Мошенники существовали всегда. В эпоху цифровых технологий их возможности растут, а способы влияния на сознание людей меняются. Исследовательница Крымской правозащитной группы Ирина Седова вместе с изданием ZMINA опубликовала полезные советы экспертов по кибербезопасности о том, как защититься от самых популярных способов такого мошенничества.
Сейчас электронные банковские счета людей можно обчистить с помощью интернета. Поэтому некоторые бандиты даже с кресла не встают. Игра на эмоциях, немного знания психологии – и вот уже жертва сама несет на блюде номера банковских карт, подписывает кредитный договор на 730% годовых, покупает несуществующие товары или отправляет пароль от своей электронной почты. Это все называется «социальная инженерия», и с развитием интернета у нее появляется широкое поле новых возможностей.
Ваш сын попал в тюрьму! Срочно нужна помощь!
Среди ночи проснулись от телефонного звонка со страшной новостью? Скорей всего это попытка телефонного мошенничества.
Кандидатка психологических наук Юлия Крылова-Грек рассказывает, какие существуют виды влияния на психику людей.
По ее словам, в какой угодно системе безопасности самым слабым звеном был и остается человеческий фактор. Доля преступлений, связанных с применением методов социальной инженерии составляет примерно 32-33%. В тоже время антивирусы только в 26% помогают защитить персональные данные.
Распространенность методов социальной инженерии связана с тем, что преступникам гораздо проще получить доступ к закрытым данным через коммуникацию, а не через взлом систем защиты.
Наиболее популярными видами социальной инженерии являются фишинг — получение сообщений на электронную почту, по смс или в мессенджеры якобы от «друзей» — и прямые телефонные звонки. В любом случае главная цель атаки социального инженера – завладеть вашими деньгами или секретной информацией.
Электронная почта – наиболее популярный инструмент для атак, говорит эксперт. В электронных письмах потенциальной жертве обязательно предложат перевести деньги в биткоинах или пройти по линку, который на первый взгляд может казаться знакомым.
Например, социальные инженеры разрабатывают так называемые сайты-клоны, которые почти не отличаются от знакомых нам Google, Microsoft, PayPal.
В письмах преступники могут утверждать, что они через специальное программное обеспечение отслеживали вашу частную жизнь и, если вы не заплатите им, вони распространят видео с вами по всем вашим контактам.
Такие письма часто присылают якобы с вашей собственной почты, и это заставляет многие жертвы паниковать. В тоже время существует несколько способов проверки таких писем. Самый простой – зайти в папку «Отправленные» и проверить, действительно ли лист отправлен с вашей почты.
Психолингвистка разъясняет, что в любом случае главное оружие социальных инженеров – это речь и общение. Таким способом они влияют на сознание жертвы, парализуют ее критическое мышление. Для этого используют такие техники, как запугивание, неожиданность, побуждение к быстрым действиям, до того, как жертва придёт в себя.
С учетом этого, основные советы, как уберечься от виртуальных мошенников, такие:
- Внимание, спокойствие и сохранение конфиденциальности ваших данных. Не поддавайтесь панике или давлению со стороны неизвестных, не давайте никакой личной информации, даже если на первый взгляд она кажется вам неважной. Опытные «специалисты» собирают крохи, из которых потом собирают нужный блок данных.
- В случае если вы получаете «странный» звонок из банка, пенсионного фонда или любого другого ведомства, которое интересуется вашими счетами, остановите разговор и перезвоните в это учреждение, чтоб убедиться в достоверности звонка.
- Рассчитывая на вашу невнимательность, преступники создают сайты-клоны, которые почти ничем не отличаются от настоящего сайта банка или PayPal. Если получили такое письмо, внимательно проверьте URL-адрес (https), в котором каждый знак имеет значение. Сравните этот адрес с настоящим URL-адресом нужной организации.
В последнее время также одним из популярных видов атак стали письма, которые рассчитаны на ваши эмоции – такие как возмущение и волнение.
Внимание, вы выиграли приз!
Получили подобное сообщение на электронную почту или в чат? Скорей всего это онлайн-фишинг. Это метод выманивания из вас информации про деньги, бизнес или частную жизнь. Такие сообщения часто отправляют вместе с линком. Если вы идете по этой ссылке, то обычно вас просят ввести пароли или другую известную только вам личную информацию.
Марьяна Капранова, консультантка Лаборатории цифровой безопасности, объяснила, что для успешного фишинга преступники используют сообщения, не только связанные со страхом или вознаграждением, но и со ссылкой на авторитет, симпатию.
«Например, письмо о том, что наша учетная запись, где есть важная информация, взломана и нужно сменить пароль. Или же вы смотрите пиратский фильм в интернете и случайно переходите по какому-то линку, а там – «Внимание! Киберполиция! Вы обязаны заплатить штраф за просмотр незаконного контента». Тут и ссылка на авторитет, и страх наказания. Это также может быть письмо якобы от любимого бренда, когда вам предлагают большую скидку за что-то – тут симпатия и вознаграждение. Или те же самые деньги для помощи другу или маме. Когда началась пандемия коронавируса, стали появляться письма с рекомендациями от ВООЗ, ссылка вела на фишинговый сайт, где нужно было ввести свой e-mail и пароль», — рассказывает активистка.
Она также дает несколько советов о том, как защититься от этого вида мошенничества.
- Самое действенное – не действовать быстро. Не нужно сразу идти по ссылке и вводить информацию, которую от вас просят. Сначала успокойтесь, а потом попробуйте ответить себе на вопросы: «Кто именно послал письмо? На какой сайт ведет ссылка? Нужно ли вообще идти по этой ссылке или загружать присланный файл?
- Если это письмо или сообщение пришло от знакомых, но вы его не ждали переспросите по другому каналу связи действительно ли они отправляли вам письмо или просили прислать деньги.
- Если у вас есть сомнения в достоверности этого письма, можете посоветоваться с друзьями или обратится в Лабораторию цифровой безопасности.
- Также важно обратить внимание на ссылку или файл, который просят отправить.
- У проекта Jigsaw от Google есть phishing quiz – тест, где можно посмотреть на какие детали стоит обращать внимание
- Если в приложении к письму есть файл, не загружайте его, особенно если не ожидали письма. А если все же вы это сделали – не открывайте.
- Если вы все же ввели данные и позднее поняли, что это был фишинг, — не паникуйте и не стыдитесь этого. Стыд – еще один крючок, которым пользуются мошенники. Ошибаться – это нормально. Если вы работаете в организацию и именно на нее нацелен персональный фишинг, рассказав об атаке вы можете предупредить остальных коллег. Также организация узнает, что утечка данных могла произойти через вашу почту или страницу.
- Подробнее о защите от фишинга в онлайне читайте на сайте Лаборатории по ссылке: https://yak.dslua.org/.
Экспертка также советует не паниковать, если вы только что поняли, что «повелись» на фишинг, — нужно выйти из всех сессий и сменить пароли.
Если же деньги или персональные данные были все-таки украдены, нужно срочно звонить в банк и блокировать карты, а также сообщить об этом случае в полицию.
Быстрый онлайн-кредит всего за 1,7 процента!
Видите такую рекламу в соцсетях? Скорее всего это крючок мошенников.
Иногда преступникам не нужна ваша банковская карта. Они могут толкнуть вас в долговую яму, вынудить оплатить ненужный товар или отправить деньги интернет-магазину, которого не существует. В таких случаях действуют те же приемы, что и с фишингом. Ставка делается на эмоции и вызванные ими быстрые действия. Вот, например, как выглядит в интернете реклама быстрого онлайн-кредитования под 730% годовых.
Основной совет в таких случаях – внимательно изучить все условия кредитования, а если речь идет о покупке товаров через интернет, не вносить предоплату, читать отзывы других покупателей об этом магазине или сервисе.
Чтоб максимально защититься от нежелательной рекламы в фейсбуке, Марьяна Капранова советует перейти по ссылке и запретить собственникам соцсети использовать для таргетинга дополнительную информацию о себе.
Когда вы видите информацию о неимоверных скидках или минимальных процентах кредита, сразу вспоминайте, что бесплатный сыр бывает только в мышеловках.
Если вы нашли мошенническую рекламу в соцсети, можно пожаловаться на нее собственникам сайта. Мне надавно удалось таким способом заблокировать в фейсбуке странички сети из девяти почти одинаковых фейковый онлайн-магазинов одежды.
Под влиянием эмоций много пользователей отдают почти полную картину своей жизни неизвестным лицам. А потом мы удивляемся, в том числе, странным результатам выборов, когда побеждают те, кто более глубоко проанализировал поведение избирателей и запустил более популярную политическую рекламу в соцсетях.
Ведете проукраинскую страницу вконтакте – ФСБ идет за вами
В контексте войны и оккупации персональные данные выманивают также спецслужбы. Таким образом они могут получить доступ к сведениям, необходимым для дальнейшего ведения войны. И если в американских соцсетях они собирают такие данные опосредованно, то в российских спецслужбы имеют прямой контакт с владельцами.
Например, недавно ФСБ задержала 20-летнего парня за украинскую агитацию в Крыму. Он сначала жил в Одессе и довольно долго публиковал такую агитацию на страничке вконтакте и на собственном сайте. Его задержали после того, как он приехал в Крым и продолжил агитацию с помощью этой подконтрольной российской власти социальной сети.
Эксперт по кибербезопасности Николай Костынян советует активным украинцам в Крыму не использовать российские соцсети и онлайн-сервисы. «По российскому законодательству все российские соцсети и почтовые сервисы обязаны давать силовым структурам доступ к данным пользователей. Поэтому, вы можете потенциально пострадать из-за переписки в таких сервисах, если к ним имеют доступ российские силовики. То же самое касается данных о ваших перемещениях и устройствах. Если вы считаете, что все эти данные в руках российских спецслужб не несут для вас каких-то рисков, тогда можете их использовать», — поясняет эксперт.
В свою очередь Юлия Крылова-Грек рассказывает, что к проблеме социальной инженерии очень серьезно относится европейское сообщество, которое говорит о культуре кибербезопасности.
“В научных кругах даже появился такой термин, как «киберграмотность», который означает умение защитить себя и свою безопасность в интернете”, – говорит эксперт.
Итак, обществу необходима масштабная разъяснительная работа, в частности с детьми, молодежью и людьми старшего возраста, которые только начинают активно пользоваться социальными сетями. Доносить им информацию о защите нужно в максимально упрощенной, игровой форме. Потому что серьезные аналитические статьи об этом читает только небольшое количество людей. И государство должно сыграть в развитии культуры киберграмотности ведущую роль. Например, разработать систему грантов для активистов и ученых, изучающих и популяризирующих это.
Хорошая идея, которую можно воплотить в жизнь, — создать онлайн-платформу обучения киберграмотности на русском и украинском языках. Этот сервис может учить людей мыслить критически с помощью простых игр, тестов, мемов и коротких видео. Особенно это актуально, когда речь идет об информировании жителей оккупированных территорий. Потому что это наши граждане, которые нуждаются в дополнительной защите не только от бытовых мошенников, но и от профессиональных социальных инженеров державы-оккупанта.
