Видеолекция: фишинг и социальная инженерия как отмычки современных мошенников
Основным способом получения несанкционированного доступа к паролям, PIN-кодам, именам пользователя и прочей идентификационной информации человека является т.н. фишинг - рассылка сообщений, побуждающих человека совершить определенные действия, которые дадут мошенникам доступ к его счетам и учетным записям. При этом применяются методы социальной инженерии, чтобы отвлечь внимание и усыпить возможные подозрения жертвы.
"Привет! Хочешь получить бесплатную подарочную карту от PlayStation? Кликни на ссылку и выполни простые действия".
"Netflix предлагает три месяца бесплатного просмотра! Больше информации по ссылке".
"Твой аккаунт заблокирован и будет удален в течение суток, если ты не изменишь пароль. Его можно изменить по этой ссылке".
Так, стоп!
Может показаться, что сегодня у вас день приятных - или неприятных - сюрпризов: и подарочную карту хочется, и Netflix тоже, но и остаться без аккаунта не хочется. Остановитесь и спросите себя: "а почему эти сообщения отправили конкретно мне?".
Часто в случае таких свалившихся с неба предложений или выигрышей речь идет о фишинге (англ. phishing) - сборе данных. Ссылка, которая якобы отправит вас к подарочной карте или бесплатному просмотру, злонамеренно приведет к совсем другим результатам, нежели было обещано. Фишинг преследует одну цель: заполучить от вас обманом личные данные - логины, пароли, банковскую информацию. Ссылка может привести вас на страницу, где нужно будет ввести данные вашего аккаунта, например, имя пользователя и пароль Facebook или Google, либо адрес электронной почты. Вас же нужно опознать, иначе как вам передадут подарочную карту или другие бонусы?
В то же время, не все подобные сообщения несут радостные новости. Если уведомление имеет целью посеять панику или страх и заставить вас незамедлительно отреагировать, то мы тоже имеем дело с фишингом. Пример с блокировкой аккаунта - самый распространенный способ, с помощью которого мошенники получают логины, пароли и другие личные данные пользователей. Паника создается искусственно, чтобы отвлечь ваше внимание. Когда оно будет рассеяно, есть больше шансов, что вы не заметите ошибки и несоответствия в данных отправителя.
В наши дни фишинг - самый распространенный способ захватить личные данные и аккаунты пользователей, нанеся им вред. Захваченные данные и аккаунты можно затем перепродать или использовать их в мошеннических схемах. Классическая схема фишинга - отправка электронных писем, но технологии постоянно развиваются, и в ход идут телефонные звонки, SMS или сообщения в соцсетях. Обобщая, можно утверждать, что если с вами можно связаться по тому или иному каналу, то вас можно заманить в ловушку. Различные каналы коммуникации предоставляют мошенникам возможность расставить "удочку" и "поймать вас на крючок", но самое важное здесь - как именно устанавливается контакт с потенциальной жертвой. Ведь для успеха операции человека нужно сначала хорошенько "обработать".
Заманивание "пряником" (например, подарочная карта или супер-предложение от Netflix) и запугивание "кнутом" (возможная блокировка аккаунта) не случайно выбраны как действенный методы работы киберпреступников. Использование таких техник влияния в общении между людьми часто называется "социальной инженерией". Ее цель - заставить человека добровольно сделать то, чего он не сделал бы при других обстоятельствах: кликнуть по ссылке, ввести на фейковой странице свои личные данные или открыть присланное в письме приложение. Все эти сладкие речи или угрозы в сообщении там лишь для того, чтобы заставить человека быстрее среагировать, не обращая внимания на детали и не подключая критическое мышление.
Мошенники часто пытаются сделать свои схемы более убедительными, используя в них актуальные события, происходящие в стране или в мире. Весной и летом 2020 года появилась схема с бесплатной подпиской на Netflix. Поскольку люди из-за COVID-19 стали меньше бывать на улице, меньше перемещаться и чаще сидеть дома, такое лакомое предложение от популярнейшего стримингового сервиса - отличная приманка. В моменты пиков заболеваемости коронавирусом старались давить на сочувствие - просили сделать пожертвование несуществующим благотворительным организациям. Здоровый человек, понимая, что другим хуже и они страдают, больше открыт к сотрудничеству и добрым делам. Поэтому для опознания мошеннической схемы важно проследить за контекстом, используемым при создании таких сообщений. Всегда можно проверить достоверность сообщения, используя нейтральный источник. Введите в поисковое окно Google название этой благотворительной организации, чтобы узнать, существует ли она вообще. Или узнайте таким же образом, действительно ли Netflix раздает бесплатные подписки.
Если предложение кажется слишком хорошим, чтобы быть правдой, то мы имеем дело с обманом. Медиаграмотность тут очень помогает. Нам всем хорошо известно про бесплатный сыр, который бывает только в мышеловке. Если сообщение специально построено таким образом, чтобы вызвать шок или страх, то его цель - заставить моментально отреагировать, без проверок достоверности источника и попыток критически его осмыслить. Мошенники хотят, чтобы вы меньше думали и больше действовали.
Медиаграмотный человек всегда сделает паузу после получения сообщения, чтобы оценить обстоятельства, помогающие отличить потенциальную ловушку от настоящего общения:
- Фишинговые сообщения всегда требуют от нас следующего шага: заполнить поля для информации, войти в учетную запись, открыть присланное приложение;
- В таких сообщения часто много опечаток. Фишинг - международный черный бизнес, и занятые им мошенники используют машинный перевод, чтобы адаптировать сообщение под конкретную страну;
- В фишинговых письмах никогда нет личного обращения, только "Добрый день", "Уважаемый клиент" и т.п. То же самое касается и последней части писем - в них вы не найдете имени человека, который вам их отправил. Например, там может стоять подпись "Ваш ИТ-отдел";
- Самый надежный способ не попасться на удочку - игнорировать сомнительные предложения и предупреждения, полученные через SMS или соцсети. Если сообщение якобы отправлено человеком, которого вы лично знаете, всегда можно связаться с этим человеком другим доступным способом (по телефону, например) и поинтересоваться - он ли его отправил. Но самым надежным способом все же является полное игнорирование таких сообщений. Если вам нужно проверить достоверность полученного предложения, используйте Google или любой другой источник, не связанный с оригиналом сомнительного сообщения;
- Не кликайте по ссылкам и не открывайте присланные приложения, если вы не уверены в личности отправителя, или если вы вообще не ожидали никакого приложения. Заражение смарт-устройства или компьютера вредоносными программами происходит именно тогда, когда вы активируете или открываете присланное сомнительное приложение.
Задание
В завершение темы фишинга небольшое упражнение. Как вы поведете себя в следующих ситуациях?
- Вам приходит личное сообщение в мессенджер от неизвестного лица, который обещает вам, что пройдя по ссылке, вы попадете на сайт, где можно бесплатно смотреть фильмы.
- Вы получаете смс, в котором утверждается, что вам выписан штраф. К смс прилагается ссылка, пройдя по которой вы можете больше узнать о штрафе.
- Человек, которого вы лично знаете, отправляет вам по электронной почте письмо с приложением и просит вас ознакомиться с ним при первой возможности. Вам это письмо кажется по какой-то причине подозрительным.
ERR публикует информационные материалы о том, как лучше ориентироваться в современном перенасыщенном информационном пространстве и быстрее отличать проверенные факты от фейковых новостей, в рамках очередной недели медиаграмотности, которая проводится в Эстонии 26-30 октября.
Редактор: Андрей Крашевский