Найти тему
Одобрим.ру
1364 подписчика

Это должен знать каждый: как защитить себя от мошенников

11
19 мин
Оглавление

В 2020 году мошенники украли со счетов россиян около 8 млрд рублей. Вернуть удалось чуть меньше 25% от всей суммы.

Как мошенники выбирают своих жертв

Абсолютное большинство случаев мошенничества происходит из-за доверчивости и невнимательности жертвы или потери персональных данных. Если в первом случае виноватым становится сам пользователь, то во втором — недостатки системы безопасности. Жертвы мошенников тоже делятся на несколько категорий: простые граждане, мелкий и средний бизнес, банки и крупные компании, государственные и международные корпорации.

В разное время существовало множество способов обмана людей, начиная от классической игры в наперстки и заканчивая громадными финансовыми пирамидами. Главной проблемой нашего времени стало то, что полностью защититься от действий мошенников не может никто. Сегодня мы расскажем вам о самых распространенных видах мошенничества  как со стороны отдельных злоумышленников, так и со стороны банков.

Фишинг

В классическом варианте фишинг — это противоправное действие, которое позволяет с помощью простых манипуляций заставить выполнить пользователя определенные действия. Как правило, с помощью фишинга мошенники стремятся заполучить конфиденциальную информации (пароли, доступы и проч.) или украсть деньги со счетов.

Слово «фишинг» переводится с английского языка как «рыбная ловля» и наиболее точно отображает суть мошенничества. Потенциальная жертва получает письмо на почтовый ящик или сообщение на смартфон. Отправитель может выдавать себя за родственника или организацию, которым пользователь доверяет. Стандартная схема выглядит так: мастера социальной инженерии составляют текст письма, мотивирующего на немедленное совершение каких-либо действий и отключающих здравый смысл. От жертвы требуется перейти на веб-сайт и срочно выполнить определенные действия, чтобы избежать выдуманной опасности.

Узнать больше: Как распознать финансовую пирамиду

Когда получатель письма «клюет» и совершает переход по ссылке, то он попадает на веб-сайт, который имитирует тот или иной существующий интернет-ресурс. На этом веб-сайте пользователя просят авторизоваться, используя свою учетную запись и пароль. Если он соглашается, то введенные данные попадают напрямую к злоумышленникам, которые затем используют их для кражи конфиденциальной информации или денег с банковских счетов; кроме того, они могут продавать полученные личные данные на черном рынке.

Фишинг — вид мошенничества, не требующий особых навыков и умений. Каждая фишинговая атака направлена прежде всего на то, чтобы вывести человека из равновесия и вынудить его раскрыть личные данные. В настоящее время ни одна операционная система не сможет полностью защитить от фишинга, каким бы мощным ни был бы антивирус.

Часто мошенники прибегают к фишингу, потому что не могут найти и использовать технические уязвимости. Нет смысла тратить большое количество времени и ресурсов, когда можно использовать грамотную фишинговую атаку. Слабым звеном выступает сам человек..

С начала нулевых фишеры стали использовать уязвимости систем электронных платежей. Клиенты банков и платежных систем все чаще становились жертвами фишинга, а в некоторых случаях мошенники точно идентифицировали своих жертв, и узнавали, каким банком они пользовались. Социальные сети также стали одним из главных рассадников фишинга: значительная часть пользователей не имеет отдельного пароля к каждому ресурсу, и это делает их уязвимыми для мошенников.

Киберпреступники начали кооперироваться и создавать копии крупных сайтов и платежных площадок, таких, как eBay или PayPal. Достаточно воспользоваться разными алфавитами и получить практически идентичный сайт, который идеально подходит для фишинга. В большинстве случаев потенциальная жертва не будет исследовать сайт на предмет мельчайших различий и попадет «на крючок».

Еще больше ситуация усугубилась в середине двухтысячных, когда фишингом заинтересовались профессиональные хакеры. Большое количество специального программного обеспечения, предназначенного для взлома, только подстегнуло «фишеров» к совершению новых преступлений. Например, американская сеть гипермакетов «Уоллмарт» отрицает утечку данных, произошедшую в конце двухтысячных. Но по косвенным признакам и жалобам пользователей сети атака все же была, а возможные потери могли составить сотни миллионов долларов.

Одним из самых известных случаев фишинговой атакой стало похищение 110 миллионов записей кредиток и данных, принадлежащих пользователям торговой сети Target. Из-за потери одной учетной записи злоумышленники получили доступ ко всему архиву конфиденциальной информации.

В 2016 году хакерская группа Fancy Bear атаковала адреса электронной почты Национального комитета Демократической партии США. Так, Джон Подеста, руководитель агитационной кампании Хиллари Клинтон на президентских выборах 2016 года, заявил, что преступники взломали его учетную запись Gmail и похитили переписку.  Подеста попался на старейшую мошенническую уловку: ему на электронную почту пришло фишинговое письмо с предупреждением, что пароль учетной записи был скомпрометирован (поэтому нужно «нажать здесь», чтобы сменить его).

Каким бывает фишинг?

-2

Адресный фишинг

На почтовый ящик каждого человека ежедневно приходит несколько писем с различными предложениями и сообщениями от используемых ресурсов. В таком потоке информации достаточно сложно увидеть фишинговое письмо, особенно если оно сразу падает в папку со спамом.

Именно поэтому опытные мошенники стараются атаковать конкретного пользователя, собирая всю  доступную о нем информацию. Правильно составленное письмо неминуемо привлечет внимание и будет мотивировать перейти по ссылке или скачать что-то на компьютер.

Например, фишинговая атака может быть нацелена на сотрудника, чьи обязанности предполагают авторизацию платежей. Хакеры присылают ему письмо якобы от высокопоставленного должностного лица организации с указанием осуществить крупный платеж в пользу этого лица или в пользу поставщика компании. В большинстве случаев прилагаемая ссылка ведет на веб-сайт мошенников, а  дальше все становится делом техники.

Адресный фишинг требует значительной подготовки и усилий, но и возможный профит может достигать миллионов долларов. В своем стремлении заработать фишеры изучат всю наличную информацию, социальные сети и даже членов семьи потенциальной жертвы. Именно поэтому так важна конфиденциальность информации и внимание к деталям.

Клоновый фишинг

В этом случае мошенники создают копию сайта банка и от его имени присылают письмо на почтовый ящик пользователя. Аналогичная ситуация может быть с любыми другими сайтами или социальными сетями.

Обман 419 или нигерийские письма

Время от времени к каждому пользователю социальной сети «Вконтакте» или «Фейсбук» может прийти письмо от безутешного родственника с Африки. Письмо будет содержать в себе тысячу сожалений о безвременно почившем родственнике, который оставил нам наследство.

Фишеры из стран Африки или Ближнего Востока пытаются выманить деньги на покрытие комиссий, билеты на самолет или иную услугу, которая в дальнейшем обогатит «инвестора». К счастью, такие письма с легкостью вычисляются и отправляются в папку спам.

Телефонный фишинг

Многие из нас сталкивались с телефонными мошенниками, которые под разными предлогами пытаются получить личные данные или пароли. Классический пример: потенциальной жертве звонят из службы безопасности банка и начинают интересоваться последними операциями, так как был зафиксирован несанкционированный вход в личный кабинет. Когда жертва пытается что-то сделать, ей предлагают продиктовать пароль из сообщения для подтверждения данных. Ну а далее следует неизбежная потеря денег с карточки.

Также часто звонят сотрудники «полиции» с сообщением о родственниках, попавших в беду. За вознаграждение они обещают закрыть вопрос и просят перечислить деньги на карту или отдать курьеру. В представленном случае главное — не давать человеку возможности успокоиться и все обдумать. Чаще всего жертвами таких мошенников становятся пенсионеры.

В России существуют целые подпольные «колл-центры», расположенные в тюрьмах, где заключенные отрабатывают целые смены, выманивая деньги у доверчивых людей. Большой проблемой выступает невозможность точечно блокировать  сигнал оператора сотовой связи из-за того, что большое количество тюрем находится возле населенных пунктов.

Аукционы и благотворительность

Мошенники с большим опытом работы часто принимают участие в аукционах на легальных площадках, используя поддельные веб-узлы. Таким образом можно получить данные карт участников и украсть деньги со счета.

Отдельной категорией выступают благотворительные организации, занимающиеся сбором денег для больных детей или оказания гуманитарной помощи. Организации-однодневки собирают максимально возможное количество денег и сливают их через подставные компании. Мошенники уровнем повыше действительно занимаются благотворительностью, но на благотворительность уходит минимальное количество собранных денег. Признаками такой организации может стать нецелевое использование денег, большие «зарплаты» сотрудников или высокие «сопутствующие затраты».

Часто фишинговая благотворительная организация помимо сборов денег в интернете организовывает еще и колл-центры. Специально обученные сотрудники, действующие по скриптам, обзванивают потенциальных жертв и просят отправить деньги для помощи больным детям или старикам.

Как защититься от фишинга?

Как мы уже говорили, фишинговые мошенники стараются в первую очередь атаковать самого пользователя, а не его компьютер и гаджеты. Каждая фишинговая атака — это прежде всего проверка на внимательность и соблюдение правил техники безопасности. Существует ряд таких правил, которые помогут вам защититься:

  • Никогда не переходите по ссылкам из письма и не скачивайте файлы, присланные незнакомыми пользователями. Это правило касается и социальных сетей, ведь каждый друг или подписчик может быть взломан, а его страница использована для рассылки фишинговых писем.
  • При работе с корпоративной почтой выполняйте все предписания службы безопасности. Таким образом можно обезопасить себя  в случае успешной хакерской атаки и не стать крайним в инциденте, повлекшим за собой финансовые потери.
  • Если получателя просят раскрыть конфиденциальные данные, нужно убедиться, что URL-адрес веб-страницы начинается с «HTTPS», а не просто с «HTTP». Буква «S» означает «secure» (безопасно), то есть подключение с таким адресом защищено. Вместе с тем, это не дает гарантии, что веб-сайт, на который ведет ссылка, законный, однако большинство безопасных веб-сайтов используют именно протокол HTTPS в силу его большей защищенности. При этом даже законные веб-сайты, использующие протокол HTTP, уязвимы перед атаками хакеров.
  • Создавайте сложные пароли для каждого используемого ресурса.
  • В случае телефонного фишинга всегда сбрасывайте звонок и перезванивайте на телефон горячей линии банка или родственника, «попавшего в беду».
  • Научите правилам безопасности свое окружение, ведь через них могут попытаться взломать счета или учетные записи.
  • Правильно настраивайте параметры браузера на компьютере. Системы безопасности постоянно совершенствуются, и мошенникам потребуется совершить массу усилий, чтобы их письмо не попало в спам.

В случае успешной атаки со стороны злоумышленников следует в любом случае написать заявление в полицию. Бытует мнение, что преступления в сети практически не расследуются, но их и не будут расследовать без заявления от потерпевшего. При большом количестве таких заявлений правоохранители будут вынуждены тщательнее расследовать подобные дела и сажать преступников в тюрьму.

В последние годы количество случаев фишинга идет на убыль. В 2013 году зафиксировано снижение доли массовой рассылки фишинговых писем. Это связано с тем, что крупные компании уделяют всё больше внимания защите конфиденциальных данных пользователей. Социальные сети и ресурсы электронной почты практикуют привязку аккаунта пользователя к IP или мобильному телефону. Интернет-банкинг также использует оповещения. Однако расслабляться рано, поскольку электронная коммерция распространяется бешеными темпами, торговля в интернете процветает, социальные сети ежегодно привлекают миллионы новых пользователей, а уголовное право зачастую не поспевает за развитием информационных технологий. А значит, количество желающих заработать на человеческом доверии точно не уменьшится.

Узнать больше: Что делать, если банк заблокировал карту

-3

Кардинг

Кардинг — вид мошенничества, предусматривающий воровство данных карт пользователей и дальнейшее снятие средств любым удобным способом. Каждая карта содержит в себе массу информации. На лицевой части указан номер и срок действия карты, а с обратной — CVV-код. Основная часть информации хранится на магнитной полосе и содержит информацию о владельце карты.

Преступников, занимающихся мошенничеством с картами, называют кардерами. Для большинства пользователей до сих пор остается загадкой, как кардеры получают информацию с карт. На самом деле способов достаточно много, вот некоторые из них:

  • Физический доступ . Карточку могут украсть и попытаться ее использовать при покупке товаров. На некоторых картах существуют лимиты, позволяющие совершать покупки без необходимости ввода пароля. К счастью, преступника, который попытается использовать украденную карту, легко поймать.
  • Фишинг . Рассылка писем с вредоносным содержимым — это классика кардинга. Потенциальную жертву всяческими способами мотивируют ввести платежные данные своей карты на непроверенном сайте. В случае успеха преступники успевают или полностью опустошить счет, или снять только часть денег. Также потенциальные мошенники могут звонить жертве, представляясь сотрудниками банка, чтобы получить пин-код от карты или недостающую часть данных.
  • Скимминг . Так называется копирование данных карты через специальное устройство, установленное в картоприемник. Способ достаточно старый и уже практически не встречается, так как банки устанавливают заглушки от проникновения. На мониторе банкомата также показывается, как должен выглядеть оригинальный картоприемник. Если изображение отличается от картоприемника, лучше не пользоваться таким банкоматом.
  • Шимминг . Шимминг — это продвинутая версия скимминга. На банкомате не будет подозрительных накладок, но внутри картоприемника устанавливается специальное устройство, позволяющее считывать данные карты. В большинстве случаев шимминг возможен в местах, где никто не обратит внимания на «ремонтников» или «инкассаторов» возле банкомата.
  • Банкоматы . В некоторых случаях мошенники, обладающие достаточным уровнем технической подготовки, устанавливают свои банкоматы со специальным программным обеспечением или скиммером. Банкомат работает как обычно, но крадет данные карты и передает их мошенникам. Спустя некоторое время банкомат демонтируют, а со счетов жертв начинают пропадать деньги.
  • Вредоносные вирусы . Скачивая «взломанные» игры или приложения, можно подсадить себе на компьютер или гаджет специальную программу, которая передаст все данные злоумышленникам.
  • Хакинг . Для того, чтобы стать кардером, не нужно обладать особыми навыками, достаточно выполнять определенную последовательность действий и заботиться о своей безопасности. При этом, кардерам надо где-то брать данные для работы. В этом случае образовался симбиоз между хакерами, добывающими персональные данные, и кардерами, которые снимают деньги с карт.

«Золотая» эпоха кардеров пришла на конец девяностых и начало нулевых, когда банковские продукты еще не были снабжены защитой высокого класса. В банкоматах не работали камеры видеонаблюдения, скиммеры можно было ставить без особых проблем, а люди с легкостью поддавались на уловки социальной инженерии. Со временем кардеров стало намного больше, но и борьба с киберпреступностью вышла на новый уровень.

Как защититься от кардеров

Несмотря на большое количество мошеннических уловок, защититься  практически от всех можно при должном уровне внимательности и соблюдении норм безопасности. Для того, чтобы обезопасить свои данные следует соблюдать такие правила:

  • Не передавайте свои данные третьим лицам, особенно пин-код или CVV.
  • Все операции с банковской картой должны выполняться в присутствии владельца. Например, официант в кафе обязан принести терминал или пригласить гостя для расчета к месту, где расположен стационарный терминал.
  • При снятии наличных прикрывайте клавиатуру, когда вводите пин-код.
  • Если вашу карту украли или вы ее потеряли, позвоните на горячую линию банка и попросите заблокировать ее.
  • Никогда не покупайте электронные кошельки «с рук»: после поступления крупной суммы денег на такой кошелек можно сразу потерять доступ к нему.
  • Установите лимиты для операций в интернете.
  • Следите за своими персональными данными и не осуществляйте сомнительных транзакций.
  • Помните, что сотрудники банка никогда не будут требовать пин-код или цифры, указанные на карте.
  • Включите двухфакторную идентификацию. Каждая операция потребует подтверждения от владельца карты по звонку или сообщению.
-4

На территории Российской Федерации и СНГ действуют несколько сотен тысяч кардеров. Ежедневно совершаются сотни операций с украденными по всему миру банковскими картами. Граждан РФ частично спасает незаинтересованность большинства мошенников в картах российских банков из-за малого числа накоплений. Чаще всего жертвами становятся жители США, Европы и Австралии.

Скам

Изначально SCAM — это вид мошенничества с инвестиционными фондами. В российских реалиях скам получил новое обличье с началом пандемии коронавируса. Схема проста: необходимо убедить продавца, не знакомого с функционалом площадок для объявлений «Авито» или «Юлы», перейти на указанную ссылку. Далее на банковском счету продавца блокируется сумма, эквивалентная сумме покупки для авторизации, и в дальнейшем переводится на обезличенный кошелек.

Статистика, к сожалению, неутешительная. Например, больше 54% попыток скама на площадке «Авито» заканчиваются успешно. Это происходит из-за отсутствия знаний функционала и увеличением количества покупок в интернете. Ситуация усугубляется обилием информации для начинающих мошенников, которая включает в себя правила анонимности и даже определенные скрипты разговоров. Благодаря социальной инженерии преступникам удается усыпить бдительность жертвы.

Более продвинутые скамеры создают поддельные сайты, имитирующие работу магазина или окна с оплатой услуг. В интернете можно найти несколько схем обмана при помощи скама. Наиболее распространены такие:

  • Обман через фишинговый сайт. Мошенник притворяется потенциальным покупателем и связывается с продавцом товара. При помощи методов социальной инженерии он убеждает его перейти на фишинговый сайт и списывает определенное количество денег. Эта схема — одна из самых распространенных и известных в интернете.
  • Оплата сделки после получения товара. Скамер убеждает продавца отправить товар без предварительной оплаты и рассчитаться по факту получения. Предлогом для такого действия может стать малое количество отзывов у продавца. Как показывает практика, после получения товара злоумышленник попросту исчезает.
  • Выманивание данных банковской карты. Покупатель может настаивать на оплате покупки напрямую, но для этого ему нужно получить все данные банковской карты. После получения необходимых данных скамер пропадает.
  • Рассрочка. Потенциальному «покупателю» товар нужен очень срочно, но всей суммы нет. Целью переписки обычно становится желание разжалобить продавца. После отправления «первого взноса» покупатель пропадает.
  • Работа. В последнее время особой популярностью пользуется так называемое «платное устройство на работу». Соискателю предлагают внести деньги для успешного прохождения конкурса или оплаты услуг посредника. Масштабы обмана могут варьироваться в зависимости от опыта мошенника. Потенциальное трудоустройство за границей будет стоить дороже, чем условное «рабочее место» на фриланс-бирже.

Несмотря на то, что все интернет-площадки по продаже вещей и услуг пытаются бороться со скамерами, с каждым годом мошенников становиться все больше. Как и в фишинге, здесь основной атаке подвергаются не гаджеты, а люди. Социальная инженерия позволяет обмануть доверчивых людей и заставить их переслать деньги мошеннику.

-5

Как защититься от скама

Для безопасности проводимых сделок нужно следовать таким правилам:

  • Тщательно изучите функционал площадки. Как правило, весь интерфейс интуитивно понятен и отличия с сайтом мошенников будут очевидны.
  • Отказывайтесь переводить диалог в мессенджеры. Ведите все переписки только на сайте площадки, это поможет избежать перехода по вредоносной ссылке и позволит получить улику, которую можно приложить к заявлению в полицию.
  • Сравнивайте цены на интересующий товар. Сильно заниженная цена должна вызвать подозрения в недобросовестности продавца или серьезном дефекте товара.
  • Не передавайте свои личные данные третьим лицам.

В случае, если скамеры достигли своей цели, пишите заявление в полицию. Чем больше подобных обращений, тем эффективнее будут работать правоохранительные органы.

Навязывание услуг страхования и кредитов

По закону банки не имеют права навязывать услуги страхования своим пользователям. Клиент может оформить страховку только для ипотечного жилья или для имущества, которое будет использовано как залог под кредит. Во всех остальных случаях банковские работники имеют право только предложить услугу, но не навязывать ее.

Но, как показывает практика, ситуация несколько другая. Существуют такие способы обойти законодательство, не привлекая внимания контролирующих органов:

  • Внести страховку в договор кредитования. Обычно ближе к концу договора можно найти пункт об обязательном страховании. Что примечательно, сумма кредита со страховкой и без страховки может существенно отличаться.
  • Не указывать цену страхования. Цена страховки может быть прибавлена к сумме кредита.
  • Не спрашивать согласия клиента. Оператор может сам поставить галочку в соответствующей графе без уведомления клиента, который невнимательно прочитает договор.
  • Не принимать другие страховки, кроме своих. Потенциальный клиент может быть застрахован на стороне, но банк может не принять такую страховку из-за специально завышенных требований.

Несмотря на то, что банк всегда заинтересован в потенциальных заемщиках, отказ от обязательного страхования может стать причиной отказа и в кредите. Такие случаи редки и их невозможно доказать, так как банк имеет право отказать в кредитовании без объяснения причин.

Если же кредит еще не оформлен, но потенциального заемщика заставляют взять страховку, следует обратиться в главный офис банка с претензией о наличии условий, ущемляющих права потребителей. Согласно статье 16 закона «О защите прав потребителей» такие условия отменяются, так как приобретение одного товара не может быть основанием для приобретения другого товара.

В случае, когда кредит уже оформлен, суд обычно на стороне заемщика. Для начала следует попытаться решить возникший конфликт, в досудебном порядке составив претензию в главный офис. В претензии укажите, что менеджер банка не предупредил о стоимости страховки, не предоставил информацию о ней или заполнил пункт договора без вашего согласия.

Если же претензия будет отклонена, следует обратиться в Роспотребнадзор с соответствующим запросом о законности навязывания страховки.

Отдельной проблемой выступает желание банковских служащих выдать вам кредитную карту. Мотивируют они это тем, что карта может понадобиться в непредвиденной ситуации. В некоторых банках кредитки имеют определенный лимит времени на бесплатное обслуживание, а далее требуется платить плату за обслуживание.

Узнать больше: Как отменить подписку на займ

Подписывайтесь на наш канал в Телеграме! Публикуем там информацию о выгодных акциях и рассказываем про новые предложения от банков и МФО.

Содействие в подборе финансовых услуг/организаций.