В детстве родители учат детей не доверять чужим, этот полезный навык вместе с пониманием пословицы «бесплатный сыр бывает только в мышеловке» может уберечь от многих неприятностей уже выросших детей.
Интересно, что вариант перевода той же пословицы с английского звучит так: «В мышеловках всегда есть бесплатный сыр, но мыши там несчастливы» (оригинал на англ. “There’s always free cheese in the mouse traps, but the mice there ain’t happy.”).
Ниже рассмотрены некоторые, ситуации, которые могут привести к потерям времени, денег, репутации… Представьте себе, что удобство и безопасность – это качели. Чем больше удобства, тем зачастую меньше безопасности. И наоборот, чем больше безопасности, тем больше ограничений и, следовательно, меньше связанных с ними удобств использования. Это обобщение. Посмотрим частности.
Рекомендации по работе с внешними накопителями
Исходите из того, что потенциально каждая флэшка, которая, может быть, подключена к вашему компьютеру может быть с неприятным сюрпризом. Если случиться неприятность будет не важно кто решил её сделать. Мотивов почему так может быть много. Возможно конкурент мечтает лишить вас работы или коллега претендент на повышение также как и вы. А может на флешку попросил записать фильм небрежный приятель, который тайком посещает сайты для взрослых.
Рекомендация 1. Если вам очень надо и нельзя отказаться оттого чтобы посмотреть, что на чужой флешке – рискуйте малым, а не всем. Например, в компании для уменьшения рисков держите отдельный компьютер, который выходит в интернет, например через гостевую сеть WIFI, при этом этот компьютер не должен быть связан с внутренней сетью и на нем должно работать антивирусное ПО с последними обновлениями.
Вы должны знать, что существуют специальные устройства по виду, напоминающие флэшку выводящие компьютер из строя при контакте с USB портом. Поэтому найденная на остановке флэшка может оказаться устройством выведения компьютера из строя, а не носителем.
Для более продвинутых ИТ отделов можно держать виртуальную машину с разными операционными системами. Например, из под Linux или macOS флэшку проверять безопасней, так вирус написанный для Windows не запуститься, а антивирусное ПО его может выявить. Этот вариант называется “песочницей” (Sandbox). Разработчики антивирусного ПО пойманый вирус тоже сажают в начале в “песочницу”, правда туда где он наоборот может себя проявить, чтобы отследить его вредоносное воздействие.
Поэтому первым делом чужую флэшку проверяем там где не жалко, что может всё пропасть и только после проверки можем приносить в рабочий компьютер.
Еще один путь как можно навредить себе и коллегам – это скачать и установить вредоносную программу замаскированную под полезную. Понятно, что в средних и крупных предприятиях не разрешено инсталлировать каждому пользователю. Но в микро предприятиях свободы больше, ресурсов меньше. Предположим, вы ищите медиа проигрыватель, который помимо функции воспроизведения музыкальных файлов будет пересылать вашу почту без вашего разрешения. Точнее программе достаточно одного вашего разрешения во время инсталляции. Как правило не спасает даже предупреждение операционной системы. Не забываем, что часть нашей жизни проходит в смартфоне, смарт телевизоре с камерой. И утечка может произойти и там. Владельцам смарт устройств на базе Android надо быть в вдвойне осторожными с приложениями устанавливаемыми не через Google Play Market. Не стоит относиться к процедуре снятия запрета на установку ПО из неизвестных источников формально. Некоторые производители смарт устройств снимают с себя гарантийные обязательства в случае поломок по этой причине.
Рекомендация 2. Почитайте отзывы о бесплатной программе. Посмотрите её аналоги. Например здесь https://alternativeto.net/category/productivity/word-processing/?license=free . Всегда критически оценивайте когда операционная система задает вопрос связанный с разрешением. Зачем медиа плееру доступ к вашей локации? Постарайтесь понять, что на что вы меняете. Например право собрать данные о пользователе и его предпочтениях в обмен на право использования.
Работа вне офиса или учебного заведения
Как здорово в аэропорту, купить билет на трансфер или автобус через бесплатный WIFI. (А в Таллинне бесплатный WIFI есть даже в трамваях.) Если вы вышли в интернет через неизвестный источник остается риск, что ваши пароли или данные оплаты кредитной карты перехватят и пока вы летите оплатите чужие покупки. Может быть вариант с несколькими шагами. Перехватят ваш пароль от почты на которую заведены сервисы любимой игры и перенесут добытые алмазы или купленные дополнения в другой аккаунт. В почте тоже есть упоминания, что вы там играете на том самом сервисе. А пароль можно восстановить через почту, чтобы получить доступ.
Рекомендация 3. Рискованно авторизоваться на каком-либо сервисе при подключении через публичный WI-FI. Новости посмотреть, карту как пройти – да. В почту заходить и оплачивать покупки не рекомендую. Намного безопаснее использовать собственный мобильный Интернет. А если рядом дети безопасней им раздать подключение через Hotspot. (Да, можно сделать VPN шифрованное соединение и выйти в интернет через родной шлюз. Но это же рекомендация не для всех). Заведите себе правило разделять потоки информации. Один электронный ящик для работы и обмена сообщениями, другой для скидочных карт, третий для получения счетов за квартиру, четвертый для платных сервисов.
Обман по переписке
К сожалению, многие до сих пор взрослея верят в сказки, что добрый волшебник прилетит и подарит что-то желанное. Иначе не объяснить почему ловятся на рекламные обещания, полученные по электронной почте. Вам могут сообщить, что вы неожиданно выиграли в лотерею или вы получите супер скидку на последнюю модель с «яблоком». Главное отвлекитесь и перейдите по ссылке за призом. Такие сообщения называются фишинговыми. То есть вас пытаются «развести» и обмануть.
К письмам обещаниям волшебника можно отнести предложения о получении наследства, просьбы о помощи в обналичивании денег через банкомат за 30% или 50% от суммы. В этом случае, кстати, возможно получение денег. Но это схема вход – один евро, выход – два. Вас вовлекают в схему обналичивания ворованных денег. Поэтому вы становитесь последним звеном, которое сравнительно легко может найти полиция. Поэтому взыскивают по таким делам полную сумму с того, кто стоял у банкомата. А был ли заказчик, который забрал вторую половину придется доказывать уже вашему адвокату.
Рекомендация 4. Если вы не ожидали сообщения о выигрыше, то не раздумывая удаляйте сообщение от обманщика. Не переходите по неизвестным ссылкам из самого письма. Если вас заинтересовало предложение зайдите сначала на сам сайт, посмотрите есть ли там официальные данные предприятия в контактах и только потом принимайте взвешенное решение о нажатии на ссылку.
Заказ без согласия или читайте написанное мелким шрифтом
Какое-то время назад по Эстонии пробегал такой вид услуги, вам звонят и спрашиваю готово ли ваше предприятие к требованиям по охране труда или есть у вас аптечка. Отвечая нет, консультант по телефону спрашивает: “А хотели бы вы не нарушать закон и приобрести комплект, который все решит?” Получив в ответ “Да”. Вам могут напомнить, что звонок записывался и вы дали согласие на заказ комплекта. Стоп. В этом месте происходит обман. Вы не получили сведений ни о цене, ни о условиях оплаты и доставки. Поэтому если спустя неделю по почте придет посылка и счет за комплект можно считать, что вы её не заказывали. То есть вас лишили права выбора и сравнения и за вас определили “правильную” цену. Правильная – это цена для продавца, а не для вас. Вернуть товар будет не просто, ведь на этой сделки продавец планировал получить 200 или 300 процентов прибыли. Поэтому специально обученные люди будут с вами спорить, что вы уже дали согласие и не можете отказаться от приобретения товара втридорога.
Рекомендация 5. Если вам прислали, то что вы не заказывали, отправьте электронным письмом уведомление отправителю, что ими был ошибочно отправлен товар на такой-то адрес. Вы сообщаете, что товар может быть забран в течение 5 рабочих дней членом правления компании или её представителем на основании доверенности. Вы не можете гарантировать его сохранность более, так как не оказываете услуги хранения. Если за товаром придут, то вы можете спросить документ и узнать имя представителя.
Одна из распространенных схем договор с мелким шрифтом. Вам присылают письмо что вы должны заполнить или обновить свои данные европейском регистре предприятий. По заверению отправителя это может являться требованием ко всем предприятиям Евросоюза или строгой рекомендацией налогов таможенного департамента. После заполнения анкеты и отправки её по указанному адресу, выясниться, что вы заказали рекламную услугу размещения данных на сайте. Подписав и отправив вы согласились, с тем что будете получать и оплачивать счета за выставление ваших данных в интернете. Естественно цена не будет соответствовать целесообразности вложения. А отказать от заказанной услуги можно по условиям договора только через 3 года.
Проверьте себя. На фото в начале статьи найдите в тексте на сколько хотят обмануть доверчивых руководителей. На фото ниже бланк заказа рекламной услуги под видом контроля данных представлен целиком.
Если вы поленились прочитать условия, то велика вероятность, что вы тоже подпишите и согласитесь с предложенными условиями. Это будет означать убытки или судебное разбирательство, чтобы расторгать заказ на сумму 2985 евро. Ведь вы могли пропустить условие, что согласились платить по 995 евро в течении 3 лет.
Рекомендация 6. Читайте, то что подписываете, даже если написано мелким шрифтом или если вас торопят и заверяют, что все стандартно.
Вы готовы в кассе магазина оплатить чужой товар, а оплатить чужой счёт?
Мы уже привыкли получать и оплачивать счета по электронной почте. А теперь представьте, что есть такие банки, которые допускаю платеж только по номеру счета не сличая название предприятия и IBAN. Это делает возможным следующую схему – перехват счет и высылка к оплате подложного. В том же дизайне клиенту высылается счет с требованием немедленного погасить задолженность. Могут еще и позвонить. Если вы оплатите такой счет, то естественно ваша задолженность перед поставщиком услуги останется. А денежки, которые в бюджете предназначались к оплате за электричество, воду, газ, интернет или товар получит мошенник.
Рекомендация 7. Во избежании оплаты подложных счетов поставщиков уточните расчетный счет при при заключении договора. Введите его в интернет банке в закладки и платите только на него. В крайнем случае сделайте переплату и затем перерасчет. Зарубежом, во избежание подобного рода проблем с постоянными клиентами также счет оплаты уточняют один раз при заключении договора, а на самом счете фактуре расчётный счет банка даже не указывают.
Такой большой, а в сказки веришь!
Мы привыкли, что информации произнесенной с государственного телеканала можно верить. Задайте себе вопрос: А рекламе, которую мы смотрим на том же канале тоже можно верить? Думаю мысль понятна. Тоже с интернетом. Если найденная ссылка в поисковике находиться на первых местах это не означает, что она безопасна. Киберпреступники тоже могут оплатить раскрутку сайта.
Рекомендация 8. Всегда критически относитесь к переходам на новые сайты. Для уменьшения риска уязвимости обновляйте и операционную систему, и браузер. Для Chrome можно зайти в раздел меню справка / о браузере и там провериться обновление, после которого браузер попросит перезапуск.
Коммерческий шпионаж личные данные через фото и видео
Мы сами вредим себе зачастую больше, можем себе представить. Например, дети насмотревшись музыкальных клипов публикуют в TikTok, Instagram свои фото в стиле “лакшери” (роскошной жизни в родительских украшения с наличными небрежно разбросанными вокруг). Родители могут и не знать, что их дети уже привлекли внимание воров домушников. И теперь ворам только надо дождаться когда родители опубликуют фото на отдыхе в Facebook подальше от дома. Если для прикола отец выставит фотографию ребенка с оружием, то не надо удивляться, что пришла полиция с обыском. Они тоже отвечают за общественную безопасность. Но вызвали её на дом вы сами. Да, задача автоугонщиков тоже упрощается, если владелец любит позировать на фото только приобретенного авто и затем делиться радостью со всем миром.
Рекомендация 9. Публикуя фото или видео критически оцените, что из того, что попало в кадр может быть использовано против вас. Поговорите об этих рисках с детьми.
Это не параноя. Вы можете быть удивлены, но сейчас можно запатентовать форму предмета. Кому это надо? Для наглядности рассмотрим частный случай интереса производителей чехлов мобильных телефонов. Они хотят заранее знать, как будет выглядеть новая модель смартфона. Поэтому они будут просматривать социальные сети партнеров производителя смартфона, которые могут похвастаться тем, что у них уже есть устройство на тесте. Путем сравнения предметов можно оценить размер и начать делать макет раньше конкурентов.
Доступ к камере и микрофону. На некоторых моделях веб камер есть LED-индикатор, который должен загораться в момент ее использования, но это работает далеко не всегда. На некоторых моделях ноутбуков и веб камер появились шторки, которые закрывают объектив. Также как и изолента они спасают от записи видео, но не спасают от записи звука.
Рекомендация 10. В офис разработчиков безопаснее приобретать стационарные компьютеры (без встроенных микрофонов) и мониторы без веб камеры и подключать веб камеру физически через USB только в момент переговоров. Мне в этом смысле нравиться модель Mac Mini 2020 не сочтите за рекламу. Если у вас ноутбук с встроенной веб камерой в какой то мере поможет вас обезопасить ее отключение на уровне драйверов. В менеджере устройств (Device manager) найдите веб камеру и отключите её (disable). Под Windows в Privacy settings тоже можно настроить доступ к камере и микрофону.
Сим-сим, Сезам — откройся! Про пароли
Выбирая железную дверь домой мы думаем о замках. Знаем, что все двери можно сломать, вопрос лишь во времени открытия и инструментах. При этом надеемся на сигнализацию, бдительных соседей и страховку. Тоже можно сказать и об закрытии доступа в киберпространстве. Чем меньше дверей, и незаметней само место входа и нахождения замка, тем меньше вероятность быть атакованным. Статистика говорит, что у большинства из нас 10 паролей. Причем три из них основных. То есть случаются повторения. Никто не спорит, что использование одного пароля на разных сайтах удобнее, но…вы всё понимаете.
Сейчас браузер предлагает запомнить ваш пароль. И это удобно. Мы не удивляемся, что сам браузер, может быть использован веб сайтом на который мы зашли для получения настроек, операционной системы или самого браузера. А если браузер передает информацию в сеть, то потенциально его можно использовать для передачи паролей тоже.
Рекомендация 10. Относимся с пониманием, что пароли из браузера украсть легче. Ведь всё находиться в одном месте. Лучше сохранять пароли от сервисов, связанных с оплатой в отдельных программах шифрования паролей или в записной книжке. Напимер, вы можете сдеть зашированный файл с помощью https://keepassxc.org/ сохранить его в зашированную папку на Google drive. Если желаете добиться большей безопасности, то можно сохранить этот же файл на флешку или внеший жесткий диск, который открывает доступ по отпечатку пальца, как например Samsung external SSD 1TB T7 Touch USB 3.2. Существуют и платные сервисы, например Bitwarden и приложения например Lastpass, которые отличаются возможностями. Например, в их функционал может входить проверка паролей на утечку и восстановление доступа в случае смерти владельца наследниками.