За два года люди стали настороженнее по отношению к голосовым данным и незапрошенным кодам подтверждения
«Лаборатория Касперского» проанализировала, как поменялось отношение пользователей к отдельным аспектам информационной безопасности за два года. Компания провела новый опрос* среди россиян, а эксперты по кибербезопасности оценили цифровые мифы и дали рекомендации по защите.
Миф: нельзя говорить незнакомым по телефону «Да» или «Нет». Люди могут опасаться, что запись голоса используют, например, для кражи денег. С этим тезисом согласны большинство опрошенных (84%) — это на 9 п. п. выше, чем два года назад.
На самом деле: голоса будет недостаточно для проведения операции со средствами на счетах или внесения важных изменений.Системы голосовой идентификации используются финансовыми организациями, но только в качестве одного из факторов. Однако эксперты по кибербезопасности рекомендуют в любом случае не разговаривать со злоумышленниками, при малейших сомнениях завершать звонок.
Миф: если человеку на телефон или почту пришёл код подтверждения, который он не запрашивал, — его аккаунт взломали. В это стали верить больше — 58% против 50% в 2022 году. Вероятно, это связано с ростом количества утечек и попытками злоумышленников актуализировать свои базы, а также с атаками, в рамках которых атакующие «забрасывают» жертву сообщениями в течение нескольких часов, чтобы человек не мог пользоваться телефоном. В «Лаборатории Касперского» отмечают, что в последнее время такой приём используется, например, в атаках на представителей СМИ.
На самом деле: если пришёл код подтверждения для входа в аккаунт, который человек не запрашивал, это может означать, что злоумышленники пытаются понять, в каких сервисах зарегистрирован пользователь, активна ли его учётная запись. Однако если атакующие не получили нужный набор из цифр, добраться до аккаунта они не смогут. В любом случае в такой ситуации специалисты рекомендуют сменить пароль, так как велика вероятность, что учётная запись оказалась в какой-либо утекшей базе.
Миф: если в адресе сайта HTTPS (с S на конце) — он точно официальный. Так же, как и два года назад, в это верят более половины опрошенных (59%).
На самом деле: наличие сертификата HTTPS означает, что на сайте никто со стороны не сможет перехватить данные, которые вводит человек. Но эту информацию может украсть сам сайт, если он поддельный. Выглядеть при этом ресурс может весьма достоверно.
Миф: нельзя нажимать «1» или «2» в тональном режиме во время сомнительных роботизированных обзвонов. Некоторые полагают, что подобным образом можно заразитьсмартфон. Люди продолжают верить в реалистичность такого вектора атаки. В этом году так ответили 55% — чуть больше, чем двумя годами ранее.
На самом деле: нажатие клавиши в тоновом режиме не приводит ни к загрузке вредоносного ПО, ни к использованию уязвимости, поэтому заразить смартфон таким образом злоумышленники не смогут. Также стоит отметить, что телефонные мошенники в своих схемах активно переключаются на другие многоступенчатые схемы — с использованием мессенджеров, дипфейков.
Миф: если устройство не подключено к интернету, его невозможно заразить. Такого убеждения всё ещё придерживаются больше половины (55%) опрошенных. Для сравнения, в 2022 году эта доля равнялась 50%.
На самом деле: заразить устройство можно даже если оно не подключено к интернету, например через флешку или другой носитель. К тому же жертва может получить скомпрометированное устройство прямо из коробки. Так было, например, в случае с предустановленным троянцем Dwphon, который атаковал российских пользователей.
Миф: «Инкогнито» в браузере обеспечивает полную анонимность в интернете. Респонденты также продолжают верить в это (35% в 2024 году против 32% в 2022 году).
На самом деле: «Инкогнито» в браузерах не гарантирует абсолютную приватность. В этом режиме браузер лишь не сохраняет историю посещения сайтов, cookie, историю загрузок и данные авторизации.
«Цифровые предубеждения могут быть очень устойчивы. Их опасность в том, что порой пользователи, веря в определённые мифы, могут недооценивать реальные киберугрозы и векторы атак. Например, полагают, что могут определить фишинговый сайт по наличию „S” в HTTPS и зелёному замочку или не использовать защитное решение на устройствах, которые не подключены к интернету. Крайне важно уделять значительное внимание повышению цифровой грамотности», — комментирует Дмитрий Галов, руководитель Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») в России.
Чтобы защититься от онлайн-угроз, эксперты «Лаборатории Касперского» рекомендуют:
- использовать надёжные и уникальные пароли для всех своих аккаунтов (минимум 12 знаков с буквами в разном регистре, цифрами и спецсимволами). Для их генерации и хранения лучше использовать специальные менеджеры паролей;
- настроить двухфакторную аутентификацию во всех сервисах, которые это позволяют, и никому не сообщать коды авторизации;
- не переходить по сомнительным ссылкам в почте, мессенджерах или социальных сетях (даже если их прислали знакомые);
- внимательно проверять название сайта в адресной строке перед тем, как вводить на нём свои личные или платёжные данные;
- использовать решение, определяющее потенциально мошеннические и спам-номера, такое как Kaspersky Who Calls;
- установить надёжное защитное решение, которое не позволит скачать вредоносное ПО или перейти по фишинговой ссылке, такое как Kaspersky Premium. В 2024 году оно получило наивысшую оценку по итогам антифишингового теста AV-Comparatives. В течение же 2023 года решения «Лаборатории Касперского» принимали участие в 100 независимых тестированиях защитных технологий по различным параметрам, в том числе 93 раза заняли первые места.
* Опрос 2024 года проведён компанией ОнИн по заказу «Лаборатории Касперского» в России. Всего опрошено 1012 человек.