6 декабря
Международный конкурс «Выбор года» представляет победителей 2024 года!
4 | 4 | 2 | 2 |
Аккаунты Илона Маска, Билла Гейтса и других знаменитостей были взломаны в Твиттере — одна из самых масштабных в мире атак на страницы селебрити произошла на прошлой неделе. Миллиардеры, звезды шоу-бизнеса, влиятельные спортсмены и политики поневоле оказались замешанными в аферы: в их микроблогах появились сообщения о заработке. Пользователям предлагалось перевести деньги на биткоин-кошельки с возвратом суммы в двойном размере. В результате мошенники успели заработать около $ 100 000. Предполагается, что они использовали метод социальной инженерии: рассылали сотрудникам Твиттера поддельные (так называемые фишинговые) письма, чтобы войти в доверие и под вымышленным предлогом узнать пароли от аккаунтов.
Мошеннические методы социальной инженерии набирают обороты по всему миру. Например, в России, Беларуси, Украине с приходом пандемии появилась масса сайтов, которые под предлогом помощи больным узнают данные о пин-кодах с карточек, пароли к интернет-банкингу. В результате деньги переводятся добровольно или похищаются со счетов и физлиц, и компаний. Как защититься? Комментирует Александр Хмыль, руководитель проекта HostFly.by.
— Мошенники в последнее время все чаще прибегают к механизмам социальной инженерии, как в интернете, так и за пределами Глобальной сети.
Вот несколько примеров:
1. Недавно жителей Беларуси потрясли случаи массового телефонного «взлома», когда доверчивые владельцы банковских карт — по телефону — сами давали доступ мошенникам к своему интернет-банку.
Как это работает? Тут очень важно понимать, что смысл всех манипуляций, которые предпринимают злоумышленники, сводится к тому, чтобы расположить к себе жертву, войти к ней в доверие. Чтобы человек поверил, нужны инструменты социальной инженерии. Во время телефонных звонков мошенники представлялись работниками банка и в разговоре использовали термины, которые рядовому человеку могут показаться профессиональными. Они говорили быстро, не давая времени на размышление, моделировали ситуацию, которая требовала быстрой реакции. Как результат, человек терялся и выдавал конфиденциальную информацию о паролях, номерах счетов и т.д.
2. В интернете с началом пандемии произошел взрывной рост количества фишинговых сайтов: появились якобы «государственные» порталы по выплате пособий, покупке средств защиты и других товаров и услуг, востребованных многими людьми. Дошло до того, что появились поддельные сайты по выплате помощи пострадавшему бизнесу. И люди охотно вовлекались! Они вводили номера кредитных карт и коды безопасности. И вместо помощи у них снимали деньги.
Самый вопиющий случай — сайт по продаже вакцины от коронавируса. И люди «покупали» ее, несмотря на тысячи сообщений, что вакцина еще не готова и будет только через год. Злоумышленникам достаточно было подключить к обработке заказов человека, который сыпал медицинскими терминами и уточнял противопоказания. И эта схема социальной инженерии сработала.
Принцип остается прежним: жертва злоумышленников должна им доверять или думать, что пользуется проверенным сервисом или интернет-банком. Самый распространенный способ обмана — мимикрия. Создаются сайты или сервисы, очень похожие на настоящие. После чего пользователей приглашают ими воспользоваться — по почте или через ссылки в социальных сетях.
Например, вы получаете письмо от банка, что вам нужно срочно ввести личные данные и остановить блокировку счета. Это нужно сделать очень быстро, ссылку вам предлагают, а переходя по ней вы видите привычный дизайн и лого банка. Отличить подделку с первого взгляда — сложно, плюс человека мотивируют не думать, сделать что-то очень быстро. Создается атмосфера спешки, необходимости принятия экстренного решения. Естественно, цель преступников — узнать актуальные сведения: номер и пин-карты, данные к интернет-банку.
3. Еще одна распространенная схема — это сборы пожертвований для больных или под какие-то проекты. В ней есть место как несуществующим просителям помощи, так и площадкам, которые собирают деньги, но не отправляют их нуждающимся или стартапам.
Слабое место — человек. На его восприятие, страхи, надежды и неосведомленность направлены такие атаки. Формула практическим всегда и везде одинаковая — усыпить бдительность, притвориться честным сервисом и получить информацию или деньги:
1. Научитесь правильно реагировать на просьбы, которые вы получаете в почте или социальных сетях. Помните, что маркер социальной инженерии в Сети — это слово «срочно» и его синонимы.
2. Не спешите бросать все дела и быстро выполнять инструкции, которые вы получили. Замедлите процесс, задайте наводящие вопросы. Сомневаетесь — проконсультируйтесь по телефону со специалистом.
Помните, что банки, государственные ведомства (правоохранительные органы, суды) не используют электронные каналы связи как единственные. Не поленитесь позвонить в банк или в госорган, который прислал требование.
3. Проверяйте сайты, на которых вы совершаете действия, связанные с финансами. Обратите внимание на имя в адресной строке, а также то, кому был выдан сертификат безопасности (нажмите на знак замочка в начале адресной строки). В сертификате указывается, кому он был выдан.
Вот пример (нажмите, чтобы увеличить):
Совпадают ли названия организации с теми, в которых вы обслуживаетесь или где должны внести свои данные.
4. Будьте разумными консерваторами, не спешите совершать действия, которые вызывают у вас подозрение. Если вы хотите пожертвовать деньги в Сети, прочитайте отзывы на сервис. Но помните, что и отзывы могут быть поддельными.
5. Опирайтесь на опыт других людей, но не доверяйте опыту одного или двух незнакомцев.
6. Относитесь подозрительно к просьбам дать доступ к электронной почте или аккаунту в социальных сетях. Через них можно получить другие ваши личные данные. Сейчас почта и социальные сети являются ключами для многих других сервисов. В том числе с их помощью можно получить данные ваших платежных карт. Например, если зайти через социальную сеть в ваш профиль сервиса по покупке билетов в кино.
Что же касается защиты техническими средствами, отмечу: существуют глобальные программы по защите людей в Сети от ловушек злоумышленников. Например, компания ICANN сотрудничает с некоторыми организациями, которые занимаются вопросами информационной безопасности. Они составляют черные списки доменных имен, с которых ведется опасная деятельность. Эти списки анализируют операторы во всем мире, дополняют их и передают властям. Борьба ведется постоянно, хотя это не заметно большинству пользователей.
6 декабря
Международный конкурс «Выбор года» представляет победителей 2024 года!
5 декабря
Форум «Инновационный шторм»: платформа для идей, технологий и предпринимательства
5 декабря
Импровизированный LOVE REPUBLIC HOTEL открыл свои двери, чтобы вместе с гостями отпраздновать официальное открытие в Беларуси
5 декабря
В Минске прошел Форум по управлению интернетом
3 декабря
Будущее глазами бэкенд-разработчиков. Регистрируйтесь на мероприятие о технологиях в электронной коммерции
2 декабря
РКО от Белагропромбанка – широкие возможности для бизнеса
2 декабря
5 топовых советов от спикеров бизнес-конференции «RACE. Кейсы, результаты, инсайты»
1 декабря
Путь к победе длиною в девять месяцев: Белагропромбанк подвел итоги Стартап-марафона 2024