В мире цифровых коммуникаций, где мессенджеры стали повседневной реальностью, не только близкие друзья и родственники находят нас в сети. В последнее время активизировались мошенники, которые активно «обрабатывают» сотрудников компаний через WhatsApp, Telegram, Viber и другие с целью добыть ценные данные и корпоративную конфиденциальную информацию.
Одним из самых распространенных видов мошенничества является фишинг (то же что и «ловля на крючок») – совокупность действий, направленных на получение данных обманным путем. Конечно, ключевым методом является использование психологической манипуляции. Данный метод получил отдельный термин в сфере информационной безопасности – социальная инженерия. Это значит, что проще «атаковать» сотрудника компании, чем реализовать штурм на защищенную ИТ-инфраструктуру.
Под видом начальства: одна из уловок мошенников
Схема действий мошенников сложна в своей изощренности. Они выдают себя за должностных лиц из верхних эшелонов компании, звоня с требованием срочной переписки. Все начинается с того, что вы получаете уведомление о предстоящем звонке от кого-то из руководства, органов безопасности компании или государственных структур. Сообщение выглядит официально и требует немедленного ответа. На крючок попадает даже опытный сотрудник – и вот уже звонок на ваш личный номер. Далее могут присылаться QR-коды или иные ссылки для совершения противоправных действий. Все это безусловно направлено на получение все той же конфиденциальной информации о деятельности компании и ее работников, а также их личных данных и денежных средствах.
В данном случае стоит вспомнить еще один опасный и часто встречающийся вид мошенничества – компрометация корпоративной почты (ВЕС-атака). Схема продумана до мелочей: мошенник получает доступ к корпоративному адресу электронной почты и от имени компании, ее партнера или сотрудника отправляет те же самые фишинговые письма. Чаще всего жулики под разными предлогами просят провести платеж по указанным реквизитам, перейти на некий сайт, причем сделать это срочно. Такие манипуляции притупляют бдительность получателей. Жертвой подобной атаки в свое время стал даже Google.
Хитрые уловки и как им противостоять
Ваша бдительность и здравый смысл – ваши лучшие союзники. Во-первых, не паниковать. Вот несколько советов, как реагировать и не попасть на «крючок»:
- Быстро прервите разговор и не предоставляйте информацию. Вне зависимости от того, как официально выглядит разговор, никогда не передавайте конфиденциальные данные по телефону.
- Только корпоративные ресурсы. Для деловой переписки используйте только официальные мессенджеры и почту, утвержденные вашей компанией. Сторонние приложения не допускаются.
- Личное остается личным! Никаких реквизитов карты, CVC/CVV-кодов, кодов из СМС, ПИН-кодов, данных о проектах или документах – это ваша личная территория.
- Не переводите деньги незнакомцам. Независимо от того, как остро стоит вопрос, не совершайте денежные переводы без надежных проверок.
- Не дайте вирусам шанс. Устанавливайте приложения только из проверенных источников. Вредоносные приложения могут привести к утечке данных.
- Настройки мессенджера в помощь. Ограничьте прием сообщений: настройте получение только от ваших контактов. Это снизит риск получения фишинговых сообщений.
- Сравните номера. Если вас на том конце провода призывают к какому-либо действию, убедитесь через корпоративную адресную книгу, что этот номер принадлежит работнику вашей компании.
- Подтверждение через другие каналы. Мошенники с легкостью «перевоплощаются» в ваших коллег, партнеров и руководителей. Поэтому если сомневаетесь, не стесняйтесь связаться с отправителем через другой канал коммуникации, чтобы убедиться, что вам пишет именно он.
Безопасность в ваших руках
Важно помнить, что мошенники постоянно совершенствуют свои методы, поэтому необходимо быть всегда настороже. Осторожность и бдительность – ваша лучшая защита, а технические средства – помощники. Выходить за рамки официальных средств связи значит подвергать риску себя и всю компанию.
Сталкивались ли вы когда-либо с действиями мошенников?
