В этой статье разберёмся в уловках мошенников
Основные уловки мошенников это:
- Несуществующие ссылки
- Мошенничество с использованием брендов известных корпораций
- Ложные письма с предложениями халявы/чего-то интересного
- IVR или телефонный фишинг
- Претекстинг
- Квид про кво
- Дорожное яблоко
- Сбор информации из открытых источников
- Плечевой серфинг
- Обратная социальная инженерия
В этой статье мы разберём половину этих методов, половину в следующей, т.к. за слишком длинные статьи Дзен банит.
Но суть у них всех одна👇👇👇
Чтобы не стать этим котиком читайте внимательно.
Несуществующие ссылки
Атака, которая заключается в отправлении письма с соблазнительной причиной посетить сайт и прямой ссылкой на него, которая лишь имеет сходство с ожидаемым сайтом, например, www.PayPai.com.
Выглядит это, будто это ссылка на PayPal, мало кто заметит, что буква "l" заменена на "i". Таким образом, при переходе по ссылке жертва увидит сайт, максимально идентичный ожидаемому, и при вводе данных своей кредитной карты эта информация сразу направляется к злоумышленнику.
Одним из наиболее известных примеров глобальной фишинговой рассылки может служить афера 2003 года, во время которой тысячи пользователей eBay получили электронные письма, в которых утверждалось, что их учетная запись была заблокирована, и для ее разблокировки требуется обновить данные о кредитных картах.
Во всех этих письмах присутствовала ссылка, ведущая на поддельную веб-страницу, в точности похожую на официальную. Впрочем, по подсчетам экспертов, убытки от этой аферы составили менее миллиона дссылку, в. Тем не менее это не повод терять бдительность. Тщательно проверяйте ссылку перед переходом по ней. В одной из предыдущих статей я давал ссылку на сервис, позволяющий расшифровать короткую ссылку, это во многих случаях полезно.
Мошенничество с использованием брендов известных корпораций
В таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, содержащие названия крупных или известных компаний.
В сообщениях может быть поздравление с победой в каком-либо конкурсе, проводимом компанией, о том, что срочно требуется изменить учетные данные или пароль.
Подобные мошеннические схемы от лица службы технической поддержки также могут производиться по телефону.
Ложные письма с предложениями халявы/чего-то интересного
Жертва может получить предложение которые затрагивают главные струны души большинства людей -- это жадность и любопытство(и можете это не отрицать-это правда), например:
Фейковые антивирусы также известные под названием «scareware», — это программы, которые выглядят как антивирусы, хотя, на самом деле, все обстоит совсем наоборот.
Такие программы генерируют ложные уведомления о различных угрозах, а также пытаются завлечь пользователя в мошеннические транзакции.
Пользователь может столкнуться с ними в электронной почте, онлайн объявлениях, в социальных сетях, в результатах поисковых систем и даже во всплывающих окнах на компьютере, которые имитируют системные сообщения
Пользователь может получить сообщения, в которых говорится о том, что он выиграл в лотерею, которая проводилась какой-либо известной компанией(ага, конечно, будут они просто так деньги давать).
Внешне эти сообщения могут выглядеть так, как будто они были отправлены от лица одного из высокопоставленных сотрудников корпорации.
В фильме Whoami используется данный метод, когда хакеры отправляют жертве зараженное письмо от якобы знакомой жертвы с открыткой и подписью смотри какие котятки(это пожалуй самое опасное, потому что кто, кроме аллергиков, не любит котиков?).
IVR или телефонный фишинг
Телефонный фишинг — Вишинг (англ. vishing — voice fishing) назван так по аналогии с фишингом. Это один из методов мошенничества с использованием социальной инженерии, который заключается в том, что злоумышленники, используя телефонную коммуникацию и играя определенную роль (сотрудника банка, покупателя и т. д.), под разными предлогами выманивают у держателя платежной карты конфиденциальную информацию или стимулируют к совершению определенных действий со своим карточным счетом / платежной картой.
Что касается IVR систем данная техника основана на использовании системы предварительно записанных голосовых сообщений, с целью воссоздать «официальные звонки» банковских и других IVR систем.
Обычно, жертва получает запрос (чаще всего через фишинг электронной почты) связаться с банком и подтвердить или обновить какую-либо информацию. Система требует аутентификации пользователя, посредством ввода PIN-кода или пароля.
Поэтому, предварительно записав ключевую фразу, можно выведать всю нужную информацию. Например, любой может записать типичную команду: «Нажмите единицу, чтобы сменить пароль.
Нажмите двойку, чтобы получить ответ оператора» и воспроизвести ее вручную в нужный момент времени, создав впечатление работающей в данный момент системы предварительно записанных голосовых сообщений, еще один пример когда жертва атаки получает письмо с фишинговым номером «клиентского центра», где автоответчик на каком-то шаге просит для авторизации ввести важные реквизиты карты.
Как защититься от подобных звонков? Используйте Яндекс определитель. Подробнее можете сами найти.
Претекстинг
Претекстинг (англ. pretexting) — атака, в которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию выуживает конфиденциальную информацию.
Эта атака подразумевает должную подготовку, как то: день рождения, ИНН, номер паспорта либо последние цифры счета, для того, чтобы не вызвать подозрений у жертвы. Обычно реализуется через телефон или электронную почту.
В сериале mr.robot в одной из серий используется данный метод, когда хакер звонит жертве представляется сотрудником банка и выуживает у его личную информацию, такую как кличка питомца, дата рождения и т.д. которую он в дальнейшем использует для брута(подбора) пароля к учетной записи жертвы.
Чтобы защититься от подобного придумайте какой-нибудь вопрос с подвохом, на который ответ будете знать только Вы и ваши знакомые. Например при разговоре вы говорите 65, в ответ должно быть 35(100 в сумме). Это лишь пример. Творите. Не обязательно 100 в сумме и именно эти цифры. С родными это сработает.
В случае с банковскими и другими сотрудниками запомните-они никогда не попросят ваши данные если сами вам звонят(максимум спросят Вы ли это).
2 часть тут
