Небольшая история: Юля решила купить на Авито телефон. И нашла интересный вариант – срочная продажа почти нового iPhone 8 за 21 000 руб. Юля связалась с продавцом через авито-сообщения, продавец перевел общение в ватсап. Прислал подробные фото и видео телефона, гарантийный чек. Отказался снижать цену, и это еще больше убедило Юлю, что он не мошенник.
Предложил получить деньги и отправить товар через сервис «Авито Доставка» и прислал в ватсап ссылку на форму «Авито Доставка» для оплаты покупки. Пройдя по ссылке, Юля попала на мастерски созданный мошенниками клон сайта «Авито». Не распознав обман, на лже-сайте Юля оплатила товар, осталась без телефона, денег и узнала про фишинг.
Чем опасен фишинг и как защитить свои деньги расскажет финансовый эксперт Бробанка — Наталья Колбасина.
Что такое фишинг
Фишинг (в пер. с английского «рыбалка») – один из самых распространённых способов интернет-мошенничества. Направлен на получение обманным путем конфиденциальных персональных данных пользователя для кражи его денег. Мошенники воруют доступы к логинам, паролям, номерам счетов пользователей банковских сервисов, платежных систем, провайдеров, почтовых сервисов, социальных сетей и т.п.
Для этого мошенники создают фишинговый сайт, почти клон сайта-оригинала – совпадают цвета, логотип, шрифт. А адрес веб-страницы отличается от оригинала всего одним незначительным символом. Например, www.primer.ru и www.prymer.ru. Или это может быть ссылка с точками вместо слешей: адрес www.bank.com/personal/login записан, как www.bank.com.personal.login.
Подделывают сайты платежных систем, брендовых магазинов, банков, страховых компаний, компаний по продаже авиабилетов, бронированию гостиниц, доставке еды, грузов и т.д.
Главная задача мошенников – заманить пользователя на фиктивный сайт и выманить у него персональные данные банковских карт под видом оказания услуг, продажи товаров, обновления личных данных. Пользователи вводят персональные данные на лже-сайте сами, не подозревая об обмане.
В 2019 году мошенники увели с карт россиян через различные интернет-ресурсы 3 млрд. руб., за 5 месяцев 2020 г. – более 1,5 млрд. руб. Средняя сумма операции составила около 10 000 рублей.
В 2020 г. Банк России выявил 119 тыс. фишинговых сайтов, из них удалось заблокировать лишь 300 ресурсов. Создатели фишинговых сайтов атакуют 100 тысяч граждан ежедневно.
Как попадают на фишинговые сайты
Самый распространенный способ фишинга – рассылка электронных писем-наживок.
В 2020 г. по данным «Лаборатории Касперского» самыми популярными способами фишинговой приманки являются:
1. Массовая рассылка писем от имени настоящего сайта интернет-магазина с выгодным предложением: ознакомиться с электронным каталогом товаров по акционным ценам, который якобы доступен только после ввода логина и пароля от почтового аккаунта.
2. Рассылка писем от сервисов доставки или почтовых сервисов с уведомлением о месте нахождения купленного товара. Пользователь открывал вложение, чтобы узнать, где находится покупка и заражал свой компьютер шпионской программой.
3. Предложение банковских услуг – рассылка писем от имени банков с предложением клиентам оформить выгодный кредит, снизить процентную ставку по текущему кредиту, получить бонусы.
4. Запугивание. Рассылка от имени финансовых организаций об отключении или блокировке учетной записи или ведении в ней подозрительных или мошеннических действий. Пользователь теряет бдительность, переходит по ссылке, вводит по ссылке никнейм, пароль и теряет деньги.
5. Письма якобы от лица госорганов – для получения налоговых компенсаций, льгот по оплате услуг ЖКХ, государственных компенсаций россиянам, помощи в оформлении пропуска и др.
6. В период пандемии появилась рассылка писем об увольнении с выплатой 2-х мес. оклада. Открыв такое письмо, пользователь получал не деньги, а вредоносное ПО.
7. Подписка на новости, касающиеся определенной темы, например, COVID-19. Помимо кражи персональных данных такой вид рассылки используют для сбора данных об активности того или иного адреса электронной почты.
8. Письма «счастья» о получении крупного выигрыша, наследства, компенсаций от различных благотворительных фондов.
9. Письма, отправленных якобы от техподдержки банка или другой финансовой организации, с просьбой перейти по ссылке и внести изменения в личном кабинете, настройке электронного кошелька и т.п.
10. Предложения пройти опрос и выиграть приз.
В практике одного из крупнейших российских банков был случай с якобы инвестиционным фондом банка, на котором мошенники даже разместили фейковые видео отзывы.
Что такое фарминг
Атаки фишеров постоянно совершенствуются! Появилось понятие фарминг – способ получения персональных данных путем скрытого перенаправления на поддельные сайты через официальные веб-сайты. Как это работает?
- Пользователь открывает ложное электронное письмо или сторонний файл.
- Компьютер заражается вирусом/троянской программой, которая висит в спящем режиме и ее не замечает антивирус.
- Пользователь заходит в интернет-банкинг, платежную систему или электронный кошелек.
- Вирус или троян просыпается и мгновенно перенаправляет пользователя с оригинального сайта на сайт-ловушку.
- Пользователь не успевает ничего заметить и «дарит» свои данные мошенникам.
Опасность фарминга в том, что заметить подделку практически невозможно. Особенно от него страдают банки и платежные системы.
Как уберечься от мошенников
Полезный чек-лист 12 правил антифишинговой безопасности:
1. Не переходите по ссылкам из писем. Не открывайте сайты госорганов, платежных систем, банков по ссылкам в письмах в формате HTML. Вводите URL-адрес необходимого сайта самостоятельно или пользуйтесь закладками. Для проверки подлинности письма зайдите в личный кабинет через официальный сайт организации и убедитесь, что данное письмо есть в личном кабинете. Остались сомнения – звоните адресату по номеру телефона, указанному на официальном сайте организации, не берите его из письма!
Важно помнить, что ПФР и ФНС не занимаются массовой рассылкой по электронной почте!
2. Используйте только защищенные сайты. Не вводите личные данные на незащищенных сайтах.
Адреса защищенных сайтов начинаются с https://, а в правом верхнем углу окна браузера есть значок «закрытого замочка». Дважды щелкните мышью на значке замка и проверьте, чтобы адрес, указанный в сертификате безопасности, совпадал с текстом в адресной строке браузера.
3. Проверьте адрес, с которого пришло письмо. Если вам пришло щедрое предложение или наоборот, срочное и «страшное» письмо, проверьте адрес. Для этого посмотрите на окончание электронного адреса. Слово после символа «@» обозначает домен. Он должен совпадать с адресом официального сайта организации. Например, адрес официальной рассылки Банка Тиньков «inform@emails.tinkoff.ru». Если сомневаетесь в подлинности письма — звоните отправителю по официальным номерам телефонов.
4. Проверьте письмо на наличие мошеннических триггеров. Вам пришло письмо? А вы его ждали? Вам понятна его тема? Вы знаете отправителя? О чем идет речь в письме? Используются ли психологические приемы: запугивание, срочность (акция неслыханной щедрости, которая скоро заканчивается), уникальный шанс и везение – вы выиграли приз, просьба о помощи и т.п.
Будьте осторожны с обезличенными письмами. Вам написал неизвестный адресат и обращается к вам не по имени, а просто «привет, дорогой друг»? В письме неправильно используются падежи? Это повод насторожиться!
5. Проверяйте дату создания сайта, на который вам предлагают перейти по ссылке. Фишинговые сайты живут 3-5 дней. Простая проверка сайта адресата, который отправил вам выгодное предложение поможет сохранить деньги.
6. Никогда и никому не сообщайте ваши персональные данные: номер кредитной карты, пин-код или код безопасности кредитной карты, девичья фамилия матери или любые другие ответы на вопросы безопасности, которые мог бы ввести пользователь. Банк никогда не запрашивает такую информацию в электронных письмах или по телефону.
7. Придумывайте сложные пароли, не используйте простые комбинации цифр, свою фамилию, даты рождения, имена детей и т.п. Используйте разные пароли для захода на разные интернет-ресурсы.
8. Для оплаты покупок и услуг через Интернет заведите отдельную виртуальную карту и установите суточные лимиты для совершения покупок.
9. Подключите услугу СМС-информирование. С ней вы будете в курсе операций по вашему счету и карте.
10. Для продажи вещей через интернет-площадки используйте номер телефона, не привязанный к мобильному банкингу. Для таких целей лучше вообще иметь отдельный номер телефона.
11. Используйте лицензионные антивирусные программы и регулярно их обновляйте. Установите интернет-обозреватель, оснащенный фишинг-фильтром.
12. Используйте несколько почтовых ящиков — отдельно для работы и друзей, подписок на рассылки. Сразу удаляйте подозрительные письма.
Заключение
Фишинг постоянно совершенствуется, избавиться от него в ближайшее время не получится. Надежды на 100% защищенность банковских приложений тоже нет.
Специалисты компании «Positive Technologies» проанализировали 14 банковских мобильных приложений для Android и iOS 7 российских банков из топ-50 крупнейших кредитных организаций по величине активов. Каждое из анализируемых приложений было скачано из официальных магазинов Google Play и AppStore не менее 500 тыс. раз.
Общее число скачиваний всех этих приложений превышает 10 млн. И обнаружили в приложениях 43 уникальные уязвимости, в основном технического характера, которые могут привести к:
- утечке персональных данных;
- несанкционированному доступу к приложению;
- проведению мошеннических операций и краже денежных средств.
Но, что самое важное, для эксплуатации 87% уязвимостей злоумышленнику требуются какие-либо действия со стороны пользователя. И от ваших действий в 9 из 10 случаев зависит, получится ли у мошенников увести ваши деньги.
За последние пару лет мошенники научились виртуозно использовать методы социальной инженерии. Играя на эмоциях, страхах, жадности, невнимательности, невежестве людей, злоумышленники получают доступ к интересующей их информации.
Вернуть похищенные фишерами деньги практически невозможно. Такие мошенничества совершаются группой лиц, в которой распределены роли – один создает сайты, другой делает рассылку, третий выводит деньги. Отследить всю цепочку сложно. Значит, что нужно всегда быть на страже своих денег! ⠀
Вот базовые правила финансовой безопасности для защиты ваших денег от фишеров:
- Никому не доверяйте в интернете. Критически оценивайте содержание полученных писем и предложений. Не ведитесь на халяву! При работе и общении, покупках в интернете здоровая подозрительность и бдительность – наше все. Лишний раз перестраховаться не стыдно, это нормально.
- Не переходите по ссылкам из смс сообщений и из писем в формате HTML, особенно с незнакомых телефонных номеров и электронных адресов.
- Никому не сообщайте номер и срок действия карты, смс-коды. Сотрудники банка никогда не спрашивают эту информацию
- Используйте на компьютере и телефоне лицензионное антивирусное ПО и регулярно его обновляйте.
- Повышайте свою финансовую грамотность.
Комментарии: 0