Шахраї існували завжди. В епоху цифрових технологій їхні можливості зростають, а способи впливу на людей змінюються.  Дослідниця Кримської правозахисної групи Ірина Сєдова разом з виданням ZMINA підібрала корисні поради експертів з кібербезпеки про те, як захиститися від найпопулярніших способів такого шахрайства.

Зараз електронні банківські рахунки людей можна обчистити за допомогою інтернету. Тому деякі бандити  навіть з крісла не встають. Гра на емоціях, трохи знання психології – і ось уже жертва сама несе на блюді номера рахунків, підписує кредитний договір на 730% річних, купує товар, якого не існує, або надсилає пароль від власної електронної пошти. Це все називається “соціальна інженерія”, і з розвитком інтернету в неї з’являється широке поле нових можливостей.

 Ваш син потрапив у в’язницю! Терміново потрібна допомога!  

Серед ночі прокинулися від телефонного дзвінка зі страшною новиною? Найімовірніше, це спроба телефонного шахрайства.  

Кандидатка психологічних наук Юлія Крилова-Грек розповідає, які існують види впливу на психіку людей. 

За її словами, в будь-який системі безпеки найслабшою ланкою був і залишається людський фактор. Частка злочинів, пов’язаних із застосуванням методів соціальної інженерії, становить близько 32–33%. Водночас антивіруси лише у 26 % випадків допомагають захистити персональні дані.

Поширеність методів соціальної інженерії пов’язана з тим, що злочинцям набагато простіше отримати доступ до закритих даних через комунікацію, ніж через зламування системи захисту.

Найпоширенішими видами соціальної інженерії є фішинг – отримання повідомлень на електронну пошту, в смс та месенджерах ніби від “друзів” – та прямі телефоні дзвінки. У будь-якому разі головна мета атаки соціального інженера – це вимагання грошей.

Електрона пошта – найпопулярніший інструмент для атак, каже експертка. В електронних листах потенційній жертві обов’язково запропонують переказати гроші в біткоїнах або перейти за лінком, який на перший погляд може здаватися знайомим.

Наприклад, соціальні інженери розробляють так звані сайти-клони, які майже не відрізняюся від знайомих нам Google, Microsoft, PayPal. У листах зловмисники можуть стверджувати, що вони через спеціальне програмне забезпечення відстежували ваше приватне життя і, якщо ви не заплатите їм гроші, вони розповсюдять відео з вами за всіма вашими контактами.

Такі листи часто надходять нібито з вашої пошти, що змушує багатьох жертв панікувати. Водночас існує кілька способів перевірки такого листа, найпростіше просто зайти в папку “надіслані” та перевірити, чи надсилався лист із вашої пошти.

Психолінгвістка пояснює, що в будь-якому разі головна зброя соціальних інженерів – це мова та мовлення. У такий спосіб вони впливають на свідомість жертви, паралізують її критичне мислення, використовуючи такі техніки, як залякування, несподіваність, спонукання до швидких дій, перш ніж жертва оговтається.

Отже, основні поради, як уберегтися від віртуальних шахраїв, такі.

• Уважність, спокій та збереження конфіденційності ваших даних. Не піддавайтеся паніці або тиску з боку невідомих осіб, не надавайте жодної особистої інформації, навіть якщо на перший погляд вона вам здається неважливою. Досвідчені “спеціалісти” збирають крихти, з яких отримують потрібний блок даних.  
• У разі якщо ви отримуєте “дивний” дзвінок з банку, пенсійного фонду або іншої установи, що цікавиться вашими рахунками, припиніть розмову та перетелефонуйте до зазначеної установи для з’ясування справжності дзвінка. 
• Розраховуючи на заклопотаність та неуважність, зловмисники створюють сайти-клони, які майже нічим не відрізняються від справжнього сайту банку або PayPal. Якщо отримали такого листа, уважно перевірте URL-адресу (https), в якій кожна літера має значення. Порівняйте її зі справжньою URL-адресою установи. 

Також одним з популярних видів атак останнім часом стали листи, які розраховують на ваші емоції – обурення, хвилювання.   

Увага, ви виграли приз! 

Отримали подібне повідомлення на електронну пошту або в чат? Найімовірніше, це онлайн-фішинг. Це метод виманювання з вас інформації про гроші, бізнес або приватне життя. Такі повідомлення часто розсилають разом з лінком. Якщо ви йдете за цим посиланням, то зазвичай вас просять ввести паролі або іншу відому тільки вам приватну інформацію. 

Мар’яна Капранова, консультантка Лабораторії цифрової безпеки, пояснила, що для успішного фішингу злодії використовують повідомлення, не лише пов’язані зі страхом або винагородою, але й з посиланням на авторитет, симпатію.  

“Наприклад, лист, що наш обліковий запис, де є важлива інформація, зламано і треба змінити пароль. Або ж ви дивитеся піратський фільм в інтернеті й випадково клікаєте на якесь посилання, а там – “Увага! Кіберполіція! Ви повинні сплатити штраф за перегляд незаконного контенту”. Тут і посилання на авторитет, і страх покарання. Це також може бути лист начебто від улюбленого бренду, коли вам пропонують велику знижку за щось, – тут симпатія і винагорода. Або ті ж гроші на картку для допомоги другу чи мамі. Коли почалася пандемія коронавірусу, стали з’являтися листи з рекомендаціями від ВООЗ, посилання переводило на фішинговий сайт, де потрібно було ввести імейл та пароль”, – розповідає фахівчиня. 

Вона також дає кілька порад про те, як захиститися від цього виду шахрайства. 

• Найдієвіше – не діяти швидко. Не треба одразу переходити за посиланнями й вводити інформацію, яку від вас просять. Спочатку заспокойтеся, а потім спробуйте відповісти собі на запитання: “Хто саме надіслав листа? На який сайт веде посилання? Чи треба взагалі йти за цим посиланням або завантажувати надісланий файл?”
• Якщо лист чи повідомлення від знайомих і ви його не очікували – перепитайте за іншим каналом зв’язку, чи дійсно вони надсилали вам листа або просили перекинути кошти. 
•  Якщо є сумніви в справжності листа, можете порадитися з друзями або звернутися до Лабораторії цифрової безпеки. 
•  Також важливо звернути увагу на посилання чи файл, який просять надіслати.  
•  У проєкту Jigsaw від Google є phishing quiz – тест, де можна подивитися, на які деталі варто звертати увагу.  
•  Якщо в додатку до листа є файл, не завантажуйте його, особливо якщо не очікували листа, а якщо все ж це зробили – не відкривайте.  
• Якщо ви все ж ввели дані й пізніше зрозуміли, що це був фішинг, – не панікуйте і не соромтеся. Сором – це ще один гачок, яким користуються шахраї. Помилятися – це нормально. Якщо ви працюєте в організації і саме на неї спрямований персональний фішинг, ви можете в такий спосіб попередити колег. Також організація знатиме, що міг статися витік через вашу пошту чи сторінку.  
•  Докладніше про захист від фішингу в онлайні читайте на сайті Лабораторії за посиланням: https://yak.dslua.org/.

Експертка також радить не панікувати, коли ви щойно зрозуміли, що “повелися” на фішинг, – варто вийти з усіх сесій та змінити пароль.  

Якщо внаслідок цих дій гроші або персональні дані таки вкрадено, потрібно негайно телефонувати в банк і блокувати картки, а також повідомити поліцію про цей випадок.    

Швидкий онлайн-кредит усього за 1,7 відсотка!  

Бачите таку рекламу в соцмережах? Найімовірніше, це гачок від шахраїв.  

Іноді шахраям не потрібна ваша банківська картка. Вони можуть втягнути вас у боргову яму, змусити оплатити непотрібний товар чи надіслати гроші інтернет-магазину, якого не існує. Тут використовуються такі самі психологічні прийоми, як з фішингом. Розрахунок іде на емоції і швидкі дії. Ось, наприклад, як виглядає в інтернеті реклама швидкого онлайн-кредитування під 730% річних. 

Основна порада в подібних випадках – уважно читати всі умови кредитування, а якщо йдеться про купівлю товарів через інтернет, не робити передоплати й читати відгуки інших покупців про цей магазин або сервіс.  

Щоб максимально захиститися від небажаної реклами у фейсбуці, Мар’яна Капранова радить перейти за посиланням і заборонити власникам соцмережі використовувати додаткову інформацію про себе.  

Коли ви бачите інформацію про неймовірні знижки або мінімальні відсотки кредиту, одразу згадуйте, що безкоштовний сир лише в мишоловці.  

Якщо ви знайшли шахрайську рекламу в соцмережі, можна поскаржитися на неї власникам сервісу. Мені нещодавно вдалося в такий спосіб заблокувати на фейсбуці мережу з дев’яти майже однакових шахрайських інтернет-магазинів одягу.  

Під впливом емоцій багато користувачів соцмереж віддають майже повну картину свого життя невідомим особам. А потім маємо, зокрема, цікаві результати виборів, які приводять до влади тих, хто глибше проаналізував поведінку виборців і запустив популярнішу політичну рекламу в соцмережах. 

 Маєте проукраїнську сторінку у вконтакті – ФСБ йде за вами 

У контексті війни й окупації персональні дані виманюють також спецслужби для доступу до необхідних для подальшого ведення війни даних. І якщо в американських соцмережах соціальні інженери збирають дані опосередковано, то в російських спецслужби мають прямий контакт із власниками.  

Наприклад, нещодавно ФСБ затримала 20-річного хлопця за українську агітацію в Криму. Затриманий хлопець жив в Одесі й досить довго розміщував цю агітацію на сторінці у вконтакті та на власному сайті. Його затримали після того, як він приїхав до Криму і продовжив агітацію за допомогою цієї підконтрольної російській владі соцмережі. 

Експерт із кібербезпеки Микола Костинян радить активним українцям у Криму не користуватися російськими соцмережами й онлайн-сервісами. 

“За російським законодавством усі російські соціальні мережі та поштові сервіси зобов’язані надавати доступ до даних користувачів силовим структурам. Тому ви можете потенційно постраждати через листування в таких сервісах, якщо до нього отримають доступ російські силовики. Тож не ведіть такого листування в російських сервісах. Те саме стосується даних про ваші пересування та про пристрої. Якщо ж ви вважаєте, що всі ці дані в руках російських силовиків не становлять для вас якихось ризиків, тоді можете користуватися подібними сайтами”, – пояснив експерт. 

Своєю чергою Юлія Крилова-Грек розповідає, що на серйозність проблеми соціальної інженерії звернула увагу європейська спільнота, яка говорить про культуру кібербезпеки.

“У наукових колах навіть з’явився такий термін, як “кіберграмотність”, який означає вміння захистити себе і свою безпеку в інтернеті”, – каже експертка.

Отже, суспільству необхідна потужна роз’яснювальна робота, зокрема з дітьми, молоддю та людьми старшого віку, які тільки починають активно користуватися соцмережами. Доносити їм інформацію про захист потрібно в максимально спрощеній, ігровій формі. Бо розлогі статті про це з аналітикою читає тільки невеличка кількість людей. І держава має відіграти в розвитку  культури кіберграмотності не останню роль. Наприклад, розробити систему грантів для активістів і науковців, які вивчають і популяризують це.  

Гарна ідея, яку можна втілити в життя, – створити онлайн-платформу з кіберграмотності російською і українською мовами. Де навчати людей мислити критично за допомогою простих ігор, тестів, мемів і коротеньких відео. Особливо це актуально, коли йдеться про турботу щодо мешканців окупованих територій. Бо це наші громадяни, які потребують додаткового захисту не тільки від побутових шахраїв, але й від професійних соціальних інженерів держави-окупанта.