КАК УБЕРЕЧЬСЯ ОТ ТЕЛЕФОННЫХ МОШЕННИКОВ
22.12
2021
Когда мы слышим слово «хакер», то представляем загадочного немногословного человека, сидящего в опутанной проводами комнате, освещённой лишь сиянием мониторов. В два клика мышки он способен взломать любой компьютер, на лету читает машинный код - в общем, настоящий сверхчеловек. Но в реальности главный инструмент хакера - психология. Он пытается «взламывать» мозг человека, манипулировать чужим поведением. К счастью, от этого тоже можно защититься, и сейчас мы расскажем, как это сделать.
Набор приёмов для «взлома мозга» часто называют социальной инженерией. Даже если вы в первый раз слышите такую формулировку - знайте, к вам эту инженерию наверняка применяли. Ведь термин «социальная инженерия» выходит далеко за рамки информационной безопасности. По сути, так можно назвать любое манипулирование людьми. Этим во все времена активно занимались политики, военные, торговцы - и, естественно, различного рода злоумышленники. Одним из самых известных примеров социальной инженерии можно назвать легенду о захвате Трои. Кстати, она подарила нам вполне современный термин, популярный в сфере информационной безопасности -«троянский конь», он же «троян».
Несмотря на то, что с Троянской войны прошло уже более трёх тысяч лет, принципиально в этой схеме ничего не поменялось. Разве что конь стал цифровым, а прислать его в дар может любой школьник, имеющий доступ в интернет. Согласно подсчётам <https://purplesec.us/resources/cyber-security-statistics/> американской компании Purplesec, в минувшем году 98% всех кибератак были совершены с использованием социальной инженерии. И это совсем не удивительно. Если организация уделяет мало-мальски достойное внимание техническим вопросам кибербезопасности, то взломать её с наскока вряд ли получится. Поэтому злоумышленники ищут «слабое звено», а им в большинстве случаев оказываются легкомысленные сотрудники. Всего одна ошибка - переход по ссылке из письма, ввод пароля на нелегитимном сайте или запуск вредоносного вложения - и вот хакеры получают доступ во внутреннюю сеть организации.
Что может угрожать лично вам:
Фишинг - почтовые рассылки или интернет-сайты, предназначенные для неправомерного получения конфиденциальной информации;
Вишинг - голосовой фишинг. Всем известные надоедливые звонки якобы от имени реально существующих банков или других компаний;
Фальшивые банки и биржи - когда мошенники «создают» кредитную организацию или инвестиционную платформу с чересчур привлекательными для клиента условиями. Сюда же относим всевозможные фейковые лотереи, акции и интернет-магазины;
Троянские компьютерные программы - вредоносные программы, замаскированные под легитимное ПО;
Сетевые мошенничества - психологическое манипулирование жертвой. Например, претекстинг - когда злоумышленник выдаёт себя за другого человека и выведывает необходимую информацию.
Это далеко не полный перечень, но именно эти сценарии - основа 80% атак с использованием социальной инженерии.
Мошенники могут использовать одно лишь психологическое воздействие на жертву для достижения необходимого результата. Например, по телефону убедить человека перевести деньги на их счёт или продиктовать номер карты. А могут сочетать различные техники. Злоумышленники звонят, представляются сотрудниками банка и заявляют, что в целях безопасности жертве следует установить на смартфон программу Team Viewer. Дальше они просят сообщить её уникальный ключ, тактично умалчивая, что программа предназначена для удалённого управления устройством. Значительная часть жертв ничего не знает про Team Viewer и доверяет «звонку из банка».
Какие ещё психологические приёмы могут использовать мошенники? Их мотивационные стратегии можно поделить на две основные категории: позитивную и негативную.
Первая вызывает у жертвы положительные эмоции - человек сам хочет поскорее совершить требуемые действия. Очень часто злоумышленники играют на жажде наживы: так лиса Алиса и кот Базилио убеждали Буратино закопать все деньги, чтобы они проросли денежным деревом. Сейчас для этих же целей используют акции и скидки, премии и бонусы, выигрыши в лотерею и госпособия, невероятно выгодные кредиты и инвестиционные программы... Сюда же можно отнести предложения скачать «секретную программу», получить тайное знание о результатах «договорных» спортивных состязаний, приобрести уникальный прибор - да и просто решить сложные проблемы, не затрачивая на это усилий.
Любопытство кошку сгубило, гласит пословица. И здесь речь идёт как раз о стратегии позитивной мотивации. Фейковые письма с информацией о заработной плате начальника или коллег, рассылки чужих интимных фото- и видеоматериалов, подбрасывание флешек и других носителей данных - в общем, атака через интерес к чужим конфиденциальным сведениям.
Ну и классика жанра - манипулирование желанием помочь ближнему. Здесь чаще всего используются фальшивые объявления о сборе помощи на лечение.
Негативная мотивация пытается вызвать у жертвы панику и заставить её совершать необдуманные поступки. Тут вас может поджидать шантаж: угрозы распространения компрометирующих сведений или уничтожения важной информации. Часто встречается эксплуатация страха за близких - сообщение о том, что родственник или знакомый попал в беду, поэтому срочно нужны деньги. Менее распространено давление авторитетом - фальшивое послание от имени руководителя или публичной личности.
Как же защититься от социальной инженерии?
• Не доверять собеседникам, даже если сообщение пришло от знакомого человека. Проверять и перепроверять информацию, помнить о возможных рисках;
• Тщательно оценивать последствия своих действий. Ни в коем случае не совершать поступков, цели или результаты которых вам неизвестны или не в полной мере ясны;
• Учиться, учиться и ещё раз учиться. Интересоваться тем, какие новые уловки используют злоумышленники. «Прокачивать» свой уровень финансовой грамотности и помнить про цифровую гигиену;
• Не торопиться - спешка играет на руку злоумышленникам. Все требования и призывы сделать что-то немедленно имеют лишь одну цель - не дать вам трезво оценить ситуацию;
• Не бояться обратиться за консультацией к специалистам. Никто не может знать всего на свете;
• Не считать себя самым опытным и умным. Жертвами «хакеров-психологов» часто становятся именно руководители или ответственные лица. Излишняя самоуверенность притупляет бдительность, а значит, создаёт дополнительную уязвимость. Если вы думаете, что вас невозможно обмануть - вы уже находитесь в зоне риска. Помните, что к каждому человеку можно подобрать свой уникальный ключ. Лишь от вас зависит, насколько сложным будет этот процесс для злоумышленника.
Что такое фишинг и как не попасться на эту удочку
Сложно найти хоть одного пользователя интернета, который хотя бы раз не сталкивался с фишингом, даже если сам он думает, что это не так. Фишинг - это настоящий бриллиант среди инструментов злоумышленников: с его помощью крадут деньги и взламывают аккаунты, проникают в сети компаний и собирают персональные данные - всего и не перечесть. Попробуем разобраться в причинах популярности этого вида мошенничества, а заодно вспомним его историю.
Что это такое?
Фишинг - это частный случай социальной инженерии, психологического манипулирования людьми с целью добиться от них тех или иных действий. Для этого используется целый арсенал уловок, призванных завладеть вниманием жертвы и притупить её бдительность.
Термин происходит от английского слова fishing, означающего рыбную ловлю. Впервые он был использован в середине 90-х гг., однако это не означает, что до этого момента такого явления не существовало: принципы фишинга были описаны ещё на заре всемирной сети, в конце 80-х годов.
Первые серьёзные атаки с использованием фишинга пришлись на вторую половину 90-х, а их жертвами стали абоненты крупнейшего на тот момент телекоммуникационного провайдера США - AOL. Желая заполучить данные банковских карт и доступ к аккаунтам абонентов, злоумышленники рассылали им сообщения в мессенджерах от имени сотрудников технической поддержки провайдера с требованием подтвердить платёжную информацию.
Как он выглядит?
Фишинг - явление крайне многогранное. Классика жанра - почтовые рассылки. Главная цель фишингового письма - заставить получателя перейти по ссылке или открыть прикреплённый к нему файл. И, как правило, такое письмо будет содержать либо какое-нибудь чрезвычайно выгодное предложение, вроде выигрыша в лотерею или нежданного денежного перевода, либо, наоборот, напугает проблемами с аккаунтом или банковским счётом. Это призвано вынудить пользователя кликнуть на заветную строку, чтобы скорее разрешить свалившиеся с неба неурядицы. Итогом таких действий станет переадресация жертвы на вредоносный сайт или заражение его компьютера или мобильного устройства троянской программой.
В большинстве случаев такие рассылки являются массовыми и носят неадресный характер, однако бывают ситуации, когда фишинговое письмо нацелено на конкретного человека или группу лиц. Такой фишинг куда опаснее, ведь злоумышленники учитывают индивидуальные особенности потенциальных жертв и тщательно подбирают приманку. Например, в ходе фишинговой атаки на сотрудников одной компании злоумышленники разослали им письма с файлом, якобы содержащим сведения о зарплате всех руководителей. Письмо было написано так, будто предназначалось для топ-менеджеров и оказалось в почтовых ящиках всех сотрудников в результате ошибки. Стратегия сработала: увлечённые любопытством, работники открывали вложение и тут же становились жертвами вредоносной программы.
Стремясь замаскировать фишинговые сообщения, чтобы они не вызывали подозрений у пользователей и успешно преодолевали антиспам-системы, злоумышленники прибегают к самым разным уловкам: используют сервисы сокращения ссылок, цепочки сайтов, переадресовывающих жертву с одного на другой, прячут ссылки внутри электронных документов и различных онлайн-сервисов обмена информацией; регистрируют доменные имена и создают электронные почтовые адреса , визуально схожие с оригинальными доменами организаций, применяют методики подмены адреса отправителя и много чего ещё.
Помимо электронной почты, для рассылки фишинговых сообщений активно используются мессенджеры, социальные сети и даже SMS-сообщения. Более того, если в почтовый ящик в вашем подъезде положили поддельную платёжку за коммунальные услуги - это тоже своего рода оффлайн-фишинг.
Другое распространённое направление связано с созданием копии интернет-сайта или какой-либо его части. Иногда такой ресурс может быть визуально практически неотличим от оригинала, а может представлять собой страницу несуществующей акции под брендом известной организации. На сегодняшний день наиболее популярны два направления использования фишинговых сайтов.
Непосредственная кража денег
В данном случае фишинговый ресурс может имитировать сайт платёжной системы, интернет-магазина, кафе или ресторана, курьерской службы или другого популярного сервиса. Отличительной особенностью таких сайтов является их стремление как можно скорее получить данные банковской карты жертвы - количество шагов между выбором товара или услуги и их оплатой будет минимальным. За последний год в сети появилось несколько десятков тысяч фишинговых сайтов подобной направленности, причём рост их числа в значительной степени обусловлен высокой популярностью мошеннических схем, связанных с обманом продавцов и покупателей на популярных досках объявлений.
Для привлечения потенциальных жертв используются самые разные способы: это и реклама в поисковых системах, когда фишинговое объявление будет находиться в результатах поисковой выдачи выше, чем настоящий сайт; и рассылка сообщений о несуществующих акциях или скидках; и непосредственное взаимодействие с жертвой, когда злоумышленник в ходе общения предлагает оплатить курьерскую доставку товара.
Получение неправомерного доступа к конфиденциальной информации
Говоря простым языком, это использование фишинга для «взлома» аккаунта, будь то электронный почтовый ящик, страница в социальной сети или личный кабинет клиента банка.
В данном случае фишинговый сайт будет имитировать страницу авторизации какого-либо сервиса. Но каким образом пользователь попадёт на эту фейковую страницу авторизации? Тут всё просто: в большинстве случаев такие фишинговые страницы используются вкупе с почтовыми рассылками, которые сообщают вам о проблемах с учётной записью либо стараются убедить вас срочно прочитать личное сообщение. Естественно, это далеко не все возможные сценарии, но фишинг тем и опасен, что злоумышленники постоянно придумывают новые психологические приёмы, чтобы сподвигнуть вас на совершение необдуманных действий.
Кстати, если у вас неожиданно увели аккаунт в социальной сети - вероятнее всего, вы посетили фишинговый сайт, сами того не заметив.
Для того, чтобы фишинговый сайт был максимально похож на оригинальный, злоумышленники регистрируют визуально схожие доменные имена, применяя целый ряд уловок. Например, если официальный домен вашего банка звучит как mybank.ru, то фишинговый домен может использовать, например, такие варианты написания: my-bank.ru, mybanc.ru, mybank.ru.com, mubank.ru, равно как и десятки других более сложных конструкций. Популярным приёмом является замена символов на визуально схожие: букву «o» на цифру «0», букву «i» на букву «l» и так далее, вплоть до использования визуально неотличимых букв из редких алфавитов.
Естественно, это далеко не исчерпывающий список. Каждый из рассмотренных сценариев имеет массу вариаций, для раскрытия которых понадобится написать настоящий многотомный труд. К тому же существует такое распространённое явление, как «вишинг», то есть голосовой фишинг. К нему относятся все звонки якобы от представителей банков или правоохранительных органов, с которыми хоть раз в жизни сталкивался практически каждый житель нашей страны.
Причины популярности фишинга
Простота и эффективность. В процессе фишинговой атаки введённая в заблуждение жертва сама совершает все необходимые злоумышленникам действия. Именно поэтому на сегодняшний день фишинг является самым популярным прикладным инструментом киберпреступников всех мастей. Он используется как для атак на простых граждан, так и для проникновения в сети крупнейших корпораций.
В полной мере оценить его масштабы сложно, но для понимания приведём простой пример: только в июне 2021 года было зарегистрировано порядка тысячи доменов со словом facebook и порядка 900 доменов со словом paypal, без учёта различных вариантов написания. Всего же новых фишинговых доменных имён появляется более тысячи ежедневно.
Несмотря на то, что среднее время жизни фишингового сайта составляет от пары часов до нескольких дней, за это время он успевает благополучно окупиться, собрав достаточное количество жертв, после чего злоумышленники спокойно переезжают на новый домен и продолжают своё чёрное дело.
И что же будет дальше?
Фишинг как явление прочно укоренился в интернете, став одной из самых эффективных технологий обмана пользователей. Для киберпреступников это настоящая курица, несущая золотые яйца. Поэтому ожидать, что они откажутся от такого удобного инструмента , явно не стоит. Все имеющиеся на сегодняшний день технологии противодействия фишингу не способны искоренить его как таковой и лишь отсеивают какой-то процент угроз.
Поэтому главным орудием против любых мошенников всегда является ваша внимательность. Тщательно проверяйте адреса сайтов, не переходите по ссылкам из писем, сулящих вам золотые горы, и не совершайте никаких действий до тех пор, пока твёрдо не убедитесь в их безопасности.