Цифрова безпека українців: як розпізнати загрози і захистити себе онлайн. Практичний гід для кожного, хто живе в цифровому світі.

Один клік ‒ і все зникло

Оксані 34 роки. Вона ‒ волонтерка з Харкова, яка координує поставки ліків до прифронтових медичних установ. У серпні 2023 року вона отримала повідомлення від «представника МОЗ» з проханням підтвердити реєстраційні дані для нового реєстру волонтерів. Посилання виглядало офіційно. Форма ‒ ідентична справжній. Вона ввела логін і пароль.

Наступного ранку її Telegram-акаунт розсилав прохання про термінову «фінансову допомогу» всій контактній мережі. Серед тих, хто отримав повідомлення, ‒ військові медики, координатори гуманітарних вантажів і журналісти. Кілька людей переказали гроші. Дехто поділився контактами, які зловмисники вже почали «обробляти».

Оксана зробила все «правильно»: перевірила, чи є замок у рядку адреси, прочитала лист уважно, вирішила, що джерело виглядає надійно. Але вона не знала одного: сучасний фішинг не виглядає підозріло. Він виглядає як правда.

Її історія ‒ не виняток. Це типовий сценарій, який повторюється щодня для тисяч українців. Після повномасштабного вторгнення кіберзагрози стали частиною гібридної війни ‒ і звичайні люди опинилися на її передовій.

Ключові цифри

Карта загроз: хто і як вас атакує

Цифровий простір в Україні є зоною активного гібридного протистояння. Ось чотири головні загрози, з якими стикається пересічний користувач.

Фішинг і соціальна інженерія  [КРИТИЧНО]

Обманні листи, повідомлення та сайти, що маскуються під офіційні організації ‒ держслужби, банки, волонтерські фонди.

Як працює: Зловмисник створює довіру → змушує діяти поспіхом → отримує доступ до вашого акаунту або грошей.

Як зазначає кандидат технічних наук Андрій Губський, найслабшою ланкою безпеки часто є не технології, а людина. Значна частина атак базується на соціальної інженерії - маніпуляціях нашою довірою, емоціями або звчайною неуважністю.

Злам акаунтів і крадіжка даних  [КРИТИЧНО]

Використання слабких або повторюваних паролів. Ваш пароль від «Дії» і від пошти ‒ однаковий? Це серйозна проблема.

Як працює: Злита база → автоматичний перебір → доступ до всіх ваших акаунтів з однаковим паролем

Дезінформація  [НЕБЕЗПЕЧНО]

Фейкові новини про відступ армії, удари, евакуацію. Мета ‒ сіяти паніку, підривати довіру до влади та ЗСУ.

Як працює: Правдоподібний заголовок → емоційний тригер → ви ділитесь → інформація розповсюджується

Шкідливе програмне забезпечення  [НЕБЕЗПЕЧНО]

Програми-шпигуни, вірус-шифрувальники. Поширюються через нібито офіційні посилання та вкладення.

Як працює: Архів «від ТЦК» або «від Дії» → ви відкриваєте → зловмисник отримує доступ до вашого пристрою

Фішинг: 7 кроків, щоб не потрапити на гачок

Ви отримали підозрілий лист або повідомлення. Не поспішайте. Пройдіться по цьому алгоритму перш ніж щось натискати.

1. Зупиніться. Буквально.

Поспіх ‒ головний союзник зловмисника. «Терміново!», «Ваш акаунт заблоковано!», «Залишилося 2 години!» ‒ це маніпуляція. Глибоко вдихніть.

1. Перевірте адресу відправника повністю.

Не «Приват Банк», а [email protected] ‒ це підробка. Справжня адреса завжди завершується на офіційний домен: @privatbank.ua

1. Наведіть мишу на посилання (не клікайте!).

Унизу браузера побачите реальну URL-адресу. Порівняйте її з офіційним сайтом організації.

1. Перевірте збіг адреси.

✓ Адреса збігається:

Продовжуйте з обережністю. Але не вводьте паролі ‒ зайдіть на сайт напряму через браузер.

✗ Адреса підозріла:

Не клікайте. Видаліть повідомлення. Повідомте CERT-UA: [email protected]

1. Перевірте граматику та стиль.

Офіційні організації не пишуть «Ваш акаунт ТЕРМІНОВО треба підтвердити!!!». Помилки, дивний стиль ‒ ознака підробки.

1. Зателефонуйте безпосередньо в організацію.

Номер ‒ знайдіть самостійно на офіційному сайті, а не у самому листі. Запитайте, чи справді вони надсилали вам це повідомлення.

1. Нікому не пересилайте підозрілий лист.

Навіть «щоб попередити» ‒ так ви допомагаєте поширювати атаку. Просто видаліть і повідомте CERT-UA.

ВАЖЛИВО ЗНАТИ: У 2023–2024 роках зафіксовано масові фішингові кампанії, що імітують повідомлення від «Дія», ТЦК, Укрпошти та ПриватБанку. Жодна з цих організацій не просить вводити паролі через посилання в листі.

“Для звичайного користувча загрози не змінюються роками - це скам і фішинг. Насправді всі універсальні рекоменадції захисту давно зібрані фахівцями на одній відкритій сторінці - DCS (Don’t Click Shit) на GitHub. Головна проблема в тому, щоб люди почали їх виконувати.” - Сергій Колесниченко операційний директор Ucloud.

Паролі та двофакторна автентифікація

Більшість зломів акаунтів відбуваються не через хакерів у капюшонах, а через один простий факт: люди використовують однаковий пароль скрізь.

“Навіть надскладний пароль не гарантує безпеки, якщо він один на всі сервіси. Витоки баз даних стаються регулярно. Сьогодні критичне мислення та цифрова гігєна - це така ж необхідна навичка, як уміння користуватися банківською картою чи керувати автомобілем” ‒ директор Конструкторського бюро інформаційних систем КПІ ім. Ігоря Сікорського, кандидат технічних наук. Фахівець у сфері програмного забезпечення, хмарних технологій та високонавантажених інформаційних систем.

Правила надійного пароля

• Довжина понад 16 символів. Пароль з 16 символів в 65 536 разів надійніший за 8-символьний. Використовуйте фразу: Мій_Кіт_Мурчить_2024!
• Унікальний для кожного сайту. Якщо один сайт злили ‒ зловмисник отримає лише цей пароль, а не доступ до всього.
• Менеджер паролів. Bitwarden (безкоштовний) або 1Password ‒ запам'ятають сотні паролів за вас. Вам потрібен лише один головний.
• Двофакторна автентифікація (2FA). Навіть якщо ваш пароль вкрали, без другого кроку (код з додатку) зайти не можна. Увімкніть на всіх важливих сервісах.

ЗРОБІТЬ ПРЯМО ЗАРАЗ: Встановіть Bitwarden (безкоштовно, відкритий код), увімкніть 2FA на email, Telegram, ПриватБанк і «Дія». Це займе 20 хвилин і захистить вас від 90% атак.

Штучний інтелект на службі шахраїв

Генеративний ШІ змінив правила гри. Самі схеми обману залишилися старими, але якість їхнього виконання вийшла на новий рівень. Сьогодні зловмисники здатні скопіювати голос вашої дитини чи керівника за коротким аудіозаписом із соцмереж.

54-річному Ігорю в Telegram зателефонував «син» із чужого номера: голос був ідентичним, він нервував і просив терміново скинути гроші на картку через ДТП. Чоловіка врятувало те, що він поклав слухавку й перетелефонував сину на звичайний мобільний.

Сергій Колесниченко (Ucloud) рекомендує: «Голос і відео вже легко підробити в режимі реального часу. Я б радив уже зараз відключити голосові "зліпки" (біометрію), які деякі банки пропонують для розпізнавання користувачів за голосом».

Дезінформація: зброя, яку ви самі поширюєте

Інформаційна війна ведеться не тільки через ЗМІ. Кожен репост неперевіреної новини ‒ це маленька перемога зловмисника. Ось як розпізнати фейк до того, як ви натиснете «поділитися».

Ознаки фейку

• Кричущий заголовок з ВЕЛИКИМИ ЛІТЕРАМИ
• «Терміново! Це приховують!»
• Немає дати або вказана стара дата
• Відео без контексту або «з архіву»
• Посилання на невідомі сайти
• Орфографічні помилки в «офіційних» джерелах
• Надмірна емоційність, заклики до паніки

Як перевірити

• Google зворотній пошук зображення (правий клік → «знайти зображення»)
• Перевірити на StopFake.org
• Звірити з офіційними каналами ЗСУ, ДСНС
• Перевірити дату публікації в метаданих
• Пошукати підтвердження в 2–3 незалежних джерелах
• Бот @FakeSeeker_bot у Telegram
• Затримайтеся 60 секунд перед репостом

“Найефективніша дезінформація ‒ та, яка використовує справжні факти. Вона бере реальну подію і додає один неправдивий елемент. Саме тому перевіряти треба не лише джерело, а й кожну конкретну деталь.” ‒ Фактчекер, Незалежне медіа (анонімно за запитом)

ОСОБЛИВО НЕБЕЗПЕЧНО В УМОВАХ ВІЙНИ: Фейки про евакуацію, повітряні тривоги, «перемир'я» або рух військ можуть коштувати людських життів. Якщо ви не впевнені ‒ не публікуйте. «Краще пізніше правда, ніж вчасно брехня».

Цифровий чеклист: три рівні захисту

Оберіть свій рівень і виконайте кроки. Кожен виконаний пункт ‒ ще один шар захисту між вами і зловмисниками.

Базовий рівень (30 хвилин)

• Увімкнути 2FA на Telegram. Налаштування → Конфіденційність → Двоетапна перевірка. Встановіть пароль і резервний email.
• Увімкнути 2FA на email. Google: Безпека → Двоетапна верифікація. Використайте додаток Google Authenticator або Authy.
• Встановити менеджер паролів. Bitwarden (безкоштовно) ‒ завантажте розширення для браузера і мобільний додаток.
• Перевірити, чи зламані ваші дані. Перейдіть на haveibeenpwned.com і введіть свій email. Якщо ваші дані вже у витоках ‒ змініть паролі.
• Оновити операційну систему та браузер. Застаріле ПЗ містить відомі вразливості. Увімкніть автоматичні оновлення.

Середній рівень (2 години)

• Змінити паролі на всіх важливих сервісах. Банки, «Дія», пошта, соцмережі. Використовуйте менеджер паролів для генерації унікальних паролів.
• Перевірити активні сесії Telegram. Налаштування → Пристрої → видаліть усі невідомі сесії.
• Встановити VPN для публічних мереж Wi-Fi. Proton VPN (є безкоштовний рівень) або Mullvad VPN. Ніколи не вводьте паролі у кафе чи аеропорті без VPN.
• Налаштувати резервні коди для 2FA. Якщо ви втратите телефон без резервних кодів ‒ не зможете зайти. Збережіть коди в надійному місці.
• Перевірити дозволи мобільних додатків. Чи має ваш ліхтарик доступ до контактів? Це підозріло. Налаштування → Додатки → перегляньте дозволи.

Просунутий рівень

• Перейти на Signal для чутливих розмов. Signal ‒ найбезпечніший месенджер з наскрізним шифруванням. Налаштуйте автовидалення повідомлень.
• Налаштувати Passkeys там, де це можливо. Google, Microsoft, Apple підтримують входи без паролів. Це значно надійніше.
• Провести цифровий аудит своїх акаунтів. Видаліть акаунти на сервісах, якими не користуєтесь. Кожен непотрібний акаунт ‒ потенційна вразливість.
• Налаштувати апаратний ключ безпеки (FIDO2). YubiKey або подібний пристрій ‒ найнадійніший метод двофакторної автентифікації. Рекомендується для журналістів і активістів.
• Ознайомитись з посібником цифрової безпеки. EFF Surveillance Self-Defense (ssd.eff.org) та посібник «Інтерньюз Україна» ‒ безкоштовно, українською.

Куди звертатися по допомогу

Якщо вас зламали, ви стали жертвою шахрайства або виявили кіберзагрозу ‒ ось куди звертатися.

Від страху ‒ до захисту

Цифрова безпека ‒ це не про паранойю. Це про усвідомлений вибір: витратити 20 хвилин сьогодні, щоб не витрачати місяці на відновлення після злому завтра.

Ви живете в країні, яка захищає свою свободу на фізичному та цифровому фронті одночасно. Кожен захищений акаунт, кожна перевірена новина, кожен невідкритий фішинговий лист ‒ це маленька перемога у великій війні.

ПЕРШИЙ КРОК ПРЯМО ЗАРАЗ: Перейдіть на haveibeenpwned.com, введіть свій email і дізнайтесь, чи ваші дані вже у зламаних базах. Це займе 30 секунд і може змінити все.