Статьи

Как не стать жертвой киберпреступления?

Марина Попова

7 min read
Как не стать жертвой киберпреступления?

Предупрежден, значит вооружен

Интернет — это всемирное благо и всемирное зло. Про благо понятно — связь, мобильность и скорость. Что касается второй стороны этой медали, то в цифровую эпоху мошенникам стало проще совершать махинации. Предприимчивые люди нашли множество способов заполучить чужие деньги: от ложных публикаций в социальных сетях до фишинга паролей и финансовых счетов. Как нас обманывают в сети и можно ли этого избежать, разбирался bluescreen.kz.

В начале года СМИ стало известно об утечке персональных данных клиентов сети спортивных магазинов "Спортмастер" из стран СНГ, в том числе, более 600 тыс. строк с данными граждан Казахстана. В январе, в Международный день защиты персональных данных, состоялась очередная конференция –Privacy Day 2023, организованная Digital Rights Center Qazaqstan. Она была посвящена актуальной теме — защите персональных данных пользователей.

Там же прозвучал вопрос вице-министру МЦРИАП Руслану Абдикаликову об утечке персональных данных, но по другой ситуации. Некто Адилет Алдангуров минувшим летом изъявил желание участвовать в качестве наблюдателя на референдуме 2022 года. Потенциальный наблюдатель заполнял анкетные данные, среди вопросов были и такие, касающиеся его мировоззрения, реальных страниц в соцсетях и прочее. Но пройдя все процедуры, ОФ "Еркiндiк қанаты" не стали аккредитовать Адилета в качестве наблюдателя от общественного фонда. А вот его персональные данные все равно утекли в сеть, так же, как и данные других людей, ставших наблюдателями.

Карты

Самая распространенная в настоящее время схема мошенничества — это продажа какого-то имущества держателя карты, разместившего объявление на онлайн-сайте. Раздается звонок от "потенциального" покупателя, который предлагает удобную форму оплаты в виде пополнения банковской карты, для чего просит сообщить ему такие данные, как номер карты, срок действия, CVV-код, а также дополнительный секретный код, направляемый банком в SMS-сообщении на мобильный телефон клиента при совершении клиентом операции в сети интернет. Получив необходимое, "покупатель" совершает не операцию пополнения карточного счета клиента, а операцию по переводу или списанию денежных средств в сети интернет с карты держателя.

Или, опять же, карта, но на другой стороне провода звонящий представляется службой безопасности банка, сообщая о подозрительной операции и о возможности вернуть якобы списанные с карты деньги. Может рассказать про "сбой" в системе банка и необходимость блокировки карты. Для решения проблемы мошенники просят сообщить данные и пароли от мобильного банка. Еще вариант, когда мошенники сообщают, что с банковской картой клиента или мобильным приложением произошел некий инцидент, и убеждают установить приложения, якобы защищающие денежные средства. Ну, а дальше, все как обычно — вы теряете деньги.

Имеются случаи телефонного мошенничества, при котором владельцы сотовых телефонов получают SMS сообщения недостоверного содержания, заманивающие пользователей на инфицированный веб-сайт. В тексте фальшивого SMS пользователю обычно сообщается о том, что он подписан на некую платную услугу, за которую ежедневно с его счета будет удерживаться определенная сумма, и если он хочет отказаться от данной услуги, то ему нужно зайти на сайт. Далее, все по старой схеме. И, конечно, не следует хранить запись PIN-кода непосредственно на карте или на каком-либо другом носителе (бумажный вариант, мобильный телефон) вместе с картой.

Необходимо понимать, что мошенники на месте не стоят, изобретая новые способы "добровольного" отъема ваших денег.

Фишинг — кража идентификационных данных (например, ФИО, пароль и номер банковской карты). Злоумышленники пользуются невнимательностью граждан и завладевают конфиденциальной информацией путем создания сайтов-клонов, фальшивых аккаунтов в мессенджерах и соцсетях, электронной рассылки писем. Преступники выдают себя за надежный источник в сети, вынуждая жертву передать им личные данные.

Фишинговая атака по электронной почте. Рассылка писем с сообщением о выигранном призе или блокировке счета. Преступники, как правило, просят победителя перевести определенную сумму для получения крупного выигрыша или внести оплату для разблокировки карты.

Фальшивые сайты благотворительности, туроператоров или авиакомпаний. Необходимость срочно собрать деньги на лечение больного ребенка или слишком низкие цены на путевки, просьбы перевести деньги на заграничный банковский счет или электронный кошелек — все эти моменты должны насторожить пользователей.

Предложения выгодного заработка. Недобросовестные работодатели предлагают удаленную работу. Но предварительно требуют оплатить организационные нужды. Как только человек переводит деньги, выдуманная организация пропадает с радаров.

Instagram

Цель взлома вашей странички в Instagram такая же, как и у всех предыдущих способах: заработать на доверчивых подписчиках вашей страницы. И если вы думаете, что страничка с небольшим количеством подписчиков будет неинтересна мошенникам, то, увы это не так. Аккаунты в Instagram зачастую используются для распространения информации о липовых сборах, рекламы, а также для отправки сообщений с просьбой "срочно одолжить деньги" вашим друзьям и знакомым. Если это страничка принадлежит популярному блогеру, то аккаунт выставляется на продажу, где его купят скорее всего такие же спамеры.

Также мошенники создают липовые "официальные" странички под видом службы поддержки Instagram, пишут сообщения с просьбой сообщить личные данные вашей странички (логин, пароль), что в последующем позволит злоумышленникам получить доступ к вашему аккаунту.

Важно помнить, что Instagram никогда не отправляет в Direct сообщения с информацией о вашем аккаунте. Чтобы обезопасить себя от фишинга и спама, вы можете перейти в настройки и посмотреть, какие электронные письма команда Instagram отправляла вам в течение последних 14 дней.

Если вы видите что-то, что может иметь отношение к мошенничеству, не отвечайте отправителю и пожалуйтесь в Instagram. Все жалобы, кроме жалоб о нарушении прав на интеллектуальную собственность, анонимны. Владелец аккаунта не узнает, кто на него пожаловался.

Сайты бесплатных объявлений

Здесь злоумышленники стараются действовать ещё аккуратнее. Мошенники создают качественные аккаунты, вежливо общаются и даже торгуются. Создают полное впечатление заинтересованности в вашем товаре или услуге. Далее начинается интересное: потенциальный покупатель предлагает отправить вам всю сумму за товар.

Но, при этом, просит отправить номер карты, ФИО, на всякий случай, чтобы не ошибиться. Через какое-то время покупатель связывается с вами и просит продиктовать CVC-код, который находится на обратной стороне карты. Ссылаясь на требования банка. Могут быть еще варианты. Например, попросят продиктовать код из SMS. В этом случае главное благополучно заблокировать аккаунт и быть осторожнее. Это точно мошенник.

Также злоумышленники могут притвориться продавцами, размещая товар по очень низкой цене. "Последний iPhone по цене шоколадки? Да мне просто срочно деньги нужны!" — это самый популярный ответ на вопрос: "Почему так дёшево?". Если вы решитесь на сделку и переведете деньги, то останетесь ни с чем.

Что рекомендует эксперт Евгений Питолин, директор практики кибербезопасности TerraLink, в обоих случаях защита проста: никому и ни при каких обстоятельствах не сообщайте код на обратной стороне банковской карты, подключите СМС-оповещение по карте, внимательно изучайте сайты и читайте отзывы, прежде чем вводить данные карты или личных документов, не оплачивайте покупки с чужих смартфонов, не переходите по сомнительным ссылкам, если появились сомнения, не вступайте в разговор и положите трубку, перепроверяйте информацию и будьте бдительны.

Аферисты сделают для вас все: пообещают золотые горы, сделают "скидку", станут располагать к себе. И все это для того, чтобы быть ближе к вашему кошельку. Главное — быть в курсе их уловок и знать, когда вовремя сказать "нет".

Откуда все про нас знают?

Получить информацию о каждом из нас, как оказывается, проще простого. Эксперт в области кибербезопасности Батыржан Тютеев продемонстрировал это на моем примере, за несколько минут найдя мои данные на просторах Интернета, и это при том, что я не активна в соцсетях и стараюсь оставить минимальный цифровой след.

Батыржан Тютеев-эксперт в области кибербезопасности
  • "В современном мире практически невозможно не оставить цифровых следов. И мошенники очень быстро открыли для себя мир "утечек информации". Сейчас, когда вам звонит мошенник, он уже знает о вас больше, чем вы можете себе представить", — отмечает эксперт.

По мнению Батыржана, мошенники используют самую простую схему на таких сайтах, как olx.kz. Вы выставляете на продажу или собираетесь покупать там товар. Вам звонит или пишет на WhatsApp человек, который представляется покупателем и дальше состоится традиционный диалог. Последним этапом будет просьба отправить посылку почтой, так как он находится в другом городе: для этого необходимо зайти на сайт и заполнить данные, где одним из пунктов будет информация о вашей банковской карте. На вопрос, зачем сайту нужны данные вашей банковской карты, он ответит: "чтобы вы могли получить оплату", что является ложью. Как только вы внесете данные своей банковской карты, ваши деньги сразу же будут переведены на счет мошенника.

Откуда у мошенников сколько информации о нас? Эксперт обрисовал несколько вариантов на выбор. Например, доска объявлений на различных сайтах. Проведя поиск по номеру телефона, можно оценить ваше примерное материальное состояние: продаете или покупаете дорогой автомобиль, квартиру или бизнес-помещение.

Социальные сети: мы сами отдаем в руки мошенников всю требуемую информацию — круг общения, на чем мы ездим, где мы живем и какой у нас доход. Если вашу квартиру захотят ограбить, они убедятся, что вы выложили фото с места где-то очень далеко от дома, или же "постите" фото с отпуска заграницей. Значит, дома никого нет.

Утечки личных данных, которые допускают различные интернет-сервисы. Это очень большой плацдарм для сбора и обработки информации. Мы сами отдаем в руки подобных сервисов практически всю информацию о себе, при этом не задумываясь, как в случае утечки этих данных, это может повлиять на нас.

Что касается обеспечения защиты информации вообще и информации, содержащей персональные данные, в частности в банковской системе, большая работа проведена и продолжает проводиться. Традиционно защита персональных данных полагается на набор организационно-технических мер, таких как сегментация сети, строгий контроль доступа к системам, в которых происходит обработка персональных данных.

Как минимизировать риски

Наш эксперт предлагает несколько вариантов защиты, которой не стоит пренебрегать.

  1. Используйте сложные пароли для всех своих учетных записей и регулярно их меняйте.
  2. Включите двухфакторную аутентификацию везде, где это доступно.
  3. Будьте осторожны, при передаче личной информации в интернете, и никому не давайте свои данные.
  4. Не отвечайте на письма и звонки неизвестных вам компаний, предлагающих услуги или продукты. Для защиты от подобных звонков в приложении 2GIS реализован фильтр, который частично может оградить вас от подобных звонков.
  5. Если в СМС от банка говорится, что вы никому не должны сообщать код данной СМС, то это так же касается и сотрудников этого же банка. И если лже-сотрудник банка попросит вас продиктовать этот код, то смело можете прервать звонок.
  6. Для приема платежа никогда не нужен CVV-код, он нужен только для оплаты. И если вас попросят сообщить его, то 100% вероятность, что вас хотят ограбить.

Итог: ваша безопасность — в ваших руках. Чуть больше потраченного времени на проверку того, кому вы отправляете деньги, обезопасит ваш кошелек.