Ще кілька років тому диференційна приватність була технологією, про яку знали переважно дослідники та інженери Google. Сьогодні вона охоплює майже три мільярди пристроїв, захищає навчання моделей штучного інтелекту і стає обов’язковою вимогою у регуляторних рамках ЄС. Компанії, які ще вчора збирали дані «про всяк випадок», тепер перед вибором: вбудувати математичний захист приватності в свою інфраструктуру — або зіткнутися з мільйонними штрафами й репутаційними кризами.

Що таке диференційна приватність

Диференційна приватність — це математичний підхід до захисту даних, що полягає у стратегічному додаванні контрольованого «шуму» до статистичних запитів або наборів даних. Ідея полягає в тому, щоб компанії та дослідники могли аналізувати великі масиви інформації й отримувати з них корисні закономірності — але без можливості ідентифікувати конкретну людину.

Найпростіше пояснити механізм на прикладі. Уявіть, що служба кікшерингу хоче дізнатися, в яких районах міста попит на самокати найбільший у ранкові години. Маючи диференційну приватність, аналітики компанії побачать загальну картину попиту — але не зможуть відстежити маршрути конкретного користувача, його домашню адресу чи розклад. Навіть якщо зловмисник отримає доступ до бази даних, зашумлені записи не дозволять деанонімізувати людей.

Ключовий параметр системи — так зване «епсилон» (ε), що визначає баланс між точністю аналізу та рівнем приватності. Чим менше ε, тим вищий захист і тим менш точні результати; чим більше — тим кориснішими є дані, але й більшим є ризик витоку особистої інформації. Знайти правильний баланс — одне з головних завдань, над якими працюють дослідники та регулятори.

Google: від відкритого коду до трьох мільярдів пристроїв

У 2019 році Google вперше відкрила свої бібліотеки диференційної приватності для розробників — щоб дати їм готовий, перевірений інструмент замість того, щоб кожен «винаходив колесо» з нуля і помилявся в реалізації. Тоді це сприйняли як жест доброї волі та PR-хід від великої рекламної компанії.

За шість років картина кардинально змінилася. У жовтні 2024 року Google оголосила, що досягла найбільшого у світі масштабного розгортання диференційної приватності — технологія вже охоплює близько трьох мільярдів пристроїв і застосовується в Google Home, Google Search на Android та застосунку Messages. Завдяки цьому Google, зокрема, змогла виявляти причини збоїв у розумних будинках та налагоджувати підключення нових типів пристроїв формату Matter — не збираючи при цьому персональних даних користувачів.

Крім того, компанія розширила свої відкриті бібліотеки на нові мови програмування. До Python, Go та C++ додалася підтримка Java (через PipelineDP4j), що дозволяє охопити понад половину розробників у світі. Диференційна приватність тепер також живить Google Trends: технологія дозволяє показувати аналітику навіть для регіонів з невеликою кількістю запитів, не розкриваючи інформацію про конкретних людей.

Apple: приватність, вбудована в пристрій

Apple розпочала впровадження диференційної приватності ще у 2016 році, із виходом iOS 10 та macOS Sierra, і відтоді поступово розширювала застосування цієї технології. Сьогодні вона використовується для вивчення нових слів, якими користувачі набирають текст (QuickType), для визначення найпопулярніших емодзі, для аналізу доменів, що спричиняють збої в Safari, а також для покращення відбору фотографій у розділі «Спогади».

У 2024–2025 роках Apple зробила наступний крок, запустивши Private Cloud Compute — хмарну інфраструктуру для обробки запитів ШІ з повним збереженням конфіденційності. Система побудована на власних процесорах Apple і спеціально загартованій операційній системі: навіть самі інженери компанії не мають доступу до змісту запитів користувачів. За словами Apple, це «найпросунутіша архітектура безпеки, будь-коли розгорнута для хмарних обчислень ШІ».

Диференційна приватність та штучний інтелект

Зв’язок між диференційною приватністю і ШІ став одним із центральних питань технологічної індустрії. Великі мовні моделі навчаються на колосальних масивах даних, що неминуче породжує ризик: модель може «запам’ятати» конфіденційну інформацію й відтворити її у відповідях. Диференційна приватність дозволяє навчати моделі на реальних даних, математично гарантуючи, що жодна особиста інформація не просочиться через готовий продукт.

Google використовує федеративне навчання в поєднанні з диференційною приватністю для розробки моделей передбачення наступного слова у клавіатурі Gboard. Модель навчається на пристроях користувачів, а не на центральному сервері, — і при цьому ε-гарантії забезпечують математичний рівень захисту приватності для кожного учасника. Microsoft запустила платформу Confidential AI у 2024 році, а ринок технологій підвищення приватності (Privacy-Enhancing Technologies, PETs) у цілому зростає: у 2024 році він оцінювався приблизно у 3,1 млрд доларів, а до 2030 прогнозується зростання до 12 млрд.

Регуляторний тиск: закон ЄС про ШІ і GDPR

Якщо технологічні компанії впроваджували диференційну приватність переважно добровільно, то з лютого 2025 року ситуація змінилася: почав діяти Закон ЄС про штучний інтелект (EU AI Act). Документ містить конкретні вимоги до приватності в системах ШІ, особливо тих, що обробляють персональні дані. Диференційна приватність, федеративне навчання та гомоморфне шифрування набули статусу рекомендованих технологій відповідності.

Паралельно GDPR продовжує каратися за порушення приватності: лише у 2023–2024 роках регулятори ЄС наклали штрафи на сотні мільйонів євро. Для компаній, що обробляють дані в Україні або з українськими користувачами, ці тенденції також є релевантними — чинний Закон України «Про захист персональних даних» гармонізується з европейськими стандартами, і цей процес прискорюється в контексті євроінтеграції.

Не лише Google й Apple: широке коло застосувань

Диференційна приватність давно вийшла за межі великих технологічних корпорацій. У 2020 році Бюро перепису населення США вперше застосувало цю технологію для захисту даних перепису — щоб запобігти деанонімізації, яка була продемонстрована дослідниками на матеріалах перепису 2010 року. Uber ще у 2017 році відкрив власний інструмент диференційної приватності, розроблений разом із Каліфорнійським університетом у Берклі. Microsoft використовує її у Workplace Analytics — системі аналізу продуктивності команди.

Відкриті фреймворки — TensorFlow Privacy, OpenDP, PySyft, diffprivlib від IBM — зробили цю технологію доступною для стартапів і наукових установ. Це важливо, адже, за оцінками дослідників Cisco, 60% компаній, що інвестували у захист приватності, звітують про відчутні бізнес-переваги: зростання лояльності клієнтів і вища операційна ефективність.

Обмеження, про які варто знати

Диференційна приватність не є панацеєю. Як і криптографія, вона вимагає правильної реалізації: навіть невелика помилка у виборі параметрів або в архітектурі системи може звести захист нанівець. Незалежні дослідники неодноразово вказували, що деякі реалізації, зокрема ранні версії Apple, використовували надто великі значення ε, що ставило під сумнів реальний рівень захисту.

Ще одне принципове обмеження — це так званий «бюджет приватності»: кожен новий запит до захищеної бази даних «витрачає» частину бюджету й трохи збільшує ризик витоку. Коли бюджет вичерпується, подальші запити стають небезпечними. Це означає, що системи з диференційною приватністю не можна використовувати для необмеженого аналізу одного й того самого набору даних.

Нарешті, існує фундаментальний компроміс між точністю і приватністю: чим суворіший захист, тим менш точними є статистичні результати. Для невеликих вибірок це може бути критичною проблемою — саме тому Google Trends до недавнього часу просто не показував дані для регіонів із малою кількістю пошукових запитів.

Висновок

Диференційна приватність пройшла шлях від академічної концепції до промислового стандарту захисту даних. Вона дозволяє компаніям отримувати цінні аналітичні дані, не перетворюючи користувачів на об’єкт стеження, — і саме тому її роль у добу масового розгортання ШІ лише зростатиме. Для організацій, що опрацьовують персональні дані, питання більше не в тому, чи впроваджувати диференційну приватність, а в тому, коли й як це зробити правильно.

Ця стаття Диференційна приватність: від нішевого інструменту до стандарту захисту даних у добу ШІ раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Використання неправдивої інформації в Інтернеті часто може допомогти вам уникнути небажаної реклами, спаму та потенційних загроз безпеці – але як вирішити, коли використовувати фальшиві дані, а коли надавати правдиву інформацію?

КЛЮЧОВІ ТЕЗИ

Ось шість сценаріїв від MUO, коли використання фейкової інформації може допомогти захистити вашу конфіденційність і безпеку:

1. Рекламні сайти

Рекламні сайти зазвичай збирають інформацію, щоб потім засипати вас таргетованою рекламою або навіть шкідливим рекламним ПЗ. Отже, надання їм неправдивої інформації може допомогти вам уникнути безперервної реклами та запобігти продажу ваших даних третім особам.

2. Сторінки з безкоштовним доступом до Wi-Fi

Під час доступу до безкоштовного Wi-Fi у громадських місцях, таких як кафе чи аеропорти, вас можуть попросити зареєструватися, вказавши особисті дані. Ці мережі не завжди безпечні, і надана вами інформація може бути використана для маркетингу або навіть зламана.

3. Онлайн-опитування та вікторини

Незважаючи на те, що онлайн-опитування та вікторини здаються нешкідливими, вони часто збирають більше, ніж просто ваші відповіді. Вони можуть збирати вашу особисту інформацію для цільового маркетингу або продавати її брокерам даних. Тому, якщо це не опитування з надійного джерела, краще використовувати фейкову інформацію, щоб захистити свою конфіденційність.

4. Форуми та онлайн-спільноти

Онлайн-форуми та спільноти можуть бути чудовим місцем для обміну ідеями, але вони також можуть бути центром для видобутку даних. Захищайте свою особистість, використовуючи псевдоніми та фальшиві дані при реєстрації. Це не тільки захистить вашу особисту інформацію, але й допоможе уникнути небажаних контактів з іншими користувачами.

5. Інтернет-магазини, де ви робите одноразові покупки

Для одноразових покупок на менш авторитетних сайтах електронної комерції доцільно використовувати фейкову інформацію, особливо якщо сайт не вимагає відправки фізичного товару. Це захистить ваші дані від потенційних зломів і знизить ризик крадіжки особистих даних.

Звичайно, варто зазначити, що це неоднозначна ситуація, оскільки для здійснення покупки вам доведеться надати певну ідентифікаційну інформацію. У такому випадку намагайтеся обмежити кількість інформації, яку ви надаєте.

6. Реєстрація на безкоштовну пробну версію

Безкоштовні пробні версії часто вимагають реєстрації, яка включає особисті дані. Щоб уникнути майбутнього спаму та потенційного зловживання даними, завжди використовуйте фальшиву інформацію. Крім того, слідкуйте за тим, на що ви підписалися, щоб уникнути неочікуваних платежів.

4 сайти, де ви завжди повинні надавати правдиву інформацію

Хоча є багато випадків, коли надання неправдивої інформації є вигідним, є випадки, коли ви завжди повинні надавати свої справжні дані, щоб уникнути проблем. Наприклад, завжди надавайте свою справжню інформацію на таких сайтах:

• Урядові сайти
• Фінансові сайти (наприклад, банківські та інвестиційні платформи)
• Професійні сайти (наприклад, LinkedIn і портали для пошуку роботи)
• Медичні сайти та сайти з питань охорони здоров’я

Як ми вже зазначали, захист вашої конфіденційності в Інтернеті передбачає стратегічне використання фальшивої інформації на певних сайтах, надаючи при цьому реальні дані там, де це необхідно. Розуміючи, де провести межу, ви зможете уникнути небажаного спаму та загроз безпеці.

Ця стаття 6 типів сайтів, яким краще не надавати правдиву інформацію про себе і 4, де не варто брехати раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Скімер – апаратний пристрій для крадіжки інформації, що зберігається на платіжних картах, коли покупець здійснює транзакцію в банкоматі або в платіжному терміналі. Однак за останні роки значення цього терміна було значно розширено, і під скімером став матися на увазі будь-який шкідливий додаток або код, спрямований на крадіжку інформації платіжної картки, в тому числі під час покупок в інтернет-магазинах та навіть при використанні безконтактних платежів.

Незалежно від типу скімера (апаратного або програмного) зловмисники переслідують схожі цілі, а конкретно – обман покупця, коли отримана інформація використовується для клонування фізичних платіжних карт або здійснення підроблених транзакцій в Інтернеті.

Як працюють скімінгові пристрої?

Фізичні скімери проектуються під певні моделі банкоматів, каси самообслуговування і інші платіжні термінали. У кожному скімері завжди присутній компонент для зчитування карт, що складається з невеликої мікросхеми, яка живиться від батареї. Зазвичай скімер знаходиться всередині пластикової чи металевої оболонки, що імітує справжній кард-рідер цільового банкомату або іншого пристрою. Цей компонент дозволяє шахраєві скопіювати інформацію, закодовану на магнітній смузі карти, без блокування реальної транзакції, яку здійснює користувач.

Другий компонент скімера – невелика камера, прикріплена до банкомату або підроблена клавіатура для введення пін-коду, що знаходиться поверх справжньою клавіатури. Як неважко здогадатися, мета цього компонента – крадіжка пін-коду, який разом з даними, збереженими на магнітній смузі, використовується для клонування карти і виконання неправомірних транзакцій.

Оскільки стали широко використовуватися картки з чипами EMV, зловмисники також адаптували свої технології і стали виготовляти більш складні скімери. Деякі скімінгові пристрої настільки тонкі, що можуть вставлятися усередину слота карт-рідера. Ці пристрої називаються deep insert скімери чи скімери глибокого проникнення. Пристрої, які називаються “Шимери” вставляються в слот кард-рідера і спроектовані для зчитування даних з чипів на картах. Однак слід зазначити, що ця технологія може бути застосована тільки там, де некоректно реалізований стандарт EMV (Europay+MasterCard+VISA).

У 2024-2025 роках з’явився новий тип скімерів – Bluetooth та WiFi-скімери, які можуть передавати зібрані дані в режимі реального часу на смартфони зловмисників. Це означає, що шахраї більше не повинні повертатися до банкомату, щоб забрати пристрій із зібраними даними.

Скімери також можуть встановлюватися повністю всередині банкоматів, як правило, технічними фахівцями або за допомогою свердління або різання дірок в оболонці банкомату і заклеювання цих отворів стікерами, що виглядають як частина загальної конструкції.

На відео показано, як професіонал у сфері кібербезпеки виявляє скімер, прикріплений до банкомату на одній з вулиць у Відні.

Як захиститися від скімерів?

Внаслідок великої різноманітності скімінгових пристроїв універсального способу, як не стати жертвою зловмисників, не існує. Але є низка рекомендацій, які значно знизять ваші ризики.

• Уникайте банкоматів, встановлених поза будівлями або розташованих в місцях з поганим освітленням. Для встановлення скімерів зловмисники вибирають банкомати в малолюдних місцях, що знаходяться поза банками або магазинами. Крім того, як правило, скімери встановлюються у вихідні, коли навколо найменше цікавих очей. Тому намагайтеся знімати готівку в вихідні тільки в разі крайньої необхідності.
• Перед вставкою карти поворушіть або потягніть кард-рідер і клавіатуру для набору пін-коду і переконайтеся, що ці компоненти не від’єднуються і не рухаються. Як правило, зловмисники використовують низькоякісний клей для прикріплення скиммера, оскільки згодом цей пристрій потрібно буде вилучити.
• Звертайте увагу на дивні ознаки: отвори, шматки пластику або металу, які виглядають підозріло, компоненти, колір яких не збігається з іншою частиною банкомату і стікери, наклеєні нерівно. Якщо в банкоматі присутні пломби для службових замків, перевірте, чи немає в цих місцях пошкоджень.
• Під час набору пін-коду завжди закривайте клавіатуру руками, щоб набрані цифри не змогли потрапити на відео шкідливої камери. Цей метод не допоможе в разі накладної клавіатури, але в цілому скоротить ймовірність крадіжки пін-коду.
• Якщо на вашій карті є чип, завжди використовуйте кард-рідери терміналів з підтримкою чипів, замість “проведення” магнітної смуги. Ще краще – використовуйте безконтактні платежі, які є значно безпечнішими за традиційні методи. Apple Pay, Google Pay та Samsung Pay використовують токенізацію – технологію, при якій справжній номер вашої карти замінюється тимчасовим токеном, що робить неможливим використання перехоплених даних.
• Відстежуйте рахунки на предмет неправомірних транзакцій. Якщо у вашої карти передбачені повідомлення через додаток або СМС після кожної транзакції, обов’язково користуйтеся цими функціями. У 2025 році більшість українських банків надають можливість миттєвих push-сповіщень про всі операції.
• Якщо дозволяє функціонал, встановіть ліміт зняття готівки під час однієї транзакції або протягом однієї доби. Використовуйте дебетову карту, прикріплену до рахунку, де знаходиться невелика кількість грошових коштів, і поповнюйте цей рахунок у міру необхідності, замість використання карти, прикріпленої до основного рахунку, де знаходяться всі ваші гроші.

Програмні скімери

Програмні скімери націлені на програмні компоненти платіжних систем і платформ, будь то операційна система платіжного терміналу або сторінка оплати інтернет-магазину. Будь-який додаток, який обробляє незашифровану інформацію про платіжну картку, може стати шкідливим, заточеним під скімінг.

Шкідливі платіжні термінали використовувалися для здійснення найбільших крадіжок даних про кредитні картки, включаючи злами в 2013 і 2014 роках компаній Target і Home Depot. В результаті були скомпрометовані десятки мільйонів карт. У 2023-2024 роках подібні атаки торкнулися й українського ринку – кілька мереж супермаркетів та АЗС стали жертвами POS-шкідників.

У POS терміналів є спеціальні периферійні пристрої, наприклад, для зчитування карт, але в іншому відмінностей від звичайних комп’ютерів практично немає. У багатьох випадках термінали працюють на базі Windows у зв’язці з касовим додатком, який фіксує всі транзакції.

Хакери отримують доступ до подібних систем, використовуючи вкрадені облікові записи або експлуатуючи уразливості, а потім встановлюють шкідливі програми для сканування пам’яті на предмет патернів, які збігаються з інформацією про платіжні картки. Звідси і назва цих шкідників “RAM scraping“. Інформація про карту (за винятком пін-коду) зазвичай не шифрується під час локальної передачі від кард-рідера в додаток. Відповідно, не складає особливих труднощів скопіювати ці дані з пам’яті.

Веб-скімери

В останні роки виробники платіжних терміналів стали впроваджувати шифрування P2PE для посилення безпеки з’єднання між кард-ридером і платіжним процесором, внаслідок чого багато зловмисників звернули увагу на іншу слабку ланку: схему оплати в інтернет-магазинах і на інших сайтах, пов’язаних з електронною комерцією.

У сценаріях атак, пов’язаних із веб-скімінгом, використовуються ін’єкції шкідливого JavaScript-коду в сторінки інтернет-магазинів з метою перехоплення інформації про карту, коли користувач робить оплату. Як і у випадку з POS терміналами, незахищені дані перехоплюється під час транзакції перед відсиланням платіжному процесору через зашифрований канал або перед шифруванням і додаванням в базу даних сайту.

Веб-скімінгу вже піддалися сотні тисяч сайтів, в тому числі широко відомі бренди: British Airways, Macy’s, NewEgg і Ticketmaster. У 2024 році особливо активними стали групи Magecart, які спеціалізуються на атаках через supply chain – компрометації сторонніх скриптів та віджетів, що використовуються багатьма інтернет-магазинами одночасно.

Ще одним новим трендом стало використання підроблених QR-кодів для переадресації на шкідливі сайти, де крадуться дані карток. Такі атаки особливо поширилися в ресторанах та кафе, де QR-меню стали популярними після пандемії.

Як захиститися від програмних скімерів?

Ви, як користувач, навряд чи зможете щось зробити, щоб запобігти компрометації подібного роду, оскільки у вас немає контролю над додатком в платіжному терміналі або кодом на сторінках інтернет-магазину. Тут відповідальність за безпеку покупок повністю лежить на продавцях і розробниках технології. Однак ви, як покупець, можете вжити додаткових заходів для зниження ризику крадіжки карт або зниження впливу наслідків, якщо компрометація відбудеться.

Відстежуйте виписки своїх рахунків і ввімкніть повідомлення кожної транзакції, якщо дозволяє функціонал. Чим швидше ви виявите сторонні транзакції і заблокуєте карту, тим краще.

Якщо можливо, використовуйте двофакторну авторизацію під час онлайн-транзакцій. Директива платіжних сервісів PSD2 в Європі зобов’язує банки супроводжувати онлайн-транзакції двофакторною аутентифікацією через мобільні додатки. Багато європейських банків вже впровадили цей механізм безпеки. Українські банки також активно впроваджують 3D Secure 2.0 та інші методи додаткової авторизації.

Під час онлайн-шопінгу використовуйте номери віртуальних карт, якщо таку можливість надає банк, або платіть з мобільного телефону. Сервіси Google Pay і Apple Pay використовують токенізацію. При використанні цієї технології відбувається заміна справжнього номера карти на тимчасовий токен. В цьому випадку витоку номера вашої картки не відбудеться.

Намагайтеся оплачувати покупки за допомогою альтернативних платіжних систем, як, наприклад, PayPal, коли не потрібно вводити інформацію про карту на сторінці замовлення сайту, де ви робите покупки. Ви також можете здійснювати покупки на сайтах, де перед введенням інформації про карту відбувається перенаправлення на сторонній платіжний процесор, замість обробки цих даних самим магазином.

Оскільки під час веб-скімінгу використовується шкідливий JavaScript-код, програми безпеки кінцевих вузлів, що інспектують веб-трафік усередині браузера, технічно можуть виявити подібні атаки. Однак веб-шкідники часто піддаються обфускації і зловмисники безперервно вносять зміни в свої розробки. Хоча антивірус з останніми оновленнями може допомогти, він не в змозі детектувати всі атаки, пов’язані з веб-скімінгом.

Хоча деякі великі компанії і бренди стають жертвами веб-скіммінгу, за статистикою частіше компрометації піддаються невеликі онлайн-магазини через відсутність коштів на дорогі рішення в сфері безпеки на стороні сервера і аудити коду. З точки зору покупця під час покупок у великих магазинах ризик компрометації нижче.

Нові загрози 2024-2025 років

Окрім традиційних скімерів, у 2024-2025 роках з’явилися нові види загроз. NFC-скімери можуть перехоплювати дані безконтактних карт через спеціальні мобільні додатки, якщо користувач тримає картку занадто близько до зловмисного пристрою. Хоча радіус дії таких атак обмежений кількома сантиметрами, вони можливі в громадському транспорті або натовпі.

Також набули поширення Bluetooth-атаки на мобільні гаманці, коли зловмисники намагаються перехопити дані під час синхронізації пристроїв. Тому важливо регулярно оновлювати програмне забезпечення своїх мобільних пристроїв та використовувати тільки офіційні додатки банків.

Майбутнє платіжної безпеки пов’язане з впровадженням квантового шифрування, штучного інтелекту для виявлення аномальних транзакцій та біометричних карт зі вбудованими сенсорами відбитків пальців. Деякі банки вже тестують карти з динамічними CVV-кодами, що змінюються кожні кілька хвилин, роблячи неможливим використання вкрадених даних.

Ця стаття Скімери, веб-шкідники та NFC-атаки: сучасні загрози для ваших банківських карт раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Шахрайство з технічною підтримкою є одним із найпоширеніших в Інтернеті. Зазвичай ці шахраї заманюють жертв тим, що у їхнього комп’ютера існує серйозна проблема, подібна до вірусу.

Шахраї також хочуть, щоб їх жертви платили за підтримку, яка їм не потрібна. Такі афери в основному використовують соціальну інженерію і тактику страху, щоб змусити людей проковтнути приманку.

У цій статті розглянемо три основні способи здійснення шахрайства з технічною підтримкою:

• за допомогою телефонних дзвінків;
• спливаючих повідомлень;
• та реклами в Інтернеті поряд зі списками в результатах пошуку в операційних системах Windows або Mac.

Телефонні дзвінки

“Холодні” дзвінки з технічної підтримки трапляються тоді, коли шахрай запевняє цільову особу, що він є частиною команди технічної підтримки такої солідної компанії, як Apple, Microsoft та IBM.

Зазвичай шахраї стверджують, що виявили проблему або на комп’ютері жертви встановлено шкідливе програмне забезпечення. Зазвичай шахрай із технічної підтримки видає себе за комп’ютерного техніка.

Шахраї технічної підтримки часто вимагають віддаленого доступу до комп’ютера цілі та намагаються встановити стороннє програмне забезпечення під приводом спроби запустити діагностичний тест.

Вони також змушують потерпілих платити за вирішення проблеми, якої взагалі не було. Коли особа надає цим шахраям віддалений доступ до їх машини, шахраї фактично встановлюють справжнє шкідливе програмне забезпечення. Як тільки шахрай технічної підтримки отримає віддалений доступ до ПК жертви, він також спробує викрасти всю фінансову інформацію, яку зможе знайти.

Спливаючі попереджувальні повідомлення

Технічна підтримка шахраїв заманює цілі за допомогою спливаючих повідомлень, які з’являються під час перегляду веб-сторінок. Ці спливаючі вікна можуть здаватися повідомленнями про помилки антивірусного програмного забезпечення або операційної системи жертви. Вони також можуть використовувати брендинг відомих компаній чи сайтів.

Також варто зазначити, що ці спливаючі вікна з’являються, коли жертва переглядає веб-сайт, що містить посилання на пов’язаний вміст. Якщо користувач натисне будь-яке з цих посилань, він перенаправить їх на шкідливий веб-сайт, на якому розміщуються спливаючі вікна.

Опинившись там, спливаючі вікна буде дуже важко закрити. У спливаючих попереджувальних повідомленнях, як правило, зазначається, що ПК користувача заражений шкідливим програмним забезпеченням, і пропонується телефонний номер, на який можна зателефонувати за допомогою для видалення шкідливого програмного забезпечення.

Пам’ятайте: справжні повідомлення безпеки та попередження ніколи не вимагатимуть зателефонувати на номер мобільного або стаціонарного телефону!

Інтернет-оголошення та списки на сторінках результатів пошуку

Шахраї технічної підтримки, як правило, розміщують рекламу в Інтернеті, поряд із тим, щоб їх веб-сайти відображалися в результатах звичайного пошуку для отримання технічної допомоги. Потім вони терпляче чекають, поки їм зателефонують користувачі Інтернету.

Наприклад, у шахрайстві з підтримкою Apple фальшивий співробітник служби технічної підтримки зробить дзвінок – використовуючи ідентифікатор абонента, який схожий на дані від Apple. Шахрай проведе вас через встановлення програми на вашому iPhone або ноутбуці Apple, яка надасть їм віддалений доступ до вашого комп’ютера.

Шахрай може також розмістити контактну інформацію, яка відображає на екрані фальшиві спливаючі повідомлення, які можуть спокусити вас зателефонувати їм, вважаючи, що це фактична гаряча лінія підтримки.

Ця афера має на меті змусити вас заплатити передплату для вирішення “проблеми”.

Якщо хтось зателефонує вам і буде стверджувати, що є представником Apple, Microsoft або будь-якої іншої програмної компанії, просто покладіть слухавку. Це найкраще, що ви можете зробити.

Поважні технічні гіганти не ініціюють дзвінки та не надсилають електронні листи, щоб вирішити проблеми на вашому комп’ютері. Apple ніколи не додає телефонні номери до своїх попереджувальних повідомлень – повідомлення повинні створюватися вами.

Бажано переходити на офіційний веб-сайт Apple та переходити на їхню сторінку підтримки, якщо у вас виникають проблеми з пристроєм – і ви можете повідомляти про шахрайство на їх офіційній сторінці підтримки.

Завантажуйте або купуйте програмне забезпечення лише з офіційних веб-сайтів постачальників або магазинів Apple, оскільки веб-сайти третіх сторін можуть бути модифіковані, щоб містити кіберзагрози. Те саме стосується Google та інших компаній.

А що в Україні? Шахрайство з технічною підтримкою OLX

Вже кілька років в Україні існує схема шахрайства, націлена на продавців на торгівельних майданчиках накшталт OLX, Шафа тощо. Незважаючі на те, що OLX, кіберполіція, а також самі потерпілі постійно попереджають користувачів про цю аферу, вона все ще не втратила актуальність і збирає все більше жертв, особливо серед незахищених верств населення – жінок в декреті, людей похилого віку та просто новачків на платформі, які вирішили продати щось із зайвих речей, але ще не встигли ознайомитись з правилами.

Схема доволі проста. Шахраї моніторять нові оголошення на майданчику, особливо ті, де продають коштовні речі. Знаходять в оголошенні номер телефону продавця і пишуть йому в месенджері, зазвичай вони використовують для цього Viber. В переписці цікавляться товаром і пропонують оформити ОЛХ-доставку, після чого кидають посилання на фішинговий сайт, де начебто треба підтвердити угоду та отримати гроші за товар, увівши всі дані своєї картки. Якщо “щось не виходить”, пропонують звертатися до чату техпідтримки, яка допоможе з підтвердженням (Спойлер: ця фальшива техпідтримка допоможе тільки списати всі гроші з вашої картки!).

В переписці “представник техпідтримки” просить вас підвищити ліміт на вашій картці під приводом того, що для верифікації буде заморожена сума вартості товару, а потім гроші повернуться. Так, деякі сервіси і справді тимчасово списують або заморожують суму на картці для верифікації, чим і користуються шахраї, бо людина щось десь чула, що таке буває. АЛЕ! Мова зазвичай йде про 1 гривню, так сервіс може перевірити валідність картки одноразово, наприклад, коли ви прив’язуєте картку до служби таксі. Тут же ситуація зовсім інша, для чого перевіряти і блокувати на вашій картці суму вартості товару? Ви продавець, а значить маєте отримати гроші на картку хоч би на ній був нуль або взагалі кредит. Зазвичай, якщо просто сісти і подумати пару хвилин над тим, що відбувається, можна уникнути шахрайства, але будь-який шахрай буде завжди вас квапити, його ціль – не дати вам час для роздумів або порадитись з кимось більш обізнаним.

Запам’ятайте, якщо вам пишуть у Viber по товару, який ви продаєте і скидають посилання на ОЛХ доставку – це 100% шахраї. ОЛХ наголошує на тому, що всі переписки необхідно вести тільки на платформі, оформлення замовлень також відбувається тільки в онлайн-кабінеті ОЛХ, якщо замовлення там немає, а “покупець” стверджує, що вже оплатив і скидує посилання – це 100% шахрай.

Ось кілька прикладів фішингових сайтів, посилання на які скидають шахраї, але їх може бути безліч. Все що вам потрібно – запам’ятати офіційну адресу сайту та мобільної версії, якщо посилання, що вам скидуютьв переписці, відрізняється хоча б на 1 символ – це спроба фішингу.

Як виявити та уникнути афери технічної підтримки?

Вся справа в здоровому глузді. Вам не потрібно опановувати вищу математику, щоб уберегтися від шахрайства з технічною підтримкою.

Ось кілька порад, які можуть вам допомогти:

Шахрайські телефонні дзвінки

Ви ніколи не отримаєте дзвінків від офіційного провайдера з проханням простягти руку допомоги, щоб вирішити проблеми з вашим комп’ютером. Ви отримаєте телефонний дзвінок, лише якщо ви ініціюєте підтримку.

Що ще важливіше, офіційна підтримка клієнтів для більшості програмних компаній є безкоштовною для абонентів. Якщо ви побачите на своєму комп’ютері спливаюче вікно офіційного продукту будь-якої компанії, на яку ви підписалися, воно не попросить вас зателефонувати на будь-який номер. Коли програмне забезпечення виявляє загрози, воно ніколи не попросить вас зв’язатися за безкоштовним номером.

Шкідливі спливаючі вікна

Уважно перегляньте спливаюче повідомлення, перш ніж вживати заходів. Слідкуйте за ознаками шахрайства або неправильного написання, непрофесійних зображень, мови чи відчуття терміновості.

Ви також можете дослідити номер, вказаний у Google, щоб перевірити, чи він законний, чи ні. Існує безліч веб-сайтів, де люди повідомляють про кібератаки. Якщо це шахрайство, ви знатимете, що спливаюче повідомлення не відповідає дійсності результатів пошуку.

Що робити, якщо вас хтось обдурив

Якщо ви стали жертвою цих шахрайських дій, і ви також заплатили цим шахраям кредитною або дебетовою карткою, ви можете негайно зупинити транзакцію. Зверніться до компанії чи банку вашої кредитної картки: поясніть, що сталося, і запитайте, чи можуть вони повернути гроші назад. А також зверніться з заявою до кіберполіції.

Якщо ви надали віддалений доступ шахраю технічної підтримки, оновіть програмне забезпечення безпеки комп’ютера. Потім запустіть сканування та видаліть усе, що визначено як проблему.

Якщо ви надали свій пароль або ім’я користувача шахраю технічної підтримки, негайно оновіть його. Якщо ви також використовуєте той самий пароль для інших веб-сайтів та облікових записів, змініть його. І завжди рекомендується використовувати двофакторну автентифікацію, а також інший пароль для кожної послуги, якою ви користуєтесь.

Ця стаття Як виявити шахрайство з технічною підтримкою та уникнути його? раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

У наш час люди легко діляться своїм особистим життям з рештою світу та не дбають про приватність. У більшості випадків, коли ви створюєте сторінки у соцмережах, таких як Instagram та Facebook, типовим налаштуванням буде загальнодоступність вашої інформації. Це дозволяє будь-кому у світі бачити вміст, яким ви ділитесь, бачити деякі ваші дії в соціальних мережах та мати доступ до цінної особистої інформації.

За останніми дослідженнями 2024-2025 років, найбільші ризики для приватності користувачів становлять Facebook (з рейтингом ризику 18,98), Facebook Messenger (16,51) та Instagram (15,84). Найменші ризики мають Reddit (8,9), Snapchat (9,99) та Pinterest (10,49).

Що може піти не так, якщо ви будете аж занадто багато ділитися особистим у соціальних мережах:

Сталкінг

Зазвичай, це люди одержимі знаменитостями, але може статися так, що і ви знайдете свого сталкера, показуючи занадто багато у своєму профілі в соціальних мережах, кожен може скористатися такими методами, як Google Earth, щоб знайти ваше точне місцезнаходження та врешті-решт почати переслідувати вас.

Сталкінг — прояв небажаної уваги до людини, переслідування та інші дії, що спричиняють дискомфорт в об’єкта такої уваги. Сталкер може очікувати на вас біля під’їзду або під офісом, телефонувати посеред ночі, писати десятки повідомлень щодня, в яких загрожуватиме або, навпаки, тиснутиме на жалість.

Сьогодні сталкінг вважається одним із видів психологічного насильства.

Крадіжка особистих даних і не тільки

Не потрібно багато інформації для здійснення шахрайства з особистими даними. Коли ви телефонуєте своєму лікарю або своєму банку або заходите до місцевого магазину мобільних телефонів, вам задають запитання: як ваше повне ім’я, дата народження, поточна адреса та номер телефону. З огляду на це, тепер ви можете бачити, що сотні мільйонів профілів соціальних медіа у всьому світі мають цю інформацію, вона є доступною на таких сайтах, як Facebook. Тому іноді інформація в соціальних мережах полегшує роботу кіберзлочинцям.

Публікуючи інформацію про свої подорожі, розпорядок дня та інші особисті дані, ви можете зробити себе мішенню для злочинців.

Шахрайство

Кіберзлочинці можуть використовувати інформацію, яку ви публікуєте в соцмережах, для крадіжки вашої особистості. Провівши невелике дослідження вашого профілю, шахрай може дізнатися, хто ваші близькі та друзі, які у вас з ними відносини, як звати ваших домашніх улюбленців тощо. Всю цю інформацію можна використати для телефонного шахрайства, адже оперуючи особистими даними, шахраям простіше викликати довіру та виманити у вас кошти.

Також, використовуючи ваші особисті відео, шахраї можуть клонувати ваш голос або навіть створити діпфейк-відео, яке потім буде відправлено вашим знайомим з проханням про допомогу тощо.

У 2024 році кіберзлочинці значно активізували використання штучного інтелекту для створення шахрайських схем. Зокрема, кількість атак з використанням голосових діпфейків (voice phishing) зросла на 442% протягом 2024 року. Сучасні технології дозволяють створити якісний діпфейк голосу всього з трьох секунд аудіозапису, що робить таку атаку дуже реалістичною.

Нещодавно працівник компанії LastPass став мішенню атаки з використанням клонованого голосу генерального директора. Хоча цей випадок вдалося виявити, це показує, наскільки небезпечними можуть бути такі атаки.

Шантаж

Розкриття занадто особистої інформації в соціальних мережах іноді дає вам необхідний приплив дофаміну, робить ваше життя більш яскравим, напевно. Тим не менш, це також може дозволити буквально будь-кому шукати підказки, як шантажувати вас. Ми живемо в світі, де публічне цькування може відбуватися буквально від кожного, хто не підтримує вашу думку. Якщо ви в кінцевому підсумку посперечаєтесь із незнайомцем, він може, можливо, викопати коментарі, які ви сказали в соціальних мережах, і використати їх для шантажу, або може зіпсувати ваше життя, поділившись чимось компрометуючим із вашим роботодавцем.

Соціальне профілювання

Той факт, що ви ділитеся занадто особистим в соціальних мережах, може використовуватися для соціального профілювання потенційними роботодавцями, діловими партнерами або будь-ким, хто збирається розпочати з вами стосунки. Іноді ви можете використовувати свої соціальні мережі на свою користь, але це також може дратувати, якщо роботодавець поміщає ваше резюме в нижню частину стопки просто тому, що їм не сподобалось те, що вони побачили в соціальних мережах.

Хтось може стверджувати, що якщо ви приєднаєтесь до соціальної мережі, то, мабуть, вам чогось не вистачає в житті. Також, якщо ви бачите когось, кого не знаєте особисто, ця людина може бути тією, хто повідомить про вашу діяльність у соціальних мережах вашому менеджеру, або шукає шляхи шантажувати вас, або, можливо, збирає інформацію, яка додала б зниклий фрагмент до схеми шахрайства, яка націлена на вас. Відмовляючись від захисту інформації та отримуючи вподобання в Instagram, можливо, ви відкриваєте двері для кіберзлочинців.

Нові загрози 2025 року

Кіберзлочинці постійно вдосконалюють свої методи. У 2025 році особливо поширеними стали:

Рекламне шкідливе програмне забезпечення (Adware) – програми, які показують небажану рекламу, сповільнюють роботу пристроїв і компрометують приватність.

Шпигунське програмне забезпечення (Spyware) – програми, які таємно відстежують дії користувачів, збираючи чутливу інформацію, як-от паролі та історію переглядів.

Трояни – шкідливі програми, замасковані під легітимне програмне забезпечення.

Інформаційні війни – особливо актуально для України, де соціальні мережі активно використовуються для поширення дезінформації та пропаганди. У 2024 році зафіксовано 4,315 кіберінцидентів, що значно більше порівняно з 2021 роком (1,350 інцидентів).

Як захистити приватність в соцмережах?

Окрім використання VPN для збереження вашої конфіденційності під час перегляду, кожен повинен контролювати особисту інформацію, якою він ділиться в Інтернеті. Просто перейдіть до налаштувань конфіденційності та зробіть свої профілі соціальних мереж максимально приватними.

Основні правила безпеки:

1. Регулярно перевіряйте налаштування приватності – платформи соціальних мереж часто змінюють свої політики конфіденційності та типові налаштування.
2. Використовуйте двофакторну автентифікацію – це значно підвищує безпеку вашого акаунта.
3. Будьте обережні з геолокацією – вимикайте автоматичне додавання місцезнаходження до ваших публікацій.
4. Обмежте інформацію про себе – не публікуйте повні дати народження, адреси, номери телефонів та інші особисті дані.
5. Перевіряйте, хто може вас знайти – обмежте можливість пошуку вашого профілю через пошукові системи.

Поради щодо спілкування в соцмережах:

Уникайте “бійок” із незнайомцями в соцмережах. Змінити чиюсь думку може вам сподобатися, але майте на увазі, що ті, хто сперечається з вами, можуть бути “тролями“, які провокують вас, сподіваючись, що ви скажете щось, що вони можуть використати проти вас. Може статися так, що ви нікого не переконуєте, а просто граєте в чужу гру.

Як розпізнати діпфейки:

• Звертайте увагу на неприродні рухи губ або очей
• Перевіряйте якість звуку – штучний голос може звучати дещо механічно
• Будьте особливо обережними з термінових прохань про гроші, навіть якщо вони надходять від знайомих
• Завжди перевіряйте інформацію через альтернативні канали зв’язку

Спілкування з близькими про приватність:

Важливо спілкуватися з близькими про приватність у соцмережах, адже вони можуть ненароком публікувати інформацію, яка шкодить вашій приватності.

Ось кілька порад, як спілкуватися з ними про це:

• Поясніть їм, що таке приватність у соцмережах і чому вона важлива
• Розкажіть їм, які типи інформації ви не хочете, щоб вони публікували про вас
• Встановіть чіткі межі щодо того, що можна і не можна публікувати
• Будьте ввічливі, але тверді у своїх проханнях
• Поясніть їм, що їхні дії можуть мати негативні наслідки для вас

Особливості для України:

В умовах війни українці повинні бути особливо обережними з інформацією, яку вони публікують у соціальних мережах. Це стосується не лише особистих даних, але й інформації про військових, пересування, інфраструктуру та інші дані, які можуть бути використані ворогом.

Пам’ятайте про інформаційну безпеку країни – не публікуйте фото та відео з геолокаційними даними, не поширюйте непеевірену інформацію, будьте критичними до контенту, який може бути частиною інформаційної війни.

Дотримуючись цих порад, ви можете зробити свій досвід спілкування в соцмережах більш безпечним і приємним, а також зберегти приватність і уникнути небезпек.

Ця стаття Приватність у соцмережах: 5 небезпек надмірної відвертості раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Існує багато способів втратити дані – від масових витоків інформації великих компанії до витончених схем зловмисників. Після викрадення особистих даних, ймовірніше за все, вони будуть продані або використані в різних схемах шахрайства з ціллю незаконних покупок, отримання доступу до акаунту та фішингу.

До особистих даних, на які націлені кіберзлочинці, відносяться імена та адреси, номери банківських карток чи рахунків, номери соціального страхування та державні ідентифікаційні номери, паспортні дані та водійське посвідчення, а також дані для входу до різних корпоративних та особистих облікових записів. Чим більше викрадених даних, тим більше можливостей для наступних афер.

Щоб не стати жертвою шахраїв, спеціалісти ESET підготували перелік найпоширеніших шахрайських методів для викрадення особистих даних, та поради для захисту від них.

Методи викрадення особистих даних

1. Фішинг, смішинг та вішинг: класичні атаки з використанням соціальної інженерії можуть відбуватися через різні канали – від класичного фішингу через електронну пошту до текстових повідомлень (смішинг) та навіть телефонних дзвінків (вішинг). Зловмисники, як правило, використовують способи, щоб обманом змусити натиснути на небезпечне посилання, заповнити особисту інформацію або відкрити шкідливе вкладення. Для цього шахраї часто видають себе за відому компанію чи установу, а також вдаються до інших методів, наприклад, підробки домену.
2. Цифровий скімінг: щоб отримати дані вашої картки, зловмисники можуть додати шкідливий код на вебсторінки популярних сайтів.
3. Загальнодоступний Wi-Fi: незахищений публічний Wi-Fi може використовуватись шахраями для перехоплення особистих даних користувачів. Хакери також можуть створити шкідливі точки доступу для збору даних та перенаправлення жертв на небезпечні сайти.
4. Шкідливе програмне забезпечення: загрози викрадення даних стають все більшою проблемою як для компаній, так і звичайних користувачів. Їх можна встановити за допомогою різних механізмів, зокрема фішингових повідомлень, завантажень із інфікованих вебсайтів, зламаних ігор, Google Ads або навіть легітимних програм, зокрема додатків для підроблених зустрічей. Більшість таких загроз збирають файли, особисту інформацію, дані карток, паролі та відстежують натискання клавіш.
5. Небезпечна реклама: рекламні оголошення можна налаштувати на викрадення інформації, іноді навіть без взаємодії з користувачем.
6. Шкідливі вебсайти: фішингові ресурси можна замаскувати під відомі офіційні ресурси, навіть зробити дуже схожий домен. Після відвідування цієї сторінки користувачем почнеться приховане завантаження шкідливого програмного забезпечення. Часто завдяки шкідливим методам SEO небезпечні вебсайти знаходяться на вершині пошукових рейтингів, щоб охопити більшу кількість жертв.
7. Небезпечні додатки: банківські трояни та загрози для викрадення інформації можна маскувати під легітимні додатки. Такі програми зазвичай поширюються за межами офіційних магазинів, таких як Google Play.
8. Втрата або викрадення пристроїв: у разі зникнення вашого пристрою та відсутності належного захисту на ньому, хакери можуть зламати його, щоб отримати особисті та банківські дані.

Як запобігти шахрайству в Інтернеті

Найочевидніший спосіб запобігти шахрайству з даними — це не дозволити зловмисникам отримати доступ до вашої особистої та банківської інформації. Для цього важливо дотримуватись всіх нижче перелічених порад.

• Створюйте надійні та унікальні паролі: використовуйте різні та складні комбінації для кожного сайту, програми, облікового запису та зберігайте їх у менеджері паролів. Покращіть захист, увімкнувши двофакторну автентифікацію у своїх облікових записах. Це перешкодить отримати доступ до вашого акаунта у разі викрадення даних для входу.
• Встановіть програму з безпеки: таке рішення дозволить сканувати та блокувати шкідливі програми та завантаження, виявляти та блокувати фішингові вебсайти, а також попереджати про підозрілу активність.
• Будьте уважними: завжди звертайте увагу на поширені ознаки фішингу, зокрема небажані повідомлення, які закликають до негайних дій, або містять невідомі посилання чи вкладення. Також зловмисники можуть використовувати розіграші призів або попередження про штраф, якщо ви не відповісте якомога швидше.
• Завантажуйте програми лише офіційних ресурсів: використовуйте Apple App Store та Google Play для завантаження програм для мобільних пристроїв. Перед завантаженням завжди перевіряйте відгуки та дозволи.
• Уникайте підключення до публічних Wi-Fi: у разі нагальної потреби використати загальнодоступну мережу намагайтеся не відкривати жодних конфіденційних облікових записів. У будь-якому випадку використовуйте VPN, щоб бути в безпеці.
• Зменшуйте ризики викрадення: не зберігайте дані вашої платіжної картки та особисту інформацію при купівлі товарів в онлайн-магазинах. У такому разі у зловмисників буде менше можливостей для шахрайста у разі витоку даних цих компаній.

Якщо ваші дані були втрачені внаслідок витоку, варто повідомити у банк та заблокувати свої картки (це можна зробити через більшість банківських програм), повідомити про шахрайство та замовити заміну карток. Також важливо змінити дані для входу, які були зламані й увімкнути двофакторну автентифікацію.

Шахрайство з особистими даними продовжує залишатися поширеною загрозою, оскільки завдяки технологіям викрадення даних стає простішим для зловмисників. Однак дотримання правил кібергігієни кожного зменшує можливості, які шахраї можуть використовувати для крадіжки інформації, а також робить цифрове життя більш безпечним.

Ця стаття 8 поширених способів викрадення особистих даних раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Приватні контактні дані найважливіших радників президента США Дональда Трампа з питань безпеки можна знайти в інтернеті. Журналісти DER SPIEGEL змогли знайти номери мобільних телефонів, адреси електронної пошти і навіть деякі паролі, що належать високопосадовцям.

Для цього журналісти використовували комерційні пошукові системи, а також зламані дані клієнтів, які були опубліковані в Інтернеті. Серед тих, кого торкнувся витік, – радник з національної безпеки Майк Волц, директор національної розвідки Талсі Габбард і міністр оборони Піт Хегсет.

Більшість з цих номерів і адрес електронної пошти, очевидно, все ще використовуються, а деякі з них пов’язані з профілями в соціальних мережах, таких як Instagram і LinkedIn. Їх використовували для створення облікових записів у Dropbox і профілів у додатках, які відстежують дані про роботу. Існують також профілі WhatsApp для відповідних телефонних номерів і навіть акаунти Signal у деяких випадках.

Таким чином, звіт виявив додатковий серйозний, раніше невідомий пролом у системі безпеки на найвищому рівні у Вашингтоні. Ворожі спецслужби можуть використовувати ці загальнодоступні дані, щоб зламати комунікації постраждалих, встановивши шпигунське програмне забезпечення на їхні пристрої. Таким чином, можна припустити, що іноземні агенти мали доступ до чат-групи Signal, в якій Габбард, Волц і Хегсет обговорювали військовий удар.

Номери, пов’язані з акаунтами Signal

Однак залишається незрозумілим, чи вівся цей надзвичайно проблематичний чат з використанням акаунтів Signal, пов’язаних з приватними телефонними номерами залучених посадових осіб. Тулсі Габбард відмовилася від коментарів. Однак репортаж DER SPIEGEL продемонстрував, що приватні та загальнодоступні телефонні номери, які належать їй та Волцу, насправді пов’язані з акаунтами Signal.

Американський журнал The Atlantic в понеділок повідомив, що Габбард, Волц і Хегсет разом з директором ЦРУ Джоном Реткліффом та іншими офіційними особами обговорювали в чаті Signal неминучий військовий удар по повстанцям-хуситам в Ємені. Інформація, якою обмінювалися учасники, включала розвідувальні дані і точні плани атаки. За даними Atlantic, Волц долучив до групи чату головного редактора журналу Джеффрі Голдберга. Чому саме він це зробив, залишається незрозумілим.

Білий дім підтвердив скандал постфактум. Трамп наполягав на тому, що він не містив секретного контенту, і це питання є особливо актуальним, оскільки члени уряду США не мають права обмінюватися такою інформацією через Signal. Спеціальний посланник США з питань України та Близького Сходу Стів Віткофф навіть перебував у росії під час участі в чат-групі.

DER SPIEGEL вдалося знайти частину контактної інформації Габбарда, Хегсета і Волца в комерційних базах даних, тоді як інша інформація була в так званих витоках паролів, які навряд чи є рідкістю в інтернеті. Одним із прикладів є відкриття Троя Ханта у 2019 році, який знайшов 773 мільйони електронних адрес і понад 21 мільйон паролів на хакерському форумі.

З того часу відбулося ще багато витоків. Злочинці постійно складають нові колекції зі зламаних даних, зазвичай для продажу на форумах.

Журналістам DER SPIEGEL було особливо легко знайти номер мобільного телефону та адресу електронної пошти Хегсета. Вони звернулися до комерційного постачальника контактної інформації, яка в основному використовується компаніями для продажу, маркетингу та рекрутингу.

DER SPIEGEL надіслав провайдеру посилання на профіль Хегсета в LinkedIn і отримав у відповідь адресу Gmail та номер мобільного телефону, а також іншу інформацію. Пошук витоків даних користувачів показав, що адресу електронної пошти, а в деяких випадках навіть пароль, пов’язаний з нею, можна знайти в більш ніж 20 публічно доступних витоках. Використовуючи загальнодоступну інформацію, можна було перевірити, що адреса електронної пошти використовувалася лише кілька днів тому.

Наданий номер мобільного телефону, тим часом, привів до акаунту в WhatsApp, який Хегсет, очевидно, лише нещодавно видалив. На фотографії профілю Хегсет був зображений без сорочки, у бейсболці та з намистом. Порівняння з іншими фотографіями міністра оборони США за допомогою програмного забезпечення для розпізнавання облич підтвердило, що на фото в профілі WhatsApp дійсно був Хегсет.

Кілька паролів у злитій базі даних

Номер мобільного телефону та адресу електронної пошти Волца можна було знайти за допомогою того ж провайдера. Номер мобільного телефону можна було знайти навіть за допомогою популярної в США пошукової системи. Журналісти DER SPIEGEL також змогли знайти кілька паролів до адреси електронної пошти Волца у базах даних, що потрапили в мережу. Ця інформація також привела до профілів Волца в Microsoft Teams, LinkedIn, WhatsApp і Signal.

Директор Національної розвідки Габбард, схоже, була більш обережною зі своїми даними, ніж двоє її колег-чоловіків. Очевидно, вона заблокувала свої власні дані в комерційних пошукових системах контактів, які містили дані Хегсета і Волца. Але її електронну адресу можна було знайти на WikiLeaks і Reddit.

Адреса електронної пошти Габбард доступна в більш ніж 10 витоках. В одному з них також міститься частковий номер телефону, який, будучи заповненим, веде до активного акаунту WhatsApp і профілю Signal.

«Оприлюднені дані топ-політиків можуть бути використані хакерами для проведення фішингових атак і отримання доступу до пристроїв і різних сервісів, таких як електронна пошта, чати і PayPal», – говорить Дональд Ортманн, фахівець з інформаційної безпеки, закупівель інформації та соціальної інженерії. Він надає підтримку компаніям та органам влади після кібератак.

«Крім того, для участі у віртуальних зустрічах можуть бути запущені діпфейкові атаки з використанням зображень і звуку, доступних в Інтернеті», – каже Ортманн. Скомпрометовані акаунти також дозволяють хакерам «встановлювати шкідливе програмне забезпечення, відстежувати комунікації і намагатися здійснювати політичний шантаж».

Дві галочки

Щоб захистити приватну контактну інформацію американських політиків, DER SPIEGEL не публікує знайдені номери телефонів, адреси електронної пошти та паролі. Крім того, не було проведено жодних перевірок, щоб визначити, чи паролі до цих адрес електронної пошти все ще активні. DER SPIEGEL поінформував Габбарда, Хегсета і Волца про свої висновки.

Міністерство оборони США не відповіло на запит видання про коментарі. Речник Ради національної безпеки зазначив, що паролі та облікові записи Майкла Волца, радника з питань національної безпеки, були змінені до того, як він приєднався до Конгресу в 2019 році.

Особисті запити, надіслані DER SPIEGEL на акаунти WhatsApp і Signal, що належать Волцу, були доставлені, згідно з функцією підтвердження. На фотографії його профілю в WhatsApp Волц був зображений з двома іншими людьми на тлі прапора США. Незабаром після відправлення запитів акаунти Волца, очевидно, були деактивовані; чат у WhatsApp з DER SPIEGEL зник.

Офіс директора національної розвідки заявив, що витік приватних даних Тулсі Габбард стався майже 10 років тому, що вона не користувалася відповідними платформами протягом декількох років і що вона кілька разів змінювала свої паролі.

Однак видання DER SPIEGEL з’ясувало, що приватний акаунт Google, який належить Габбард, використовувався нещодавно, близько двох тижнів тому. Повідомлення, надіслані DER SPIEGEL на її акаунти WhatsApp і Signal, які стали об’єктом витоку, також, очевидно, були доставлені. Після їх відправлення з’явилися дві галочки.

Ця стаття Приватні дані та паролі високопосадовців служби безпеки США знайшли в Інтернеті, – DER SPIEGEL раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Все більше з’являється програмного забезпечення для кіберпереслідування (сталкерське ПЗ), яке непомітно встановлюється на мобільні пристрої жертв без їх відома. За останні кілька років спеціалісти з кібербезпеки відзначили зростання виявлень сталкерського ПЗ для Android в геометричній прогресії.

Крім того, дослідники виявили уразливості у таких додатках для Android та їх серверах моніторингу, які можуть загрожувати безпеці конфіденційних даних та пристрою користувача.

Як додатки для кіберпереслідування потрапляють на пристрій

Сталкерське ПЗ у більшості випадків поширюється під виглядом легітимних додатків для батьківського контролю, управління продуктивністю співробітників або стеження за другою половинкою, що дозволяє уникнути ідентифікації як програм для кіберпереслідування. “Ці інструменти знаходяться в широкому доступі, тому знайти їх в Інтернеті не складно”, — пояснює Лукаш Стефанко, дослідник ESET.

Для встановлення подібних додатків потрібно мати фізичний доступ до пристрою, тому зазвичай переслідувачем є хтось із сім’ї чи роботи або знайомий користувача. Крім цього, на пристрої повинен бути відключений захист екрана блокування або кіберсталкер повинен знати PIN-код.

Щоб завантажити і встановити додаток, переслідувач відвідує веб-сайт постачальника сталкерського ПЗ. Якщо на пристрої встановлена програма з безпеки або за замовчуванням активований Google Play Protect, спочатку необхідно відключити їх для успішної інсталяції додатку. Після запуску необхідно налаштувати програму для кіберпереслідування, зокрема синхронізувати з обліковим записом сталкера у відповідній службі моніторингу, а також надати необхідні дозволи.

Програма може приховувати своє існування на пристрої або використовувати назву легітимного системного додатку з метою уникнення видалення користувачем. З цього моменту зловмисник, про якого жертва та переслідувач зазвичай не знають, може збирати будь-яку конфіденційну інформацію.

Чим небезпечні програми для кіберпереслідування

Дослідники проаналізували 86 таких додатків для Android різних постачальників. У результаті аналізу було виявлено безліч серйозних проблем з безпекою та конфіденційністю, які можуть призвести до отримання зловмисниками контролю над пристроєм жертви чи обліковим записом кіберсталкера, перехоплення даних користувача, завантаження підроблених даних або виконання віддаленого коду на смартфоні жертви.

У 58 таких додатків спеціалісти виявили загалом 158 проблем з безпекою та конфіденційністю, які можуть становити серйозну загрозу для пристрою жертви. Крім цього, ризики існують навіть для кіберсталкерів та постачальників програм.

Серед найбільш поширених проблем — незахищена передача особистих даних жертв, зберігання конфіденційної інформації на зовнішніх носіях та її розкриття неавторизованим користувачам, а також витік інформації.

У зв’язку зі зростанням загроз такого виду користувачам варто перевірити свій пристрій на наявність програм для кіберпереслідування та попередити своїх близьких про можливу небезпеку. Оскільки це не тільки неетично, але також може призвести до розкриття особистої інформації, кібератак та шахрайства.

Для цього необхідно знайти та видалити всі підозрілі додатки для кіберпереслідування або програми зі шпигунським функціоналом. Зокрема за допомогою надійного рішення з безпеки ви можете просканувати пристрій та виявити потенційну загрозу. Зверніть увагу, що у випадку видалення або відключення програми для кіберпереслідування, сталкер буде знати про це.

Крім цього, щоб перешкодити маніпуляціям зі своїм мобільним пристроєм, вам варто використовувати надійний пароль або біометричну аутентифікацію.

Більш детальна інформація про сталкерське ПЗ для Android доступна за посиланням.

Ця стаття Що таке додатки для кіберпереслідування та як їх виявити? раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Завдяки оманливим дизайнам, відомим як “темні патерни”, сайти, інтернет-магазини, додатки соціальних мереж та безкоштовні пробні підписки на користування сервісами намагаються підштовхнути Вас до покупок, які Ви б інакше не робили.

Від брехливих таймерів зворотного відліку до прихованих платних підписок, інтернет-роздрібна торгівля має безліч хитрощів, щоб отримати свої гроші.

Наприклад, Amazon на час карантину прийняла надзвичайне рішення. Оскільки компанія намагалася виконати сплеск замовлень, пов’язаних з пандемією, вона тонко переробила свій веб-сайт, щоб заохотити споживачів купувати менше, а не більше.

Окрім зміни термінів доставки та інвентарю, Amazon вимкнула функцію рекомендацій, яка відображає товари, які часто купуються разом, як батарейки, які йдуть з іграшкою, яка вже є у вашому кошику. Ці зміни показали, наскільки цифрові роздрібні торговці ретельно калібрують свої веб-сайти, щоб максимально збільшити суму, яку витрачають відвідувачі. Ці тактики часто значною мірою є доброякісними, наприклад, пропонуючи безкоштовну доставку замовлень на певну суму, але інші можуть бути більш оманливими, потрапляючи в категорію, яку часто називають “темними патерни”.

Темні патерни – це елементи цифрового дизайну, які маніпулюють користувачами у прийнятті рішень на користь корпорації. Ви можете передати свою електронну адресу для маркетингових повідомлень, якщо, наприклад, віджет більший і яскравіший, ніж можливість його відхилити. Цей термін був введений десятиліття тому дизайнером Гаррі Брігнулом, який створив типологію темних візерунків, багато з яких хизуються психологічними слабкостями людства.

Їх можна знайти скрізь в Інтернеті, але деякі найяскравіші приклади – на торгових сайтах.

Дослідники з Принстонського університету та Чиказького університету опублікували дослідження, яке розглядало приблизно 11 000 торгових майданчиків і виявили темні візерунки на більш ніж 11 відсотках з них, включаючи таких великих торгових мереж, як Fashion Nova та J.C. Penney. Дослідники виявили, що чим популярніший веб-сайт, тим більше шансів на появу темних візерунків.

Аспірант Принстона і провідний автор статті, каже, що поширеність темних моделей в Інтернеті є шкідливою.

“Темні зразки використовуються для підриву конфіденційності та позбавлення користувачів їх здатності критично розмірковувати про свої дії”, – говорить він. “Дизайн та поведінкова наука стали зброєю, щоб виключно приносити користь інтернет-роздрібним торговцям та використовувати користувачів”.

Визначити межу між розумним маркетингом та відвертим обманом може бути важко

Також в темних патернах використовується “дефіцитна упередженість”, схильність людей ставити більш високу вартість на предмет дефіциту. Наприклад, заявляючи, що продукт доступний “обмежений час”. Або як Amazon, яких часто показує покупцям кількість певного товару в наявності.

Багато веб-сайтів роздрібної торгівлі використовують дефіцит упередженості за допомогою таймерів зворотного відліку, які вказують на те, що через певний час закінчується термін продажу або спеціальної пропозиції. Дослідники знайшли оманливі таймери на 140 веб-сайтах, які вони перевіряли. А насправді, після відведеного часу, деякі пропозиції просто повторилися знову.

Ще один клас темних візерунків є більш тонким. Вони працюють, спрямовуючи Вас на певне рішення, опускаючи інші варіанти. Деякі веб-сайти для покупок пропонують знижку, якщо, наприклад, Ви вказали свою електронну адресу і намагаються посоромити тих, хто відмовляється. У них часто є повідомлення “Ні, дякую, я люблю платити повну ціну” або “Ні, дякую, ненавиджу заощаджувати гроші”, а не просто кнопка відхилення. На одному сайті дослідники виявили, що кнопка для відмови від маркетингових електронних листів була сірою, “створюючи ілюзію, що параметр недоступний чи вимкнутий, хоча його можна натиснути”. Аналогічна тактика – задавати клієнтам хитрі питання. Деякі роздрібні торговці вводять подвійні негативи, щоб вас збивати з пантелику, наприклад “Зніміть прапорець, якщо Ви не хочете отримувати оновлення електронною поштою”.

Більшість темних візерунків – це вибір дизайну, але інші, мабуть, просто шахрайство.

Також норвезька рада споживачів (Forburkerrådet) опублікувала звіт “Ошукані дизайном”, який показує, що деякі технічні компанії використовують темні патерни, щоб перешкоджати нам реалізувати свої права на недоторканність приватного життя. Темні патерни дизайну здаються безневинними, але чи етичні вони?

“Виверти” на веб-сайті або в додатку, які вводять користувачів в оману. Наприклад, вони можуть змушувати Вас ділитися своїми персональними даними. Крім цього, технологічні компанії розробляють свій продукт таким чином, щоб користувачі ставали залежними від нього. Бізнес, який використовує темні патерни дизайну, має свій власний інтерес. Він розглядає своїх користувачів як риб в морі, а темний патерн дизайну служить приманкою. Прибуток – це єдине, що їх цікавить під час розробки продукту.

Приклади темних патернів дизайну

Темні патерни можна знайти всюди. Вони так поширені, що Ви навіть не можете знати про їхнє існування.

Припустимо, що Ви шукаєте додаток для управління проектами в Інтернеті. Після того, як Ви перевірили кілька варіантів, ви знайшли потрібний, і вирішили протестувати пробну версію. Під час налаштування облікового запису Вам пропонують надати дані кредитної картки. Ви не думаєте, що це проблема, так як форма реєстрації має великий текст з написом “FREE TRIAL”. Ви охоче надали дані своєї кредитної картки і створили пробний обліковий запис. Після 14-денного безкоштовного пробного періоду компанія таємно змінила Ваш пробний екаунт на звичайний платний і кожен місяць знімає плату з вашого банківського рахунку. Ви не дізнаєтеся про це, поки не отримаєте виписку з банку.

Вам знайомий цей приклад? Можливо, це сталося з Вами або вашими друзями? Якщо Ви є користувачем онлайн телебачення, то точно Вас піймали на такий гачок. Спробуйте перегляд телеканалів і фільмів у одного з українських операторів. Наприклад, підключіть акційний місяць за гривню, далі не продовжуйте, картка, яку Ви ввели, припустимо, має на балансі тільки 100 гривень, через місць у Вас їх самовільно заберуть, банк дозволить і не попередить Вас. Далі ще цікавіше: час йде і оператор знову буде знімати кошти, якщо Ви не відмовитеся, не зателефонуєте, не посваритися з ним. А якщо не будете звертати на це уваги, то будуть знімати постійно, якщо грошей на картці не буде, то будуть тричі на тиждень приблизно пробувати почистити Ваш рахунок і так місяцями. Більше трьох місяців так точно.

Деякі технологічні компанії використовують вищезгаданий прийом, щоб перетворити потенційних клієнтів у платних користувачів. Вони дозволяють легко зареєструвати обліковий запис, вказуючи докладні умови дрібним шрифтом. Все підпорядковано законам. Найгірше те, що користувачам складно скасувати підписку.

Автоматична підписка на розсилку рекламних повідомлень

Новий європейський Генеральний регламент про захист персональних даних (GDPR) вимагає, щоб компанії отримали явну згоду своїх користувачів, перш ніж відправляти їм будь-які маркетингові матеріали. Проте, як і раніше часто спостерігається етап перевірки на сайті електронної комерції, наприклад:

Незважаючи на те, що клієнти можуть зняти прапорець, через те, що текст настільки малий, більшість клієнтів не помітять цю можливість, і як тільки вони натиснуть “Check Out”, компанія отримає ще один email у свій постійно зростаючий список розсилки.

Оманливе спливаюче вікно

Оманливе спливаюче вікно – ще один трюк, який зазвичай використовують для збору адрес електронної пошти. Спливаюче вікно має очевидну кнопку заклику до дії “Зареєструватися”, але кнопка відмови ледь помітна. Більшість відвідувачів просто нададуть свій email, щоб позбутися від спливаючого повідомлення.

Непомітне додавання зайвого товару в корзину

Деякі сайти електронної комерції таємно додають додатковий товар в процесі оформлення замовлення. У більшості випадків ціна на додатковий товар настільки мала, що клієнти не помітять його, особливо коли в їх замовленні багато товарів. Додатковим товаром може бути послуга – експрес-доставка, додаткова страховка при купівлі авіаквитка і так далі. Хитрість зазвичай полягає в додаванні додаткового товару за замовчуванням.

Отримання доступу до Ваших контактів за допомогою туманного запиту

Цей трюк зазвичай можна знайти в додатках. Після того, як Ви створили обліковий запис, додаток запропонує Вам ввести контакти з Вашого телефону. Оскільки це частина процесу налаштування профілю, користувачі просто будуть натискати кнопку “Далі”, і додаток легко отримує доступ до Ваших контактів і почне розсилати спам автоматичними електронними повідомленнями.

Знаменитий додаток соціальної мережі Linkedin збирає контакти своїх користувачів, використовуючи темний патерн дизайну, і відправляє автоматичні електронні листи зібраним контактам без попередньої згоди. Linkedin був притягнутий до суду за це, і вони програли процес в 2015 році. Врегулювання судової справи обійшлося компанії в 13 мільйонів доларів.

Додавання додаткових сервісів в продукт

Продаж декількох продуктів в комплекті не здається неетичним, насправді це розумна бізнес-стратегія. Згадайте McDonald’s – Ви можете купити гамбургер, картоплю-фрі і напій за нижчою ціною, ніж купуючи три товари окремо. Якщо ви хочете, McDonald’s дає Вам можливість купувати їх окремо. Деякі компанії продають свою продукцію в комплекті, не пропонуючи роздільний варіант покупки. Їхні клієнти змушені купувати додаткові предмети або послуги, тому що вони є частиною угоди.

Зловживання стимулюючими повідомленнями

Деякі сайти бронювання квитків для подорожей зловживають стимулюючими повідомленнями в дизайні інтерфейсу. Наприклад, “5 інших людей дивляться на це зараз”, “Цей товар був проданий 10 хвилин назад”, “20% знижки тільки сьогодні”, “Останнє місце за цією ціною” і так далі. Коли користувачі бачать такі повідомлення, зазвичай вони думають, що, якщо вони не забронюють номер або квиток зараз, вони втратять угоду. Подібний дизайн, схоже, допомагає користувачам економити гроші, але чи повинні користувачі бачити такі повідомлення, як “Це було продано 10 хвилин назад”? Чи не краще просто видалити це оголошення з результатів пошуку? Чи намагається сайт або додаток маніпулювати своїми користувачами?

Нескінченні повідомлення

Додатки соціальних мереж, фітнес-програми та багато інших мають функцію “push-повідомлень”. У цій функції добрі наміри: додаток повідомляє Вас негайно, коли Ви отримуєте нове повідомлення, нагадування або оновлення. Однак Ви розумієте, що подібні повідомлення змушують Вас повністю призвичаїтися до додатка? Ви помітили, що весь час перевіряєте свій телефон, незалежно від того, на роботі Ви або в спортзалі? Ви можете подумати, що зараз так роблять всі нормальні люди, але чи так це?

Бізнес маніпулює своїми користувачами, оскільки він точно знає, як ми себе ведемо. Ми відчуваємо себе особливими, коли наші повідомлення в соціальних мережах отримують багато лайків, більше повідомлень означає більше лайків, більше повідомлень і більше уваги. Ми всі любимо увагу, і це нормально. Що не є нормальним, так це перевіряти телефон 150 раз в день = 6,25 рази в годину= один раз в 10 хвилин. Що отримує бізнес від нашої “наркоманії”? Залучення. Найкраще залучення користувача означає збільшення доходів від реклами. Ви можете подумати, що це наша вина, що ми перевіряємо повідомлення кожні 10 хвилин, але давайте подумаємо трохи глибше. Хіба Ваші бабуся і дідусь перевіряли свою поштову скриньку коли додатків і мобільних телефонів не було?

Як створювати етичний дизайн?

Тепер Ви ознайомилися з деякими прикладами темних патернів дизайну. Вибирайте проекти, де продукт цінує користувачів.

Дизайнерам може здаватися, що неетичний дизайн може зробити бізнес успішним, адже все більше користувачів використовують такий продукт, гроші продовжують литися рікою, але в кінцевому підсумку користувачі зрозуміють, що їх обдурили або ввели в оману, і коли є кращий продукт на ринку, вони не будуть думати двічі.

Радимо також звернути увагу на поради, про які писав Cybercalm, а саме:

Як обмежити перегляд небажаного контенту для дітей у TikTok? Поради для батьків

Як заблокувати небажаний контакт у Facebook? – ІНСТРУКЦІЯ

Як зупинити відстеження небажаними програмами Вашої точної геолокації? ІНСТРУКЦІЯ

Як скопіювати файли на USB-накопичувач на Chromebook? – ІНСТРУКЦІЯ

Ця стаття Шахрайство, оманливий дизайн, або як торгові сайти змушують Вас витрачати більше? раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Команда Twitter готує нові функції захисту конфіденційності, які нададуть користувачам більш глибокий контроль над списками передплатників, а також тих, хто може бачити їх повідомлення і лайки.

Зокрема, одна з нових функцій під назвою “соціальна конфіденційність”, надасть користувачам можливість редагувати список передплатників, а також надасть інструменти для архівації старих повідомлень, тобто, користувачі зможуть визначати період (30, 60 або 90 днів), протягом якого твіти будуть видимі іншим користувачам. На цей момент функція знаходиться на стадії опрацювання концепту, повідомляє Bloomberg.

Як показало проведене компанією дослідження, багато користувачів Twitter не розуміють базові основи конфіденційності і не усвідомлюють, що їх повідомлення видно всім. В результаті, вони менше користуються сервісом, обмежують самовираження і не беруть участь в дискусіях.

Крім іншого, користувачі зможуть визначати, хто буде бачити, яким із твітів вони поставили лайки: всі, передплатники або певні групи. Коли функція буде доступна, поки невідомо.

Ще одна функція дозволить користувачам видаляти передплатників без їх блокування. Тестування функціоналу почнеться у вересні нинішнього року.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як стерти свій пристрій Android і скинути його до заводських налаштувань. ІНСТРУКЦІЯ

Як встановити Windows 10 з USB-накопичувача? ІНСТРУКЦІЯ

Топ найкращих хаків реєстру для Windows 10. ПОРАДИ

Як подбати про безпеку смартфона Вашої дитини? ІНСТРУКЦІЯ

Небезпечний WhatsApp: шахрайства, загрози і ризики безпеки в месенджері

PDF-файли зручні для розповсюдження документів, тому що вони однаково виглядають у всіх операційних системах та текстових редакторах, а також – коли документ треба роздрукувати. Як правило, Ви створюєте документи за допомогою іншого додатка, а потім конвертуєте їх у PDF.  Як конвертувати документ Microsoft Word у формат PDF? Про це читайте у статті.

До речі, ви вже можете дізнатись, як заархівувати та розпакувати файли у Windows 11. У новій ОС формат ZIP-файлу стискає дані та зменшує їх кількість, що прискорює передачу файлів та економить місце на диску. Ви також можете використовувати стиснення ZIP для об’єднання декількох файлів в один компактний пакет. Ось як заархівувати та розпакувати файли у Windows 11.

Зверніть увагу, під час пандемії більшість заходів була скасована або перенесена на онлайн-платформи. Через це досить популярними стали трансляції в Інтернеті, а разом з ними з’явились й нові ризики для безпеки особистих даних. У зв’язку з цим спеціалісти підготували поради, які допоможуть захистити Вас та Ваші пристрої під час відвідування стрімінгових сервісів.

Деякі смартфони відходять від відбитків пальців і використовують розпізнавання обличчя як  більш надійний засіб забезпечення біометричної безпеки. Якщо у Вас є телефон Samsung Galaxy, Ви, ймовірно, можете використовувати як відбитки пальців, так і розпізнавання обличчя, щоб увійти у телефон.

Ця стаття Twitter збільшить контроль над списками передплатників, і тих, хто може бачити їх повідомлення раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Check Point Research, дослідницький підрозділ Check Point Software Technologies Ltd., провідного постачальника рішень в галузі кібербезпеки, виявила уразливість системи безпеки в функції фільтрації зображень WhatsApp.

Застосувавши певні фільтри до спеціально створеного зображення і відправивши його потенційній жертві, зловмисник міг скористатися уразливістю і отримати доступ до конфіденційної інформації з пам’яті WhatsApp.

Уразливість пов’язана з функцією фільтрації зображень в WhatsApp.

Фільтрація зображень – це процес, за допомогою якого пікселі вихідного зображення змінюються для досягнення деяких візуальних ефектів, таких як розмиття або чіткість.

В ході дослідження фахівці Check Point Research з’ясували, що перемикання між різними фільтрами в створених GIF-файлах призводило до збою WhatsApp. Дослідники визначили один з збоїв як пошкодження пам’яті і негайно повідомили про проблему в WhatsApp, який назвав уразливість CVE-2020-1910, докладно описавши її як проблему читання і запису за межами допустимого діапазону.

За оцінками компанії, через WhatsApp щодня відправляється понад 55 мільярдів повідомлень, включаючи 4,5 мільярда фотографій і один мільярд відео.

Check Point Research представив свої висновки WhatsApp 10 листопада 2020 року. WhatsApp перевірив, визнав проблему безпеки і розгорнув виправлення у версії 2.21.2.13, вказавши уразливість в своєму лютневому оновленні з рекомендаціями щодо безпеки.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Чому три випадкових слова – це найкращий пароль? ІНСТРУКЦІЯ

Як не стати жертвою програм-вимагачів? ПОРАДИ

Якими будуть нові смартфони Galaxy Z Fold 3 та Z Flip 3? ОГЛЯД

Як уникнути шахрайських схем із використанням deepfake-відео? ПОРАДИ

Навіщо інші антивіруси, якщо у Вас є Windows Defender? ПОРАДИ

Як налаштувати режим “Не турбувати” на телефонах Samsung Galaxy? – ІНСТРУКЦІЯ

Нагадаємо, ізраїльський виробник рішень для верифікації та забезпечення прозорості в мобільних та online-екосистемах GeoEdge повідомив про виявлення першої у світі кібератаки на домашні IoT-пристрої з використанням шкідливої реклами.

Також баг на офіційному сайті виробника автомобілів Ford Motor відкривав конфіденційні дані, доступ до яких міг отримати будь-який хакер. Серед інформації були бази даних клієнтів, відомості про співробітників тощо.

Окрім цього, американська трубопровідна компанія Colonial Pipeline виплатила 4,4 мільйона доларів хакерам, які викрали особисті дані майже 6 тисячам нинішніх та колишніх працівників компанії. Colonial Pipeline була вимушена сплатити викуп через ймовірність загрози газової кризи.

І майже анекдотична ситуація трапилася із розробником шкідливих програм, який розпочав їх тестування у своїй системі, щоб випробувати нові функції, а згодом дані потрапили на розвідувальну платформу хакерів. Мова йде про розробника Raccoon – трояна-викрадача інформації, який може збирати дані з десятків програм.

Ця стаття Уразливість в WhatsApp могла привести до розкриття даних користувачів раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Zoom Video Communications Inc., яка створила сервіс відеоконференцій Zoom, погодилася виплатити близько $ 85 млн. для врегулювання претензій в рамках колективного позову користувачів, які звинуватили сервіс в нездатності забезпечити належний рівень конфіденційності даних. Про це пише Bloomberg з посиланням на рішення суду Сан-Хосе, штат Каліфорнія.

Користувачі звернулися в суд Сан-Хосе (штат Каліфорнія), звинувачуючи компанію в тому, що вона не забезпечила достатнього рівня конфіденційності даних. Зокрема, позивачі визнали порушенням угоди те, що Zoom ділився даними з Facebook, притому що за умовами угоди не мав права передавати їх третім особам. Крім того, позивачі стверджували, що компанія не в змозі забезпечити надійний захист їх даних від хакерських атак.

Передплатники, які беруть участь в груповому позові, матимуть право на повернення 15% від їх основних підписок або отримати компенсацію в розмірі $ 25, в залежності від того, що більше.

В цілому для врегулювання інциденту компанія витратить близько $ 85 млн. Також суд зобов’язав Zoom переглянути діючі правила конфіденційності, щоб підвищити рівень захисту даних користувачів платформи.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

В Україні користувачів Android та iOS атакує небезпечне шкідливе ПЗ

Як перевірити шкідливий чи безпечний сайт? – ПОРАДИ

Як змусити AirPods повідомляти про дзвінки та сповіщення на iPhone? – ІНСТРУКЦІЯ

Як перевірити, які програми на iPhone Ви використовуєте найчастіше? – ІНСТРУКЦІЯ

До речі, користувачі ніколи не зможуть встановити Windows 11 на несумісні пристрої. Групова політика не дозволить Вам обійти обмеження апаратного забезпечення для установки Windows 11.

Apple має намір додати підтримку системи розпізнавання осіб Face ID на комп’ютери Mac протягом наступних двох років. Про це повідомив оглядач Bloomberg.

Зловмисники все частіше використовують безкоштовний месенджер Discord як канал для поширення шкідливих програм.

Окрім цього, стало відомо про великий витік даних учасників Clubhouse. Провідний експерт з кібербезпеки Джіт Джайн повідомив, що повна база телефонних номерів Clubhouse виставлена ​​на продаж в Darknet.

Також стало відомо, що операційна система Windows 11, яка ще офіційно не вийшла, але вже доступна для скачування і попереднього знайомства, використовується зловмисниками, які намагаються підсунути користувачеві шкідливе ПЗ під виглядом нової ОС.

Ця стаття Zoom оштрафували на $ 85 мільйонів раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин