Как мошенники используют социальную инженерию
Как мошенники используют социальную инженерию
Принято считать, что за громкими хакерскими атаками и взломами серверов ИТ-гигантов стоят крупные преступные группировки, обладающие внушительным арсеналом различных гаджетов, вирусов и программ. Это не так. Зачастую мошенники используют слабости людей: доверчивость и непрофессионализм.
Летом 2021 года жертвой мошенников стал крупнейший издатель игр Electronic Arts, известный нам по играм FIFA, NHL, The Sims, Battlefield, Crysis, Mass Effect и др. Хакеры украли данных на 780 Гб, включая исходные коды игр, и начали искать покупателей в даркнете. Уникальность атаки на издателя — в простоте взлома. Хакеры использовали обычную социальную инженерию.
Как произошел «взлом» EA?
Второй этап атаки — та самая социальная инженерия. В эксклюзивном интервью изданию Motherboard один из хакеров рассказал, как им удалось получить доступы к системе. «Как только мы проникли в чат сотрудников, сразу же написали в техподдержку EA, что якобы потеряли рабочий телефон на вчерашней вечеринке. Поэтому нам нужен многофакторный токен аутентификации, чтобы получить доступ к корпоративной сети EA и продолжить работу. Мы проделали такое дважды. И это дважды сработало!», — рассказал представитель хакеров.
Оказавшись в сети EA, хакеры нашли сервис для разработчиков по компиляции игр. Они успешно вошли в систему и создали виртуальную машину, с помощью которой получили доступ к еще одному сервису. В результате третьего этапа (уже вполне технического, а не социального) злоумышленники и загрузили исходные коды игр и другие важные файлы.
Виды социальной инженерии
Как говорится, был бы человек, а метод найдется. В центре таких атак всегда находится человек со своими слабостями и эмоциями. Социальная инженерия отлично работает как против простых частных лиц, так и против сотрудников крупных компаний. И самое интересно (и печальное), что довольно часто от социальных атак страдают представители ИТ-компаний, в которых, казалось бы, применяются самые современные меры защиты от хакеров.
Фишинг (атака через невнимательность) — самый популярный вид социальной инженерии. Способ заключается в распространении ссылок на поддельные страницы банков, социальных сетей, антивирусных программ и т.д. Бывает, что такие ссылки очень похожи на реальные (тут важно быть внимательным: intersvyaz.media или intersvyas.media). Чаще всего такие ссылки отправляются в письмах, смс и мессенджерах под видом важной и ценной информации. Например, на корпоративную почту компании может прийти письмо от якобы отдела кадров с выгодными акциями и скидками для сотрудников на какой-либо товар или услугу партнера компании (фитнес-центр, медицинские услуги). Ссылка в письме будет, конечно же, фишинговой. Мошенники обязательно попросят ввести на сайте платежные или персональные данные, чтобы их украсть.
Троянский конь или дорожное яблоко (атака через любопытство) — в первом случае мошенники отправляют письмо со ссылкой на важный файл, обновление антивирусника или пикантный компромат на коллегу, а во втором подкидывают вам флешку. Вы открываете и получаете вирус.
Кви про кво (атака через доверчивость) — любимый прием социальной инженерии, с которым многие из нас встречались. Мошенники звонят под видом банка или техподдержки, задают множество вопросов и пытаются выманить конфиденциальные данные.
В арсенале злоумышленников есть множество других инструментов: и взлом страниц в соцсетях с последующей рассылкой по друзьям сообщений с просьбой одолжить денег, и взлом корпоративной почты для массовых рассылок, и многое другое. Существует и обратная социальная инженерия. Злоумышленники делают все, чтобы вы сами к ним пришли. Например, они выводят из строя ваше рабочее оборудование (принтеры или компьютеры), перед этим заботливо «подсовывая» письма или визитки с рекламой услуг компьютерного мастера.
Социальная инженерия как способ мошенничества
Дата публикации: 07.10.2020 2020-10-07
Статья просмотрена: 344 раза
Библиографическое описание:
Сивчук, Е. С. Социальная инженерия как способ мошенничества / Е. С. Сивчук. — Текст : непосредственный // Молодой ученый. — 2020. — № 41 (331). — С. 128-130. — URL: https://moluch.ru/archive/331/73995/ (дата обращения: 17.12.2021).
Ключевые слова: мошенничество, способ совершения, социальная инженерия, криминалистическая характеристика, данные, конфиденциальная информация, банковская карта, вредоносное программное обеспечение.
Одним из важных элементов криминалистической характеристики мошенничества является способ его совершения. От этого во многом зависит дальнейшее планирование расследования и раскрытие преступления. Недостаточные знания россиян в сфере информационной безопасности позволяет мошенникам ежегодно с успехом использовать при совершении преступления информационные технологии и средства связи в совокупности с приемами социальной инженерии. Целью является хищение денежных средств с личного счета жертвы или его работодателей путем обмана и злоупотребления доверием. В настоящей статье речь пойдет о современных способах и методах совершения мошенничества с использованием приемов социальной инженерии.
Указанный термин происходит из теории защиты информации и подразумевает «взлом» человеческого сознания в целях побуждения потерпевшего к совершению действий по передаче преступнику конфиденциальной информации или предоставлению доступа к ресурсам ограниченного пользования в обход системы безопасности [1]. При этом главной целью такого метода является побуждение человека к раскрытию конфиденциальной информации для реализации действий, которые в дальнейшем направлены на обход систем безопасности: «Самая эффективная тактика сетевых атак — на нейросеть, уютно расположившуюся между монитором и спинкой офисного кресла» [5].
На сегодняшний день существует множество вариантов, которыми пользуются злоумышленники для выяснения конфиденциальных данных лица, необходимых для хищения безналичных денежных средств, начиная от программ с содержанием специального кода до передачи таких данных самим потерпевшим. К наиболее распространенным способам совершения мошеннических действий в указанной сфере относятся:
Техники социальных инженеров разнообразны, но их объединяет одно — в основе лежат когнитивные искажения (то есть человеческая глупость и невнимательность) [2].
Помимо этого в последнее время участились случаи мошенничества с помощью социальной инженерии — метод незаконного получения доступа к определенной информации, не используя технические оборудования и средства. Главным образом используются слабости человеческого фактора, и заключается в манипулировании поведением человека. Мошенники с помощью социальных и психологических навыков заставляют лицо предпринять какие-либо действия, достаточных для хищения его денежных средств или «овладения личных данных» К способам совершения мошенничества с помощью социальной инженерии относятся:
При совершении мошенничества с использованием любого из перечисленных выше методов социальной инженерии злоумышленники стараются придать совершаемым действиям легальный характер. Можно выделить несколько этапов такого мошенничества:
Личность потерпевшего можно характеризовать как лицо доверчивое, любопытное, зачастую эксплуатируется любезность, лень и даже энтузиазм. К основным чертам также можно отнести стремление лица сэкономить. Мошенничество в отношении физических лиц можно разделить на три группы. В отношении менее защищенных слоев населения, имеющих низкий уровень финансового достатка и киберграмотности (пенсионеры, жители небольших городов), эффективным способом являются звонки и смс-сообщения. Для экономически активной части населения, которая пользуется Интернетом, мошенники выбирают спам-рассылки писем, содержащие информацию о мнимым скидках, получении льгот, компенсаций, социальных выплат. Такие сообщения содержат вредоносные программы или ссылки на фишинговые сайты, в результате использования которых происходит заражение устройства и компрометация платежных данных его владельца. К последней группе можно отнести активно пользующихся владельцев современных мобильных устройств с операционными системами Android и IOS. Используя вредоносное программное обеспечение, злоумышленники получают доступ и контроль к установленным на устройстве приложениям, которые содержат конфиденциальные данные, что позволяет им осуществлять финансовые операции включая переводы денежных средств с карт жертвы.
По данным ФинЦЕРТ за 2017–2018 гг. было выявлено восемь основных причин успешности целевых атак [4]:
Ослабление экономики в настоящее время, вызванное эпидемиологической обстановкой в стране, повлекло повышение уровня безработицы, и как следствие увеличение деятельности киберпреступников.
Мошенничество во втором квартале 2020 года в основном осуществлялось с помощью рассылки писем. В них предлагалось получить различные льготы и выплаты в связи с пандемией. Кроме этого, злоумышленники использовали тему пандемии в сообщениях, подделанных под письма банка. В тексте такого сообщения предлагалось взять кредит с низкой процентной ставкой, а для получения подробной информации рекомендуют открыть вложение.
С марта 2020 года в России начали вводить режим самоизоляции. В Москве и Московской области стал осуществляться пропускной режим, и для посещения общественных мест граждане должны были оформить специальный QR-пропуск через портал государственных услуг. Злоумышленники среагировали на это созданием фишингового сайта для сбора персональных данных жертв. От посетителя подделанного сайта требовалось указать номер паспорта, цель поездки и отправить SMS на короткий номер. В результате таких действий с мобильного счета потерпевшего списывалась определенная сумма, его личные данные попадали в базу мошенников, а пропуск оставался неоформленным.
Во втором квартале первое место в списке стран — источников спама заняла Россия с долей 18,52 %. Наши защитные решения заблокировали 43 028 445 вредоносных почтовых вложений, при этом самым популярным «почтовым» вредоносным семейством стало Trojan.Win32.Agentb.gen — его доля в почтовом трафике составила 13,33 % [6].
Таким образом, варианты мошенничества с использованием социальной инженерии весьма разнообразны. Такой метод манипуляции действиями человека заключается в использовании слабостей человеческого фактора. Высокая распространенность данного вида мошенничества подтверждает, что современное информирование — это ключевой защитный механизм, который необходим для пользователей средств современной коммуникации. Социальная инженерия нематериальна, ее невозможно устранить физически. Самый действенный способ не стать жертвой мошенничества — это не терять бдительности и не позволять мошеннику себя провести. Помимо этого, защитить конфиденциальную информацию помогает использование современного антивирусного решения. Глубокое и тщательное изучение современных видов мошенничества способствует выявлению его особенностей, которые способствуют дальнейшему расследованию и правильному выбору проводимых уполномоченным лицом мероприятий по расследованию и предотвращению преступления.
Социальная инженерия – технология «взлома» человека
Apr 2, 2017 · 13 min read
#profiling #hackandsecurity #лонгрид
Также читайте меня тут: Telegram и Вконтакте
Недавно одна моя знакомая тетка 41 года от роду сперла из магазина платье. Мы в шоке говорим ей, типа как ты это сделала? Там ведь камеры. Она дала ответ: “Подхожу к продавцам и говорю, я кошелек потеряла, дайте с камер наблюдения посмотрю.” Ей отвечают, что в магазине нет работающих камер и, что все они обычные муляжи. После этого она спокойно сперла платье и ушла.
Данная шуточная зарисовка, взятая с просторов Рунета, очень наглядно и просто показывает всю суть термина, о котором наверняка многие из вас часто слышали, но, уверен, что большинство не совсем понимает истинное его значение.
Этот пост начинает серию статей о социальной инженерии, а в этом мы просто разберёмся с самим термином, типовыми атаками и некоторыми приемами.
“Социальная инженерия” (social engi n eering) — это набор различных психологических методик и мошеннических приемов, целью которых является получение конфиденциальной информации о человеке обманным путем. Конфиденциальная информация — это логины/пароли, личные интимные данные, компромат, номера банковских карт и все, что может принести финансовые или репутационные потери.
Само понятие пришло к нам из сферы хакинга. Хакер — это человек, который ищет уязвимости в компьютерных системах, по-другому говорят — «взламывает». Какое отношение, казалось бы, к этому имеет социальная инженерия? Все очень просто. В один момент времени хакеры осознали, что главная уязвимость в любой системе — это человек, а не машина. Человек, точно также, как и компьютер, работает по определенным законам. Используя накопленный человечеством опыт в психологии, манипуляциях и механизмах влияния, хакеры стали «взламывать людей». Я ещё это называю “brain hack”. Приведу пример получения выгоды методом социальной инженерии (пример про грамотного социнженера).
Злоумышленнику нужно получить от вас какую-то сумму денег. Допустим, он нашёл ваш мобильный телефон и социальную сеть. Проводя поиск по интернету (об интернет-разведке читаем мою статью тут), он так же обнаружил, что у вас есть брат. Нашёл его социальную сеть и начал ее изучать, чтобы проникнуть в образ его мыслей. Так же он нашёл его мобильный телефон для страховки и вскрыл переписку, где нашёл сообщения с вами. Он их изучил и узнал разные личные факты о вас, что дополнило его знания после просмотра ваших соцсетей. Далее был составлен план, который включал в себя следующее: злоумышленник звонит вам поздно вечером и прикидывается вашим братом, говорит, что ему проломили голову и выкинули где-то на улице, сперли телефон и все деньги с карточками (так оправдывается, почему вам звонит чужой номер). Важно, что обратился он к вам не по имени, а по прозвищу, которое увидел в личной переписке — это очень важный момент. Далее он для правдоподобности говорит, к примеру, что сидел с какими-нибудь вашими общими друзьями в месте, в которое вы часто ходите — бар, клуб, не важно (фото и геопривязки в помощь). Далее после такого рассказа он говорит, что родителям главное не говорить! У отца же сердце больное (из взломанного диалога выяснил). После этого следует что-то типа: «Скинь мне 500р на такси до больницы» — и даёт номер карты, говоря, что здесь рядом проходила добрая девушка, которая помогла ему, но у неё нет денег, зато есть карта. В 8 случаях из 10 после такого грамотного подхода наша вымышленная сестра деньги переведет, а потом с ее счета снимутся все деньги, а не только 500р. Для технически грамотного хакера это совсем не проблема.
Раскрою секрет, на самом деле, “эта сестра” не вымышленная. Данный случай действительно произошёл с одной бедной девушкой около трёх лет назад. С ее карты сняли 500р + ещё 22 000р. Все, что на ней лежало, в общем. В данном примере может показаться немного странным несколько вещей. Многие скажут, как она не узнала его голос? Друзья, представьте, как искажается голос человека, когда человек говорит на эмоциях, громко, с посторонними шумами и т.д. Также сестра уже спала, а спросонья опознать голос ещё сложнее. Другая странность — почему она сразу, не задумываясь, перевела деньги и не позвонила друзьям спрашивать, куда делся ее брат, после того, как они разошлись? Все просто — поставьте себя на ее место. Ночь, раздаётся звонок, тебе выдают факты, которые знаете только вы с братом + это ОЧЕНЬ БЛИЗКИЙ человек. Задеть эмоции, которые отключают логику — очень просто, если грамотно все преподнести, проделав заранее серьёзную аналитическую работу. Так вышло и в данном случае. Почему же тогда в 8 случаях из 10 такой план сработает, а не в 10? Хакеру могло не повезти и брат, мог увидеть, что его страничку сломали, но в данной истории роль сыграло время. Он взломал его ночью, поэтому, брат ничего не обнаружил, а жене брата наша жертва позвонила уже после того, как перевела деньги, так как “брат” сказал ни в коем случае не говорить ей об этом. Когда пострадавшая все же не выдержала и позвонила жене на эмоциях, оказалось, что настоящий брат мирно спал с ней рядом, и наша героиня все осознала.
Итак, давайте разберем по пунктам, что же использовал хакер в данном случае:
1. Создал личность прикрытия (брат) и хорошую легенду, которую наполнил реальными фактами, которые доказывали, что это именно он. Место, где они гуляли с друзьями (геопривязки Инстаграмма); факт о том, что у отца больное сердце; обращение к пострадавшей по прозвищу, которое использовалось в личной переписке и т.д.
2. Все это было сказано довольно быстро и постоянно подгонялось. Главное правило любого афериста — заставить человека не думать, а постоянно что-то делать. Данный психологический прием называется “контроль внимания”.
3. Использовался один очень сильный механизм влияния — давление на жалость (обращение к эмоциям). В данном случае в силу того, что был этап глубокой проработки психологических портретов (профилей) жертвы и ее брата, это сработало очень хорошо и усилилось еще от того, что это близкий человек.
Другой интересный пример — то, как можно спокойно получить ваш рабочий логин и пароль. Звонит вам «сисадмин» с работы в 8.00 утра в воскресенье и говорит: «Слушай, у нас тут технические работы, бла-бла-бла, куча разных терминов сложных…не мог бы ты приехать? Надо открыть твой компьютер». Вы сразу про себя думаете: «Приехать на работу в воскресенье утром ради 1 мин, чтобы ввести логин и пароль?!» И сразу спрашиваете: «А есть другой вариант?» «Конечно есть! Нужны логин и пароль. Я неполадки все устраню и в понедельник на всякий случай все твои логины и пароли сменим». Вы, радостный и счастливый, даёте свои логин с паролем «сисадмину» и спите дальше. Не поверите, но таким образом поступают более 70% людей. То есть, если соц.инженер найдёт 10 чел. в разных фирмах и будет им звонить, то 6–7 из них точно дадут ему свои пароли. Причины очень простые: сначала хакер создаёт условия, что все плохо — 8 утра, воскресенье, срочность, постоянно подгоняет. Вы загрузились и настроились, что придётся ехать…а потом раз, и вам дают облегчение в виде простого решения проблемы! Конечно, большинство людей соглашаются. Называется данный механизм влияния – принцип контраста, когда сначала вам подсовывают какую-то проблему, а потом через какое-то время дают решение.
Данные примеры всего лишь капли в море из возможных сценариев, по которым социальные инженеры могут добраться до наших слабостей и воспользоваться ими. В следующем разделе познакомимся поближе с некоторыми из их приемов.
Как противостоять социальной инженерии и защититься от онлайн-мошенников
Какие уловки используют мошенники
Самый популярный тип обмана — претекстинг
Мошенничество — одно из самых частых совершаемых в России преступлений. Особенной популярностью пользуется онлайн-мошенничество, например манипуляции с банковскими картами и воровство данных с корпоративных и личных компьютеров. Рост цифровой преступности отчасти связан с пандемией, поскольку россияне стали чаще покупать товары в интернете и совершать онлайн-платежи.
Самыми популярными инструментами обмана остаются телефонные звонки и электронные письма. Такой тип мошенничества называется претекстинг — его популярность в 2020 году выросла в 600 раз.
Фишинг и психологические манипуляции
Другой популярный и довольно старый тип обмана — фишинг. Если раньше преступники рассылали письма с сообщением о внезапном получении наследства, то сейчас ведут на сайты-клоны популярных ресурсов, которые сложно отличить от настоящих.
Чтобы добиться желаемого, преступники используют психологические манипуляции. Их цель — вывести жертву из состояния равновесия и вызвать сильные эмоции, например страх или злость. Для этого мошенники представляются сотрудниками банка или МВД или присылают письмо якобы от начальника, на которое нужно срочно отреагировать.
Wi-Fi может быть опасен
Относительно новый тип обмана — спуфинг. С развитием беспроводного интернета мошенники начали использовать атаки на Wi-Fi, или через Wi-Fi, а также подмену Wi-Fi точек. Например, подключаясь к сети в метро, можно попасться на мошенническую точку доступа и передать злоумышленникам данные банковской карты, личную информацию или пароли.
Как корпорации защищают данные
Сотрудники компаний — самое уязвимое звено корпоративной безопасности, поэтому мошеннические атаки очень часто совершаются именно «через людей». Чтобы защитить сохранность данных, работодатели действуют по принципам Zero Trust и минимальной достаточности.
Концепция Zero Trust
Концепция «нулевого доверия» означает отсутствие доверия к пользователям как внутри корпоративной сети, так и за ее пределами.
Суть концепции заключается в том, что компания формирует список критичных информационных активов и защищает их от любого вмешательства. В этом случае даже сотрудники компании воспринимаются как внешняя аудитория по отношению к защищаемым данным.
Концепция минимальной достаточности
Концепция минимальной достаточности — предоставление сотрудникам минимально необходимого доступа для решения рабочих задач.
По принципу минимальной достаточности компания предоставляет пользователям или системам, взаимодействующим с критической инфраструктурой, только те права, которые им нужны для выполнения работы. Например, операторы клиентских центров могут не видеть номера карт или фамилии клиентов полностью.
Как не попасться на уловки мошенников
Есть несколько базовых правил безопасности:
В целом, чем более скрытно вы себя ведете в сети — тем меньше вы интересны мошенникам.
В будущем возможно воровство цифровой личности
Один из потенциально опасных трендов — воровство цифровой личности. Сейчас вы рискуете лишиться логина и пароля, а в будущем мошенники смогут «украсть» вас самих и действовать в сети от вашего имени. В небольших масштабах это происходит уже сейчас, когда преступники взламывают аккаунты в социальных сетях и просят взаймы у всего списка друзей. Особенно рискуют медийные люди, для которых взлом может обернуться испорченной репутацией.
Чем больше мы будем погружаться в цифровой мир и цифровизацию всего и вся, от удаленной работы до жизни в метавселенной, тем более опасной будет перспектива взлома аккаунта.
«Социальные инженеры»: как не попасться в ловушку кибермошенников
Кибермошенники все чаще используют так называемую социальную инженерию (манипулирование поведением человека с использованием социальных и психологических навыков), чтобы завладеть средствами граждан. «Задача любого мошенника — «социального инженера» заключается в том, чтобы на доверии заставить человека предпринять какие-то действия, которые в нормальной жизни он не стал бы делать», — поясняет заместитель начальника главного управления безопасности и защиты информации Банка России Артем Сычев.
По оценкам аналитиков компании Zecurion, в 2016 году мошенники с помощью социальной инженерии похитили с банковских карт россиян около 650 млн руб., а в 2017 году ущерб может увеличиться примерно до 750 млн руб.
«Социальная инженерия, увы, находит все большее и большее применение именно среди мошенников. В последние пару лет рынок отмечает существенный рост числа инцидентов, связанных с использованием данного метода», — считает начальник управления мониторинга электронного бизнеса Альфа-банка Владимир Бакулин. «На сегодняшний момент это одна из самых больших проблем информационной безопасности в финансовой сфере», — считает Артем Сычев.
Постепенно меняется и портрет пострадавших, и популярность разных видов мошенничества. Если раньше популярным видом социальной инженерии была рассылка тривиальных СМС-сообщений, а жертвами злоумышленников оказывались в основном пожилые люди, то теперь используются методы более изощренные.
По словам экспертов, самыми популярными способами использования социальной инженерии являются выманивание у клиентов данных по банковскому счету/карте или заражение компьютера вредоносными программами с целью завладеть данными о счетах и картах. РБК разбирался, как можно избежать опасности.
Выманивание данных и денег
Мошенники быстро адаптируются к появлению новых сервисов на банковском рынке, отмечает Владимир Бакулин. Например, СМС типа: «Мама, я попал в аварию. Положи на счет номер. денег, потом расскажу», с помощью которых раньше очень часто пытались выманить деньги, теряют популярность у мошенников. Сейчас в основном они нацелены на получение доступа к счетам и картам.
Как отмечает начальник отдела оперативного анализа банка «Хоум Кредит» Юрий Присмотров, часто мошенники благодаря использованию социальной инженерии узнают нужные им данные, представляясь сотрудниками банка либо просто пользуясь низкой финансовой грамотностью и доверчивостью клиентов. Например, они могут рассылать СМС с уведомлением о якобы произведенной блокировке карты и необходимостью позвонить по указанному номеру: «Ваша карта заблокирована, подробности по телефону xxxxxx».
«Вы звоните по этому номеру, и дальше оператор на том конце провода старается или вынудить вас сообщить информацию о ваших паспортных данных и платежных реквизитах, или вынудить вас пойти с вашей картой к банкомату и совершить действия, которыми вы сами отправляете злоумышленникам деньги», — рассказал Артем Сычев на странице Банка России в Facebook.
Похожим проявлением социальной инженерии является звонок клиенту под видом сотрудников безопасности банков якобы с целью отмены подозрительных списаний, которые ошибочно совершаются сейчас по счету клиента, добавляет Владимир Бакулин. В этом случае злоумышленники также выманивают у клиентов одноразовые пароли из СМС и данные по счету/карте клиента.
Также мошенники могут искать клиентов, оставивших объявления о продаже на Avito и других открытых досках объявлений. Далее они представляются покупателями и выманивают данные по банковскому счету/карте и одноразовые коды подтверждения операций из поступающих клиенту СМС якобы для того, чтобы перевести оплату за продаваемый товар.
Либо, наоборот, мошенники представляются продавцами неких товаров или услуг, привлекая жертву низкой ценой. Они просят перевести им деньги с карты и затем, естественно, больше не появляются.
Вредоносные рассылки
Другой разновидностью мошенничеств с использованием социальной инженерии является рассылка электронных писем с вредоносным содержимым. Пользователи из любопытства открывают такие письма, давая кибермошенникам возможность получить доступ к информации о счетах и картах.
«Мошенники — очень изобретательные ребята, они делают рассылки разными способами. Например, вам приходит электронное письмо якобы от вашего контрагента с просьбой срочно посмотреть новую тарифную сетку. Мы наблюдаем такие письма, которые рассылаются от имени совершенно разных организаций: якобы от имени телеком-операторов, якобы от имени банков, других компаний, с которыми вы могли бы работать. Но цель письма одна — заставить вас открыть либо документ, который вложен в письмо, либо ссылку, и это приведет в любом случае к загрузке вредоносного программного обеспечения», — отметил Сычев.
Социальная инженерия может позволить кибермошенникам совершать такие противоправные действия не только в отношении частных лиц, но и финансовых организаций. Например, с помощью вредоносных рассылок преступники пытаются захватить контроль над компьютерами банков, через которые возможно совершать несанкционированные операции на крупные суммы.
Как указано в прошлогоднем отчете Центра мониторинга и реагирования на компьютерные атаки Банка России (FinCERT), в качестве отправителей таких писем банковским служащим могут быть указаны органы исполнительной власти, профильные интернет-форумы, организации — партнеры и клиенты и т.д., а в качестве содержания указываются требования со стороны органов исполнительной власти, оповещения об изменениях в нормативных актах, взыскание/погашение задолженности/штрафа, оплата услуг и другие темы.
Была зафиксирована даже рассылка таких писем от имени Банка России, отличительной чертой которых являлось наличие вложения с заголовком со словом «вакансия», при открытии которых происходило скачивание вредоносного программного обеспечения. «Многие пользователи открывали письма исключительно из любопытства, при этом осознанно включая макросы в Microsoft Word, которые «по умолчанию» обычно заблокированы», — отмечалось в обзоре.
В последнее время меняется и «целевая аудитория» кибермошенников. «К сожалению, вектор злоумышленников сейчас сместился в сторону граждан в возрасте до 40 лет. Эта категория излишне доверяет информационным технологиям. Причем нередко они не очень понимают, как эти технологии работают и что происходит», — рассказал Артем Сычев. Ранее на протяжении долгого периода самым привлекательным контингентом для злоумышленников были пожилые граждане, отметил специалист.
Как с этим бороться
Чтобы не попасться на удочку мошенников, использующих социальную инженерию, необходимо проявлять разумную бдительность и придерживаться довольно простых правил, отмечают эксперты.
Никогда и никому нельзя сообщать полученные пароли и кодовые слова, даже если те, кто с вами говорит, представляется сотрудником банка, говорит Владимир Бакулин. Никогда не сообщайте незнакомцам данные карты, имея которые можно осуществить списание средств, — номер банковской карты и CVC-код (есть на обратной стороне каждой карты) и другую аналогичную информацию.
«На платежной карте есть телефон контактного центра. Если у вас есть сомнения, что что-то не так с вашей картой, позвоните туда. Но ни в коем случае не звоните по тем телефонам, которые присылаются в таких сообщениях», — говорит Артем Сычев.
На просьбу дать взаймы, пополнить телефон, помочь на лечение и другие обращения в социальных сетях следует всегда, прежде чем переводить деньги, убедиться, что к вам действительно обращается тот человек, от имени которого поступает просьба.
При покупке товаров и услуг у незнакомых людей или на незнакомых интернет-ресурсах необходимо обращать внимание на форму оплаты. Если с вас требуют предоплату (частичную или полную), есть основания предполагать, что вы имеете дело с мошенниками.
Не следуйте просьбам перевести оплату за предоставляемые по привлекательной цене товар или услугу на банковскую карту продавца или его электронный кошелек, продолжает Бакулин. Если вы это сделаете, то вы никогда не докажете, что произвели оплату за несуществующий товар или сервис, или не сможете сдать товар, даже если его получите.
Также не следует доверять письмам с вложениями и ссылками, с уведомлением «о задолженности по налогам, кредитам» даже от «банков» и «госорганов». «Не открывайте вложения, не нажимайте на ссылки. Они могут быть заражены вирусами или предназначены для хищения ваших конфиденциальных данных», — предупреждает специалист. При получении такого письма следует позвонить по официальным телефонам учреждения и уточнить, действительно ли есть проблема.
Что касается вредоносных рассылок, гражданам необходимо придерживаться элементарных правил кибергигиены — использовать антивирусы, проявлять внимание к почтовым и СМС-сообщениям, не заходить на непонятные сайты, внимательно относиться к загружаемому программному обеспечению и т.д., отмечает Сычев. «Когда мы научимся соблюдать правила, мы можем говорить об абсолютно безопасном использовании любых финансовых технологий», — подчеркивает он.
Если злоумышленники все-таки украли деньги с карты, пострадавший может постараться вернуть потерянные средства, подав соответствующее заявление в банк. Ст. 9 закона «О национальной платежной системе» достаточно подробно описывает механизм возврата средств физических лиц, напоминает Сычев. Банк будет обязан либо вернуть деньги, либо представить доказательства, что он не может этого сделать, с объяснением причин.
«К сожалению, когда возникают споры с возвратом денег на карту, у банков и правоохранительных органов не всегда есть уверенность, что это не было специальное мошенничество со стороны владельца карты, направленное против банка. К счастью, таких случаев немного. Но в любом случае банк будет проверять, почему произошел тот или иной инцидент. Как правило, в рамках закона банк деньги будет возвращать», — сказал он.