne kartą buvo sufalsifikuota Valstybinės mokesčių inspekcijos svetainė su tikslu surinkti mokėjimo kortelių duomenis, o gyventojams išsiuntinėti elektroniniai laiškai su raginimu prisijungti spaudžiant ant el. laiške pateiktos nuorodos į falsifikuotą svetainę ir suvesti savo mokėjimo kortelės duomenis tam, kad butų grąžinti mokesčiai. Pakankamai dažnai nusikaltėliai sufalsifikuoja ir bankų elektroninės bankininkystės svetaines, tiesa, falsifikuotose svetainėse neretai pasitaiko gramatinių ar stiliaus klaidų, kas leidžia manyti, jog šias nusikalstamas kampanijas rengia ne Lietuviškai kalbantys nusikaltėliai.

Visoms šalims aktualios tokios problemos kaip internetinių svetainių ar informacinių sistemų užvaldymas bei veiklos sutrikdymas, kibernetinis sukčiavimas, kenksminga programinė įranga, o pastaruoju metu ypač aktuali – ransomware problema.

Ransomware – tai kenkėjiška programinė įranga, kuri užšifruoja vartotojui svarbius asmeninius duomenis (nuotraukas, dokumentus ir kitus), o už duomenų atstatymą prašo išpirkos. Nemažai žmonių nuo jos yra nukentėję, todėl reikia būti budriems. Vienintelė garantuota apsauga nuo išpirkos prašančio viruso yra daryti savo duomenų kopijas, kad įvykus tokiai situacijai, galėtumėte atstatyti duomenis iš savo asmeninių kopijų. Kopijas geriausia daryti į išorines laikmenas, taip pat patartina šias laikmenas laikyti ne toje pačioje vietoje, kurioje laikote ir kompiuterį. Jei įmanoma – visai kitoje fizinėje vietoje. Tokiu būdu neprarasite duomenų net tik užpuolus ransomware tipo virusams, bet ir, pvz. gaisro atveju.

Su el. pašto adresu prisijungiame prie vis daugiau įvairių svetainių ir puslapių. Dalis žmonių turi po kelis skirtingus el. pašto adresus skirtingiems poreikiams. Kaip vertinate tokią taktiką? Ar ji teisinga?

Taip, tokia taktika yra teisinga. Reikėtų susikurti tokią papildomą el. pašto paskyrą (arba paskyras), kad nebūtų galima identifikuoti, kad ji priklauso būtent jums ir naudoti ją mažiau patikimose vietose.

Blogiausia, ką galima daryti, tai naudoti vieną pašto paskyrą, su ja visur registruotis, sieti su socialiniais tinklais bei visur naudoti vieną ir tą patį slaptažodį. Didžiausia grėsmė –įsilaužus į paštą, bus pasiekiamos visos kitos svetainės, kuriose esate užsiregistravę. Ką su tuo darys nusikaltėliai – priklauso tik nuo jų vaizduotės.

Seniai kalbama, kad daugelio žmonių slaptažodžiai yra per paprasti ir kad juos lengva atspėti. Visgi ne visiems priimtina, kad saugus slaptažodis turi būti sudarytas naudojant ir didžiąsias raides, skaičius ir specialius simbolius. Gal yra metodikos, padedančios sugalvoti saugius ir lengvai atsimenamus slaptažodžius?

Vartotojo vardas ir slaptažodis yra bene populiariausias identifikavimo ir autentifikavimo būdas. Kadangi vartotojo vardas yra žinomas arba yra nesunkiai nuspėjamas (vardas, el. pašto adresas ar kiti), slaptažodis dažnu atveju lieka vienintelis nežinomasis nusikaltėliui, norinčiam prieiti prie jūsų duomenų. Tad naudoti sudėtingą, sunkiai nuspėjamą slaptažodį yra ypatingai svarbu.

Metodikų, kaip sugalvoti saugų slaptažodį yra daug, rekomenduočiau pasirinkti tinkamiausią sau. Vienas iš būdų – sugalvoti lengvai įsimenamą sakinį, paimti pirmąsias to sakinio žodžių raides, įterpti skaičius arba pakeisti raides į skaičius pagal vizualinį panašumą (pvz. 1 – i, 5 – s), ir tokiu būdu sudaryti slaptažodį. Sakinį lengviau prisiminti nei raidžių ir skaičių kratinį.

Kitas būdas – sugalvoti ilgą sakinį, jo žodžius atskirti simboliais, pvz. apatiniu brūkšneliu, o kai kurias raides pakeisti į skaičius  (pvz., o – 0). Taip pat galima žodžius pratęsti, padvigubinus raides, pvz. oobuolys.

Jeigu atsiminti daug ir sudėtingų slaptažodžių jums tiesiog neįmanoma – galima naudoti slaptažodžių valdymo įrankius, kurių yra įvairių – tiek mokamų, tiek nemokamų. Į tokį įrankį galima susivesti visus savo slaptažodžius, tuomet tereikės atsiminti tik vieną, bet labai sudėtingą ir ilgą slaptažodį, kuris leis prieiti prie visų kitų slaptažodžių. Tačiau jeigu tokį įrankį naudosite neatsakingai, pavyzdžiui, jo slaptažodį turėsite užsirašęs ant lapelio, saugu tikrai nebus.

Visgi, jeigu yra galimybė naudoti saugesnį autentifikavimo būdą, pvz. dviejų lygių autentifikavimą (slaptažodis ir trumpąja žinute gautas PIN kodas arba slaptažodis ir generatoriaus sugeneruotas PIN kodas) – būtinai jį naudokite. Didieji socialiniai tinklai ar paslaugų teikėjai turi tokią galimybę, tad jums reikia tiesiog įjungti tokią funkciją savo paskyrose.

Apie saugumą internete galvokite kaip ir apie namų saugumą. Jeigu rakinate namus, rakinkite ir kompiuterį, planšetę ar telefoną. Jeigu dedate šarvo duris su patikimesne spyna bei saugote namų raktus, naudokite ir sudėtingus slaptažodžius bei juos atitinkamai saugokite.