20 апреля
О сложных технологиях простыми словами ― мы составили словарь, без которого в бизнесе никак
Аккаунты Илона Маска, Билла Гейтса и других знаменитостей были взломаны в Твиттере — одна из самых масштабных в мире атак на страницы селебрити произошла на прошлой неделе. Миллиардеры, звезды шоу-бизнеса, влиятельные спортсмены и политики поневоле оказались замешанными в аферы: в их микроблогах появились сообщения о заработке. Пользователям предлагалось перевести деньги на биткоин-кошельки с возвратом суммы в двойном размере. В результате мошенники успели заработать около $ 100 000. Предполагается, что они использовали метод социальной инженерии: рассылали сотрудникам Твиттера поддельные (так называемые фишинговые) письма, чтобы войти в доверие и под вымышленным предлогом узнать пароли от аккаунтов.
Мошеннические методы социальной инженерии набирают обороты по всему миру. Например, в России, Беларуси, Украине с приходом пандемии появилась масса сайтов, которые под предлогом помощи больным узнают данные о пин-кодах с карточек, пароли к интернет-банкингу. В результате деньги переводятся добровольно или похищаются со счетов и физлиц, и компаний. Как защититься? Комментирует Александр Хмыль, руководитель проекта HostFly.by.
— Мошенники в последнее время все чаще прибегают к механизмам социальной инженерии, как в интернете, так и за пределами Глобальной сети.
Вот несколько примеров:
1. Недавно жителей Беларуси потрясли случаи массового телефонного «взлома», когда доверчивые владельцы банковских карт — по телефону — сами давали доступ мошенникам к своему интернет-банку.
Как это работает? Тут очень важно понимать, что смысл всех манипуляций, которые предпринимают злоумышленники, сводится к тому, чтобы расположить к себе жертву, войти к ней в доверие. Чтобы человек поверил, нужны инструменты социальной инженерии. Во время телефонных звонков мошенники представлялись работниками банка и в разговоре использовали термины, которые рядовому человеку могут показаться профессиональными. Они говорили быстро, не давая времени на размышление, моделировали ситуацию, которая требовала быстрой реакции. Как результат, человек терялся и выдавал конфиденциальную информацию о паролях, номерах счетов и т.д.
2. В интернете с началом пандемии произошел взрывной рост количества фишинговых сайтов: появились якобы «государственные» порталы по выплате пособий, покупке средств защиты и других товаров и услуг, востребованных многими людьми. Дошло до того, что появились поддельные сайты по выплате помощи пострадавшему бизнесу. И люди охотно вовлекались! Они вводили номера кредитных карт и коды безопасности. И вместо помощи у них снимали деньги.
Самый вопиющий случай — сайт по продаже вакцины от коронавируса. И люди «покупали» ее, несмотря на тысячи сообщений, что вакцина еще не готова и будет только через год. Злоумышленникам достаточно было подключить к обработке заказов человека, который сыпал медицинскими терминами и уточнял противопоказания. И эта схема социальной инженерии сработала.
Принцип остается прежним: жертва злоумышленников должна им доверять или думать, что пользуется проверенным сервисом или интернет-банком. Самый распространенный способ обмана — мимикрия. Создаются сайты или сервисы, очень похожие на настоящие. После чего пользователей приглашают ими воспользоваться — по почте или через ссылки в социальных сетях.
Например, вы получаете письмо от банка, что вам нужно срочно ввести личные данные и остановить блокировку счета. Это нужно сделать очень быстро, ссылку вам предлагают, а переходя по ней вы видите привычный дизайн и лого банка. Отличить подделку с первого взгляда — сложно, плюс человека мотивируют не думать, сделать что-то очень быстро. Создается атмосфера спешки, необходимости принятия экстренного решения. Естественно, цель преступников — узнать актуальные сведения: номер и пин-карты, данные к интернет-банку.
3. Еще одна распространенная схема — это сборы пожертвований для больных или под какие-то проекты. В ней есть место как несуществующим просителям помощи, так и площадкам, которые собирают деньги, но не отправляют их нуждающимся или стартапам.
Слабое место — человек. На его восприятие, страхи, надежды и неосведомленность направлены такие атаки. Формула практическим всегда и везде одинаковая — усыпить бдительность, притвориться честным сервисом и получить информацию или деньги:
1. Научитесь правильно реагировать на просьбы, которые вы получаете в почте или социальных сетях. Помните, что маркер социальной инженерии в Сети — это слово «срочно» и его синонимы.
2. Не спешите бросать все дела и быстро выполнять инструкции, которые вы получили. Замедлите процесс, задайте наводящие вопросы. Сомневаетесь — проконсультируйтесь по телефону со специалистом.
Помните, что банки, государственные ведомства (правоохранительные органы, суды) не используют электронные каналы связи как единственные. Не поленитесь позвонить в банк или в госорган, который прислал требование.
3. Проверяйте сайты, на которых вы совершаете действия, связанные с финансами. Обратите внимание на имя в адресной строке, а также то, кому был выдан сертификат безопасности (нажмите на знак замочка в начале адресной строки). В сертификате указывается, кому он был выдан.
Вот пример (нажмите, чтобы увеличить):
Совпадают ли названия организации с теми, в которых вы обслуживаетесь или где должны внести свои данные.
4. Будьте разумными консерваторами, не спешите совершать действия, которые вызывают у вас подозрение. Если вы хотите пожертвовать деньги в Сети, прочитайте отзывы на сервис. Но помните, что и отзывы могут быть поддельными.
5. Опирайтесь на опыт других людей, но не доверяйте опыту одного или двух незнакомцев.
6. Относитесь подозрительно к просьбам дать доступ к электронной почте или аккаунту в социальных сетях. Через них можно получить другие ваши личные данные. Сейчас почта и социальные сети являются ключами для многих других сервисов. В том числе с их помощью можно получить данные ваших платежных карт. Например, если зайти через социальную сеть в ваш профиль сервиса по покупке билетов в кино.
Что же касается защиты техническими средствами, отмечу: существуют глобальные программы по защите людей в Сети от ловушек злоумышленников. Например, компания ICANN сотрудничает с некоторыми организациями, которые занимаются вопросами информационной безопасности. Они составляют черные списки доменных имен, с которых ведется опасная деятельность. Эти списки анализируют операторы во всем мире, дополняют их и передают властям. Борьба ведется постоянно, хотя это не заметно большинству пользователей.
20 апреля
О сложных технологиях простыми словами ― мы составили словарь, без которого в бизнесе никак
20 апреля
До 23 апреля специальная акция Про бизнес!
20 апреля
Приложение Оплати.Бизнес. Почему это выгодно?
19 апреля
Бесплатные консультации для бизнеса
15 апреля
Смотрите, как мы разбирали бизнес-кейсы в прямом эфире!
13 апреля
Сколько стоит вывести бизнес в онлайн?
13 апреля
«Написала мечту на майке — и вот что вышло». Как эта смелая девушка запускала необычную онлайн-школу английского
8 апреля
21 факт о Webcom Belarus в 21 день рождения компании