Фишинг, как много в этом слове! А между тем он остаётся простейшим способом для мошенника добраться до ваших личных данных или банковских карт. Недаром Греф называет его вместе с социальной инженерией главными проблемами кибербезопасности.
В 2017 году фишинг в очередной раз обновил рекорд: на сайты, так ил иначе связанные с финансовой сферой, пришлось 54% всех фишинговых атак. За год также в почти два раза выросло количество атак, которые направлены на пользователей Mac — с 31% до 56%. Мы не можем больше позволить вам терять деньги! Ловите свежую памятку по фишинговым атакам и простым способам защититься.
Распечатайте и повесьте над компьютером. Вытатуируйте на лбу и выложите селфи в инстаграм. Но заклинаем — не ведитесь.
Сам фишинг давно уже стал целой наукой об опрокидывании бедных обывателей на деньги. Условно, он делится на три области:
- Масштабный фишинг. Суть в том, чтобы охватить как можно большее количество пользователей. Больше охват -> Больше поверивших -> Больше прибыль.
- Прицельный фишинг. Суть в таргетинге конкретной группы. Видя портрет своей целевой аудитории, мошенник без труда может установить ловушку изощреннее, чем “кликни и получи сто тысяч”.
- “Охота на кита” или Моби Дик от мира фишинга. Суть в том, что его жертвой становятся крупные компании, генеральные директора и т.д.
Реальнее всего пользователю столкнуться с первыми двумя видами. И пусть они отличаются на стадии подготовки для мошенника, для потенциальной жертвы рекомендации в обоих случаях примерно одинаковы. Но к ним мы ещё вернемся. А теперь, где мошенники ловят рыбку большую и маленькую?
Государственный сайт.
Сайты, которые шифруются под государственные. На выходе получаются достаточно годные фейки — правительство всеми силами пытается ворваться в эпоху digital, а следом и граждане. В итоге мы получаем группу людей, которая очень хочет воспользоваться преимуществами цифровой эпохи, но не обладает достаточной грамотностью, чтобы обезопасить себя в интернете.
Например, недавно функционировал сайт налога.нет.рф. Канал в Telegram @plastikcash не отказал себе в удовольствии протестировать его. Используя фейковые данные, разумеется.
И чудесным образом несуществующий гражданин получает некую компенсацию. Попытка получить её перекидывает на сайт Яндекс.Денег. И если предчувствующий халяву пользователь не остановится, то эта сумма будет списана с его кошелька.
Недавно появился сайт с очень похожим адресом: налогов-нет.рф.
Кого они собираются дурить сайтом, подключение к которому даже не защищено SSL протоколом — непонятно.
Честный покупатель.
Старинный способ “развода”, когда мошенник звонит по объявлению и, расспросив про все качества товара, сетует на то, что сам находится в другом городе. Но готов с удовольствием купить! И даже переведет всю сумму, особенно если ему назовут заветные три цифры с обратной стороны карты.
История знает много случаев, когда люди пренебрегали простейшими правилаи безопасности и в итоге дарили мошеннику доступ к своим сбережниям. Так в 2017 году, например, со счёта 82-летнего пенсионера было похищено 20 тыс рублей. Чаще всего данные карты выдают люди пожилого возраста, которые в принципе не понимают, как эти данные могут быть использованы против них. Сайты объявлений активно борются с мошенничеством. На Avito, крупнейшей доске объявлений в Рунете, в разделе объявлений дополнительно размещено заметное предупреждение:
Но, несмотря на это, все ещё находятся беспечные граждане, который думают, что обманут кого угодно, но только не их. Не будьте среди этих ребят.
Сайты-фальшивки.
Фейки — тема старая, но всё ещё актуальная. Суть в том, что мошенники просят вас ввести свои личные данные на сайтах, которые заведомо созданы для преступной деятельности. Условно, их можно в основном разделить на два направления:
— Кредитные и микрофинансовые сайты.
— Интернет-магазины.
Первые опасны тем, что требуют от пользователя целую кучу информации, включая сканы документов. Это не удивляет, ведь потенциально этот сайт даёт под проценты деньги! Вот только денег никто не даст. А вероятнее всего ещё и попросят “комиссию” за возможность кредитования.
Как можно опознать мошенника? Всегда проверяйте реквизиты организации через справочник ООО. Да, это может быть напряжно, но помните: вы обращаетесь к финансовой организации. Более того, отправляете ей свои личные данные. Не лишним будет применить дополнительные меры предосторожности, чтобы потом не было мучительно больно.
С магазинами дело обстоит немного сложнее. Со стороны они даже похожи на настоящие — вот она виртуальная витрина с айфонами, выбирай и покупай. Чем такие сайты привлекают потенциальную жертву? Чаще всего крайне низкой стоимостью товара. Рука так и тянется к карте, когда видишь выгодное предложение. Но выгодным оно окажется в конечном итоге только для мошенника.
Благо, в этом случае себя обезопасить достаточно просто. Во-первых, отзывы об интернет-магазинах. Лишний повод задуматься, если их нет. Во-вторых, помните: чаще всего платежной системе нужен только номер вашей карты. Старайтесь пользоваться проверенными магазинами и помните, что не только бесплатный, но и очень дешевый сыр только в мышеловках.
Здравствуйте, я сотрудник банка.
Иногда из банка звонят, это факт. Но здесь даже задерживаться не будем, а только лишний раз напомним: ни один банк не спросит ваш PIN или полную информацию по карте. А раз не спросит, то и не стоит сообщать их мошенникам, которые действуют якобы от лица банка.
Письмо счастья и прочие способы подбросить.
Опытному параноику может показаться, что фишинг с помощью писем вымер давным-давно. Однако, это мнение ошибочно. Более того, мошенники отчаянно эксплуатируют человеческую жадность и регулярно под разными предлогами рассылают мэйлы сомнительного содержания.
Как правило к письму прикреплён вредоносный файл, который шустро заразит ваш компьютер. Поэтому способ спасения очевиден: ни в коем случае не открывайте подозрительные файлы. Даже если текст выше полностью располагает вас к тому, чтобы это сделать. Поверьте опыту сотен тысяч пострадавших, ничего хорошего это вам не принесет.
Есть, условно, два способа распознать мошенническую рассылку:
- Вы вроде как не наследник арабских принцев, да и банк никогда до этого не отправлял вам писем с просьбой установить какую-то программу. На интуитивном уровне вы понимаете, что получили письмо, которое не были должны получить. Способ не особо надёжный, но пользовательская чуйка есть у любого человека, который не первый день в интернете.
- Есть другой надёжный и проверенный способ. Обновите свой антивирус! Он поможет проверить содержимое письма и точно определить наличие вредоносного ПО. У лидеров рынка антивирусы всегда находятся в актуальном состоянии и вы не рискуете подцепить в интернете заразу.
Кстати, этот совет во многом актуален для смартфонов и планшетов. Сейчас множество вирусов пишется специально для Android, чтобы атаковать любителей серфить интернет с мобильных устройств. Советы, в общем-то, те же – не доверяйте, а лучше проверяйте. Антивирусы есть и для смартфонов.
Бонусный уровень: скимминг.
Скимминг – это тоже достаточно интересный способ мошенничества. От фишинга он отличается тем, что случается с вами в реальной жизни.
Суть: мошенники устанавливают на банкоматы скиммер. Это особое устройство, которое должно считать информацию с магнитной ленты вашей карты. Чаще всего скиммеры представляют собой накладные клавиатуры или картоприемники, которые клеят поверх оригинальных. Завладев данными с магнитной полосы, мошенники должны ещё и получить PIN. Для этого устанавливаются скрытые камеры, которые следят за жертвой.
Звучит достаточно круто и технологично, есть ли спасение? Защититься от скимминга достаточно просто:
- Снимайте деньги и пользуйтесь картой банкоматами в ТЦ или отделениях банка. Там как правило много людей, которые помешают мошеннику долго возиться с установкой оборудования.
- Потратьте пару секунд и проверьте крепко ли установлен картоприемник. Оригинальный и не сдвинется, а мошеннический можете даже случайно оторвать.
- Очевидный совет, но тем не менее – прикрывайте рукой клавиатуру, когда вводите PIN-код. Даже если мошенники и сумеют считать реквизиты с магнитной полосы вашей карты, без пина они бесполезны.
Кстати, один наш товарищ, работающий в банке рассказал об интересном случае. Однажды скиммер установили не в самом банкомате, а картосчитывателе, который в выходные открывал заблокированную дверь клиентам. Так что, будьте аккуратны.
А что в итоге?
Как вы могли заметить, фишинг и скимминг целиком и полностью основаны на беспечности пользователя. Мошенники злостно эксплуатируют незнание и отсутствие технической грамотности: со всех сторон лезут баннеры и сомнительные сайты, которые стремятся добраться до ваших денег или личных данных.
Поэтому, вот вам краткое резюме от опытного параноика. Оно поможет не стать вам совсем уж очевидной жертвой:
- Никогда и ни при каких условиях не тыкайте на ссылки или вложения с подозрительных сайтов, писем, сообщений Вконтактике и т.д. Есть подозрение, что что-то не так? В корзину.
- Если к вам обратилось официальное лицо, всегда сверяйте почту, телефон и прочие контактные данные с теми, которые указаны на официальном сайте. Но и не забывайте, что есть предел информации, которую у вас могут запросить. Сразу напомним, что полные данные платежной карты к ним не относятся.
- Всегда будьте подозрительны. Всегда.
Хорошего вам дня! Не будьте большой рыбой и избегайте виртуальной удочки.