Коли варто насторожитися
У знайомої сторінки незвичний чи дивний дизайн
Інтернет наповнюється сайтами-двійниками відомих соціальних мереж, маркетплейсів та банків. Всі вони мають одну мету: отримати паролі та дані банківських карт користувачів, які не помічають заміни. Вказувати на фішинг-сайт може кустарність візуалу, наприклад, незвичні для бренду кольори, купа анімації та клікбейтної реклами, що випливає, в дусі «Астролог розповів, що чекає Овнов у 2024 році…». А ще злочинці можуть скопіювати версію сайту, яка була актуальною кілька років тому. Варто звернути увагу і на неформатований текст, дивні шрифти, друкарські помилки та граматичні помилки. На автентичних сайтах великих компаній, зазвичай, такого не буває.
Не зрозуміло, як сайт використовує персональні дані
Довгі угоди щодо конфіденційності практично ніхто не читає. А даремно: це важливий крок. Особливо на ресурсах, які потребують реєстрації з використанням персональних даних. Це ПІБ, адреса, номери телефонів, а іноді повні паспортні дані. Такі сайти повинні розповідати, як саме вони будуть використовувати вашу інформацію. Також у Політиці конфіденційності зазвичай вказують, хто і в якому обсязі має доступ до ваших даних. Якщо не вивчити документ, є ризик своїми руками дати згоду надсилати дані третім особам.
Також слід потурбуватися про свій цифровий слід: переконайтеся, що веб-сторінка не запам'ятовуватиме ваші IP-адреси або файли cookie. Вони також відносяться до персональних даних, оскільки за ними легко ідентифікувати користувача. Для їх зберігання потрібна згода самої людини. Саме тому більшість сайтів, на яких ви опиняєтеся вперше, запитують у вас дозвіл на використання cookie. Якщо ви не погодитеся, сайт все одно працюватиме. Це стосується будь-якого ресурсу: від платформи для покупки квитків до відкриття онлайн-рахунку в банку.
Фінансовим організаціям доводиться особливо уважно ставитись до захисту персональних даних. Зазвичай вони продумують системи захисту якнайретельніше. Наприклад, ВТБ, щоб зменшити ризики, зробив сервіс ВТБ ID. Він дає право заходити на сайти партнерів із обліковими даними, що використовуються у банку. Щоб приєднатися до сервісу, всі сайти-партнери спочатку проходять автентифікацію у ВТБ ID. Потім клієнт дає згоду використання своїх даних — і тоді вхід стає можливим. Відкликати дозвіл можна будь-коли в ВТБ Онлайн. Банк не передає партнеру логіни, паролі та фінансову інформацію клієнта.
Сайт не використовує протокол HTTPS
Унікальна адреса в інтернеті, або URL, — це також індикатор, який допоможе визначити небезпечний сайт. Надійні ресурси використовують протокол https замість http. Літера S означає наявність сертифікату безпеки. Він гарантує, що дані, які надсилаються з комп'ютера на хостинг, зашифровані і перехопити їх не так просто.
Зрозуміти, як працює шифрування, можна на простому прикладі. Обмін даними в Інтернеті відбувається через сервісні центри провайдерів. Інформацію, надіслану через сайт із незахищеним протоколом http, можна порівняти із незапечатаною листівкою на пошті. З її вмістом може ознайомитись будь-хто. Повідомлення, що пересилається за правилами https, це посилка із замком, причому подвійним. Код встановлюють провайдери і відправника та одержувача. Тому третім особам стають недоступні дані, наприклад, банківської картки, з якою ви купуєте товар у надійному інтернет-магазині.
Сторінка не подобається браузеру
Сучасні браузери, незалежно від операційної системи комп'ютера чи смартфона, виконують базову перевірку безпеки сайтів. Про результати такої перевірки можна дізнатися в адресному рядку. Як правило, вони виділяють три ступені надійності ресурсу: підключення захищене, не захищене, небезпечне. Ігнорувати ці сигнали не варто.
До першої категорії потрапляють усі сайти, що працюють за протоколом https, до другої — без нього. Це не означає, що адміністратори сайту із незахищеним підключенням неодмінно шахраї, які вкрадуть дані. Підключення протоколу шифрування на свій ресурс – це право власника сайту, а не його обов'язок. Відкривати та читати таку сторінку можна, але залишати персональні дані ризиковано. До «небезпечних» браузери відносять сайти з підмоченою репутацією — за якими помічені факти крадіжки або зливу даних. Такі краще одразу ж закривати.
У сайту не відображається сертифікат безпеки
Сертифікат безпеки (SSL) — це те, що ховається за буквою S в абревіатурі https. Браузери перевіряють наявність самостійно, але іноді не завадить вивчити його додатково. Наприклад, якщо ви вперше реєструєтеся у новому онлайн-магазині. Крім того, шахраї можуть додавати https просто до назви сайту, сподіваючись, що відвідувачі не будуть розглядати адресний рядок. Дані сертифіката безпеки можна побачити, клацнувши на замок ліворуч від URL в адресному рядку браузера. Він буває трьох типів і може бути позначений різними абревіатурами.
- Domain Validation (DV). Найпростіший сертифікат підтверджує домен. Доступний всім миттєво після створення сайту.
- Організація Validation (OV). Підтверджує, що домен належить певної організації. Наприклад, що сайт умовної страхової компанії справді створений нею. Для отримання необхідна додаткова перевірка спеціальним центром сертифікації.
- Extendet Validation (EV). Це документ найвищої довіри. Видаючи його центр сертифікації максимально ретельно досліджує організацію. Такий тип зазвичай використовують сайти, що зберігають багато важливої інформації: банки, інтернет-магазини, соціальні мережі.
Також існує друк довіри. Вона додається до SSL-сертифіката або купується окремо. Являє собою картинку-логотип центру перевірки, зазвичай його можна побачити в підвалі сайту або на сторінках оплати.
Як мінімізувати ризики
Перевіряйте сайти на сторонніх ресурсах
Існують так звані сканери безпеки — спеціальні сервіси, які аналізують сторінку щодо вразливостей. Якщо браузер не повідомив вас про підозрілість сайту, але у вас все одно є сумніви, вони можуть зробити всю роботу з первинної перевірки ресурсу за вас. Як правило, вони діють просто: ви вводите URL-адресу в спеціальне поле, натискаєте «Перевірити» і отримуєте вердикт.
Використовуйте різні паролі та системи аутентифікації
Про необхідність вигадувати складні паролі напевно багато хто знає. Але навіть надійні комбінації не варто використовувати для різних сайтів та сервісів. Слабкість такого захисту очевидна: щойно зловмисники дізнаються код захисту одного ресурсу, вони отримають доступ до всіх сторінок людини — аж до найчутливіших, на кшталт банківських додатків та «Держпослуг». Щоб не записувати в нотатки шифри від десятків сайтів, використовуйте менеджери паролів. Тоді вам доведеться знати лише один ключ безпеки.
Найбезпечніші сервіси — ті, в яких захист даних для входу посилений за допомогою біометрії. Такі, наприклад, використовує банк ВТБ. Ключ ВТБ ID є у всіх клієнтів банку. З його допомогою можна заходити більш ніж на 130 сайтів партнерів банку. Для авторизації використовується зображення обличчя та відбитки пальців або одноразовий код із SMS.
Регулярно оновлюйте антивірусне програмне забезпечення
Крім свого базового завдання – захисту від вірусів – такий софт часто вміє попереджати про підозрілі посилання та сайти. Деякі антивіруси блокують вхід у найнебезпечніші ресурси, тому ви не зможете відкрити їх, навіть якщо дуже захочете. Своєчасне оновлення гарантує, що програма зможе розпізнавати дедалі сучасніші методи обману.
Банк ВТБ (ПАТ). Генеральна ліцензія № 1000 на здійснення банківських операцій видана Центральним банком Російської Федерації 8 липня 2015 року.