Человек нового времени

Не верь никому. Что такое социальная инженерия и как не стать ее жертвой

С развитием мобильной связи, одним из самых популярных методов мошенничества стала социальная инженерия. Ее жертвами могут быть как дети, так и взрослые. Но, следуя нескольким простым правилам, можно защититься от такого типа воровства ваших данных и средств. Рассказываем, какие есть виды социальной инженерии, и что делать, чтобы не пострадать от них.

06 Oct 2020, 07:50

В совместном проекте Киевстар и НВ мы рассказываем, как пользователям защититься от телефонных мошенников и предотвратить воровство личных данных/средств с помощью простых правил. Как социально-ответственный оператор, компания Киевстар беспокоится о своих абонентах и старается защитить их от всех видов онлайн мошенничества, предоставляя информационную поддержку 24/7. Информацию обо всех акциях, которые проводит компания, можно найти на официальном сайте оператора или обратившись в службу поддержки через социальные сети или позвонив 0 800 300 466.

По данным Украинской ассоциации межбанковских платежных систем, в 2019 году мошенникам удалось похитить с банковских карт пользователей внутри страны более 360 млн грн. Причем, самым популярным методом воровства оказалась социальная инженерия.

Социальной инженерией (далее — СИ) называют психологические манипуляции человеком, с помощью которых можно получить доступ к конфиденциальной информации о жертве. Как правило, эта информация используется для воровства денег у пользователя напрямую или выманивания их под различными предлогами.

Сегодня большинство сервисов имеют возможность провести двухфакторную аутентификацию, — подтверждение любого действия через мобильный телефон пользователя. Именно поэтому доступ к чужому телефону стал главной целью для мошенников.

«Кибермошенничество — проблема не только Украины, но и всех стран мира, где используются интернет-технологии. Попасть на удочку мошенника могут как абоненты любого мобильного оператора, так и все без исключения пользователи интернет-ресурсов», — объясняет директор по кибербезопасности компании Киевстар Юрий Прокопенко.

Кроме подтверждения входа в банковский аккаунт, злоумышленники используют СИ для манипуляции людьми через мобильный телефон, шантажа и, в конечном счете, выманивания денег. Учитывая количество «слитых» баз данных, которые сейчас существуют в сети, мошенники могут ввести в заблуждение даже наименее доверчивых пользователей. Важно также отметить, что крупные компании как правило инвестируют средства в надежные системы защиты данных своих пользователей, а у небольших компаний попросту может не оказаться этих средств.

В связи с этим, рассказываем, какие самые популярные методы СИ существуют и что делать, чтобы не стать их жертвой.

«Авто в подарок» и «родственники в полиции»

Большинство пользователей мобильных телефонов уже привыкли к SMS-сообщениям о выигрыше автомобилей, после которых нужно перейти по указанной ссылке, передать свои данные или отправить ответное SMS. Однако, в последнее время, мошенники прибегают к все более изощренным способам манипуляции, которые можно разделить на несколько категорий.

1. Абсолютным рекордсменом по своей массовости и количеству удачных атак остается рассылка спам-сообщений с вредоносными ссылками, файлами или просто «заманчивыми» предложениями — фишинг. Сюда могут входить SMS-сообщения о выигрыше чего-либо (телефон, ноутбук, авто, квартира), предложения принять участие в лотереях, ссылки на поддельные сайты якобы вашего банка с просьбой сменить пароль и т. д.

Чаще всего фишинг-SMS отправляют от имени легальных организаций, с идентичным названием и стилистикой. Поэтому, в чреде похожих сообщений, пользователи могут просто не заметить разницы и автоматически предоставить данные о себе или своем банковском аккаунте.

https://images.weserv.nl/?q=85&output=jpg&bg=white&url=https://nv.ua/system/MediaPhoto/images/000/055/263/big/3e7a20726d6142c81e9bee1cd9484f15.jpeg?stamp=20200911173423 — Фото: depositphotos

2. Не самым распространенным, но достаточно эффективным является метод «официальные звонки» от банков или других сервисов — вишинг. Злоумышленники используют предварительно записанные голосовые сообщения, которые воссоздают «официальный звонок» и выманивают у абонентов нужную им информацию. Пользователь, при этом, может даже не понять, кто с ним говорил и, самое главное, с какой целью.

В более широком понятии, вишингом называют живые звонки от злоумышленников, которые могут представляться сотрудниками любой официальной организации. В этом случае аферисты будут достаточно убедительно выпытывать данные банковской карты, код из последнего SMS или просто вашу персональную информацию.

3. Сообщения о блокировке/взломе банковской карты или аккаунта — смишинг. После уведомления вам предлагают перейти на поддельный сайт и указать личные данные для решения этой проблемы. Как правило, во время таких атак мошенники надеются, что пользователи запаникуют, не смогут принять правильное решение и не перепроверят всю информацию с помощью своего мобильного оператора, поставщика банковских услуг и т. д.

4. Телефонная «импровизация». Злоумышленники могут выдавать себя за сотрудников правоохранительных органов, ведущих радиостанций или напрямую вымогать деньги, шантажируя добытой персональной информацией о вас и ваших близких. Часто такие звонки совершают поздней ночью, что дезориентирует пользователя и вынуждает необдуманно выполнять все условия под предлогом опасности для своих близких.

В такой схеме мошенники могут представляться вашими знакомыми, о которых они узнали, быстро рассказывать о том, что произошло и передавать трубку якобы сотрудникам полиции. Последние требуют перевести «взятку» на карту. Наименее изобретательные вымогатели могут ограничиваться короткими сообщениями от имени ваших знакомых с просьбой отправить им денег.

В отдельных случаях телефонные злоумышленники предлагают различные услуги, к примеру, — получение доступа к личной переписке другого человека или истории звонков абонента за определенное вознаграждение. На первый взгляд, такой очевидный обман легко распознать, но, как показывает статистика, из миллионов фишинговых сообщений и фейковых звонков, достаточное количество срабатывает и приносит мошенникам деньги, что позволяет им продолжать заниматься этим и придумывать новые методы влияния на пользователей.

Как распознать мошенника и защититься?

Как ни странно, защититься от подобных методов мошенничества весьма просто. В первую очередь в Киевстар рекомендуют тщательно проверять информацию, особенно если это обещания выгоды из незнакомых источников или номеров. На официальном сайте оператора всегда будет размещаться информация об акции или розыгрыше, поэтому стоит как минимум свериться с сайтом. Или же позвонить в справочную службу, в Киевстар это номер 0 800 300 466 или 466 с мобильного. Рассмотрим несколько простых и эффективных мер безопасности, которые могут защитить вас от социальной инженерии.

В случае с фишинговыми SMS-сообщениями достаточно проверить точность ссылки, на которую вам предлагают перейти. Несмотря на схожесть с веб-адресом вашего банка или любого другого сервиса, «битая» ссылка будет иметь несколько неправильных символов или букв.

Если же вас уведомляют о победе в какой-либо акции или лотерее — не поленитесь узнать у своего мобильного оператора о существовании такой акции и уточнить ее детали.

https://images.weserv.nl/?q=85&output=jpg&bg=white&url=https://nv.ua/system/MediaPhoto/images/000/055/264/big/13eaa19ae934e06734e22542f5305cd5.jpeg?stamp=20200911173437 — Фото: depositphotos

Когда речь зашла о блокировке или воровстве денег с вашей карты — лучше проверить это самостоятельно с помощью мобильного приложения или обратиться за помощью к сотрудникам банка.

Что касается звонков и SMS от якобы ваших знакомых или друзей — проще всего связаться с ними в ответ и уточнить, действительно ли нужна ваша помощь, либо же просто задать вопрос, ответ на который знает только этот человек. Если к вам на связь вышел «сотрудник полиции» — уточните у него отдел, в котором находятся «друзья», причину, по которой они туда попали и проверьте эту информацию у реальной полиции и реальных друзей. В большинстве случаев, такие вопросы вводят в ступор телефонных мошенников, и они прекращают разговор.

Кроме того, не спешите отправлять предоплату за какой-либо акционный товар или услугу по сомнительному номеру, — чаще всего заманчивые предложения оказываются мошенническими, а у любого качественного онлайн-магазина есть официальные банковские реквизиты и различные методы оплаты.

Ни в коем случае не сообщайте незнакомым лицам по телефону следующие данные: реквизиты банковской карты; персональную информацию, включая ФИО, дату рождения, место жительства; последние SMS-коды, которые пришли на телефон прямо перед звонком; реквизиты входа в банковский аккаунт или личный кабинет мобильного оператора; номера телефонов, email-адреса и личные данные, к которым привязаны аккаунты банковских сервисов, сосцетей и т. д.

Чтобы уберечь свой мобильный номер, привязной к интернет-банкингу, перейдите на контракт или зарегистрируйте свой номер на паспорт.

Для защиты основного номера, к которому, как правило, привязаны банковские сервисы, абоненты Киевстар могут зарегистрировать услугу дополнительного номера. Сделать это в несколько кликов можно по этой ссылке. Дополнительный номер можно использовать для регистрации в соцсетях, на торговых платформах и других онлайн-сервисах, где существуют риски мошенничества.

«Киевстар заботится не только о безопасности своих абонентов, но и о безопасности телеком инфраструктуры Украины в целом. С этой целью компания подписала Меморандум о сотрудничестве с киберполицией Украины и Ситуационным центром обеспечения кибербезопасности. В рамках сотрудничества стороны обмениваются опытом и собственными наработками в вопросах кибербезопасности, также реализуют практические меры, которые помогают обеспечивать лучшую защиту информационных систем в Украине», — объясняет директор по кибербезопасности Киевстар Юрий Прокопенко.

Что делать, если вы стали жертвой мошенничества?

Телефонное мошенничество, незаконное получение доступа к персональной информации, равно как и воровство личных средств, являются основанием для обращения в правоохранительные органы. Причем, чем быстрее вы сообщите в полицию — тем лучше будет для вас. Если на счету злоумышленника обнаружат деньги потерпевшего — преступление будет проще доказать, а счет мошенников — своевременно заблокировать.

Если же вы по ошибке передали данные злоумышленникам и они получили доступ к вашему банковскому счету — обратитесь к сотрудникам банка, который вас обслуживает и попробуйте заблокировать карту.

После введения проверочного SMS-кода, мошенники могут подключить другой номер телефона для двухфакторной аутентификации, поэтому не пытайтесь повторно вводить пароль и тратить время на получение доступа к аккаунту самостоятельно.

Во многих сервисах и настройках смартфонов есть функции отслеживания активности и возможность сообщить об утрате доступа к аккаунту. Не пренебрегайте подобными функциями и не стесняйтесь обращаться к своим операторам мобильной связи за консультацией.

https://images.weserv.nl/?q=85&output=jpg&bg=white&url=https://nv.ua/system/MediaPhoto/images/000/055/265/big/53042eaf43fce5f05e7b1b0e054efc5f.jpeg?stamp=20200911173452 — Фото: depositphotos

Помните, что представители официальных сервисов никогда не попросят у вас сообщить им какие-либо персональные данные или одноразовый код из SMS.

И, самое главное, помните, что карантин по всему миру, в том числе и в Украине, стал причиной новой волны активности телефонных мошенников, поэтому требования к личной безопасности сейчас как никогда высоки.