Багато хто впевнений: варто змінити 4-значний PIN-код на 6-значний — і смартфон стане надійно захищеним. Дослідження безпеки показують протилежне: проти реального зловмисника, у якого обмежена кількість спроб, різниця між чотирма та шістьма цифрами мінімальна, а подеколи довший код навіть легше вгадати. До того ж сьогодні головна загроза — це вже не підбір коду, а ситуація, коли хтось підглядає, що ви вводите, а потім краде сам пристрій.

Що показало дослідження

Команда фахівців з Рурського університету в Бохумі, Інституту безпеки і приватності імені Макса Планка та Університету Джорджа Вашингтона провела перше масштабне дослідження того, як люди обирають PIN-коди саме для розблокування смартфонів. Учасникам Apple- та Android-пристроїв пропонували встановити чотири- або шестизначний код; частина могла обрати будь-яку комбінацію, частина — лише ту, що не потрапила до «чорного списку» заборонених варіантів.

Ключовий висновок: проти атакувальника, обмеженого кількома десятками спроб (саме так працює розблокування смартфона), 6-значний PIN-код дає мізерний приріст захисту порівняно з 4-значним — а на коротких дистанціях навіть програє.

Конкретні цифри з дослідження — частка кодів, які вдається вгадати:

• 10 спроб (максимум, який допускає iOS): підбирається 4,6% 4-значних і 5,7% 6-значних кодів.
• 30 спроб (менш наполегливий зловмисник на Android): 7,6% проти 8,8%.
• 100 спроб (розумна верхня межа для Android): 16,2% проти 12,5%.

Тобто на перших десятках спроб довший код не лише не допомагає, а навіть частіше відкриває пристрій зловмиснику.

Чому 6 цифр інколи слабші за 4

З погляду математики різниця колосальна. Чотиризначний код — це 10 тисяч можливих комбінацій, шестизначний — мільйон. Якби зловмисник міг перебирати варіанти без обмежень, повний перебір усіх 4-значних кодів зайняв би близько 12 хвилин, а всіх 6-значних — близько 20,5 годин.

Але на практиці смартфон не дає перебирати безкінечно: після кількох помилок вмикаються паузи та блокування. А отже, вирішує не розмір простору комбінацій, а те, наскільки передбачувано люди обирають код. І тут виявилася парадоксальна річ: найпоширеніші 6-значні коди розподілені ще «вужче», ніж 4-значні. Люди масово беруть прості послідовності на кшталт 123456 чи повтори однакових цифр, тож кілька перших здогадок зловмисника спрацьовують навіть частіше.

Які PIN-коди обирати не варто

Дослідники зібрали найпопулярніші комбінації. Якщо ваш код є в цьому переліку або побудований за схожою логікою — його варто змінити:

За цими комбінаціями стоять упізнавані шаблони: 2580 — це вертикальна лінія посередині клавіатури, 5683 на старих кнопкових розкладках складається у слово «LOVE», 159753 малює на цифровому полі літеру «X», а 789456 — це просто рядки клавіатури. Зловмисники чудово знають ці «візерунки» й перевіряють їх першими.

Чому небезпечно просто «дописати дві цифри» до старого коду

Окрема наукова робота дослідила поширену звичку: переходячи на 6-значний код, люди беруть свій старий 4-значний і додають до нього ще дві цифри. Виявилося, що це особливо вразливий сценарій. Якщо зловмисник уже знає ваш попередній 4-значний код, він може вгадати понад 25% таких «подовжених» 6-значних кодів усього за 10 спроб і понад 30% — за 30. Інакше кажучи, новий код успадковує всі слабкості старого.

Головна загроза 2020-х: підгледіти код і вкрасти телефон

Сьогодні зловмисникам часто взагалі не потрібно нічого вгадувати. Поширеною стала схема, яку детально описали журналісти-розслідувачі: у людному місці чи барі хтось підглядає, як власник вводить код розблокування, а потім викрадає сам смартфон. Знаючи код, злодій отримує не просто доступ до пристрою.

PIN-код (passcode) — це «корінь довіри» всієї системи. Біометрія — Face ID, Touch ID, розблокування за відбитком — лише надбудова над ним: щойно сканування не спрацьовує або пристрій перезавантажується, телефон усе одно просить код. А маючи код, зловмисник може змінити пароль облікового запису, вимкнути функції пошуку пристрою, отримати доступ до збережених паролів і банківських застосунків — і заблокувати справжнього власника назавжди. Описані випадки, коли потерпілі втрачали доступ до банківських застосунків ще до того, як устигали позначити телефон як втрачений.

Як виробники відповіли на цю загрозу

Apple. У відповідь на хвилю таких крадіжок Apple додала функцію Stolen Device Protection (захист викраденого пристрою), доступну з iOS 17.3. Коли вона ввімкнена, для найбільш чутливих дій поза «знайомими» місцями (домом чи роботою) самого коду вже недостатньо — система вимагає Face ID або Touch ID. А зміна пароля облікового запису Apple чи вимкнення біометрії передбачає обовʼязкову годинну затримку з повторною біометричною перевіркою. Це дає власнику час заблокувати пристрій дистанційно.

Android. Google вибудувала власний набір захисту від крадіжок. Функція Identity Check (перевірка особи), що зʼявилася в Android 15, вимагає біометрію для критичних дій — зміни PIN-коду, вимкнення захисту, доступу до паролів і банківських застосунків — коли пристрій перебуває поза довіреними локаціями. Доповнюють її Theft Detection Lock (миттєве блокування екрана, якщо телефон вихоплюють із рук), Offline Device Lock, дистанційне блокування через браузер та збільшені паузи після невдалих спроб введення коду. Частину цих функцій потрібно ввімкнути вручну.

Як захистити свій PIN-код і смартфон

• Використовуйте щонайменше 6 цифр, а краще — літерно-цифровий код. Більший приріст безпеки дає не подовження коду, а перехід на складніший пароль із літер і цифр.
• Уникайте дат, повторів і «візерунків» на клавіатурі. Роки народження, 1111, 123456, лінії та фігури на цифровому полі — найперші кандидати на підбір.
• Не робіть новий код «продовженням» старого. Не додавайте дві цифри до колишнього 4-значного коду — обирайте незалежну комбінацію.
• Увімкніть біометрію. Face ID, Touch ID чи розблокування за відбитком зменшують потребу набирати код у публічних місцях, де його можуть підгледіти.
• Активуйте захист від крадіжок. Stolen Device Protection на iPhone та Identity Check і повʼязані функції на Android варто ввімкнути заздалегідь — після крадіжки буде вже пізно.
• Прикривайте екран, коли вводите код. У транспорті, барі чи черзі затуляйте руку — так само, як біля банкомата.

Ця стаття PIN-код на 4 і 6 цифр: чому довший код не гарантує безпеки — і що справді захищає смартфон раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Кіберзлочинність давно перестала бути справою одинаків-ентузіастів. Сьогодні це багатомільярдна тіньова економіка з власною спеціалізацією професій, маркетплейсами в стилі Amazon, відгуками клієнтів і навіть «технічною підтримкою». За оцінкою Cybersecurity Ventures, у 2025 році збитки від кіберзлочинів у світі сягають близько 10,5 трлн доларів — це більш ніж утричі перевищує показник 2015-го. У цьому матеріалі — як працює тіньовий ринок кіберзлочинності, скільки коштують вкрадені дані українців і чому війна робить нас особливо вразливими.

Від «магазинів вкрадених карток» до екосистеми «злочин як послуга»

Ще кілька років тому тіньові ринки сприймалися здебільшого як торгові майданчики для викрадених банківських карток і піратського ПЗ. Сьогодні картина принципово інша: ринок став модульним і спеціалізованим. За даними звіту KELA «State of Cybercrime 2026», у 2025 році в підпільному обігу перебувало щонайменше 2,86 млрд скомпрометованих облікових даних — від паролів і файлів cookie до повних «логів» інфостілерів, що містять усю цифрову особистість користувача.

Дослідники Constella підрахували, що лише за 2025 рік було оброблено 51,7 млн «пакетів» інфостілерів, які походили з 24,8 млн унікальних інфікованих пристроїв. Усередині — близько 2,3 млрд викрадених паролів. А американський Internet Crime Complaint Center (IC3) при ФБР зафіксував, що сумарні втрати від кіберзлочинів у 2025 році в США перевищили 20,9 млрд доларів — на 26% більше, ніж роком раніше.

Принципова зміна — у самій бізнес-моделі. Якщо раніше один зловмисник міг сам зламувати, сам красти й сам продавати, то сьогодні ринок повністю розділений на ролі: розробники шкідливого програмного забезпечення, оператори ботнетів, «ініціатори загроз», що отримують первинний доступ до мереж, оператори програм-вимагачів, відмивачі криптовалюти. Цей підхід отримав назву Cybercrime-as-a-Service (CaaS) — кіберзлочин як послуга.

Скільки коштують ваші дані: ціни тіньового ринку у 2025–2026 роках

За даними щорічного звіту SOCRadar та аналітичних публікацій Privacy Affairs і Trustwave SpiderLabs, середні ціни на вкрадені дані у тіньовому сегменті 2025 року виглядають так:

• базові персональні дані (номер телефону, адреса, e-mail) — від 1 долара;
• номер соціального страхування США (SSN) — приблизно 1–6 доларів;
• викрадена банківська картка без CVV — близько 10 доларів;
• картка з CVV — 10–40 доларів, з високим балансом (від 5 000 доларів) — до 120 доларів;
• зламаний акаунт PayPal або Revolut — у середньому близько 100 доларів;
• верифікований акаунт Kraken із криптовалютою — понад 1 100 доларів;
• повні медичні записи — 250–310 доларів за запис;
• DDoS-атака на замовлення — від 20 доларів;
• підписка на інфостілер (malware-as-a-service) — від 15 доларів на місяць;
• кастомна фішингова сторінка — 50–2 000 доларів;
• експлойт нульового дня (zero-day) — до 150 000 доларів і вище.

Окрема й найдорожча категорія — корпоративні доступи. За даними Rapid7, у другій половині 2025 року середня ціна лоту від «ініціатора загроз» (Initial Access Broker) зросла з приблизно 2 726 доларів у 2024-му до понад 113 000 доларів. Йдеться про повний адміністративний доступ до мережі великої компанії, що дозволяє покупцеві — як правило, оператору програми-вимагача — одразу переходити до фінальної стадії атаки.

Як виглядає сучасний даркнет-маркет: рейтинги, відгуки, «чорна п’ятниця»

Сучасні тіньові ринки візуально й функціонально майже не відрізняються від легальних e-commerce-платформ. Зловмисники мають свої рейтинги продавців, відгуки покупців, систему ескроу-платежів (умовного депонування коштів до підтвердження покупки), розділи «поширені запитання», іноді — навіть live-чат із «технічною підтримкою». Періодично з’являються «акції», «купони знижок» і сезонні розпродажі — для імітації звичного клієнтського досвіду.

Оплата майже завжди відбувається у криптовалюті. Bitcoin усе ще використовується для виплат викупу за програмами-вимагачами, але для розрахунків на самих маркетплейсах злочинці все частіше переходять на Monero — через вбудовану анонімність транзакцій. За даними звіту Chainalysis «2025 Crypto Crime Report», близько 63% усього нелегального обігу криптовалют у 2025 році припадає на стейблкоїни, передусім USDT.

Russian Market та інфостілери: чому крадені облікові дані опиняються в продажу за 48 годин

Окрему й болючу для українців роль відіграє маркетплейс під назвою Russian Market. За оцінкою компанії Rapid7, у 2026 році це найбільший у світі майданчик для торгівлі «логами» інфостілерів — пакетами даних, які зловмисне ПЗ викрадає з інфікованого комп’ютера: збережені паролі браузерів, файли cookie сесій, дані автозаповнення форм, гаманці криптовалют. Російські злочинні форуми XSS та Exploit залишаються основними майданчиками для пошуку партнерів, попри періодичні правоохоронні втручання — зокрема у липні 2025 року XSS втратив адміністратора в результаті спецоперації.

Дослідження Whiteintel, опубліковане в березні 2026 року, описує типовий шлях вкрадених даних: від моменту зараження пристрою до появи облікових даних на маркеті проходить менш ніж 48 годин. У багатьох випадках — суттєво менше. Логи свіжих заражень (24–48 годин) продаються з преміальною надбавкою саме тому, що сесійні токени ще не встигли застаріти й дозволяють обійти двофакторну автентифікацію.

Згідно з звітом Verizon Data Breach Investigations Report 2025, 54% жертв атак програм-вимагачів виявили свої корпоративні облікові дані в логах інфостілерів ще до самої атаки. Тобто доступ було продано — а вже потім ним скористалися.

Найпоширеніші інфостілери, логи яких зараз можна знайти на тіньових ринках: Lumma (донедавна — лідер ринку, доки в травні 2025 року правоохоронні органи не вилучили його інфраструктуру), Acreed (швидко зайняв звільнену нішу — за оцінками Bitsight, до середини 2026 року кількість його логів зросла зі сотень у березні 2025 року до понад 118 000 у червні), а також Vidar, Stealc, Rhadamanthys, RedLine, Raccoon.

Ініціатори загроз і RaaS: як працює конвеєр сучасних атак

Ініціатори загроз (Initial Access Brokers, IABs) — це спеціалізована «професія» на тіньовому ринку. Їхня єдина задача — отримати первинний доступ до корпоративної мережі (через фішинг, експлуатацію вразливостей, перебір паролів або купівлю логів інфостілерів) і продати цей доступ далі. За даними дослідницької компанії Intel 471, у період з червня 2024 по травень 2025 року зафіксовано щонайменше 70 кореляцій між лотами IAB-брокерів і подальшими атаками програм-вимагачів. Середній час між появою оголошення про доступ і фактичною атакою — лише близько 19 днів.

Найактивніші групи програм-вимагачів, які закуповують доступи: Play, RansomHub, Everest, Medusa, Sarcoma. Ця модель «розподілу праці» отримала назву Ransomware-as-a-Service (RaaS): розробники створюють шкідливе програмне забезпечення й здають його в оренду «афілійованим партнерам», а ті, своєю чергою, купують доступ до конкретних компаній у брокерів. Прибуток ділиться у відсотках — як у звичайній партнерській програмі.

Що цікаво, у березні 2026 року американський суд виніс вирок російському «ініціатору загроз» Олексію Волкову із Санкт-Петербурга — 81 місяць ув’язнення. Волков, відомий під ніком chubaka.kor, продавав доступи групам Yanluowang та іншим. Його затримали в Римі та екстрадували до США. Це один із небагатьох прецедентів, коли «архітектора» сучасних атак вдалося реально притягнути до відповідальності.

Великі операції правоохоронців: чи вдається перемагати?

Останні роки принесли кілька гучних міжнародних операцій, які показали: тіньовий ринок не є безкарним.

• Operation Cronos (лютий 2024)— спільна операція 10 країн на чолі з Національним агентством злочинності Великої Британії (NCA), ФБР та Європолом. Інфраструктуру однієї з найвпливовіших груп програм-вимагачів LockBit було захоплено, а її лідер Дмитро Хорошев («LockBitSupp») із росії — публічно деанонімізований. Заарештовано 200 криптогаманців і 34 сервери; затримано трьох співучасників у Польщі та Україні. Уряд США оголосив винагороду в 10 млн доларів за інформацію, що приведе до арешту Хорошева.
• Operation Endgame (травень 2024)— за даними Європолу, найбільша в історії операція проти ботнетів. Вилучено понад 100 серверів, що обслуговували завантажувачі шкідливого ПЗ IcedID, Pikabot, Trickbot, Bumblebee, SmokeLoader та SystemBC. У 2025 році проведено серію подальших арештів — уже клієнтів цих сервісів, дані яких знайшли в захопленій базі.
• Захоплення BreachForums (травень 2024)— ФБР перехопило контроль над форумом, де роками публікували й продавали бази даних великих витоків. Сам форум кілька разів відроджувався, але остаточно розпався протягом 2024–2025 років. У судових документах Міністерства юстиції США згадуються 888+ викрадених датасетів і 14+ мільярдів записів, що там обертались.
• Знищення LummaC2 (травень 2025)— у скоординованій операції вилучено понад 2 300 доменів, які обслуговували найпопулярніший на той момент інфостілер. До цього на LummaC2 припадало близько 92% усіх логів на Russian Market.

Втім, фахівці з компанії Cognyte застерігають: ці успіхи не означають перемоги. Замість одного знищеного гравця з’являється кілька дрібніших. Ринок став більш фрагментованим, а отже — складнішим для моніторингу. Уже через кілька днів після кожної великої операції постачальники й покупці мігрують на запасні майданчики, як це сталося з TorZon і Nemesis після обвалу Abacus Market у середині 2025 року.

Що це означає для українців: ціна вашої цифрової особистості в умовах війни

Для України тіньовий ринок кіберзлочинності — це не абстрактна проблема. Це передовий край гібридної війни.

Згідно зі звітом ESET за Q2–Q3 2025, російська група Sandworm (пов’язана з ГРУ) продовжує систематичні атаки програм-знищувачів даних (wiper) на українські державні установи, енергетику, логістику і — що стало новою тенденцією 2025 року — на зерновий сектор як основне джерело валютних надходжень. Використовуються wipper-програми ZEROLOT і Sting.

У травні 2025 року дослідники ESET зафіксували атаку, в якій угрупування, назване InedibleOchotense, видавало себе за саму компанію ESET: українським організаціям розсилали спірфішингові листи й повідомлення в Signal із посиланнями на нібито офіційні інсталятори ESET, які насправді містили бекдор Kalambur (SUMBUR).

Державна служба спеціального зв’язку та захисту інформації України (Держспецзв’язку) повідомила, що в першій половині 2025 року зафіксувала 3 018 кіберінцидентів — на 17% більше, ніж у другому півріччі 2024-го. Атаки на місцеві органи влади та військові структури зросли особливо помітно.

Окрема загроза для українських користувачів — те, що частина російськомовних маркетів буквально торгує доступом до українських сервісів, акаунтів і навіть інфраструктури. Логи інфостілерів із заражених у 2022–2025 роках українських комп’ютерів досі циркулюють у продажу. Це означає, що пароль, який ви зберегли в браузері три роки тому, теоретично все ще може бути «свіжим товаром» на тіньовому ринку.

ШІ як новий інструмент: фішинг і дипфейки на потоці

Окрема тривожна тенденція 2025–2026 років — масштабне впровадження генеративного ШІ в арсенал кіберзлочинців. За даними IBM Threat Intelligence Index, кількість шкідливого ПЗ, доставленого через фішингові листи, у 2025 році зросла на 84% порівняно з попереднім роком — значною мірою завдяки автоматизованій генерації переконливих текстів.

Зловмисники використовують ШІ для створення фішингових листів без характерних граматичних помилок, для адаптації повідомлень під конкретну жертву (так званий spear-phishing), для генерації дипфейкових голосових і відео-повідомлень. Окремий бізнес-сегмент на тіньовому ринку — «комплекти дипфейк-особистостей» для фінансового шахрайства й обходу процедур верифікації.

Як захиститися: базовий мінімум для пересічного користувача

Хороша новина: попри ускладнення тіньового ринку, базова гігієна цифрової безпеки залишається ефективною проти переважної більшості атак. Ось мінімум, який варто дотримуватися.

• Використовуйте менеджер паролів і унікальні складні паролі для кожного сервісу. Якщо одне зі сховищ зливається — постраждає лише один акаунт, а не вся ваша цифрова особистість.
• Увімкніть багатофакторну автентифікацію всюди, де це можливо. Бажано — через застосунок-автентифікатор або апаратний ключ, а не через SMS.
• Переходьте на ключі доступу (passkeys) там, де це підтримується. Вони стійкі до фішингу й крадіжки облікових даних інфостілерами.
• Регулярно оновлюйте операційну систему й програмне забезпечення. Більшість успішних атак експлуатує вразливості, для яких уже існують патчі.
• Встановіть надійне антивірусне рішення. Для українських користувачів окрема рекомендація: НЕ використовуйте антивіруси російського походження (Kaspersky, Dr.Web), оскільки вони є джерелом ризиків як для приватності, так і для національної безпеки. Серед перевірених альтернатив — ESET (Словаччина, має офіційне представництво в Україні).
• Не зберігайте чутливі паролі (банкінг, корпоративна пошта, криптогаманці) у браузері. Саме ці дані — основна ціль інфостілерів.
• Будьте критичними до листів і повідомлень із посиланнями, навіть якщо вони здаються офіційними. Російські угрупування періодично видають себе за відомі компанії, включно з Microsoft та Google.
• Регулярно перевіряйте свої e-mail-адреси на сервісах Have I Been Pwned, щоб дізнаватися про потрапляння ваших облікових даних у відомі витоки.
• Не намагайтеся «зайти на даркнет із цікавості». Це не цікава екскурсія, а потенційно небезпечне середовище з шкідливим ПЗ, шахрайськими сторінками й наглядом правоохоронних органів — що погано закінчується для випадкових туристів.

Висновок: чому інформованість важлива більше, ніж будь-коли

Тіньовий ринок кіберзлочинності за останнє десятиріччя пройшов шлях від примітивних форумів до повноцінної підпільної ІТ-індустрії з власною спеціалізацією, фінансовими потоками й корпоративною культурою. Він став дорожчим, складнішим, географічно розмазаним — і водночас доступнішим для входу: підписку на інфостілер сьогодні може купити навіть підліток за 15 доларів.

Боротьба з цією індустрією потребує спільних зусиль урядів, правоохоронців, виробників технологій безпеки й кожного користувача окремо. Великі операції на кшталт Cronos та Endgame показують, що це можливо. Але водночас вони ж демонструють: ринок надзвичайно адаптивний, і кожна знищена платформа замінюється кількома меншими.

Для України, яка перебуває в стані повномасштабної війни, ставка особливо висока: наші персональні й корпоративні дані — це не просто товар на тіньовому ринку, а потенційний інструмент у руках ворога. Тому елементарні правила цифрової гігієни сьогодні — це не параноя, а внесок у безпеку країни.

Ця стаття Вкрадені дані, доступи до серверів і RaaS-сервіси: як влаштований сучасний тіньовий ринок кіберзлочинності раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Apple Watch — це не просто годинник, а повноцінне розширення вашого iPhone на зап’ясті. Він зберігає повідомлення та електронні листи, дає змогу розраховуватися через Apple Pay, відкриває MacBook без пароля, тримає дані про здоров’я та може фіксувати геолокацію. Якщо такий пристрій потрапить до сторонніх рук, наслідки виходять далеко за межі звичайної втрати гаджета. Розповідаємо, які п’ять налаштувань потрібно перевірити просто зараз — незалежно від того, чи це Series 5, Series 10 чи Ultra.

Apple має репутацію компанії, що серйозно ставиться до безпеки своїх пристроїв, і Apple Watch не є винятком. Годинник працює на окремій операційній системі watchOS, яка є відгалуженням iOS і успадкувала більшість її механізмів захисту: апаратне шифрування сховища, ізоляцію застосунків, захист keychain і Secure Enclave для криптографічних ключів.

При цьому Apple щороку інвестує дедалі більше у пошук вразливостей. У листопаді 2025 року компанія оголосила, що максимальна виплата за програмою Apple Security Bounty зросла до 2 мільйонів доларів за ланцюжки експлойтів, порівнянні з атаками комерційного шпигунського ПЗ, а з урахуванням бонусів — понад 5 мільйонів. Це найбільша винагорода в галузі. Усе це працює на користь користувачів watchOS — але лише за умови, що сам пристрій налаштовано правильно.

На жаль, безпека годинника майже повністю залежить від п’яти базових налаштувань, які власники нерідко або взагалі ігнорують, або залишають у стандартному вигляді. Розберімо кожне з них.

1. Встановіть надійний пароль — і відмовтеся від чотиризначного коду

Під час налаштування Apple Watch за замовчуванням пропонує створити чотиризначний PIN-код, який Apple називає «простим кодом» (Simple Passcode). Це найслабша ланка вашої безпеки. По-перше, чотири цифри — це лише десять тисяч можливих комбінацій. По-друге, користувачі дуже часто використовують той самий PIN, що й для банківської картки, SIM-картки чи смартфона. Скомпрометована одна ланка — скомпрометовано все.

Щоб посилити захист, відкрийте на iPhone застосунок Watch, перейдіть до розділу «Код допуску» і вимкніть опцію «Простий код». Після підтвердження поточного коду ви зможете встановити довший пароль — до 10 цифр. На відміну від iPhone, на Apple Watch підтримуються лише числові паролі: літери та спеціальні символи годинник не приймає (через невеликий екран це було б украй незручно). Проте навіть перехід з 4-значного на 6-значний пароль збільшує кількість можливих комбінацій з 10 тисяч до мільйона — і робить атаку методом перебору набагато менш реалістичною.

Не використовуйте дати народження, прості послідовності («1234», «0000», «1111») чи комбінації, які можна знайти у ваших соцмережах — рік закінчення школи, номер квартири, дату весілля. Атакувальник, який отримав фізичний доступ до годинника, насамперед спробує саме ці варіанти.

2. Увімкніть «Стерти дані» після десяти невдалих спроб

Навіть найскладніший пароль не врятує, якщо зловмисник має необмежену кількість спроб. Саме тому в watchOS є функція Erase Data — автоматичне стирання всіх даних з пристрою після десяти послідовних неправильних введень коду.

Apple Watch при цьому не дозволяє атакувальникові підбирати код блискавично: після шостої невдалої спроби між наступними введеннями вмикається затримка щонайменше у 60 секунд. Якщо ж і це не зупинило зловмисника, після десятої помилки годинник повністю обнуляється. Усі дані, токени Apple Pay, повідомлення та збережені паролі знищуються.

Щоб увімкнути цю функцію, відкрийте на iPhone застосунок Watch — Код допуску — Стерти дані. Якщо ви турбуєтеся, що випадково запустите процес самі, пам’ятайте: для цього потрібно ввести десять різних неправильних кодів поспіль. Випадково так не станеться. А ваші дані, до речі, у будь-якому разі залишаються в iCloud-резервній копії — після стирання годинник можна повторно з’єднати з iPhone і відновити.

3. Увімкніть «Виявлення руки» — і не вимикайте його

Wrist Detection (Виявлення руки) — це один із найпотужніших механізмів захисту watchOS, який багато користувачів вимикають через незручність. Не робіть цього. Коли функція активна, Apple Watch автоматично блокується, щойно ви знімаєте його з руки. Зловмисник, який стягне годинник із вашого зап’ястя, отримає не робочий пристрій, а заблокований шматок алюмінію або титану.

Більше того, без Виявлення руки не працюватиме автоматичне блокування, ускладниться авторизація Apple Pay (доведеться щоразу вводити пароль), вимкнеться неперервний моніторинг серцевого ритму та скасується автоматичний виклик екстрених служб у разі падіння. Тобто вимикаючи цю функцію, ви втрачаєте одразу і безпеку, і здоров’я.

Виявлення руки вмикається у Watch — Код допуску — Виявлення руки. У парі з ним зазвичай працює опція Unlock with iPhone (Відмикати з iPhone) — годинник автоматично розблоковується, коли ви розблоковуєте телефон, але лише за умови, що він на вашому зап’ясті. Це безпечне поєднання зручності та захисту.

4. Перевірте, що ввімкнено Activation Lock — навіть якщо ви ніколи його не налаштовували

Activation Lock (Блокування активації) — це функція, яка перетворює викрадений Apple Watch на безкорисний шмат металу. Якщо вона активна, ніхто не зможе скинути ваш годинник до заводських налаштувань і прив’язати до іншого Apple ID без вашого пароля від облікового запису. Тобто навіть якщо зловмисник стер пристрій, він не зможе ним користуватися.

Хороша новина в тому, що Activation Lock умикається автоматично, щойно на парному iPhone активовано «Локатор» (Find My). Поганих новин дві. Перша: багато користувачів цю опцію навіть не активували. Друга: за окремих сценаріїв, наприклад при відновленні з iCloud-резервної копії на новий iPhone, налаштування може скинутися без вашого відома.

Перевірити статус просто. На iPhone відкрийте Параметри — натисніть на ваше ім’я зверху — Локатор — Де iPhone. Переконайтеся, що увімкнено Де iPhone, Мережа Локатора та Надсилати останнє місце. Останній параметр особливо корисний: коли акумулятор годинника майже сів, пристрій встигне передати свої останні координати в iCloud, і ви побачите їх навіть після того, як він повністю розрядиться.

5. Налаштуйте «Локатор» і втрачений режим — поки годинник на руці, а не після крадіжки

Усі попередні поради працюють превентивно. А що робити, якщо Apple Watch уже зник? Тут у пригоді стане застосунок «Локатор» — наступник старого Find My iPhone, який тепер охоплює всі ваші пристрої Apple, разом із годинником, навушниками AirPods і навіть друзями, з якими ви ділитеся локацією.

Якщо ви загубили годинник у квартирі, відкрийте «Локатор» на iPhone або зайдіть на icloud.com у вкладку Find Devices, виберіть Apple Watch і натисніть Відтворити звук — пристрій почне пищати, навіть якщо звук був вимкнений. Якщо ж годинник зник за межами помешкання, увімкніть Режим втрати. Він зробить три ключові речі: автоматично заблокує годинник, відключить Apple Pay, щоби ним не змогли скористатися для покупок, і виведе на екран ваше повідомлення з номером телефону, за яким може зв’язатися чесний знахідник.

Якщо є впевненість, що годинник украдено та повернути його не вдасться, скористайтеся опцією Стерти — вона видалить усі дані віддалено. Activation Lock залишиться, тож пристрій усе одно буде непридатним до перепродажу. Але робити це варто лише в крайньому разі: після віддаленого стирання знайти годинник через геолокацію вже неможливо.

Бонус: оновлення watchOS — це теж захист

Apple регулярно випускає оновлення watchOS, які закривають свіжовиявлені вразливості. У 2025 році разом із watchOS 26 компанія додала підтримку постквантового шифрування ML-KEM-1024 для зв’язку між годинником та iPhone — це рівень захисту, який буде стійким навіть проти майбутніх квантових комп’ютерів. Але всі ці зусилля марні, якщо ви ігноруєте сповіщення про оновлення.

Перевірити наявність оновлення можна на iPhone у Watch — Загальні — Оновлення ПЗ. Або просто увімкнути автоматичні оновлення там само — і годинник встановлюватиме свіжі версії watchOS уночі, поки заряджається. Це найпростіший спосіб не випадати з циклу безпекових патчів.

Жодне з цих п’яти налаштувань не вимагає технічних знань і не займе більше десяти хвилин. Але разом вони перетворюють Apple Watch із потенційного джерела витоку даних на пристрій, який буде стійким до більшості реальних загроз — від банальної крадіжки до спроб несанкціонованого доступу до Apple Pay чи здоров’я. Витратьте ці десять хвилин просто зараз. Завтра може бути запізно.

Ця стаття Як захистити Apple Watch: 5 налаштувань, які варто перевірити просто зараз раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Офіційний npm-пакет Bitwarden CLI протягом приблизно півтори години 22 квітня 2026 року містив шкідливий код, здатний викрадати облікові дані розробників і поширюватися на інші проєкти. Bitwarden підтвердила інцидент і запевнила, що дані сховищ користувачів не постраждали.

Що сталося

За даними дослідників із компаній Socket, JFrog та OX Security, зловмисники завантажили до реєстру npm шкідливу версію пакету @bitwarden/cli під номером 2026.4.0. Вона була доступна з 17:57 до 19:30 за східноамериканським часом 22 квітня, після чого її видалили.

Bitwarden підтвердила факт атаки та зазначила, що інцидент зачепив лише механізм розповсюдження через npm — тільки ті, хто завантажив шкідливу версію. Цілісність основного коду Bitwarden CLI та даних у сховищах користувачів порушена не була.

«Розслідування не виявило жодних доказів того, що дані сховищ кінцевих користувачів були доступні або перебували під загрозою, або що виробничі дані чи системи було скомпрометовано. Щойно проблему було виявлено, скомпрометований доступ відкликали, шкідливий npm-реліз деактивували, а заходи з усунення наслідків розпочали негайно», — йдеться в офіційній заяві компанії.

Як здійснювалась атака

За висновком Socket, зловмисники скористалися скомпрометованою GitHub Action у конвеєрі CI/CD Bitwarden, щоб впровадити шкідливий код у npm-пакет CLI.

Згідно з аналізом JFrog, модифікований пакет використовував попередній інсталяційний скрипт і спеціальний завантажувач bw_setup.js, який перевіряв наявність середовища виконання Bun і завантажував його за відсутності. Завантажувач запускав обфускований JavaScript-файл bw1.js, який виступав шкідливим ПЗ для крадіжки облікових даних.

Після запуску шкідливий код збирав широкий спектр секретних даних із заражених систем, зокрема:

• npm-токени
• токени автентифікації GitHub
• SSH-ключі
• хмарні облікові дані AWS, Azure та Google Cloud

Зібрані дані шифрувалися за допомогою алгоритму AES-256-GCM, а потім викрадалися шляхом створення публічних репозиторіїв на GitHub під обліковим записом жертви, де й зберігалися зашифровані дані.

OX Security зауважила, що створені репозиторії містили рядок «Shai-Hulud: The Third Coming» — посилання на попередні атаки на ланцюжок постачання npm, які використовували аналогічний метод і той самий текстовий рядок для ексфільтрації вкрадених даних.

Самопоширення та загроза для CI/CD

Шкідливе ПЗ також мало здатність до самопоширення: за даними OX Security, воно могло використовувати вкрадені npm-облікові дані для визначення пакетів, які жертва має право модифікувати, і впроваджувати до них шкідливий код. Socket також зафіксував, що payload цілеспрямовано атакував середовища CI/CD та намагався зібрати секрети для розширення атаки.

Зв’язок з атакою на Checkmarx

Bitwarden повідомила виданню BleepingComputer, що інцидент пов’язаний з атакою на ланцюжок постачання компанії Checkmarx, яку було розкрито напередодні. Скомпрометований інструмент розробки, пов’язаний із Checkmarx, дозволив зловмисникам зловжити механізмом доставки npm для CLI протягом обмеженого часового вікна.

Socket також підтвердив збіг індикаторів між двома інцидентами. «Зв’язок простежується на рівні шкідливого ПЗ та інфраструктури. У випадку Bitwarden шкідливий payload використовує той самий endpoint audit.checkmarx[.]cx/v1/telemetry, що фігурував в інциденті з Checkmarx. Він також застосовує ту саму процедуру обфускації __decodeScrambled із початковим значенням 0x3039 і демонструє той самий загальний патерн крадіжки облікових даних, ексфільтрації через GitHub та поширення по ланцюжку постачання», — прокоментував Socket.

Обидві кампанії пов’язують із загрозовим актором під назвою TeamPCP, якого раніше ідентифікували в масштабних атаках на ланцюжки постачання Trivy та LiteLLM.

Рекомендації для розробників

Розробникам, які встановлювали пакет у зазначений проміжок часу, фахівці радять вважати свої системи та облікові дані скомпрометованими та негайно замінити всі потенційно відкриті секрети — насамперед ті, що використовуються в конвеєрах CI/CD, хмарних сховищах і середовищах розробки.

Ця стаття Менеджер паролів Bitwarden атаковано через ланцюжок постачання: npm-пакет містив шкідливий код раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Технологія ключів доступу (passkeys) — це справжнє відкриття. Утім, більшість користувачів, як і раніше, покладаються на менеджери паролів, а традиційні паролі залишаються основним способом входу в акаунти. Якщо ключі доступу такі зручні та безпечні, чому паролі нікуди не зникли?

Більшість користувачів досі не розуміють, що таке ключі доступу

Головна проблема — ключі доступу з’явилися ніби нізвідки, без жодного пояснення. Люди продовжували звично користуватися інтернетом, аж раптом під час чергового входу на сайт їм запропонували скористатися passkey. Реакція виявилася передбачуваною: більшість просто натиснули «Пропустити» або будь-яку іншу кнопку, що дозволяла увійти звичним способом.

Ті ж, хто все-таки вирішив розібратися, потрапляли в лабіринт без жодних орієнтирів. Жоден сайт — навіть від великих технологічних компаній — не пропонує зрозумілого пояснення, що таке ключ доступу, як він працює і чому варто ним скористатися. Користувача просто проводять через кроки налаштування, і він опиняється прив’язаний до нового методу захисту, навіть не розуміючи, наскільки той підходить саме для нього.

Чи виправдовує ризик очікуваний результат?

Ще одна суттєва проблема — непослідовність самих веб-сайтів. Замість того щоб зробити ключі доступу обов’язковими, платформи перетворили їх на просто ще один варіант із багатьох. Для порівняння: коли йшлося про запровадження двофакторної автентифікації або вимог до складності паролів, більшість сервісів не соромилися нав’язувати нові правила.

Це демонструє одну з принципових слабкостей системи ключів доступу: passkey прив’язаний до конкретного фізичного пристрою, де зберігається локальний приватний ключ шифрування. Якщо цей пристрій втрачено або він вийшов з ладу, а резервного хмарного копіювання немає — доступ до акаунту може бути назавжди втрачено. Можна мати ключі доступу на кількох пристроях, однак потреба у надійній резервній системі нікуди не зникає.

Коли нову технологію залишають необов’язковою, переважна більшість користувачів обирає звичний шлях і залишається з тим, що вже знайоме.

Технічні труднощі гальмують поширення технології

На практиці використання ключів доступу нерідко пов’язане з більшим числом незручностей, аніж банальне введення коду з автозаповненням пароля. Сканування QR-коду для passkey, збереженого на смартфоні, буває надмірно повільним — і навіть після виконання всіх кроків немає жодної гарантії, що ключ доступу спрацює. Трапляється, що сайт повідомляє про непридатність passkey лише наприкінці процедури, змушуючи користувача все одно вдаватися до пароля з двофакторною автентифікацією.

Саме через ці збої багато хто змушений створювати ключі доступу відразу на кількох пристроях — адже той, що зберігається безпосередньо на пристрої, зазвичай надійніший. Водночас таке розпорошення ключів по різних гаджетах само по собі є джерелом занепокоєння щодо безпеки.

Шлях найменшого опору: чому паролі нікуди не зникають

Ключі доступу — це крок у правильному напрямку, однак їхнє впровадження виявилося далеким від ідеалу. Проблема не в самій технології, а в людській психології: коли перед користувачем постає вибір між чимось новим і незнайомим та тим, що вже звичне й перевірене, він майже завжди обирає друге. Саме це стримує масове поширення passkeys — не технічні обмеження, а передбачувана поведінка людей, яку розробники технології, схоже, недооцінили.

Ця стаття Ключі доступу проти паролів: чому нова технологія програє звичці раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Роками експерти з кібербезпеки радили одне й те саме: робіть паролі довшими. Додавайте більше символів, вставляйте спеціальні знаки, змішуйте великі та малі літери — і ви будете в безпеці онлайн.

Однак у міру того, як атаки на паролі стають дедалі витонченішими, а інструменти на кшталт менеджерів паролів набувають широкого поширення, довші паролі не завжди є найкращим рішенням для захисту приватності.

Довжина має значення, але спосіб створення та управління паролем часто не менш важливий, а іноді й важливіший.

Довгий пароль, який легко передбачити або який використовується для кількох облікових записів, все одно можна зламати, викрасти чи використати зловмисниками. Натомість коротший пароль, згенерований і збережений належним чином, може забезпечити надійніший захист.

Розглянемо, як насправді працює довжина пароля, де вона допомагає, де ні, і що натомість рекомендують експерти з безпеки.

Чому довші паролі зазвичай безпечніші

Надійність пароля значною мірою залежить від ентропії — показника того, наскільки складно пароль вгадати. Чим більше символів містить пароль, особливо якщо вони випадкові, тим більше комбінацій доведеться перебрати зловмиснику.

Щоб зламати методом грубої сили з використанням сучасних обчислювальних потужностей 16-символьний пароль із випадкових літер, цифр і спеціальних знаків (наприклад, v9$QmR!2Zp#L8w@D) може знадобитися століття. Для порівняння, восьмисимвольний пароль (S3cur3!9), навіть складний, може бути зламаний за кілька годин чи днів, якщо зловмисники матимуть доступ до сучасних інструментів злому.

Саме тому такі організації, як Національний інститут стандартів і технологій (NIST) — федеральне агентство, що встановлює рекомендації з кібербезпеки для урядових установ і технологічних компаній, — рекомендують використовувати довгі паролі або парольні фрази замість коротких складних паролів.

Коли довгі паролі не допомагають

Сама по собі довжина не врятує, якщо пароль передбачуваний. Довгий пароль на кшталт PasswordPassword123! набагато легше зламати, ніж коротший, але повністю випадковий.

Ще одна поширена проблема — повторне використання довгих паролів для кількох облікових записів. Якщо один сайт зазнає витоку даних, зловмисники часто намагаються використати ті самі облікові дані в інших місцях — тактика, відома як credential stuffing (підстановка облікових даних). У такому випадку навіть дуже довгий і складний пароль практично не забезпечує захисту.

Фішингові атаки також повністю обходять фактор довжини пароля. Якщо користувача обдурили і він ввів свої облікові дані на фальшивій сторінці входу, зловмисникам не потрібно нічого зламувати — жертва сама віддає їм пароль.

Парольна фраза: легше запам’ятати, складніше вгадати

Популярною альтернативою традиційним паролям є парольна фраза — рядок непов’язаних слів, наприклад river-battery-moon-carpet (річка-батарея-місяць-килим). Оскільки парольні фрази довгі й не покладаються на передбачувані заміни, їх значно складніше зламати методом грубої сили порівняно з короткими складними паролями, і водночас їх легше запам’ятати.

Національний центр кібербезпеки Великобританії (NCSC) активно пропагує метод “три випадкових слова” як ефективний спосіб створення надійних паролів. Цей підхід працює з кількох причин:

Довжина та складність. Три випадкових слова створюють довший пароль, який важче зламати, водночас уникаючи передбачуваних шаблонів заміни символів.

Легке запам’ятовування. На відміну від складних комбінацій символів, парольні фрази з випадкових слів набагато легше запам’ятати навіть людям, які не вважають себе технічно обізнаними.

Універсальність. Можна використовувати текст з пісні чи вірша, цитату з фільму, уривок з книги або створити абревіатуру з речення — головне, щоб це мало значення для користувача, але було непередбачуваним для зловмисників.

Парольні фрази особливо добре підходять для речей, які потрібно пам’ятати, наприклад головного пароля для менеджера паролів або входу в пристрій.

Менеджери паролів — золотий стандарт безпеки

Водночас експерти з безпеки, зокрема Агентство з кібербезпеки та захисту інфраструктури (CISA), загалом погоджуються, що випадково згенеровані паролі, збережені в менеджері паролів, залишаються золотим стандартом. Вони поєднують довжину, випадковість і унікальність, не змушуючи покладатися на пам’ять.

Компроміс полягає в тому, що користувач довіряє одному інструменту охорону багатьох облікових записів, що робить особливо важливим захист головного пароля, увімкнення двофакторної автентифікації та підтримку актуальності параметрів відновлення.

NCSC також критикує політики примусової зміни паролів, оскільки вони спонукають користувачів створювати невеликі варіації існуючих паролів замість справді нових. Експерти рекомендують зберігати паролі в менеджері паролів, браузері або навіть на аркуші паперу — головне, щоб вони були унікальними та надійними.

Що варто робити насправді

Довгі паролі кращі, але лише коли вони унікальні, випадкові та належно керовані. Найбезпечніше налаштування для більшості людей виглядає так:

• Використовуйте менеджер паролів для генерації та зберігання довгих унікальних паролів
• Створіть надійний головний пароль або парольну фразу з кількох випадкових слів, яку легко запам’ятати
• Увімкніть двофакторну автентифікацію скрізь, де це можливо
• Уникайте повторного використання паролів, незалежно від їхньої довжини
• Змінюйте паролі, які потрапили у витік даних, навіть якщо вони були довгими
• Остерігайтеся фішингових листів і фальшивих сторінок входу, які повністю обходять надійність пароля
• Використовуйте passkey (ключі доступу), коли це можливо — вони замінюють паролі біометричним входом або входом на основі пристрою, які неможливо викрасти фішингом чи зламати грубою силою

Як і в більшості питань кібербезпеки, безпека паролів — це не одне ідеальне правило, а багаторівневий захист: коли один рівень не спрацьовує, інші все одно тримають оборону.

Ця стаття Найкращий пароль: парольна фраза чи складна комбінація символів? раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Якщо ви стежили за новинами останніх тижнів, то могли помітити, що в легендарному паризькому Луврі сталося одне з найзухваліших пограбувань останнього часу. Злочинці викрали коронні прикраси віком у кілька століть, які досі не знайдено.

За результатами розслідування служби безпеки, паролем до системи відеоспостереження музею було слово «Louvre» — ненабагато краще за стандартне «password». Схоже, цей злочин століття більше нагадує аматорську спробу хакерської атаки. Як зазначають експерти з кібербезпеки, надійні паролі — це критично важливо.

Французька газета Libération повідомляє, що численні перевірки систем безпеки музею виявили кричущі недоліки. Зокрема, аудит 2014 року, проведений національним агентством кібербезпеки Франції, підтвердив: паролем системи відеоспостереження Лувру справді було «Louvre».

Наступні перевірки виявили «серйозні прогалини» в роботі систем музею. Зокрема: легкий доступ на дахи під час будівельних робіт і програмне забезпечення безпеки віком понад двадцять років, яке вже не підтримується розробником. Ситуація нагадує офіси, де досі працює один комп’ютер з Windows 98 для старої системи обліку.

Наразі невідомо, які саме фактори призвели до прориву безпеки під час пограбування, хоча розслідування ведуть десятки фахівців. Злочин стався о 9:30 ранку місцевого часу в неділю, коли музей працював. Невелика вантажівка з механічною драбиною під’їхала до будівлі, четверо злочинців  електроінструментами проникли до галереї через другий поверх.

Хоча злочинці погрожували охоронцям і відвідувачам, ніхто не постраждав. Грабіжники покинули музей за чотири хвилини й зникли в Парижі. Вся операція тривала лише вісім хвилин.

Після інциденту багато говорять про безпеку музею — і це цілком зрозуміло, — проте немає жодних ознак того, що система відеоспостереження була зламана або не працювала під час пограбування 2025 року. Проведено арешти, на момент публікації обвинувачення висунуто чотирьом особам. Коштовності вартістю в десятки мільйонів доларів досі не знайдено. Лувр неодноразово ставав місцем резонансних пограбувань — найвідоміше сталося 1911 року, коли викрали «Мону Лізу». Попереднє пограбування відбулося 1998 року.

Ця стаття Паролем системи відеоспостереження Лувру було слово «Louvre», а ПЗ не оновлювалось понад 20 років раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Дослідник розробив експлойт, який перехоплює автентифікацію через ключі допуску. Експлойт залежить від нетривіальної комбінації наявних умов. Ні самі ключі допуску, ні протокол не виявилися уразливими.

На цьогорічній конференції DEF CON у Лас-Вегасі дослідник кібербезпеки Марек Тот продемонстрував, як зловмисники можуть використовувати атаку clickjack для приховано запуску та перехоплення церемонії автентифікації на основі ключів допуску, — пише ZDNET.

У широкому розумінні це історія про те, як менеджери паролів можуть бути обмануті для розкриття інформації для входу — чи то традиційних облікових даних, таких як ідентифікатори користувачів та паролі, чи артефактів, пов’язаних із ключами допуску — зловмисним акторам.

Чи винні менеджери паролів? Тот — дослідник, який виявив експлойт — припускає, що так, але відповідь складніша.

Повний захист будь-якого автоматизованого процесу неминуче є результатом багаторівневої безпеки. У переважній більшості випадків використання, де цифрова безпека має значення, майже ніколи не існує єдиної “срібної кулі”, яка відбиває хакерів. Залежно від рівнів технологій, які поєднуються для завершення робочого процесу (наприклад, вхід на веб-сайт), відповідальність за безпеку цього процесу розподіляється між сторонами, які контролюють кожен із цих рівнів.

Так, менеджери паролів є одним рівнем у зупинці експлойту. Але оператори веб-сайтів та кінцеві користувачі — сторони, які контролюють інші рівні — повинні бути дуже необачними щодо безпеки заради зручності, щоб експлойт спрацював. Немає сенсу шукати винних. Усі сторони на кожному рівні повинні вжити заходів безпеки.

Основні ідеї ключів допуску

Щоліта індустрія кібербезпеки збирається в Лас-Вегасі на послідовні конференції Black Hat та DEF CON, де дослідники безпеки по черзі представляють свої “великі розкриття”. Протягом року, що передує заходу, ці дослідники працюють над виявленням нових, незареєстрованих уразливостей. Чим більша уразливість і чим більше користувачів постраждало, тим більша увага (і, можливо, фінансова винагорода) чекає дослідника.

Цього року кілька дослідників оголосили про низку проблем, які поставили під сумнів передбачувану перевагу ключів допуску як облікових даних для входу.

На Cybercalm ми багато писали про ключі допуску та про те, чому з точки зору безпеки та технічної перспективи вони набагато кращі за ідентифікатори користувачів та паролі (навіть коли задіяні додаткові фактори автентифікації).

Три основні ідеї ключів допуску:

1. Їх неможливо вгадати так, як часто можна вгадати паролі
2. Один і той самий ключ допуску не може бути повторно використаний на різних веб-сайтах та програмах (як це можливо з паролями)
3. Вас не можуть обманути, щоб ви розкрили свої ключі допуску зловмисникам (як це можливо з паролями)

На жаль, незважаючи на їх перевагу, досвід користування ключами допуску настільки сильно відрізняється від одного веб-сайту та програми до іншої, що ключі допуску ризикують бути глобально відхилені користувачами. Незважаючи на ці бар’єри для впровадження, і в ім’я максимального захисту себе (часто від себе), моя рекомендація залишається: користуйтесь ключами допуску, коли це можливо.

Суть атаки

Хоча експлойт відбувається миттєво, він включає складний набір взаємодій та передумов, які разом створюють серію нетривіальних перешкод для шансів зловмисника на успіх. По суті, експлойт Тота ніколи не краде ключ допуску користувача (одна з основних засад ключів допуску полягає в тому, що їх неможливо вкрасти). Але він по суті краде найкращу альтернативу.

У той момент, коли користувача обманом змушують ненавмисно автентифікуватися на веб-сайті з ключем допуску, експлойт перехоплює пакет інформації, який було виготовлено менеджером паролів користувача за допомогою його ключа допуску до цього сайту. Цей пакет називається PublicKeyCredential, і він схожий на одноразовий “золотий квиток”, який містить все необхідне для входу користувача в свій обліковий запис на легітимному веб-сайті. Як тільки зловмисник отримує цей “золотий квиток”, його можна використати для входу системи зловмисника в обліковий запис жертви, ніби система зловмисника є системою жертви.

І саме це робить цей експлойт.

Після завантаження шкідливого ПЗ в браузер жертви, експлойт — зловмисний міжсайтовий скрипт (XSS) — перехоплює той “золотий квиток” і замість того, щоб представити його для входу на легітимний сайт (як зазвичай робить браузер користувача на запит менеджера паролів), відправляє його на веб-сайт зловмисника. Потім, з цим “золотим квитком” в руках, зловмисник подає той самий квиток зі своєї системи на легітимний веб-сайт, фактично входячи системою зловмисника в обліковий запис користувача на легітимному веб-сайті.

Хто винен?

Але як зазначалося раніше, відкриття Тота залежить від попереднього існування кількох умов, що стосуються веб-сайту, вибору менеджера паролів користувачем, налаштувань цього менеджера паролів та вибору технології оператором веб-сайту для додавання можливості автентифікації з ключем допуску.

Хоча Тот вказує пальцем на менеджери паролів, я вважаю, що оператор веб-сайту був би здебільшого винним, якби справжній зловмисник використав цей експлойт у реальному світі.

Існує два налаштування, які зупиняють атаку і про які повинен знати кожен професійний оператор веб-сайту:

Прив’язка до сесії: коли веб-сервер налаштований на включення спеціального заголовка під час спроби користувача автентифікуватися з ключем допуску, він постійно прив’язує виклик до певного ідентифікатора сесії. Це робиться за допомогою параметра set-cookie:

Set-Cookie: session_id=123456789abcdefg; HttpOnly

Коли параметр HttpOnly включений, ідентифікатор сесії стає невидимим для будь-якого JavaScript — легітимного чи зловмисного. В результаті, навіть якби зловмисний JavaScript переслав перехоплений “золотий квиток” системі зловмисника, він був би безкорисним без відсутнього ідентифікатора сесії.

Цю “прив’язку до сесії” автентифікаційної розмови між веб-сайтом та браузером кінцевого користувача протягом віків вважають основною лінією захисту від такої атаки. Нездатність оператора веб-сайту захистити свої процеси автентифікації за допомогою цієї простої, добре відомої найкращої практики була б розглянута більшістю професіоналів кібербезпеки як вкрай недбала.

Рівні захисту

Але припустімо, як це робить Тот, що оператор веб-сайту катастрофічно проігнорував одну з найважливіших і найвідоміших технік захисту робочого процесу автентифікації. Експлойт Тота все ще включає деякі інші нетривіальні передумови.

Шкідливий скрипт: перша з них включає встановлення шкідливого скрипта в ваш веб-браузер. Тот зазначає, що сайти, які включають значну кількість контенту, створеного користувачами, є улюбленою мішенню зловмисників, оскільки вони можуть додавати скрипти до публікації чи відгуку.

Clickjack-атака: припускаючи, що користувач натрапляє на такий сайт і завантажує шкідливий скрипт у свій браузер, скрипт повинен приховано обманути користувача, щоб він ненавмисно запустив процедуру автентифікації.

Як випливає з фрази, clickjack-атака відбувається, коли зловмисник обманює вас, щоб ви натиснули на елемент, який може бути для вас невидимим. У експлойті Тота зловмисний JavaScript малює вікно браузера з начебто невинним діалогом, як реклама чи форма згоди на cookies — те, що ми бачимо постійно і просто хочемо прибрати з екрана. Однак коли ми натискаємо на цей елемент, щоб позбутися його, ми насправді не усвідомлюємо, що натискаємо на щось інше, що було приховано за ним.

Плюси та мінуси додаткових запитів

Коли прихильники описують ключі допуску як більш безпечні за традиційні облікові дані, вони часто говорять про те, як процес ключа допуску такий же простий, як вхід у телефон за допомогою біометричних даних або PIN-коду.

Однак це головним чином стосується випадків, коли ваш менеджер паролів також налаштований вимагати біометричні дані або PIN для кожної спроби автентифікації. Оскільки деякі користувачі не хочуть, щоб їх турбували цим додатковим рівнем безпеки кожного разу, коли вони входять на веб-сайт, більшість менеджерів паролів дають користувачам можливість пом’якшити це нагадування.

Пригадайте, що експлойт Тота залежить від того, щоб користувача обманом змусили ненавмисно автентифікуватися з веб-сайтом. Якщо ваш менеджер паролів налаштований, як мій — вимагати PIN або біометричні дані для дозволу будь-якої церемонії автентифікації — ви миттєво зрозумієте, що щось не так.

Ядерна опція

Однак навіть коли користувачі нехтують захистом своїх систем, оператори веб-сайтів мають спеціальну “ядерну опцію” в своєму розпорядженні.

Коли сторона, яка покладається на автентифікацію, надсилає згаданий вище виклик менеджеру паролів як частину пакета PublicKeyCredentialRequestOptions, вона також може включити спеціальний прапор під назвою параметр userVerification. Цей параметр допускає три можливі налаштування: Discouraged (Не рекомендується), Preferred (Бажано) та Required (Обов’язково).

Якщо сторона встановлює прапор userVerification на “Required”, менеджер паролів зобов’язаний запитати у користувача біометричні дані, PIN або пароль незалежно від того, як користувач налаштував цей менеджер паролів. Іншими словами, оператор веб-сайту має спосіб примусити користувача отримати запит таким чином, щоб це попередило його про неочікувану поведінку веб-сайту.

Покращення з боку менеджерів паролів

Щоб ваш менеджер паролів робив те, що він робить, ви повинні надати йому такі дозволи, які ви практично ніколи не повинні давати жодному іншому розширенню веб-браузера. Ваш менеджер паролів може не тільки читати весь контент кожної веб-сторінки, яку ви відвідуєте, але й модифікувати його. І завдяки цим дозволам ваш менеджер паролів також може виявити ознаки clickjack-атаки в процесі.

Не дивно, що оновлені версії їхнього програмного забезпечення розробляються або вже випущені:

• Bitwarden впровадив заходи протидії цьому класу атак у найновіших релізах минулого тижня
• 1Password випустив версію 8.11.7 20 серпня 2025 року, яка додає можливість для користувачів отримувати сповіщення та схвалювати або відхиляти дії автозаповнення
• NordPass тепер рендерить іконки з найвищим z-index, запобігаючи накладенню чого-небудь поверх них
• LastPass також посилив свій захист від потенційних clickjack-атак

Висновки

Незважаючи на потенціал для зловмисника перехопити церемонію автентифікації з ключем допуску після виконання нетривіальних передумов, експлойт Тота надає додаткові докази того, що ключі допуску більш безпечні за традиційні облікові дані.

Прив’язка до сесії робить одноразовий “золотий квиток”, згенерований ключем допуску, непридатним для використання із системи зловмисника. Однак це нічого не робить для зупинки вилучення зловмисником ідентифікатора та пароля користувача, коли clickjack-атака Тота стикається зі спробою автентифікації з цими традиційними обліковими даними порівняно з більш чутливими до часу та безпечними ключами допуску.

Ця стаття Ваші ключі допуску можуть бути уразливими до атак — дослідження раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Творці Proton VPN випустили 2FA  додаток, який доступний для всіх основних платформ. Proton Authenticator простий у використанні, елегантний і безкоштовний.

Якщо ви не використовуєте ключі допуску (passkeys), двофакторну автентифікацію (2FA) слід вважати обов’язковою для безпеки та конфіденційності. Коли ваш основний доступ до інтернету — це телефон, ви, ймовірно, користуєтесь такими інструментами як Authy або Google Authenticator.

Але що робити, коли ви працюєте на комп’ютері? Чим користуватися тоді?

Існують варіанти, які з’явилися давно (наприклад, Bitwarden, Authy або Authenticator), а також є новий варіант від творців Proton VPN. Це рішення має назву Proton Authenticator і швидко стало одним з моїх улюблених додатків 2FA для настільних комп’ютерів.

Ви можете запитати: “Чому б просто не взяти телефон, коли потрібен код 2FA?” По-перше, коли я працюю на комп’ютері, ефективніше відкрити додаток безпосередньо на ньому. По-друге, іноді телефон може бути не під рукою, і я не хочу його шукати заради коду 2FA.

Новий Proton Authenticator доступний для Linux, macOS, Windows, Android, iOS та iPadOS.

Чому Proton Authenticator став моїм вибором

Що можна сказати про додаток 2FA? Він дозволяє створювати облікові записи, для яких ви матимете коди з обмеженим часом дії для додаткового рівня безпеки. Але що робить Proton Authenticator моїм новим основним інструментом для 2FA?

По-перше, я можу використовувати його не тільки на комп’ютері, але й на телефоні, і всі облікові записи, які я додав до додатку, синхронізуються між пристроями. Це важливо, коли я переходжу з комп’ютера на телефон (або навпаки) і не хочу перемикатися між різними додатками 2FA.

Ще одна причина — інтерфейс Proton Authenticator один з найкращих, які я використовував для 2FA. Він простий, елегантний і дуже зручний. Що ще краще, інтерфейс схожий як для настільної, так і для мобільної версії, тож освоївши одну, ви знатимете іншу.

Proton Authenticator дуже простий у використанні. Натисніть “Додати”, щоб створити новий запис, заповніть необхідні поля (Назва, Секретний ключ та Видавець), натисніть “Зберегти код” — і готово. Єдина різниця між використанням настільної та мобільної версії полягає в тому, що в настільному додатку потрібно вручну вводити секретний ключ (зазвичай показаний під QR-кодом для вашого облікового запису), а мобільний додаток дозволяє сканувати QR-код камерою телефона.

Розширені можливості налаштування

Під час створення нового запису ви також знайдете розділ “Розширені параметри” (Advanced options), який дозволяє налаштувати кількість цифр для коду (зазвичай 6), часовий інтервал дії кожного коду (за замовчуванням 30 секунд), алгоритм та тип (TOTP або STEAM — TOTP використовується найчастіше).

Параметри конфігурації

Proton Authenticator має кілька корисних опцій у налаштуваннях (натисніть значок шестерні в головному вікні).

У налаштуваннях можна увімкнути “Синхронізацію між пристроями” (за замовчуванням вимкнена), блокування додатку, приховування кодів (ви не бачитимете коди, але якщо натиснете на один з них, він скопіюється в буфер обміну), резервне копіювання, тему, стиль цифр, анімацію зміни коду, імпорт/експорт та параметри підтримки.

На мобільному пристрої також можна увімкнути біометричне розблокування, що є плюсом для безпеки.

Обліковий запис не обов’язковий

Ви можете користуватися Proton Authenticator безкоштовно (як на комп’ютері, так і на мобільному). Обліковий запис потрібен лише для синхронізації між пристроями. Навіть якщо ви використовуєте Proton Authenticator безкоштовно, в ньому немає реклами, додаток не відстежує вас і не ділиться телеметрією з компанією.

Якщо ви втомилися від поточного додатку 2FA, можете імпортувати всі записи в Proton Authenticator. Підтримуються такі додатки 2FA: Google Authenticator, Aegis Authenticator, Bitwarden Authenticator та LastPass Authenticator. На жаль, Authy та Microsoft Authenticator не підтримуються для цієї функції.

Встановлення

Встановлення Proton Authenticator просте:

• Linux: завантажте .deb або .rpm з офіційної сторінки завантаження та виконайте команду встановлення (наприклад, sudo dpkg -i ProtonAuthenticator*.deb)
• macOS та Windows: завантажте інсталятор, двічі клацніть на ньому та пройдіть простий майстер встановлення
• Android/iOS/iPadOS: знайдіть Proton Authenticator в магазині додатків вашого телефона та встановіть його

Після встановлення відкрийте додаток і почніть додавати облікові записи.

Я користуюся Proton Authenticator з моменту випуску версії 1.0 і поступово мігрую з Authy та Google Authenticator до свого нового улюбленого рішення за замовчуванням.

Ця стаття Чи варто переходити на новий 2FA додаток від Proton? ОГЛЯД раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Популярний менеджер паролів Dashlane кардинально змінює свою бізнес-модель, залишивши мільйони безкоштовних користувачів перед складним вибором.

КЛЮЧОВІ ТЕЗИ

Що відбувається?

Dashlane, один із найпопулярніших у світі менеджерів паролів, надіслав своїм користувачам повідомлення про закриття безкоштовного тарифу. Поточні користувачі Free-плану мають час лише до 16 вересня — приблизно шість тижнів від дати оголошення — щоб перейти на платну підписку або експортувати свої дані.

Компанія називає це “оптимізацією” лінійки персональних продуктів, оскільки фокусується на розширених рішеннях безпеки для бізнес-клієнтів. Раніше Dashlane вже припинила щомісячну підписку, залишивши лише річні тарифи.

Хто постраждає?

Точна кількість користувачів, яких торкнуться зміни, невідома. Безкоштовний план Dashlane мав серйозні обмеження:

• Використання лише на одному пристрої
• Максимум 25 збережених облікових даних

Це не варіант для активних користувачів, але підходив тим, хто рідко користується інтернет-сервісами.

Конкуренти виграють

Основним бенефіціаром змін стане Bitwarden — компанія пропонує “назавжди безкоштовний” продукт з більшістю функцій платних конкурентів. Преміум-версія коштує лише $10 на рік.

Порівняння безкоштовних планів:

• LastPass Free: один тип пристрою (комп’ютер АБО мобільний), необмежена кількість паролів
• NordPass Free: необмежена кількість паролів, але вимагає виходу з одного пристрою перед входом в інший
• Keeper Free: до 10 паролів на одному мобільному пристрою

Що робити користувачам Dashlane?

Поточна ситуація

Всі безкоштовні користувачі автоматично переведені на пробну версію Premium з пропозицією:

• 50% знижки на Dashlane Premium (зазвичай $60/рік)
• 50% знижки на Friends & Family (зазвичай $90/рік)
• Пропозиція діє до 12 серпня
• Знижка лише на перший рік, потім — повна ціна

Компанія опублікувала FAQ про припинення безкоштовного плану.

Після 16 серпня

Користувачі, які не оновили підписку:

• Не зможуть редагувати або переглядати збережені дані
• Зможуть експортувати вміст сховища протягом року
• 12 вересня 2026 року — остаточне видалення неактивних сховищ

Інструкція з експорту даних

На комп’ютері:

1. Відкрийте веб-додаток Dashlane
2. Перейдіть до Мій обліковий запис → Налаштування
3. Виберіть Експорт даних → Експорт у CSV
4. Підтвердьте майстер-паролем або біометрією
5. Файл збережеться в папку завантажень

На мобільному:

Аналогічні кроки через мобільний додаток Dashlane.

⚠️ Важливо знати

• CSV-файл не зашифрований — будь-хто може прочитати його вміст
• Passkeys не експортуються — їх потрібно перенести окремо
• Вкладення зберігаються окремо
• Після імпорту в новий менеджер видаліть CSV-файл

Висновок редакції

Рішення Dashlane відображає загальну тенденцію IT-індустрії до монетизації безкоштовних сервісів. Користувачам варто розглянути альтернативи, особливо Bitwarden, який пропонує найкращий безкоштовний функціонал на ринку.

Ця стаття Dashlane припиняє безкоштовні підписки: у користувачів є місяць на оновлення або міграцію раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Шахрайство з технічною підтримкою є одним із найпоширеніших в Інтернеті. Зазвичай ці шахраї заманюють жертв тим, що у їхнього комп’ютера існує серйозна проблема, подібна до вірусу.

Шахраї також хочуть, щоб їх жертви платили за підтримку, яка їм не потрібна. Такі афери в основному використовують соціальну інженерію і тактику страху, щоб змусити людей проковтнути приманку.

У цій статті розглянемо три основні способи здійснення шахрайства з технічною підтримкою:

• за допомогою телефонних дзвінків;
• спливаючих повідомлень;
• та реклами в Інтернеті поряд зі списками в результатах пошуку в операційних системах Windows або Mac.

Телефонні дзвінки

“Холодні” дзвінки з технічної підтримки трапляються тоді, коли шахрай запевняє цільову особу, що він є частиною команди технічної підтримки такої солідної компанії, як Apple, Microsoft та IBM.

Зазвичай шахраї стверджують, що виявили проблему або на комп’ютері жертви встановлено шкідливе програмне забезпечення. Зазвичай шахрай із технічної підтримки видає себе за комп’ютерного техніка.

Шахраї технічної підтримки часто вимагають віддаленого доступу до комп’ютера цілі та намагаються встановити стороннє програмне забезпечення під приводом спроби запустити діагностичний тест.

Вони також змушують потерпілих платити за вирішення проблеми, якої взагалі не було. Коли особа надає цим шахраям віддалений доступ до їх машини, шахраї фактично встановлюють справжнє шкідливе програмне забезпечення. Як тільки шахрай технічної підтримки отримає віддалений доступ до ПК жертви, він також спробує викрасти всю фінансову інформацію, яку зможе знайти.

Спливаючі попереджувальні повідомлення

Технічна підтримка шахраїв заманює цілі за допомогою спливаючих повідомлень, які з’являються під час перегляду веб-сторінок. Ці спливаючі вікна можуть здаватися повідомленнями про помилки антивірусного програмного забезпечення або операційної системи жертви. Вони також можуть використовувати брендинг відомих компаній чи сайтів.

Також варто зазначити, що ці спливаючі вікна з’являються, коли жертва переглядає веб-сайт, що містить посилання на пов’язаний вміст. Якщо користувач натисне будь-яке з цих посилань, він перенаправить їх на шкідливий веб-сайт, на якому розміщуються спливаючі вікна.

Опинившись там, спливаючі вікна буде дуже важко закрити. У спливаючих попереджувальних повідомленнях, як правило, зазначається, що ПК користувача заражений шкідливим програмним забезпеченням, і пропонується телефонний номер, на який можна зателефонувати за допомогою для видалення шкідливого програмного забезпечення.

Пам’ятайте: справжні повідомлення безпеки та попередження ніколи не вимагатимуть зателефонувати на номер мобільного або стаціонарного телефону!

Інтернет-оголошення та списки на сторінках результатів пошуку

Шахраї технічної підтримки, як правило, розміщують рекламу в Інтернеті, поряд із тим, щоб їх веб-сайти відображалися в результатах звичайного пошуку для отримання технічної допомоги. Потім вони терпляче чекають, поки їм зателефонують користувачі Інтернету.

Наприклад, у шахрайстві з підтримкою Apple фальшивий співробітник служби технічної підтримки зробить дзвінок – використовуючи ідентифікатор абонента, який схожий на дані від Apple. Шахрай проведе вас через встановлення програми на вашому iPhone або ноутбуці Apple, яка надасть їм віддалений доступ до вашого комп’ютера.

Шахрай може також розмістити контактну інформацію, яка відображає на екрані фальшиві спливаючі повідомлення, які можуть спокусити вас зателефонувати їм, вважаючи, що це фактична гаряча лінія підтримки.

Ця афера має на меті змусити вас заплатити передплату для вирішення “проблеми”.

Якщо хтось зателефонує вам і буде стверджувати, що є представником Apple, Microsoft або будь-якої іншої програмної компанії, просто покладіть слухавку. Це найкраще, що ви можете зробити.

Поважні технічні гіганти не ініціюють дзвінки та не надсилають електронні листи, щоб вирішити проблеми на вашому комп’ютері. Apple ніколи не додає телефонні номери до своїх попереджувальних повідомлень – повідомлення повинні створюватися вами.

Бажано переходити на офіційний веб-сайт Apple та переходити на їхню сторінку підтримки, якщо у вас виникають проблеми з пристроєм – і ви можете повідомляти про шахрайство на їх офіційній сторінці підтримки.

Завантажуйте або купуйте програмне забезпечення лише з офіційних веб-сайтів постачальників або магазинів Apple, оскільки веб-сайти третіх сторін можуть бути модифіковані, щоб містити кіберзагрози. Те саме стосується Google та інших компаній.

А що в Україні? Шахрайство з технічною підтримкою OLX

Вже кілька років в Україні існує схема шахрайства, націлена на продавців на торгівельних майданчиках накшталт OLX, Шафа тощо. Незважаючі на те, що OLX, кіберполіція, а також самі потерпілі постійно попереджають користувачів про цю аферу, вона все ще не втратила актуальність і збирає все більше жертв, особливо серед незахищених верств населення – жінок в декреті, людей похилого віку та просто новачків на платформі, які вирішили продати щось із зайвих речей, але ще не встигли ознайомитись з правилами.

Схема доволі проста. Шахраї моніторять нові оголошення на майданчику, особливо ті, де продають коштовні речі. Знаходять в оголошенні номер телефону продавця і пишуть йому в месенджері, зазвичай вони використовують для цього Viber. В переписці цікавляться товаром і пропонують оформити ОЛХ-доставку, після чого кидають посилання на фішинговий сайт, де начебто треба підтвердити угоду та отримати гроші за товар, увівши всі дані своєї картки. Якщо “щось не виходить”, пропонують звертатися до чату техпідтримки, яка допоможе з підтвердженням (Спойлер: ця фальшива техпідтримка допоможе тільки списати всі гроші з вашої картки!).

В переписці “представник техпідтримки” просить вас підвищити ліміт на вашій картці під приводом того, що для верифікації буде заморожена сума вартості товару, а потім гроші повернуться. Так, деякі сервіси і справді тимчасово списують або заморожують суму на картці для верифікації, чим і користуються шахраї, бо людина щось десь чула, що таке буває. АЛЕ! Мова зазвичай йде про 1 гривню, так сервіс може перевірити валідність картки одноразово, наприклад, коли ви прив’язуєте картку до служби таксі. Тут же ситуація зовсім інша, для чого перевіряти і блокувати на вашій картці суму вартості товару? Ви продавець, а значить маєте отримати гроші на картку хоч би на ній був нуль або взагалі кредит. Зазвичай, якщо просто сісти і подумати пару хвилин над тим, що відбувається, можна уникнути шахрайства, але будь-який шахрай буде завжди вас квапити, його ціль – не дати вам час для роздумів або порадитись з кимось більш обізнаним.

Запам’ятайте, якщо вам пишуть у Viber по товару, який ви продаєте і скидають посилання на ОЛХ доставку – це 100% шахраї. ОЛХ наголошує на тому, що всі переписки необхідно вести тільки на платформі, оформлення замовлень також відбувається тільки в онлайн-кабінеті ОЛХ, якщо замовлення там немає, а “покупець” стверджує, що вже оплатив і скидує посилання – це 100% шахрай.

Ось кілька прикладів фішингових сайтів, посилання на які скидають шахраї, але їх може бути безліч. Все що вам потрібно – запам’ятати офіційну адресу сайту та мобільної версії, якщо посилання, що вам скидуютьв переписці, відрізняється хоча б на 1 символ – це спроба фішингу.

Як виявити та уникнути афери технічної підтримки?

Вся справа в здоровому глузді. Вам не потрібно опановувати вищу математику, щоб уберегтися від шахрайства з технічною підтримкою.

Ось кілька порад, які можуть вам допомогти:

Шахрайські телефонні дзвінки

Ви ніколи не отримаєте дзвінків від офіційного провайдера з проханням простягти руку допомоги, щоб вирішити проблеми з вашим комп’ютером. Ви отримаєте телефонний дзвінок, лише якщо ви ініціюєте підтримку.

Що ще важливіше, офіційна підтримка клієнтів для більшості програмних компаній є безкоштовною для абонентів. Якщо ви побачите на своєму комп’ютері спливаюче вікно офіційного продукту будь-якої компанії, на яку ви підписалися, воно не попросить вас зателефонувати на будь-який номер. Коли програмне забезпечення виявляє загрози, воно ніколи не попросить вас зв’язатися за безкоштовним номером.

Шкідливі спливаючі вікна

Уважно перегляньте спливаюче повідомлення, перш ніж вживати заходів. Слідкуйте за ознаками шахрайства або неправильного написання, непрофесійних зображень, мови чи відчуття терміновості.

Ви також можете дослідити номер, вказаний у Google, щоб перевірити, чи він законний, чи ні. Існує безліч веб-сайтів, де люди повідомляють про кібератаки. Якщо це шахрайство, ви знатимете, що спливаюче повідомлення не відповідає дійсності результатів пошуку.

Що робити, якщо вас хтось обдурив

Якщо ви стали жертвою цих шахрайських дій, і ви також заплатили цим шахраям кредитною або дебетовою карткою, ви можете негайно зупинити транзакцію. Зверніться до компанії чи банку вашої кредитної картки: поясніть, що сталося, і запитайте, чи можуть вони повернути гроші назад. А також зверніться з заявою до кіберполіції.

Якщо ви надали віддалений доступ шахраю технічної підтримки, оновіть програмне забезпечення безпеки комп’ютера. Потім запустіть сканування та видаліть усе, що визначено як проблему.

Якщо ви надали свій пароль або ім’я користувача шахраю технічної підтримки, негайно оновіть його. Якщо ви також використовуєте той самий пароль для інших веб-сайтів та облікових записів, змініть його. І завжди рекомендується використовувати двофакторну автентифікацію, а також інший пароль для кожної послуги, якою ви користуєтесь.

Ця стаття Як виявити шахрайство з технічною підтримкою та уникнути його? раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

При такій кількості новин про витоки даних треба бути обережним, щоб не панікувати щоразу, коли чуєте про новий інцидент. Візьмемо останній звіт про масштабний витік.

У заголовку нещодавньої статті, опублікованої Cybernews, йшлося про те, що 16 мільярдів паролів було викрито в рекордному витоку даних, відкривши доступ до Facebook, Google, Apple та будь-якого іншого сервісу. Звучить страшно, чи не так? Але читання самої статті малює іншу картину, – пише ZDNET.

Попри те, що говорить заголовок, повідомлені 16 мільярдів паролів не походять з одного масштабного витоку даних. Навпаки, це базується на 30 різних наборах даних, які Cybernews відстежує з початку 2025 року.

“Наша команда уважно відстежує мережу з початку року”, – заявив Cybernews. “Поки що вони виявили 30 викритих наборів даних, що містять від десятків мільйонів до понад 3,5 мільярда записів кожен. Загалом дослідники виявили неймовірні 16 мільярдів записів.”

Далі в статті Cybernews розкриває, що набори даних були ненадовго викриті, достатньо лише для того, щоб дослідники їх знайшли, але недостатньо довго, щоб з’ясувати джерело даних. Крім того, самі дані не обов’язково нові. Cybernews вказав на набори даних як на суміш інформації з інфостілерів, наборів для перебору облікових даних та переупакованих витоків.

Оскільки витоки походять з кількох наборів даних, ймовірно, в суміші є багато дублікатів записів, що означає, що число 16 мільярдів імовірно завищене.

Крім того, Cybernews звинуватив інші медіа в твердженнях, що облікові дані Facebook, Google та Apple витекли. Але Боб Дьяченко, співавтор Cybernews, дослідник кібербезпеки та власник SecurityDiscovery.com, сказав Cybernews, що не було централізованого витоку даних в жодній з цих компаній. Це не означає, що жодні облікові дані від цих великих технологічних гравців не були включені в набори даних, а просто що самі компанії не постраждали безпосередньо від витоків, в яких дані витекли в цих інцидентах.

Як поводитися з витоками даних

Незважаючи на схильність проголошувати, що небо падає з кожним повідомленням про витік даних, витоки дійсно відбуваються, і вони можуть вплинути на вас.

Вони вражають кожну галузь, кожен сектор і кожну країну. Жертвами витоків можуть бути окремі особи, малі підприємства, некомерційні організації або компанії зі списку Fortune 500.

IBM оцінює, що середня вартість витоку даних у 2024 році для компаній становила 4,9 мільйона доларів, що на 10% більше порівняно з попереднім роком.

Для окремих осіб шкода може бути більш особистою, ніж цифри на балансі. І хоча фінансові витрати можуть бути фактором, окремі жертви можуть зіткнутися з цільовими фішинговими кампаніями, схемами соціальної інженерії, крадіжкою особистості та даних Вони також можуть відчувати тривогу або страх щодо того, як їхні витоки даних будуть використовуватися зараз і в майбутньому.

Як дізнатися, чи були ви залучені до витоку даних

Зазвичай ваш постачальник послуг зв’яжеться з вами через електронну пошту або листи, пояснюючи, що ваша інформація була скомпрометована.

Однак компанії можуть витратити тижні або місяці на те, щоб зв’язатися з вами – якщо взагалі зв’яжуться. На жаль, багато організацій все ще віддають перевагу секретності над захистом споживачів, намагаючись приховати інциденти та захистити свою репутацію.

Тому від вас залежить стежити за новинами про будь-які нещодавно розкриті витоки даних.

1. Have I Been Pwned – ваш головний інструмент

Have I Been Pwned, керований експертом з безпеки Троєм Хантом, – це перший ресурс, який ви повинні використовувати, щоб дізнатися, в які витоки даних ви були залучені та наскільки широко ваші дані витекли.

Пошукова система дозволяє шукати за вашою електронною адресою або номером телефону і позначить будь-які витоки, що містять ваші дані, коли вони відбуваються, перехресно перевіряючи мільярди витоків записів, доданих до бази даних Have I Been Pwned.

Якщо ви введете свої дані та отримаєте зелений екран, вітаємо, ви не були залучені до жодних помітних інцидентів з безпекою даних. Однак, якщо ваші дані були скомпрометовані, ви побачите екран, що повідомляє вам, які витоки вплинули на вас.

2. Менеджери паролів та моніторинг витоків

Якщо ви використовуєте менеджер паролів, він може пропонувати послуги моніторингу витоків, які сповіщатимуть вас, коли ваші паролі викриваються під час витоку даних. Менеджери паролів можуть періодично перевіряти будь-які докази того, що ваші комбінації паролів та електронної пошти з’явилися в мережі або стали доступними в даркнеті, і повідомлятимуть вас про будь-які зміни, про які ви повинні знати.

Якщо ви потрапите в інцидент безпеки, перевірте, де використовується скомпрометований пароль. Ви завжди повинні використовувати різні та міцні, складні паролі для захисту своїх облікових записів (ще одна область, де менеджер паролів може допомогти), і ось чому: як тільки один сервіс скомпрометований, та ж комбінація паролю та користувача може призвести до викритого облікового запису в іншому місці.

Що робити після витоку даних

Те, що ви робите далі, залежить від серйозності та типу витоку даних. Ймовірно, ваша персональна інформація (PII) вже витекла в якійсь формі онлайн щодо основних деталей – таких як ваше ім’я та адреса електронної пошти. У цьому сценарії мало що можна зробити.

Однак, якщо дані вашого онлайн-облікового запису були скомпрометовані, незалежно від того, чи хешуються паролі, ви повинні негайно їх змінити. Крім того, якщо ви винні (як багато з нас) у повторному використанні комбінацій паролів на різних платформах та сервісах, ви повинні негайно їх змінити.

У будь-якому випадку, хороша практика – змінювати свої онлайн-облікові дані принаймні кожні три-шість місяців. Намагайтеся покращувати їх складними комбінаціями. Якщо ви не впевнені, що зможете їх запам’ятати, виберіть менеджер паролів.

1. Двофакторна автентифікація (2FA)

Коли це можливо, увімкніть двофакторну автентифікацію (2FA) – особливо після того, як ви стали жертвою витоку даних.

Двофакторна автентифікація впроваджує другий рівень безпеки на ваших облікових записах, тому якщо ваші облікові дані витекли, зловмисники також потребуватимуть доступ до вашого облікового запису електронної пошти або телефону, щоб отримати код підтвердження, необхідний для доступу до вашого облікового запису. Звичайно, 2FA не є безпомилковим, але це краще, ніж покладатися суто на скомпрометований пароль для захисту вашої приватності.

2. Фізичні ключі безпеки

Розгляньте можливість використання фізичного ключа безпеки для будь-яких центральних “хабових” облікових записів, таких як ваша Gmail або адреса електронної пошти Microsoft.

Ключ безпеки – це один з найнадійніших варіантів безпеки, які ми маємо сьогодні. Може здатися архаїчним використовувати фізичний пристрій для захисту онлайн-облікового запису, але навіть якщо зловмиснику вдається викрасти облікові дані, йому відмовляють у доступі без фізичного ключа, коли він намагається увійти з нового пристрою.

3. Ключі допуску – майбутнє безпеки

Замість того, щоб покладатися на старомодні паролі та коди багатофакторної автентифікації, розгляньте можливість використання ключів допуску всюди і завжди, коли це можливо. Окрім того, що вони набагато безпечніші за паролі, ключі доступу зазвичай легше налаштувати та використовувати.

Розроблений FIDO Alliance, passkey дозволяє вам увійти в обліковий запис, використовуючи PIN-код, біометричний метод, такий як розпізнавання обличчя або відбитків пальців, або фізичний ключ безпеки. Оскільки цей пароль прив’язаний до вас, ви можете використовувати його для входу в той же обліковий запис скрізь.

Як відбуваються витоки даних

Згідно з IBM, найпоширенішим початковим вектором атаки, який кіберзлочинці використовують для проникнення в мережу компанії, є використання скомпрометованих облікових даних.

Ці облікові дані можуть включати імена користувачів та паролі облікових записів, які витекли в мережу, викрадені в окремому інциденті безпеки або отримані через атаки грубої сили, в яких автоматичні скрипти випробовують різні комбінації для злому легко вгадуваних паролів.

Інші потенційні методи атак включають:

• Magecart-атаки: Компанії, такі як British Airways та Ticketmaster, зазнали цих нападів, при яких зловмисний код тихо вводиться в сторінки оплати електронної комерції для збирання інформації про вашу платіжну картку.
• Зловмисний код, введений у домени веб-сайтів та форми: Ті ж тактики можуть використовуватися для захоплення інших форм даних від клієнтів та відвідувачів.
• Шахрайство з підробкою ділової електронної пошти (BEC): BEC-шахрайства вимагають від зловмисника прикидатися співробітником компанії, підрядником або постачальником послуг.
• Внутрішні загрози: Іноді співробітники мають претензії до компанії або кіберзлочинці роблять їм пропозицію, від якої вони не можуть відмовитися.
• Недбалість: Незахищені сервери, залишені відкритими та викритими в мережі, ймовірно, через неправильні конфігурації.
• Потрапляння на спам і фішингові спроби: На індивідуальному рівні кіберзлочинці намагатимуться змусити вас розлучитися з вашою PII та інформацією про обліковий запис.

Як витоки даних впливають на вас

Якщо ви були залучені до витоку даних як користувач або клієнт, ваші записи також могли бути викриті, викрадені або витекли в мережу.

Ваша персональна інформація, включаючи ваше ім’я, фізичну адресу, адресу електронної пошти, історію роботи, номер телефону, стать та копії документів, включаючи паспорти та водійські права, може використовуватися для крадіжки особистості.

Крадіжка особистості – це коли хтось використовує вашу інформацію без дозволу, щоб прикидатися вами. Вони можуть використовувати вашу особистість або фінансові дані для здійснення шахрайства та скоєння злочинів. Це може включати податкове шахрайство, відкриття кредитних ліній та позик на ваше ім’я, медичне шахрайство та здійснення шахрайських покупок в мережі.

На жаль, саме окремі особи мають справлятися з наслідками; знання того, що ви були залучені до витоку даних, – це половина битви. Захист себе шляхом підтримки належної безпеки облікового запису, частої зміни паролів та пильності щодо підозрілих дій – це способи, якими ви можете пом’якшити шкоду, яку можуть завдати ці часті інциденти безпеки.

Ця стаття Витік 16 мільярдів паролів Apple, Google та інших: Що потрібно знати та як захистити себе раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар