Христина Волощук: технології і шахраї. Що потрібно знати і як не попастися на обман?

Мобільні технології та інтернет, на жаль, надають безліч можливостей для шахрайства. Погіршує ситуацію і банальне нерозуміння громадянами потенційних ризиків. І не тільки громадянами! Небезпека попастися на «вудку» кібершахраїв загрожує бізнесу в тому числі.

Фішинг

Під терміном «фішинг» мається на увазі вид шахрайської діяльності, в основі якої – використання шкідливих програм, які дублюють сайти, додатки, рекламу або розсилку відомих компаній і брендів. Мета фішингу проста і прозаїчна: виманити у довірливих громадян гроші і/або конфіденційні дані (логіни та паролі від платіжних сервісів, дані кредитних карток тощо).

Способів зробити це неймовірно багато! Що гірше – вони постійно змінюються, з’являються все нові їх варіації. При цьому відразу зрозуміти, що перед вами фіктивний сайт або розсилка, особливо в суєті робочого дня, часто дуже складно.

Найпоширеніші схеми фішингу:

• імітація інтернет-магазину. На перший погляд – перед вами звичайний сайт, що пропонує купити цілком непогані товари. Головна особливість таких «магазинів» в ціновій політиці: пропоновані ними товари або коштують дуже дешево, або приваблюють великою знижкою. Продавці зазвичай просять вислати гроші за покупку, після чого зникають, залишаючи покупця без нічого;

• розсилка email-повідомлень з проханням підтвердити логін і пароль через технічні збої або оновлення системи. Як правило, ці листи розсилаються від імені відомих сервісів поповнення рахунку, платіжних систем, банків. Таким чином зловмисники намагаються отримати контроль над акаунтами користувачів;

• Підробка сайтів/додатків відомих компаній. Минулого року, наприклад, запустився дубль відомої всім платіжної системи «Приват24». Неуважний користувач відразу підміни не помітить і в підсумку сам, добровільно, надасть шахраям доступ до своїх рахунків;

• смішинг (виманювання грошей за допомогою смс-повідомлень). Працює за такою схемою. Абоненту приходить смс нібито від імені банку, в якому його просять пройти за посиланням і вказати дані своєї картки (аж до CVV-коду), щоб уникнути її блокування. Іноді замість посилання вказується номер телефону нібито для зв’язку зі співробітником банку. Крім того, як і раніше, популярний трюк з несподіваним «виграшем» в якійсь лотереї або вікторині.

• перехоплення SIM-карти. В цьому випадку аферист робить серію коротких дзвінків абоненту. Якщо той, побачивши пропущений виклик, передзвонює, то в підсумку ні до кого не додзвонюється, зате пізніше отримує повідомлення про блокування сімки. Так відбувається тому, що шахраї звертаються до оператора з проханням відновити нібито загублену сім-карту. Один із способів підтвердити, що карта належить саме вам, – назвати кілька номерів, на які здійснювалися виклики останнім часом і суму останнього поповнення рахунку. Після того як SIM-карта опинилася в руках зловмисників, всі ваші сервісні повідомлення та доступ до ресурсів потрапляють до них;

• синхронний переказ грошей. В цьому випадку підроблені сервіси здійснюють грошовий переказ за всіма правилами, але змінюють номер картки справжнього одержувача на номер картки аферистів.

Масштаби розвитку фішингу в Україні вражають. Так, в першій половині 2016 року, за даними EMA Academy, в країні діяло 117 фішингових сайтів, в той час як в 2015-му – 38. Всього ж в 2016-му було виявлено 174 фішингові сайти. При цьому рівень їх відвідуваності чималий. В середньому, фіксується 15-30 тисяч заходів на місяць.

Цікаво, втім, що в 2017 році кількість подібних ресурсів зменшилася до 108. Але приводу для радості поки немає.

Здебільшого зниження кількості фішингових сайтів відбувається через те, що у шахраїв з’являються інші способи виманювання грошей, не пов’язані з фішингом. Тепер вони створюють оригінальні сайти, що навчають швидкому заробітку за передоплатою, або кредитні сервіси, що обіцяють видати кошти тільки після внесення користувачем першої задатку.

Шахраї навчилися робити сайти з SSL-сертифікатом

Варіацій може бути безліч. При цьому вдосконалюється подача інформації користувачам, поліпшується дизайн сайтів. Шахраї навіть навчилися робити сайти з SSL-сертифікатом (візуально його наявність позначається в присутності закінчення «s» в рядку адреси http).

Небезпечні мобільні додатки

Магазини додатків – ще одна загроза для користувачів. Першість тут займає Play Market. Відкритість даної платформи дає можливість шахраям без особливих зусиль поширювати свої шкідливі програми і ловити довірливих користувачів на «живця». Робиться це, знову ж таки, по-різному.

Зрозуміло, фішинг тут посідає перше місце. Але є і більш витончені способи виманити особисті дані користувачів. Наприклад, під виглядом цілком оригінального і корисного додатка. Ви завантажуєте його, користуєтеся і не підозрюєте, що алгоритм в цей момент збирає ваші дані і відсилає розробнику.

Віруси теж не дрімають. Причому підчепити їх можна навіть просто підключившись до безкоштовного Wi-Fi або встановивши безкоштовний додаток. Отримавши доступ через вірусне програмне забезпечення до даних користувача, шахраї можуть ним дистанційно керувати. Це означає, що всі ваші дії в інтернеті, включаючи проведення онлайн платежів з разовими паролями, будуть їм видні.

Часто користувачів беруть ефектом несподіванки за допомогою вірусної реклами. Працює це так. Ви сидите в Інтернеті, і раптом спливає реклама з вимогою відновити «застарілий WhatsApp/Viber/Play Market…», перейшовши для цього за посиланням. Через неуважність, а також несподіванку запиту дуже багато людей відразу ж погоджуються, що в підсумку призводить до встановлення на смартфон вірусу, що зчитує дані.

Варто відзначити також, що не тільки Play Market грішний. Небезпечні додатки трапляються і в більш захищеному Apple Store. За статистикою, до 10% наявних в ньому програм і сервісів є шкідливими.

Промислове шпигунство та інші загрози бізнесу

Досвід показує, що компанії – і великі, і малі – теж не захищені належним чином від шахраїв. Так, в Європі масовим явищем стала крадіжка грошових коштів з рахунків юридичних осіб через підміну ПІБ одержувача в електронній пошті. Зробити це можливо в тому випадку, якщо постачальник і покупець вели переписку через електронну пошту і фіксували реквізити отримувача грошей.

Перед самою оплатою покупцеві може прийти лист з новими реквізитами і проханням вислати гроші на новий рахунок. Притому з адреси продавця. У підсумку, гроші можуть бути відправлені не за призначенням, а в руки шахраїв.

Найбільшу загрозу кібершахрайство становить для криптовалютного ринку

Доступ до конфіденційної інформації можна отримати і через скайп співробітника банку, від імені якого буде відправлено ​​«заражене» посилання клієнтам фінансової установи.

Найбільшу загрозу фішинг і кібершахрайство загалом становить для криптовалютного ринку. Історії з ошуканими вкладниками там не рідкісні.

До речі, одна з наймасштабніших афер сталася на початку цього року в ході ICO-кампанії стартапу BeeToken. Шахраї від імені компанії розіслали інвесторам листи з пропозицією придбати токени стартапу в першу добу на більш вигідних умовах. За даними Сoindesk, ошукані інвестори перерахували злодіям не менше $928 000 за 25 годин.

Шкідливе ПЗ загрожує бізнесу не тільки фінансовими втратами, але інформаційними витоками.

Причому шахраї використовують найрізноманітніші хитрощі, щоб впровадити шкідливий код в систему компанії.

Наприклад, можуть непомітно залишити в вашому офісі флешку. Співробітники, не знайшовши її власника, напевно будуть самі нею користуватися. Чому ні, врешті-решт? Загрози ж начебто ніякої. А в підсумку «зайве» ПЗ поселяється в корпоративних комп’ютерах і «зливає» хакеру інформацію.

Як боротися?

Як бачимо, ризики зіткнутися з шахраями в наш час великі. Більше того, зараз ніхто не застрахований від цього, навіть компанії, у яких, здавалося б, більше ресурсів для протидії. Тому користуючись смартфоном, і тим більше здійснюючи мобільний платіж, необхідно дотримуватися максимальної обережності.

Завжди перевіряйте сайт, через який здійснюєте платіж. Якщо сайт не зареєстрований на домені національного рівня (.UA), а його адреса починається з http, а не з https – це вже тривожний знак.

Не зайвим буде перевірити, чи не перебуває даний ресурс в чорному списку на сайті Української міжбанківської асоціації членів платіжних систем ЕМА.

При цьому потрібно пам’ятати, що підробляти протокол SSL вже навчилися, тому його наявність вже не є 100%-ою гарантією безпеки.

Також не завадить перевірити реєстраційні дані сайту. Зробити це нескладно – достатньо скопіювати посилання до відповідного рядка на порталі Whois, спеціально призначеного для аналізу доменів і IP-адрес.

При отриманні email- або смс-повідомлень з проханнями залишити свої паролі і/або кредитні дані, уважно перевіряйте відправника.

Банки зазвичай не просять у клієнтів подібну інформацію в повідомленнях або за телефоном, якщо тільки ті самі не звертаються в колл-центр, наприклад. Але все ж розсилки і різного роду оповіщення роблять.

Відрізнити справжнє банківське повідомлення від підробленого можна за наявністю в ньому номера колл-центру фінансової установи, а також дублювання декількох цифр платіжної картки клієнта. Якщо цього немає – перед вами точно фальшивка.

Христина Волощук, Head of Corporate Business Kreston GCG