Saskaņā ar Krievijas Centrālās bankas statistiku, 2017. gadā 317,7 tūkstoši lietotāju krāpnieku darbību dēļ internetā zaudēja 961 miljonu rubļu. Tajā pašā laikā 97% gadījumu krāpšanas upuri nav vērsušies tiesībsargājošajās iestādēs. Un mēs runājam par incidentiem, par kuriem tika ziņots bankai.
Apskatīsim izplatītākos veidus, ko uzbrucēji izmanto, lai nozagtu naudu sociālajos tīklos. Un, lai jūs neiekristu krāpnieku tīklā, mēs sniegsim padomus, kā pasargāt sevi no kibernoziedzniekiem.
1. Konta uzlaušana
Konta pieteikšanās informācijas iegūšana ļauj krāpniekiem iegūt konfidenciālu informāciju un maldināt lietotāja draugus. Lai to izdarītu, krāpnieki izmanto visu triku arsenālu:
- datora vai mobilā sīkrīka inficēšana ar vīrusu;
- citu vietņu datubāzu uzlaušana un atbilstošas paroles;
- brute force izplatītas paroles.
Vīrusu infekcija visbiežāk notiek, saņemot e-pastus ar pielikumiem nonezināmi adresāti vai failu lejupielāde no bezmaksas failu mitināšanas. Vīrusu mērķis ir pārlūkprogrammas mapēs pārbaudīt nešifrētas paroles, kā arī uzraudzīt to, ko lietotājs ievada no tastatūras. Piemēram, Android. BankBot.358.origin ir paredzēts Sberbank klientiem un nozog pieteikšanās datus mobilajai lietojumprogrammai. TrickBot Trojas zirgs meklē arī pieteikšanās datus banku kontiem, kā arī kriptovalūtas maiņas vietām. Fauxpersky taustiņu bloķētājs maskējas kā Kaspersky Lab produkts un apkopo visu, ko lietotājs ieraksta uz tastatūras.
Vīrusu apkopotā informācija tiek nosūtīta uzbrucējiem. Parasti vīruss veido teksta failu un izveido savienojumu ar iestatījumos norādīto pasta pakalpojumu. Pēc tam viņš pievieno failu e-pastam un nosūta to uz krāpnieku adresi.
Lietotāji izmanto vienu un to pašu paroli visām vietnēm (interneta veikaliem, sociālajiem tīkliem, pasta serveriem), lai nepaturētu prātā un nesaglabātu katra konta unikālas paroles datoros. Ļaunprātīgie uzbrūk mazāk aizsargātām vietnēm: direktorijiem, tiešsaistes veikaliem, forumiem. Sociālajos tīklos strādā vesela IT speciālistu komanda, kas atbild par kiberdrošību. Tiešsaistes veikali un forumi tiek darbināti, izmantojot SPS, kurā krāpnieki periodiski atrod ievainojamības datu nozagšanai.
Hakeri kopē lietotāju datubāzi, kurā parasti ir segvārdi, e-pasta adreses un pieteikšanās paroles. Neskatoties uzka paroles tiek glabātas šifrētā veidā, tās var atšifrēt, jo lielākā daļa vietņu izmanto 128 bitu MD5 jaukšanas algoritmu. Tas tiek atšifrēts, izmantojot darbvirsmas programmatūru vai tiešsaistes pakalpojumus. Piemēram, MD5 atšifrēšanas pakalpojums satur 6 miljardu atšifrētu vārdu datubāzi. Pēc atšifrēšanas paroles tiek pārbaudītas, lai noteiktu iespēju piekļūt pasta pakalpojumiem un sociālajiem tīkliem. Izmantojot pastu, varat atkopt savu paroli sociālajā tīklā, ja nevarējāt to uzminēt.
Parole brute force kļūst arvien mazāk aktuāla ar katru gadu. Tās būtība ir metodiskā paroļu burtu un ciparu kombināciju pārbaude, lai ievadītu sociālo tīklu kontu. Krāpnieki izmanto starpniekserverus un VPN, kas slēpj datora IP adresi, lai sociālais tīkls tos neatklātu. Taču paši sociālie tīkli aizsargā lietotājus, piemēram, ieviešot captcha.
Kā sevi pasargāt
Lai cīnītos ar vīrusiem, jāievēro datora drošības pamatnoteikumi:
- nelejupielādējiet failus no nezināmiem avotiem, jo vīrusi var tikt maskēti, piemēram, kā prezentācijas fails;
- neatveriet pielikumus e-pastiem no nezināmiem sūtītājiem;
- instalējiet pretvīrusu (Avast, NOD32, Kaspersky vai Dr. Web);
- iestatiet divu faktoru autentifikāciju vietnēs, kurām ir šī opcija;
- piekļūstot pakalpojumam no kāda cita ierīces, atzīmējiet atbilstošo lodziņu autorizācijas laukā;
- neizmantojiet pārlūkprogrammas iespēju atcerēties paroles.
Lietotājam nevajadzētuizmantojiet vienu un to pašu paroli sociālajiem tīkliem, pasta pakalpojumiem, tiešsaistes veikaliem un bankas kontiem. Jūs varat dažādot paroles, pievienojot to beigām pakalpojumu apzīmējumus. Piemēram, 12345mail ir piemērots pastam, 12345shop iepirkšanās un 12345socialnet sociālajiem tīkliem.
2. Izspiešana un šantāža
Uzbrucēji apzināti uzlauž sociālo mediju kontus, lai iegūtu konfidenciālus datus, pēc tam šantažē upuri un izspiež naudu. Piemēram, ja runa ir par intīmām fotogrāfijām, kas nosūtītas partnerim.
Pašos fotogrāfijās nav nekā krimināla. Uzbrucēji šantažē lietotāju, nosūtot saņemtās bildes radiem un draugiem. Komunikācijas laikā tiek izmantots psiholoģisks spiediens un mēģinājumi radīt vainas sajūtu, cerot, ka upuris atsūtīs naudu.
Pat ja upuris nosūtīja naudu, nav garantijas, ka vainīgie neizlems vēlreiz "izpirkt" fotogrāfijas vai vienkārši nepublicēs bildes sava prieka pēc.
Kā sevi pasargāt
Izmantojiet pakalpojumus, kas ļauj nosūtīt pašiznīcinošus vai šifrētus ziņojumus uz Telegram vai Snapchat. Vai arī vienojieties ar partneri, ka nesaglabāsiet attēlus, bet dzēsīsiet tos uzreiz pēc apskates.
Nedrīkst apmeklēt pastu un sociālos tīklus no citu cilvēku ierīcēm. Ja aizmirstat tos atstāt, pastāv risks, ka jūsu sarakste nonāks nepareizās rokās.
Tiem, kam patīk saglabāt konfidenciālus datus, ieteicams šifrēt mapes, izmantojot īpašu programmatūru, piemēram, izmantojot šifrēšanas tehnoloģijuFailu sistēma (EFS).
3. Balvas, mantojumi un bezmaksas preces
Krāpnieki piedāvā iegūt dārgu preci bez maksas, ja maksājat par piegādi uz savu adresi vai piegādes apdrošināšanu. Jūs varat saskarties ar līdzīgu piedāvājumu, piemēram, savas pilsētas grupā "Bezmaksas". Kā iemeslu viņi var norādīt uz steidzamu pārvietošanos vai tādas pašas lietas saņemšanu kā dāvanu. Diezgan bieži kā “ēsma” tiek izmantotas dārgas lietas: iPhone, iPad, Xbox un tamlīdzīgi. Lai samaksātu par piegādes izmaksām, krāpnieki pieprasa summu, no kuras lietotājs ir ērti šķirties - līdz 10 000 rubļu.
Krāpnieki var piedāvāt ne tikai bezmaksas preces, bet arī preces ar ievērojami pazeminātu cenu, piemēram, iPhone X par 5000 rubļiem. Tādējādi viņi vēlas nozagt naudu vai kartes datus, izmantojot viltotu maksājumu vārtejas veidlapu. Krāpnieki maskē karšu maksājumu lapu kā populāras maksājumu vārtejas lapu.
Uzbrucēji var uzdoties par bankas vai notāru aģentūras darbiniekiem, lūdzot palīdzību naudas līdzekļu izņemšanā no konta vai mantojumā saņemtas naudas. Lai to izdarītu, viņiem tiks lūgts pārskaitīt nelielu summu, lai izveidotu norēķinu kontu.
Lai saņemtu balvu, var nosūtīt arī saiti, kas ved uz pikšķerēšanas vietni.
Kā sevi pasargāt
Neticiet bezmaksas sieram. Vienkārši ignorējiet šādus pieprasījumus vai iesniedziet sūdzību, izmantojot iebūvētos sociālo mediju rīkus. Lai to izdarītu, dodieties uz konta lapu, noklikšķiniet uz pogas "Sūdzēties par lietotāju" un uzrakstiet apelācijas iemeslu. Moderatora pakalpojumssociālais tīkls pārskatīs informāciju.
Neklikšķiniet uz nepazīstamām saitēm, īpaši, ja tās izveidotas, izmantojot goo.gl, bit.ly un citus saišu saīsināšanas pakalpojumus. Tomēr saiti var atšifrēt, izmantojot pakalpojumu UnTinyURL.
Pieņemsim, ka esat saņēmis ziņu sociālajā tīklā par izdevīgu tālruņa vai planšetdatora pārdošanu. Neticiet veiksmei un nekavējoties samaksājiet par pirkumu. Ja nonācāt lapā ar maksājumu vārtejas veidlapu, rūpīgi pārbaudiet, vai domēns ir pareizs un vai ir minēts PCI DSS standarts. Maksājuma veidlapas pareizību varat pārbaudīt maksājumu vārtejas tehniskā atbalsta dienestā. Lai to izdarītu, vienkārši sazinieties ar viņu pa e-pastu. Piemēram, maksājumu pakalpojumu sniedzēju PayOnline un Fondy vietnēs ir norādītas klientu atbalsta dienestu e-pasta adreses.
4. "Izmet simtu"
Krāpnieki izmanto uzlauztu lapu, lai lūgtu upura paziņām un draugiem pārskaitīt naudu uz kontu. Tagad tiek izsūtīti ne tikai pārskaitījumu pieprasījumi, bet arī bankas karšu fotogrāfijas, uz kurām, izmantojot grafisko redaktoru, tiek uzlikts uzlauztā konta īpašnieka vārds un uzvārds.
Parasti uzbrucēji lūdz steidzami pārskaitīt naudu, jo baidās zaudēt kontroli pār kontu. Bieži pieprasījumi satur psiholoģiska spiediena elementus un pastāvīgu atgādinājumu, ka viss ir jādara steidzami. Krāpnieki var iepriekš izpētīt saziņas vēsturi un pat izmantot adreses, kuras tikai jūs zināt pēc vārda vai segvārdiem.
Kā sevi pasargāt
Zvaniet draugam un pajautājiet tieši, vai viņam ir vajadzīga nauda. Tātad jūs pārliecinietiespieprasījuma patiesumu, un jūs varat nekavējoties brīdināt par lapas uzlaušanu.
Ja labi pazīstat personu, kuras konts tika uzlauzts, pievērsiet uzmanību runas veidam. Uzbrucējam, visticamāk, nebūs laika pilnībā kopēt savu komunikācijas stilu un viņš izmantos viņam neparastas runas figūras.
Pievērsiet uzmanību bankas kartes fotoattēlam. Jūs varat aprēķināt viltojumu ar sliktas kvalitātes apstrādi grafiskajā redaktorā: burti "lēks", iniciāļi neatradīsies vienā rindā ar kartes derīguma termiņu, un dažreiz tie pat pārklājas ar kartes derīguma termiņu.
Izdzīvo sociālajos tīklos
No 2014. gada decembra līdz 2016. gada decembrim uzbrukumu skaits lietotājiem, izmantojot sociālo inženieriju, pieauga 11 reizes. 37,6% uzbrukumu bija vērsti uz personas datu, tostarp bankas karšu informācijas, zādzību.
Saskaņā ar ZeroFOX pētījumu Facebook veidoja 41,2% uzbrukumu, Google+ - 21,6%, bet Twitter - 19,7%. Sociālais tīkls VKontakte pētījumā netika iekļauts.
Eksperti identificē 7 populāras sociālo mediju krāpniecības taktikas:
- Viltus lapas pārbaude. Krāpnieki sociālā tīkla vārdā piedāvā iegūt kāroto “pārbaudītas” lapas ķeksīti. Cietušajiem tiek nosūtīta datu zādzībai īpaši sagatavotas lapas adrese.
- Viltus saites izplatīšana, izmantojot mērķētas reklāmas. Uzbrucēji izveido reklāmu, lai piesaistītu lietotājus lapām ar zemām cenām un pārdotu viltotas preces.
- Slavena zīmola klientu apkalpošanas imitācija. Uzbrucēji maskējas par lielu zīmolu tehniskā atbalsta dienestiem un saņem konfidenciālu informāciju no saviem klientiem.
- Izmantojot vecos kontus. Uzbrucēji var izmantot vecos kontus, mainot iestatījumus, lai apietu sociālo mediju vadīklas.
- Viltus tiešsaistes veikalu un zīmolu lapas. Uzbrucēji izkrāpj tiešsaistes veikalu kopienas lapas un ved lietotājus uz pikšķerēšanas lapām, lai veiktu autorizāciju, nozagtu pieteikšanās datus vai pārdotu viltotas preces.
- Viltus akcijas. Lai piedalītos akcijā, uzbrucēji var lūgt e-pasta ziņojumu vai fotoattēlu, kas, iespējams, dalībai, ko vēlāk var izmantot nelikumīgās darbībās.
- Finanšu krāpšana. Uzbrucēji piedāvā paaugstinātus ienākumus īsā laikā, vienkārši nozogot naudu lētticīgiem lietotājiem.
- Viltus HR uzņēmumu lapas. Daži krāpnieki atdarina lielo uzņēmumu oficiālo stilu un pieprasa samaksu par darba pieteikuma izskatīšanu.
Ir tikai viens veids, kā pasargāt sevi no sociālās inženierijas – zināšanas. Tāpēc jums ir labi jāapgūst datordrošības noteikumi un neticat pārāk dāsniem piedāvājumiem.
