Лабораторія цифрової безпеки розпочинає моніторинг інцидентів у сфері цифрової безпеки, з якими стикаються українські журналісти та громадські активісти. За підсумками кожного місяця ми публікуватимемо звіт із описом загроз, із якими зіткнулись активісти та медійники, а також якими чином можна від них уберегтися. Із методологією моніторингу можна ознайомитись наприкінці звіту.
У вересні ми нарахували 11 інцидентів. Про 7 з них ми дізнались в результаті прямих звернень до Лабораторії цифрової безпеки, а про 4 інциденти – із відкритих джерел.
Більшість інцидентів – 8 – пов’язані із атаками на облікові записи користувачів, а три – із атаками на веб-сайти (DDoS та спроби зламу).
Облікові записи (8 інцидентів)
Найпопулярнішою атакою є спроба скинути пароль до облікового запису Facebook, таких випадків зафіксовано щонайменше три. В ході такої атаки зловмисники використовують можливість “скинути” пароль до облікового запису на електронну пошту, отримуючи коди відновлення на електронні скриньки, що вказані у способах відновлення облікового запису Facebook. Сигналом, що вас атакують, може бути отримання такого листа.
Нерідко серед електронних пошт, вказаних як запасні для відновлення доступу до ФБ, залишаються старі скриньки, які ви давно не використовуєте. Атака може бути успішною, якщо зловмисник отримав доступ до такої пошти (наприклад, якщо ви використовуєте той самий пароль на різних сайтах, рано чи пізно на одному із них трапиться витік даних, і отримані паролі стануть доступними онлайн).
Для захисту від такої атаки слід перевірити, які пошти вказані у способах відновлення облікового запису Facebook. Інструкція, як це зробити, доступна на нашому сайті “Як?”: https://yak.dslua.org/services/facebook/vidnovlennia-oblikovogo-zapysu/
Рекомендуємо тримати там лише захищені електронні пошти, із увімкненою двофакторною аутентифікацією та унікальним паролем.
Інструкція, як налаштувати двофакторну аутентифікацію на Gmail: https://yak.dslua.org/services/gmail/2fa/
Крім того, у вересні ми зафіксували дві таргетовані спроби фішингу. Такий фішинговий лист отримала голова правління громадської організації Центр громадянських свобод Олександра Матвійчук, а також один із журналістів-розслідувачів.
У двох випадках мова йде про дуже якісно зроблений фішинг. Зловмисники розсилали лист нібито від Facebook про незвичні дії в обліковому записі, пропонуючи користувачу перевірити безпеку. Посилання у листі переадресовувало на шахрайський сайт, що виглядав як сайт Facebook, на якому користувачам пропонувалось ввести свій пароль та код двофакторної аутентифікації. Варто відзначити якість фішингового сайту, який мав SSL-сертифікат та перевіряв, чи введений пароль дійсно підходить до облікового запису.
Що стосується месенджерів, у вересні ми зафіксували одну спробу зламу Telegram серед антикорупційних активістів. Щоб убезпечити свій месенджер від зламу, ми також рекомендуємо використовувати двофакторну аутентифікацію. Як її налаштувати, можна ознайомитись тут: https://yak.dslua.org/services/telegram/2fa/
Крім того, у вересні журналісти Kyiv Post заявили про ймовірний витік данних, що стався з електронної скриньку пресцентру Операції об’єднаних сил. Пресцентр стверджує, що в результаті внутрішнього розслідування витоку даних не було знайдено, однак після цього змінив електронну скриньку з ukr.net на Gmail, яка дає змогу використовувати двофакторну аутентифікацію.
Веб-сайти (3 інциденти)
У вересні ми зафіксували три атаки на веб-сайти. 18 вересня “Громадське” повідомило, що на сайт hromadske здійснюється атака, яка має на меті отримання доступу до бази даних сайту.
25 вересня газета «Ратуша» у Facebook повідомила, що на їхньому сайті була опублікована новина, однак редакція газети цієї інформації не розміщувала, внаслідок чого було зроблено припущення про злам сайту.
Також “Лабораторії цифрової безпеки” відомо про щонайменше одну DDoS-атаку.
Безпека сайтів – складна задача, якою мають займатися фахівці із відповідними знаннями. Якщо у вашій громадській організації або медіа є сайт, однак ви не маєте спеціалістів для його захисту, ви можете звернутись за безкоштовною допомогою до “Лабораторії цифрової безпеки”.
Коротко про методологію
Ми моніторимо інциденти, які трапились із українськими журналістами, а також громадськими організаціями та активістами. В окремих випадках до моніторингу потраплятимуть інциденти, що сталися із політиками.
До моніторингу інциденти потрапляють із двох джерел. Перше – це інциденти, із якими до нас безпосередньо звернулись наші клієнти. Деякі з них є публічними, а деякі – ні, тож інформація про них подається в загальних рисах та деперсоналізовано. Друге – це відкриті джерела, насамперед соцмережі та ЗМІ.
Якщо ви зіткнулись із цифровими загрозами, бажаєте отримати консультацію або маєте питання чи зауваження до моніторингу, ви завжди можете звернутися до нас на електронну скриньку [email protected] або іншим зручним для вас способом.