В современных реалиях многие сферы нашей жизни перешли в онлайн. Мы привыкли заказывать различные вещи, одежду, продукты и технику в интернете, покупать билеты в кино или театр через онлайн-кассы, перешли на электронные книги, оплачиваем через интернет различные услуги, активно пользуемся онлайн-банкингом и прочее. Это просто, быстро, удобно, но… не всегда безопасно. К сожалению, интернет-мошенники тоже не дремлют, они разработали и успешно внедряют множество различных схем, позволяющих буквально-таки выудить ваши персональные данные и использовать их в корыстных целях. О каждом из таких механизмов далее расскажем подробнее.
Фишинг: ловись рыбка большая и маленькая
Название fishing переводится с английского как рыбная ловля, выуживание. Мошенники готовят своеобразные информационные удочки, забрасывают их и ждут подходящую рыбку – потенциальную жертву. В основе таких разводов лежат базовые принципы социальной инженерии.
Заблокировали счет и не делают вывод ваших средств?
Что пытаются выудить? Персональные данные, номер телефона, номер банковской карты, логин и пароль онлайн-банка, электронного кошелька, платежной системы или другого сервиса. На что клюют? На специально прописанное фишинг-письмо. Такое послание “счастья”, как правило, влияет на эмоции получателя. А какие эмоции у нас самые сильные? Правильно, восторг и страх. На это и давят. Фишинг-письмо может содержать информацию о большом выигрыше, счастливом случае, супервыгодном предложении от банка или какой-то финансовой организации. Или же наоборот, пишут о взломе или попытке взлома аккаунта с последующей блокировкой. Дабы получить прибыль или спасти любимый аккаунт нужно перейти по представленной в письме ссылке и ввести свои данные, и сделать это необходимо как можно быстрее. Таким образом мошенник быстро и беспроблемно получает доступ к необходимой информации в ту же секунду, когда ошарашенный новостью пользователь нажмет кнопку ввода.
Основные схемы фишинга выглядят следующим образом:
- На почту приходит письмо от известной организации с просьбой подтвердить логин и пароль. При переходе по предложенной ссылке клиент попадает на страницу точь в точь похожую на настоящую. Но если присмотреться, то можно заметить, что адрес URL отличается парой символов, а периферийные страницы сайта либо не работают вовсе, либо выглядят не слишком аккуратно. Оно и понятно, сайт-то – подделка.
- Используются изъяны в протоколе SMTP, расходятся письма с поддельной строчкой «Mail From». Невнимательный пользователь отвечает на письмо, передавая таким образом мошенникам всю необходимую им информацию.
- В интернет-аукционах или онлайн-магазинах продажу настраивают так, что товары распространяются через легальный ресурс, а вот оплату – через поддельный. После традиционного указания номера банковской карты, срока ее работы, пароля дело мошенникам остается за малым.
- Поддельные благотворительные организации, принимающие денежные пожертвования.
- Фиктивные онлайн-магазины или кассы с супервыгодными предложениями.
Вариантов много, задача одна – выманить информацию.
Вишинг: разговоры, которые не заканчиваются ничем хорошим
От предыдущей схемы вишинг отличается лишь инструментом: voice+phishing - возможность заполучить информацию с применением голоса, то есть по телефону. Этот тип развода заключается в том, что для получения нужной информации мошенники звонят непосредственно клиенту.
Приманка точно такая же: предложение о выгодной сделке, выигрыш, большое везение или блок аккаунта, сложности и т. д. В любом из вариантов пользователю нужно ввести персональные данные, чтобы получить выгоду или решить проблему.
В этом случае может также сыграть более тесный контакт с клиентом, убеждения и уговоры, эмоциональное влияние.
Как уберечься? Все всегда нужно проверять. После такого звонка вы можете попрощаться с оператором и загуглить информацию, которую вам навязывали, проверить работает ли доступ к сервису, о котором идет речь, позвонить на горячую линию и попросить разъяснения. Это позволит понять, кто на вас вышел: мошенники или реальные представители компании.
Смишинг: смс-развод
Несмотря на “смешное" название, веселого в смишинге, конечно, мало. Расшифровка простая - sms+phishing, то есть возможность заполучить данные посредством смс. На номер телефона поступает сообщение от банка, финансовой или какой-либо другой компании, новость о внезапном выигрыше в лотерею или уникальное акционное предложение. Сложность в том, что выявить смс-развод несколько сложнее, нежели при вишинге или фишинге, так как сообщения короткие и лаконичные, содержат мало информации, помимо самой ссылки. В смс могут попросить:
- перезвонить и предоставить информацию;
- пройти по ссылке и указать необходимые мошенникам данные в специальной форме;
- отправить ответное смс, указав там логин и пароль от платежной системы, номер карты и код, другие данные.
Любые похожие сообщения должны вас настораживать и вызывать вопросы.
Фарминг: апгрейд классического фишинга
Суть фарминга в том, что пользователь попадает на мошеннический сервис случайно. Ссылку на сайт-подделку ему подсовывают посредством использования DNS-кэша на устройстве или сетевом оборудовании провайдера. Проще говоря, на пользовательский ноутбук или смартфон пробирается вирус, который активизируется, когда осуществляется переход на интересующую страницу:
- онлайн-банкинг;
- платежная система;
- электронный кошелек и похожие.
Интерфейс страницы ничем не отличается от реального, но стоит только пользователю пройти авторизацию, как его данные оказываются у мошенников и далее используются для снятия всех средств со счета.
Заблокировали счет и не делают вывод ваших средств?
Это, пожалуй, тот вариант мошенничества, избежать которого особенно сложно. Дело в том, что подмена производится незаметно. Чтобы избежать фарминга, нужно вовремя узнавать мошеннические письма, не переходить по подозрительным ссылкам и беречься от интернет-вирусов.
Заключение
Фишинг, вишинг, смишинг, фарминг, как и другие виды мошенничества, построены на невнимательности и доверчивости пользователей. Дабы избежать неприятностей, описанных выше, достаточно следовать нескольким простым правилам:
- никому и никогда не давайте логинов и паролей от своего интернет-банкинга, не предоставляйте номер карты, дату окончания срока действия и CVV код;
- обращайте внимание на имя отправителя, тему письма, почтовый адрес и общее оформление. Если что-то выглядит подозрительно, просто удаляйте сообщение;
- обращения от имени банка или компании, услугами которой вы ранее успешно пользовались, старайтесь проверять у официальной службы поддержки этой организации, в действующем личном кабинете;
- не переходите по ссылкам в письмах от неизвестных (сомнительных) отправителей;
- не отвечайте на письма, запрашивающее личную информацию, банковские данные;
- обращайте внимание на ошибки в тексте, серьезные организации не позволяет себе грамматических или пунктуационных огрехов;
- не загружайте себе незнакомые файлы с расширением .exe, .msi, .bat, .pif, .com, .vbs, .reg, .zip, они могут содержать вирусы;
- не игнорируйте сообщения от антивирусных программ, встроенных в ваши браузеры — они содержат антифишинговые системы со списком вредоносных сервисов;
- используйте двухфакторную идентификацию в сервисах, кошельках, банкинге. Если злоумышленники и получат доступ к логину, то сложная система входа может если не остановить их, то немного притормозить.
Одним из лучших средств защиты от мошенников является критическое мышление, скептицизм и привычка все всегда перепроверять. Вооружитесь этими тремя орудиями — и шансов у финансовых преступников станет гораздо меньше.