12 сентября
Фестиваль мексиканской культуры в Минске состоялся при поддержке А1: музыка, танцы, гигантский буррито и буйство красок в Верхнем городе
4 | 4 | 2 | 2 |
Аккаунты Илона Маска, Билла Гейтса и других знаменитостей были взломаны в Твиттере — одна из самых масштабных в мире атак на страницы селебрити произошла на прошлой неделе. Миллиардеры, звезды шоу-бизнеса, влиятельные спортсмены и политики поневоле оказались замешанными в аферы: в их микроблогах появились сообщения о заработке. Пользователям предлагалось перевести деньги на биткоин-кошельки с возвратом суммы в двойном размере. В результате мошенники успели заработать около $ 100 000. Предполагается, что они использовали метод социальной инженерии: рассылали сотрудникам Твиттера поддельные (так называемые фишинговые) письма, чтобы войти в доверие и под вымышленным предлогом узнать пароли от аккаунтов.
Мошеннические методы социальной инженерии набирают обороты по всему миру. Например, в России, Беларуси, Украине с приходом пандемии появилась масса сайтов, которые под предлогом помощи больным узнают данные о пин-кодах с карточек, пароли к интернет-банкингу. В результате деньги переводятся добровольно или похищаются со счетов и физлиц, и компаний. Как защититься? Комментирует Александр Хмыль, руководитель проекта HostFly.by.
— Мошенники в последнее время все чаще прибегают к механизмам социальной инженерии, как в интернете, так и за пределами Глобальной сети.
Вот несколько примеров:
1. Недавно жителей Беларуси потрясли случаи массового телефонного «взлома», когда доверчивые владельцы банковских карт — по телефону — сами давали доступ мошенникам к своему интернет-банку.
Как это работает? Тут очень важно понимать, что смысл всех манипуляций, которые предпринимают злоумышленники, сводится к тому, чтобы расположить к себе жертву, войти к ней в доверие. Чтобы человек поверил, нужны инструменты социальной инженерии. Во время телефонных звонков мошенники представлялись работниками банка и в разговоре использовали термины, которые рядовому человеку могут показаться профессиональными. Они говорили быстро, не давая времени на размышление, моделировали ситуацию, которая требовала быстрой реакции. Как результат, человек терялся и выдавал конфиденциальную информацию о паролях, номерах счетов и т.д.
2. В интернете с началом пандемии произошел взрывной рост количества фишинговых сайтов: появились якобы «государственные» порталы по выплате пособий, покупке средств защиты и других товаров и услуг, востребованных многими людьми. Дошло до того, что появились поддельные сайты по выплате помощи пострадавшему бизнесу. И люди охотно вовлекались! Они вводили номера кредитных карт и коды безопасности. И вместо помощи у них снимали деньги.
Самый вопиющий случай — сайт по продаже вакцины от коронавируса. И люди «покупали» ее, несмотря на тысячи сообщений, что вакцина еще не готова и будет только через год. Злоумышленникам достаточно было подключить к обработке заказов человека, который сыпал медицинскими терминами и уточнял противопоказания. И эта схема социальной инженерии сработала.
Принцип остается прежним: жертва злоумышленников должна им доверять или думать, что пользуется проверенным сервисом или интернет-банком. Самый распространенный способ обмана — мимикрия. Создаются сайты или сервисы, очень похожие на настоящие. После чего пользователей приглашают ими воспользоваться — по почте или через ссылки в социальных сетях.
Например, вы получаете письмо от банка, что вам нужно срочно ввести личные данные и остановить блокировку счета. Это нужно сделать очень быстро, ссылку вам предлагают, а переходя по ней вы видите привычный дизайн и лого банка. Отличить подделку с первого взгляда — сложно, плюс человека мотивируют не думать, сделать что-то очень быстро. Создается атмосфера спешки, необходимости принятия экстренного решения. Естественно, цель преступников — узнать актуальные сведения: номер и пин-карты, данные к интернет-банку.
3. Еще одна распространенная схема — это сборы пожертвований для больных или под какие-то проекты. В ней есть место как несуществующим просителям помощи, так и площадкам, которые собирают деньги, но не отправляют их нуждающимся или стартапам.
Слабое место — человек. На его восприятие, страхи, надежды и неосведомленность направлены такие атаки. Формула практическим всегда и везде одинаковая — усыпить бдительность, притвориться честным сервисом и получить информацию или деньги:
1. Научитесь правильно реагировать на просьбы, которые вы получаете в почте или социальных сетях. Помните, что маркер социальной инженерии в Сети — это слово «срочно» и его синонимы.
2. Не спешите бросать все дела и быстро выполнять инструкции, которые вы получили. Замедлите процесс, задайте наводящие вопросы. Сомневаетесь — проконсультируйтесь по телефону со специалистом.
Помните, что банки, государственные ведомства (правоохранительные органы, суды) не используют электронные каналы связи как единственные. Не поленитесь позвонить в банк или в госорган, который прислал требование.
3. Проверяйте сайты, на которых вы совершаете действия, связанные с финансами. Обратите внимание на имя в адресной строке, а также то, кому был выдан сертификат безопасности (нажмите на знак замочка в начале адресной строки). В сертификате указывается, кому он был выдан.
Вот пример (нажмите, чтобы увеличить):
Совпадают ли названия организации с теми, в которых вы обслуживаетесь или где должны внести свои данные.
4. Будьте разумными консерваторами, не спешите совершать действия, которые вызывают у вас подозрение. Если вы хотите пожертвовать деньги в Сети, прочитайте отзывы на сервис. Но помните, что и отзывы могут быть поддельными.
5. Опирайтесь на опыт других людей, но не доверяйте опыту одного или двух незнакомцев.
6. Относитесь подозрительно к просьбам дать доступ к электронной почте или аккаунту в социальных сетях. Через них можно получить другие ваши личные данные. Сейчас почта и социальные сети являются ключами для многих других сервисов. В том числе с их помощью можно получить данные ваших платежных карт. Например, если зайти через социальную сеть в ваш профиль сервиса по покупке билетов в кино.
Что же касается защиты техническими средствами, отмечу: существуют глобальные программы по защите людей в Сети от ловушек злоумышленников. Например, компания ICANN сотрудничает с некоторыми организациями, которые занимаются вопросами информационной безопасности. Они составляют черные списки доменных имен, с которых ведется опасная деятельность. Эти списки анализируют операторы во всем мире, дополняют их и передают властям. Борьба ведется постоянно, хотя это не заметно большинству пользователей.
12 сентября
Фестиваль мексиканской культуры в Минске состоялся при поддержке А1: музыка, танцы, гигантский буррито и буйство красок в Верхнем городе
11 сентября
В Минске пройдет ночной хакатон Startup Boom Hackathon&Accelerator, который решит важные социальные вопросы в Беларуси
9 сентября
Пакет услуг «SMART START» – для новых клиентов Белагропромбанка
5 сентября
Space Day 2024: форум возможностей для будущих предпринимателей
26 августа
Основные правила продавцов на Ozon: 7 способов повысить продажи на маркетплейсе
14 августа
Бесплатные консультации по привлечению инвестиций в бизнес
5 августа
С клиентом работают только профи. World Class меняет рынок фитнес-услуг в Беларуси
1 августа
МТС — бизнесу: полезные сервисы и удобные тарифы