940
Христина Волощук: технології і шахраї. Що потрібно знати і як не попастися на обман?
— Фінтех і Картки
Мобільні технології та інтернет, на жаль, надають безліч можливостей для шахрайства. Погіршує ситуацію і банальне нерозуміння громадянами потенційних ризиків. І не тільки громадянами! Небезпека попастися на «вудку» кібершахраїв загрожує бізнесу в тому числі.
Фішинг
Під терміном «фішинг» мається на увазі вид шахрайської діяльності, в основі якої – використання шкідливих програм, які дублюють сайти, додатки, рекламу або розсилку відомих компаній і брендів. Мета фішингу проста і прозаїчна: виманити у довірливих громадян гроші і/або конфіденційні дані (логіни та паролі від платіжних сервісів, дані кредитних карток тощо).
Способів зробити це неймовірно багато! Що гірше – вони постійно змінюються, з’являються все нові їх варіації. При цьому відразу зрозуміти, що перед вами фіктивний сайт або розсилка, особливо в суєті робочого дня, часто дуже складно.
Найпоширеніші схеми фішингу:
- імітація інтернет-магазину. На перший погляд – перед вами звичайний сайт, що пропонує купити цілком непогані товари. Головна особливість таких «магазинів» в ціновій політиці: пропоновані ними товари або коштують дуже дешево, або приваблюють великою знижкою. Продавці зазвичай просять вислати гроші за покупку, після чого зникають, залишаючи покупця без нічого;
- розсилка email-повідомлень з проханням підтвердити логін і пароль через технічні збої або оновлення системи. Як правило, ці листи розсилаються від імені відомих сервісів поповнення рахунку, платіжних систем, банків. Таким чином зловмисники намагаються отримати контроль над акаунтами користувачів;
- Підробка сайтів/додатків відомих компаній. Минулого року, наприклад, запустився дубль відомої всім платіжної системи «Приват24». Неуважний користувач відразу підміни не помітить і в підсумку сам, добровільно, надасть шахраям доступ до своїх рахунків;
- смішинг (виманювання грошей за допомогою смс-повідомлень). Працює за такою схемою. Абоненту приходить смс нібито від імені банку, в якому його просять пройти за посиланням і вказати дані своєї картки (аж до CVV-коду), щоб уникнути її блокування. Іноді замість посилання вказується номер телефону нібито для зв’язку зі співробітником банку. Крім того, як і раніше, популярний трюк з несподіваним «виграшем» в якійсь лотереї або вікторині.
- перехоплення SIM-карти. В цьому випадку аферист робить серію коротких дзвінків абоненту. Якщо той, побачивши пропущений виклик, передзвонює, то в підсумку ні до кого не додзвонюється, зате пізніше отримує повідомлення про блокування сімки. Так відбувається тому, що шахраї звертаються до оператора з проханням відновити нібито загублену сім-карту. Один із способів підтвердити, що карта належить саме вам, – назвати кілька номерів, на які здійснювалися виклики останнім часом і суму останнього поповнення рахунку. Після того як SIM-карта опинилася в руках зловмисників, всі ваші сервісні повідомлення та доступ до ресурсів потрапляють до них;
- синхронний переказ грошей. В цьому випадку підроблені сервіси здійснюють грошовий переказ за всіма правилами, але змінюють номер картки справжнього одержувача на номер картки аферистів.
Масштаби розвитку фішингу в Україні вражають. Так, в першій половині 2016 року, за даними EMA Academy, в країні діяло 117 фішингових сайтів, в той час як в 2015-му – 38. Всього ж в 2016-му було виявлено 174 фішингові сайти. При цьому рівень їх відвідуваності чималий. В середньому, фіксується 15-30 тисяч заходів на місяць.
Цікаво, втім, що в 2017 році кількість подібних ресурсів зменшилася до 108. Але приводу для радості поки немає.
Здебільшого зниження кількості фішингових сайтів відбувається через те, що у шахраїв з’являються інші способи виманювання грошей, не пов’язані з фішингом. Тепер вони створюють оригінальні сайти, що навчають швидкому заробітку за передоплатою, або кредитні сервіси, що обіцяють видати кошти тільки після внесення користувачем першої задатку.
Варіацій може бути безліч. При цьому вдосконалюється подача інформації користувачам, поліпшується дизайн сайтів. Шахраї навіть навчилися робити сайти з SSL-сертифікатом (візуально його наявність позначається в присутності закінчення «s» в рядку адреси http).
Небезпечні мобільні додатки
Магазини додатків – ще одна загроза для користувачів. Першість тут займає Play Market. Відкритість даної платформи дає можливість шахраям без особливих зусиль поширювати свої шкідливі програми і ловити довірливих користувачів на «живця». Робиться це, знову ж таки, по-різному.
Зрозуміло, фішинг тут посідає перше місце. Але є і більш витончені способи виманити особисті дані користувачів. Наприклад, під виглядом цілком оригінального і корисного додатка. Ви завантажуєте його, користуєтеся і не підозрюєте, що алгоритм в цей момент збирає ваші дані і відсилає розробнику.
Віруси теж не дрімають. Причому підчепити їх можна навіть просто підключившись до безкоштовного Wi-Fi або встановивши безкоштовний додаток. Отримавши доступ через вірусне програмне забезпечення до даних користувача, шахраї можуть ним дистанційно керувати. Це означає, що всі ваші дії в інтернеті, включаючи проведення онлайн платежів з разовими паролями, будуть їм видні.
Часто користувачів беруть ефектом несподіванки за допомогою вірусної реклами. Працює це так. Ви сидите в Інтернеті, і раптом спливає реклама з вимогою відновити «застарілий WhatsApp/Viber/Play Market…», перейшовши для цього за посиланням. Через неуважність, а також несподіванку запиту дуже багато людей відразу ж погоджуються, що в підсумку призводить до встановлення на смартфон вірусу, що зчитує дані.
Варто відзначити також, що не тільки Play Market грішний. Небезпечні додатки трапляються і в більш захищеному Apple Store. За статистикою, до 10% наявних в ньому програм і сервісів є шкідливими.
Промислове шпигунство та інші загрози бізнесу
Досвід показує, що компанії – і великі, і малі – теж не захищені належним чином від шахраїв. Так, в Європі масовим явищем стала крадіжка грошових коштів з рахунків юридичних осіб через підміну ПІБ одержувача в електронній пошті. Зробити це можливо в тому випадку, якщо постачальник і покупець вели переписку через електронну пошту і фіксували реквізити отримувача грошей.
Перед самою оплатою покупцеві може прийти лист з новими реквізитами і проханням вислати гроші на новий рахунок. Притому з адреси продавця. У підсумку, гроші можуть бути відправлені не за призначенням, а в руки шахраїв.
Доступ до конфіденційної інформації можна отримати і через скайп співробітника банку, від імені якого буде відправлено «заражене» посилання клієнтам фінансової установи.
Найбільшу загрозу фішинг і кібершахрайство загалом становить для криптовалютного ринку. Історії з ошуканими вкладниками там не рідкісні.
До речі, одна з наймасштабніших афер сталася на початку цього року в ході ICO-кампанії стартапу BeeToken. Шахраї від імені компанії розіслали інвесторам листи з пропозицією придбати токени стартапу в першу добу на більш вигідних умовах. За даними Сoindesk, ошукані інвестори перерахували злодіям не менше $928 000 за 25 годин.
Шкідливе ПЗ загрожує бізнесу не тільки фінансовими втратами, але інформаційними витоками.
Причому шахраї використовують найрізноманітніші хитрощі, щоб впровадити шкідливий код в систему компанії.
Наприклад, можуть непомітно залишити в вашому офісі флешку. Співробітники, не знайшовши її власника, напевно будуть самі нею користуватися. Чому ні, врешті-решт? Загрози ж начебто ніякої. А в підсумку «зайве» ПЗ поселяється в корпоративних комп’ютерах і «зливає» хакеру інформацію.
Як боротися?
Як бачимо, ризики зіткнутися з шахраями в наш час великі. Більше того, зараз ніхто не застрахований від цього, навіть компанії, у яких, здавалося б, більше ресурсів для протидії. Тому користуючись смартфоном, і тим більше здійснюючи мобільний платіж, необхідно дотримуватися максимальної обережності.
Завжди перевіряйте сайт, через який здійснюєте платіж. Якщо сайт не зареєстрований на домені національного рівня (.UA), а його адреса починається з http, а не з https – це вже тривожний знак.
Не зайвим буде перевірити, чи не перебуває даний ресурс в чорному списку на сайті Української міжбанківської асоціації членів платіжних систем ЕМА.
При цьому потрібно пам’ятати, що підробляти протокол SSL вже навчилися, тому його наявність вже не є 100%-ою гарантією безпеки.
Також не завадить перевірити реєстраційні дані сайту. Зробити це нескладно – достатньо скопіювати посилання до відповідного рядка на порталі Whois, спеціально призначеного для аналізу доменів і IP-адрес.
При отриманні email- або смс-повідомлень з проханнями залишити свої паролі і/або кредитні дані, уважно перевіряйте відправника.
Банки зазвичай не просять у клієнтів подібну інформацію в повідомленнях або за телефоном, якщо тільки ті самі не звертаються в колл-центр, наприклад. Але все ж розсилки і різного роду оповіщення роблять.
Відрізнити справжнє банківське повідомлення від підробленого можна за наявністю в ньому номера колл-центру фінансової установи, а також дублювання декількох цифр платіжної картки клієнта. Якщо цього немає – перед вами точно фальшивка.
Христина Волощук, Head of Corporate Business Kreston GCG
За матеріалами: Finance.ua
Поділитися новиною