Урок 5. Как избежать фишинга и других видов мошенничества
На прошлом уроке мы с вами разобрались, как безопасно использовать социальные сети, изучили основные настройки профиля и конфиденциальности, и посмотрели, как с ними работать, на примере некоторых наиболее популярных соцсетей.
Однако опасности нас подстерегают не только в социальных сетях, но и практически везде, где есть Интернет. Вам могут звонить или писать, поздравлять с несуществующим выигрышем или угрожать блокировкой карты, однако суть одна – обмануть вас и взять с вас деньги, напрямую сейчас или опосредованно через получение ваших личных данных чуть позже.
Распознавать мошенничество, что называется, «на ранних стадиях» помогает критическое мышление. Поработать над его развитием вы можете на нашей одноименной программе «Критическое мышление».
Содержание:
- Основные виды мошенничества в Интернете
- Что такое фишинг и как его распознать?
- Методы защиты от фишинга и мошенничества
- Проверочный тест
Разобраться в теме нам поможет «Полное руководство по фишинговым атакам», где рассказано обо всех основных разновидностях фишинга и методах противодействия [Varonis Systems, 2021].
Основные виды мошенничества в Интернете
Мошенничество в Интернете имеет множество форм и видов, и злоумышленники постоянно изобретают новые способы обмана пользователей. Давайте рассмотрим основные виды интернет-мошенничества.
Топ-10 видов интернет-мошенничества:
- Фишинг (Fishing) – злоумышленники отправляют сообщения (электронные письма, сообщения в соцсетях), выдавая себя за надежные организации или лиц, чтобы получить личные данные (логины, пароли, номера кредитных карт). Это могут быть сообщения от «банков» с просьбой подтвердить информацию, поддельные уведомления от социальных сетей, письма от «технической поддержки» какой-либо компании, сообщения о выигрышах в лотерею или розыгрыши, в которых вы не участвовали, с просьбой оплатить «налоги» или «сборы» для получения приза.
- Вишинг (Voice Fishing) – мошенники звонят по телефону, выдавая себя за представителей банков, технической поддержки или государственных служб, чтобы получить конфиденциальные данные. Это звонки с просьбой подтвердить данные кредитной карты или счета, предупреждения о проблемах с налогами или блокировке карты.
- Смишинг (SMiShing) – от слов SMS и «фишинг». Злоумышленники отправляют смс-сообщения, к примеру, со ссылкой на вредоносный сайт или с просьбой перезвонить на мошеннический номер. Это могут быть сообщения о выигрышах, проблемах с банковским счетом, запросы на обновление информации.
- Мошенничество с онлайн-покупками – мошенники создают фальшивые интернет-магазины или объявления, предлагая товары по привлекательным ценам. Работают исключительно по предоплате 100% или 50%, если товар очень дорогой, и после получения денег отправляют покупателя в «черный список», а товар, естественно, не высылают.
- Фальшивые сайты – для обмана мошенники используют создание поддельных сайтов-двойников, имитирующих настоящие, с целью кражи данных, которые пользователи оставляют при регистрации на сайте. Тут даже не нужны вирусы онлайн или вредоносные программы для кражи данных, потому что пользователи оставляют свои данные добровольно, думая, что попали на официальный сайт организации.
- Липовые интернет-аукционы – мошенники размещают лоты на аукционах, предлагая товары, которых не существует, или взвинчивают цену с помощью подставных ставок. Ввиду того, что серьезные торговые площадки тщательно проверяют продавцов, такой вид мошенничества часто совмещен с созданием фальшивого сайта, когда злоумышленники создают сайт-двойник известного интернет-магазина или торговой площадки.
- Инвестиционные мошенничества – мошенники обещают получение высокой прибыли от инвестиций в проекты, которые либо не существуют, либо являются финансовыми пирамидами. Это примерно как «МММ» от Мавроди, только в Интернете. Из более новых приемов можно выделить липовые криптовалютные инвестиции.
- «Романтические» мошенничества – мошенники создают фальшивые профили на сайтах знакомств, чтобы завоевать доверие жертвы и затем выманивать деньги под различными предлогами (лечение, трудная жизненная ситуация, «потерял кошелек»). Просьбы от девушек еще разнообразнее, вплоть до предложения оплатить дорогу и номер в отеле для встречи, после чего дама исчезает.
- Мошенничество с возвратом денег – злоумышленники предлагают призовой кешбек за прошлые покупки или услуги, требуя предварительный платеж для обработки возврата.
- Мошенничество с онлайн-работой – мошенники дают объявления о высокооплачиваемой работе, требующие предварительных затрат на обучение, инвентарь или «страховку от невыполнения работы». Или же просто фальшивые вакансии, предназначенные для сбора личных данных.
Как распознать все эти виды мошенничества в Интернете и какая есть защита от мошенничества? Об этом поговорим чуть позже, а пока стоит подробнее остановиться на самом распространенном виде интернет-мошенничества – фишинге.
Что такое фишинг и как его распознать?
Давайте освежим уже имеющиеся у нас знания, а затем будем рассматривать тему более подробно.
Фишинг – это вид интернет-мошенничества, при котором злоумышленники пытаются получить конфиденциальную информацию, такую как логины, пароли, номера кредитных карт и другие личные данные, выдавая себя за надежные организации или лиц.
Слово fishing переводится с английского как «рыбная ловля», что наилучшим образом отражает суть явления. Фактически мошенники пытаются «поймать рыбку в мутной водичке», которую сами же и мутят.
Фишинг-атаки часто осуществляются через электронные письма, сообщения в социальных сетях, текстовые сообщения, телефонные звонки, в том числе IP-телефонии. Более того, именно IP-телефония гораздо чаще используется для фишинга как более дешевое решение, обеспечивающее при желании большую анонимность, чем обычная телефонная связь.
Больше технических подробностей можно узнать из материала «IP-телефония, VoIP и SIP – что это такое?» [UIS, 2021]. А мы переходим непосредственно к теме.
Как распознать фишинг:
- Подозрительные отправители – проверьте адрес электронной почты отправителя. Электронный адрес может быть похож на настоящий адрес организации, и отличаться от настоящего на пару букв или символов. Поэтому уточните адрес и прочие данные организации, от имени которой вы получили письмо, через поисковую систему.
- Неожиданные запросы на личную информацию – если вас просят предоставить личную информацию (логины, пароли, данные банковских карт) через электронную почту или сообщения, это достаточный повод, чтобы насторожиться. Банку эти данные не нужны, потому что они у него и так есть, а для проведения платежей эти данные нужны только вам.
- Ошибки в тексте – фишинговые письма часто содержат орфографические и грамматические ошибки и описки. Официальные письма обычно проходят тщательную проверку и редко содержат описки и ошибки.
- Срочные и пугающие сообщения – фишинговые атаки часто используют методы запугивания или создают чувство срочности, чтобы заставить вас действовать быстро, не думая. Например, сообщения о том, что ваша банковская карта заблокирована, а для разблокировки нужна полная информация о вас и вашей банковской карте.
- Подозрительные ссылки – проверьте ссылки в письме, нажав на них правой кнопкой мыши и скопировав адрес ссылки. Адрес в тексте письма может совпадать с официальным адресом организации, однако фишинговая ссылка ведет на нелегальный сайт-двойник. Очень часто вредоносные ссылки маскируются именно таким образом.
- Вложенные файлы – не скачивайте и не открывайте файлы непонятного происхождения, полученные от неизвестных адресатов. Собственно, если вы не ждете наследства от дядюшки Сэма из Америки, потому что дядюшки в США у вас нет, то и комплект документов для оформления наследства скачивать не стоит. Иначе можно запросто скачать вирус, вредоносный файл, вредоносное ПО (программное обеспечение), которое потом будет вредить вашему компьютеру, и воровать ваши данные.
- Логотипы и дизайн сомнительного качества – злоумышленники могут использовать логотипы и дизайн, похожий на официальный, однако качество этих элементов обычно ниже, чем у писем, поступающих от официальной организации. Просто потому, что у мошенников нет исходного макета, и они копируют опубликованные логотипы, что сказывается на качестве.
Это основные признаки фишинга. Какая есть защита от фишинга и прочих мошеннических угроз? Давайте посмотрим!
Методы защиты от фишинга и мошенничества
На прошлых уроках мы уже достаточно много говорили о мерах по защите своих данных в Сети. Поэтому давайте обновим уже имеющиеся знания и углубимся в нюансы защитных мер, связанные с нашей сегодняшней темой.
Защита от мошенничества – основные меры:
- Обучение и осведомленность – регулярно изучайте материалы по кибербезопасности, будьте в курсе новых трендов в сфере интернет-мошенничества, применяйте изученные методы защиты на практике.
- Проверка URL-адреса – внимательно проверяйте URL-адреса сайтов, чтобы избежать поддельных сайтов, которые могут содержать незначительные изменения в адресе (например, использование цифры 0 вместо буквы «O»).
- Изолированные платежные методы – используйте виртуальные кредитные карты для онлайн-платежей. Эти карты можно настроить с ограничениями по сумме и сроку действия.
- Антифишинговые инструменты – задействуйте антифишанговые программы, сервисы и расширения для браузеров, которые предупреждают вас о подозрительных сайтах. Например, Netcraft Toolbar и PhishTank.
- Антивирусы – они защитят вас в случае, если вы по незнанию перейдете на вредоносный сайт, содержащий вредоносное ПО для кражи данных.
- Обновление операционной системы и программного обеспечения – новые версии «операционки» и софта имеют более высокую степень защиты от различных угроз, в том числе фишинговых и связанных с вредоносным ПО. Скачивайте программы и обновления из официальных легальных источников, чтобы у вас гарантированно была версия без вирусов.
- Мониторинг и настройки уведомлений – включите уведомления обо всех платежных операциях, которые совершаются с ваших счетов, банковских карт, интернет-кошельков, платежных сервисов. Так вы моментально будете знать, что кто-то взломал ваш счет и совершил денежный перевод без вашего ведома.
- Регулярное резервное копирование данных – настройте регулярное резервное копирование важных данных на внешние носители или облачные сервисы. Периодически делайте ручные резервные копии критически важных документов и данных. Так вы сможете быстрее восстановить информацию и принять меры по смене логинов и паролей на всех своих аккаунтах.
- Разделение рабочих и личных данных – используйте отдельные устройства для работы и личных нужд, чтобы снизить риск утечки данных. Как минимум, создавайте отдельные учетные записи для работы и личных дел на одном устройстве.
- Бдительность и осторожность – всегда перепроверяйте источники информации и подозрительные сообщения, особенно если в них содержатся ссылки или запросы на личные данные. Будьте осторожны с незнакомыми контактами, особенно если они просят вас выполнить какие-то действия или предоставить информацию. Не передавайте личные данные по телефону или электронной почте.
- Использование безопасных сетей – совершайте онлайн-платежи только через свою домашнюю или рабочую Wi-Fi-сеть. По возможности воздержитесь от финансовых операций, если вы подключены к общественному незащищенному Wi-Fi-соединению. Надежный Wi-Fi должен быть защищен паролем и шифрованием WPA3 (или WPA2). Данные относительно системы шифрования можно уточнить у своего провайдера.
- Проверка подлинности сайтов – проверяйте наличие SSL-сертификата у сайта. SSL-сертификат – это цифровой сертификат, удостоверяющий подлинность веб-сайта и позволяющий использовать зашифрованное соединение. Если сертификат есть, вы увидите значок замка в адресной строке браузера:
Если у вас есть желание самостоятельно вникнуть в технические нюансы систем шифрования, можем рекомендовать вам статью «WEP, WPA, WPA2, WPA3: классификация и сравнение протоколов беспроводной связи», чтобы вы могли получить знания, выходящие за рамки нашего курса, предназначенного для обычных рядовых пользователей Сети [AscentOptics, 2024].
Как видите, в этот раз мы даже не стали вам напоминать о необходимости придумывать уникальные сложные пароли для разных аккаунтов и подключать двухфакторную аутентификацию. Специфика интернет-мошенничества такова, что люди в большинстве случаев совершенно добровольно предоставляют свои личные данные мошенникам.
Какова психология фишинга и почему мошенникам удается уговорить людей передать конфиденциальные данные? Психология фишинга основана на использовании уловок и манипуляций, которые заставляют людей действовать импульсивно и раскрывать свою личную информацию или выполнять действия, которые они обычно не делали бы.
Основные психологические уловки фишинга:
| Социальная инженерия – фишинг основан на методах социальной инженерии, которые используют человеческие эмоции и слабости, чтобы манипулировать поведением жертвы. |
| Создание чувства срочности – фишинговые сообщения часто создают чувство срочности, утверждая, что необходимо немедленно предпринять действия «здесь и сейчас». Это заставляет людей действовать без достаточного обдумывания. |
| Апелляция к страху и тревоге – злоумышленники часто используют страх, чтобы заставить людей подчиняться, например, угрожая утратой доступа к аккаунту или финансовыми потерями. |
| Апелляция к авторитету – фишинговые атаки часто мимикрируют под официальные сообщения от известных организаций, таких как банки, государственные учреждения или крупные компании, чтобы создать впечатление легитимности. |
| Игра на любопытстве и жадности – предложения о крупных выигрыше, неожиданном наследстве или выгодных сделках могут привлечь внимание и заставить людей раскрывать свою личную информацию. |
| Социальное подтверждение – использование ложных отзывов, фальшивых рекомендаций или ссылок на «успешных» пользователей может создать видимость доверия и убедить людей следовать инструкциям. |
Теперь, когда вы изучили основные виды мошенничества в Интернете и основные приемы защиты от мошенничества и фишинга, вам остается лишь поработать над собственной психологической устойчивостью и не поддаваться панике, которую пытается посеять звонящий. Это можно сделать на нашей программе «Психическая саморегуляция».
Что отвечать мошенникам по телефону, если вы взяли трубку, ответили на звонок с незнакомого номера и получили одно из ранее перечисленных сомнительных предложений? Например, что отвечать, если просят дать данные банковской карты, чтобы не заблокировали карту? Или если просят перевести деньги за выигрыш в лотерею? Когда вы сталкиваетесь с телефонными мошенниками, важно оставаться спокойными и не поддаваться на уловки. И с учетом частоты и вероятности фишинга и прочих видов мошенничества будет полезно иметь по паре заготовок на основные случаи.
Что говорить, если…
Вас просят дать данные банковской карты, чтобы не заблокировали карту:
- «Извините, я не могу предоставить такую информацию по телефону. Я свяжусь напрямую с банком».
- «Я не обсуждаю банковские данные по телефону. Если есть проблемы, я позвоню в банк сам».
Вас просят перевести деньги за оформление выигрыша в лотерею:
- «Спасибо, но я не участвовал в лотерее. Пожалуйста, удалите мой номер из вашей базы данных».
- «Я не перевожу деньги для получения выигрыша. Если это реальный приз, я свяжусь с организаторами напрямую».
Вас просят перевести деньги за оформление «наследства»:
- «Спасибо за информацию, но я не могу продолжить без консультации с моим адвокатом. Пожалуйста, представьте все необходимые документы для проверки».
- «Я не обсуждаю финансовые вопросы по электронной почте или телефону. Если это законное наследство, пожалуйста, свяжитесь с моим юристом».
Вам предлагают купить товар с большой скидкой, но только по 100% предоплате, и отказываются отправлять товар наложенным платежом с оплатой после получения:
- «Спасибо за предложение, но я предпочитаю оплату при получении. Это стандартная практика для моей безопасности».
- «Могу ли я воспользоваться услугами доверенного посредника или платформы, где деньги будут переведены после подтверждения получения товара?»
Вы познакомились в Интернете, и ваш новый знакомый просит у вас деньги, ссылаясь на трудную жизненную ситуацию или необходимость лечения:
- «Мне жаль, что у тебя сложная ситуация, но я не могу отправить деньги человеку, которого лично не знаю».
- «Прежде чем отправлять деньги, я хотел бы встретиться с тобой лично, чтобы лучше понять твою ситуацию».
- «Могу ли я помочь найти местные благотворительные организации или службы поддержки, которые могут оказать тебе помощь?»
- «Если тебе нужны деньги на лечение, возможно, можно организовать сбор средств на специализированной платформе?»
- «Ой, а я вот как раз сама хотела попросить у тебя денег».
Вам предлагают удаленную работу в Интернете без официального оформления и без письменных гарантий оплаты:
- Попросить письменный договор на выполнение работ, в котором будут указаны условия работы, обязанности, сроки выполнения задач и условия оплаты.
- Попросите предоставить небольшие задачи или проекты для начала работы и оплачивать каждый из них сразу после завершения. Это позволит вам проверить надежность работодателя без большого риска.
Стоит ли просить частичную предоплату за работу и может ли это как-то застраховать вас от мошенничества, если работодатель не захочет вам отдавать остальную часть оплаты, когда получит от вас работу? На самом деле, если вы не заключали письменный договор на выполнение работ, вы ничего не докажете через суд или как-то еще.
Подстраховаться вы можете только в том случае, если специфика выполняемых задач позволяет вам продолжать контролировать ситуацию по окончании работ. Так, разработчик сайта может попросту «положить» сайт заказчика, если тот не рассчитается к определенному сроку, и не «оживлять» сайт, пока не получит деньги за работу. Такую опцию нужно заложить в код сразу и предупредить об этом заказчика, как только тот начнет увиливать от оплаты за выполненную работу.
И, наконец, универсальный вариант, если мошенники слишком назойливы: «Это сообщение выглядит подозрительно. Я передам его в правоохранительные органы для проверки». А для того, чтобы ваш голос звучал спокойно, уверенно и убедительно, пройдите наш курс «Развитие голоса и речи».
Итак, на этом уроке мы с вами разобрались во всех нюансах фишинга, научились его распознавать и противодействовать фишингу и другим видам мошенничества в Интернете. Далее вас ждет проверочный тест и новая тема – защита устройств.
Проверьте свои знания
Если вы хотите проверить свои знания по теме данного урока, можете пройти небольшой тест, состоящий из нескольких вопросов. В каждом вопросе правильным может быть только один вариант. После выбора вами одного из вариантов система автоматически переходит к следующему вопросу. На получаемые вами баллы влияет правильность ваших ответов и затраченное на прохождение время. Обратите внимание, что вопросы каждый раз разные, а варианты перемешиваются.
Далее мы будем говорить о защите компьютерных и мобильных устройств.