Безопасность в Интернете

Преподаватель ГАПОУ СКСПО Галялутдинова А.И.

Цели и задачи

​На этом уроке мы узнаем:
Виды угроз: Фишинг, Брутфорс, Социальная инженерия, эксплойты, кейлоггинг, антифрод, вишинг, квишинг, скимминг, спуфинг

Возможности vs угрозы

Какими возможностями интернета вы пользуетесь?

А какие угрозы вам встречались в сети?

Фишинг

​Если мошенники копируют официальные сайты компаний и «продают» там услуги.
форма интернет-мошенничества, при которой злоумышленники пытаются получить конфиденциальную информацию обманным путем

Правонарушения в сфере ИТ

Однако за 2023 год число правонарушений в сфере ИТ выросло на 73,4%, среди них наиболее популярными оказались фишинг и скам. Во втором квартале 2024 года в основном в результате того же фишинга с банковских счетов россиян было украдено более ₽3 млрд, при этом банки вернули только 7,4% украденных средств. Половину из них клиенты банков перевели мошенникам сами.

Replace this with a header

​А какие ссылки похожи на фишинговые?
Выбери несколько вариантов ответа.

http://nformatics.ru 

https://www.vk.com   

http://www.sberbankk.ru   
https://maincraft.net

Вишинг

Когда злоумышленники звонят случайному человеку и представляются «сотрудниками банка N» с просьбой сообщить данные банковской карты

Квишинг

Квишинг — форма фишинга, при которой мошенники используют QR-коды для обмана пользователей и кражи их конфиденциальных данных.
Правила безопасности: Не сканировать QR-коды от неизвестных источников и не оставлять свои конфиденциальные данные на непроверенных ресурсах.
Перед переходом по ссылке из QR-кода проверьте ее.

Doxxing

(от аббр. dox — документы)

Намеренное раскрытие и публикация в сети чужих персональных данных хакерами

Скимминг

Когда через специальные устройства, устанавливаемые на банкоматы, копируются данные карты

Спуфинг

Техника, при которой злоумышленник маскируется под другой источник, например, поддельный веб-сайт или фальсифицированный IP-адрес.

Хакерские атаки или вирусы

Проникающих через спам на компьютер

Антифрод или фрод-мониторинг

При оплате покупки онлайн вам наверняка приходилось вводить код из СМС, чтобы подтвердить, что это именно вы используете свою карту, а не злоумышленник крадет ваши средства.

Это пример того, как работает антифрод (от англ. anti-fraud — борьба с мошенничеством) — комплекс мер, направленный на предотвращение мошеннических транзакций.

​Антифрод-системы применяются для защиты любых денежных операций, в том числе в онлайне, и используются банками, крупными магазинами и платежными системами (Visa, MasterCard, PayPal). С 2003–2004 годов использование таких систем стало обязательным во всем мире.

Основные правила безопасности

• Хранить PIN-код, данные для входа в интернет-банк в безопасном месте.

• Не сообщать никому данные своей карты, одноразовые СМС-пароли для подтверждения операций, только если вы сами не позвонили в банк.

• Включить СМС-уведомления от банка.

• Использовать только проверенные и официальные сайты компаний, где вы планируете совершить покупку.

• Выбирать банкоматы, расположенные в офисах банка или крупных торговых центрах с видеонаблюдением.
  
  

Replace this with a header

Песочница (sandbox) – виртуальная среда для безопасного тестирования подозрительных файлов или программ. (Это как безопасная комната, где можно проверить, не опасен ли файл или программа, не повредив компьютер.)

​Правовое обеспечение информационной безопасности

​Основные законы и документы правового обеспечения информационной безопасности включают в себя:
· Федеральный закон «Об информации, информационных технологиях и о защите информации»
· Федеральный закон № 149-ФЗ «О персональных данных»
· Доктрину информационной безопасности Российской Федерации

Эти документы устанавливают принципы и нормы, направленные на защиту информации и информационных систем от угроз и нарушений.

Replace this with a header

Киберпреступники чаще всего интересуются теми данными, которые могут принести им выгоду.

Среди наиболее ценной информации:

• Персональные данные

• Учётные данные

• Финансовая информация

• Медицинская информация

• Корпоративные данные

Персональные данные

Персональные данные — это информация, которую могут использовать для идентификации человека. Она бывает разной: от имени и фамилии до номера телефона и адреса.
Важное правило:
Не делись персональными данными без необходимости.

Работа с учетными данными

Важные правила:

• Держи логины и пароли в секрете

• Не переходи по сомнительным ссылкам

• Придумывай длинные, сложные пароли

• Используй разные пароли на разных сайтах

• Обновляй пароли (хотя бы раз в год)

Перебор паролей (Брутфорс)

Брутфорс — это метод подбора паролей, при котором перебирают все возможные комбинации букв, цифр и символов до тех пор, пока не будет найден правильный пароль. Это похоже на попытку отгадать код к замку: комбинации просто вводят по порядку, пока одна из них не подойдёт и замок не откроется.
А ещё надёжность пароля можно проверить здесь.
Менеджеры паролей — это специальные программы для безопасного хранения паролей и управления ими. Они автоматически создают, сохраняют и заполняют сложные пароли для твоих аккаунтов. Менеджер паролей есть, например, в Яндекс Браузере.

​Посмотри в таблице, сколько может длиться подбор пароля в зависимости от его длины и состава (данные за 2022 год):

Режим инкогнито

Когда ты заходишь в свой аккаунт на чужом компьютере (в школе, в интернет-кафе или у соседа), открывай вкладку браузера в режиме инкогнито.
В режиме инкогнито браузер не сохраняет введённые пароли и данные автозаполнения, поисковые запросы, историю и адреса страниц. Чтобы войти в режим инкогнито, запусти браузер, нажми кнопки Ctrl + Shift + N (в Windows) или ⌘ + Shift + N (в macOS). Либо в правом верхнем углу (в Яндекс.Браузере) кликни по ярлыку «Настройки» и выбери режим инкогнито.

Технология машиностроения и информационная безопасность

​Что должен знать технолог машиностроения в области ИБ:
Общие принципы информационной безопасности

- Основные угрозы информационной безопасности: вирусы, вредоносное ПО, фишинг, атаки на промышленные сети.
- Политики безопасности предприятия: правила доступа к информации, пароли, использование съемных носителей.
- Защита персональных данных сотрудников и клиентов.

​Безопасная работа с программным обеспечением:
- Использование лицензионного ПО и обновление программного обеспечения.
- Обеспечение безопасности при работе с CAD/CAM/CAE-системами.
- Безопасность баз данных и систем управления производством (ERP, MES).
Физическая безопасность и защита данных:
- Ограничение доступа к рабочим местам и серверам.
- Безопасное хранение и уничтожение носителей информации.
- Защита от несанкционированного копирования и утечки данных (DLP-системы).
Обучение и ответственность
- Регулярное прохождение курсов по информационной безопасности.
- Соблюдение нормативных актов (ФЗ-152 «О персональных данных», стандарты ГОСТ по ИБ).
- Ответственность за нарушение политики безопасности (дисциплинарные меры, юридические последствия).

Правила безопасности для технологов машиностроения
- Всегда проверять адрес отправителя и не открывать подозрительные письма.
- Не отправлять конфиденциальные данные без проверки.
- Использовать корпоративные каналы связи для передачи важных файлов.
- Проходить обучение по кибербезопасности.
- Никогда не подключать к компьютерам неизвестные носители.
- Использовать только проверенные флешки, одобренные IT-отделом.
- Применять антивирусное ПО и контроль съемных носителей.
- Хранить файлы в защищенной корпоративной среде.
- Использовать сложные пароли (не менее 12 символов, включая буквы, цифры и спецсимволы).
- Не использовать один пароль для всех сервисов.
- Настроить двухфакторную аутентификацию (2FA).
- Регулярно менять пароли и не хранить их в открытом виде.

Двухфакторная аутентификация

Защищаться от перебора паролей помогает двухфакторная аутентификация. При этом методе для входа в аккаунт нужен не только пароль, но и ещё одно подтверждение — обычно через телефон. Например, надо получить на телефон код и ввести его на сайте помимо пароля.

​Важные правила: Используй двухфакторную аутентификацию, Никому не сообщай коды подтверждения

Социальная инженерия

Социальная инженерия — это когда преступники уговаривают людей раскрыть свои данные — например, пароли. Они представляются кем-то, кому можно доверять — к примеру, специалистами техподдержки.

Социальная инженерия работает на эмоциях человека.
Важное правило:
Не ведитесь на эмоции. Держи ценные данные в секрете, несмотря на манипуляции.

​

​Важное правило: Не ведись на эмоции. Держи ценные данные в секрете, несмотря на манипуляции.

Финансовая информация

​Важное правило:

Не делись этими реквизитами карты:

• срок действия

• CVC-код на обороте

• код из СМС

Компьютерные вирусы

​От вирусов помогают защищаться специальные антивирусные программы, утилиты

Примеры таких программ:

• Kaspersky

• AVG Antivirus

• Dr.Web

Важные правила:

• Не скачивай из сети подозрительные файлы

• Установи антивирусную программу

Эксплойты

Если долго не обновлять программы и приложения, ты можешь столкнуться с угрозой эксплойтов.
Эксплойты — это специальные программы или коды, которые ищут в ПО слабые места (уязвимости) и пытаются получить контроль над системой или украсть данные.
Важное правило:
Регулярно обновляй программное обеспечение (апдейт)— в новых версиях устраняют уязвимости.

Методы атаки и эксплуатации

1. Эксплойт — Код, инструмент или метод, используемый для использования уязвимости в программном обеспечении или компьютерной системе, часто с целью получения несанкционированного доступа.

2. Руткит — Комплекс программ, позволяющих злоумышленнику скрыто контролировать зараженный компьютер, часто используется для маскировки вредоносной активности.

3. Кейлоггинг — Техника, при которой записываются нажатия клавиш пользователя, обычно используется для перехвата паролей и другой чувствительной информации.

Ложные данные

Не вся информация в интернете правдива.

Ложные данные могут появляться в виде фейковых новостей, неверной статистики и так далее. Такую информацию обманщики иногда создают с помощью нейросетей.
Важное правило:
Не доверяй всему, что видишь в интернете. Любую информацию нужно проверять.


Определить ложные данные в интернете поможет фактчекинг — проверка информации на правдивость.

Корпоративная тайна

Это важная и конфиденциальная информация. Она принадлежит фирме и недоступна посторонним людям. Это может быть информация о финансах, стратегиях, клиентах, новых продуктах и т. д. Её раскрытие несёт угрозу для бизнеса!

Чтобы предотвратить утечку важной информации, многие компании используют договор о неразглашении, или NDA (Non-Disclosure Agreement). Это юридическое соглашение, в котором участники договора (сотрудники компании) обязуются не раскрывать конфиденциальные данные.

​Важное правило (на будущее):Соблюдай правила и храни секреты компаний, где будешь работать ты или кто-то из твоих знакомых.

Спуфинг

Спуфинг (от англ. «spoofing» — подмена) — термин из области сетевой безопасности, обозначающий онлайн-атаку с помощью маскировки под легальный объект (пользователя, сеть или компьютер).

Это мошеннические действия с целью похитить данные, финансы, проникнуть в систему, запустить DDoS-атаку или другим образом навредить.