Не вір нікому. Що таке соціальна інженерія та як не стати її жертвою

З розвитком мобільного зв’язку, одним з найпопулярніших методів шахрайства стала соціальна інженерія. Її жертвами можуть бути як діти, так і дорослі. Але, дотримуючись декількох простих правил, можна захиститися від такого типу крадіжки ваших даних і коштів. Розповідаємо, які види соціальної інженерії, і що робити, щоб не постраждати від них.

У спільному проекті Київстар і НВ ми розповідаємо, як користувачам захиститися від телефонних шахраїв і запобігти крадіжкам особистих даних/коштів за допомогою простих правил. Як соціально-відповідальний оператор, компанія Київстар турбується про своїх абонентів і намагається захистити їх від усіх видів онлайн шахрайства, надаючи інформаційну підтримку 24/7. Інформацію про всі акції, які проводить компанія, можна знайти на офіційному сайті оператора або звернувшись у службу підтримки через соціальні мережі або зателефонувавши 0 800 300 466.

За даними Української асоціації міжбанківських платіжних систем, у 2019 році шахраям вдалося викрасти з банківських карток користувачів всередині країни понад 360 млн грн. До того ж найпопулярнішим методом крадіжки виявилася соціальна інженерія.

Соціальною інженерією (далі — СІ) називають психологічні маніпуляції людиною, за допомогою яких можна отримати доступ до конфіденційної інформації про жертву. Здебільшого ця інформація використовується для крадіжки грошей у користувача безпосередньо або виманювання їх під різними приводами.

Сьогодні більшість сервісів мають можливість провести двофакторну аутентифікацію, — підтвердження будь-якої дії через мобільний телефон користувача. Саме тому доступ до чужого телефону став головною метою для шахраїв.

«Кібершахрайство — проблема не лише України, але й усіх країн світу, де використовуються інтернет-технології. Потрапити на вудочку шахрая можуть як абоненти будь-якого мобільного оператора, так і всі без винятку користувачі інтернет-ресурсів», — пояснює директор з кібербезпеки компанії Київстар Юрій Прокопенко.

Крім підтвердження входу в банківський обліковий запис, зловмисники використовують СІ для маніпуляції людьми через мобільний телефон, шантажу і, зрештою, виманювання грошей. З огляду на кількість «злитих» баз даних, які зараз існують у мережі, шахраї можуть ввести в оману навіть найменш довірливих користувачів. Важливо також відзначити, що великі компанії зазвичай інвестують кошти в надійні системи захисту даних своїх користувачів, а невеликі компанії просто можуть не мати цих коштів.

У зв’язку з цим, розповідаємо, які найпопулярніші методи СІ існують і що робити, щоб не стати їх жертвою.

 

«Авто в подарунок» і «родичі в поліції»

Більшість користувачів мобільних телефонів вже звикли до SMS-повідомлень про виграш автомобілів, після яких потрібно перейти за вказаним URL, передати свої дані або надіслати у відповідь SMS. Однак, останнім часом, шахраї вдаються до все більш витончених способів маніпуляції, які можна розділити на кілька категорій.

1. Абсолютним рекордсменом за своєю масовістю та кількістю вдалих атак залишається розсилка спам-повідомлень зі шкідливими посиланнями, файлами або просто «привабливими» пропозиціями — фішинг. Сюди можуть входити SMS-повідомлення про виграш чого-небудь (телефон, ноутбук, авто, квартира), пропозиції взяти участь у лотереях, посилання на підроблені сайти нібито вашого банку з проханням змінити пароль тощо.

Найчастіше фішинг-SMS надсилають від імені легальних організацій, з ідентичною назвою та стилістикою. Тому в низці схожих повідомлень користувачі можуть просто не помітити різниці й автоматично надати дані про себе або свій банківський обліковий запис.

2. Не найпоширенішим, але доволі ефективним методом також є «офіційні дзвінки» від банків чи інших сервісів — вішинг. Зловмисники використовують попередньо записані голосові повідомлення, які відтворюють «офіційний дзвінок» і виманюють у абонентів потрібну їм інформацію. Користувач при цьому може навіть не зрозуміти, хто з ним говорив і, найголовніше, з якою метою.

У більш широкому розумінні, вішингом називають живі дзвінки від зловмисників, які можуть представлятися співробітниками будь-якої офіційної організації. В такому разі аферисти будуть досить переконливо випитувати дані банківської картки, код з останнього SMS або просто вашу персональну інформацію.

3. Повідомлення про блокування/злом банківської карти або акаунта — смішинг. Після повідомлення вам пропонують перейти на підроблений сайт і вказати особисті дані для вирішення цієї проблеми. Як правило, під час таких атак шахраї сподіваються, що користувачі запанікують, не зможуть прийняти правильне рішення і не перевірять всю інформацію за допомогою свого мобільного оператора, постачальника банківських послуг і т. д.

4. Телефонна «імпровізація». Зловмисники можуть видавати себе за співробітників правоохоронних органів, провідних радіостанцій або безпосередньо вимагати гроші, шантажуючи отриманою персональною інформацією про вас і ваших близьких. Часто такі дзвінки здійснюють пізно вночі, що дезорієнтує користувача і змушує необдумано виконувати всі умови під приводом небезпеки для своїх близьких.

Як показує статистика, з мільйонів фішингових повідомлень і фейковий дзвінків достатня кількість спрацьовує і приносить шахраям гроші, що дозволяє їм продовжувати займатися цим і вигадувати нові методи впливу на користувачів.

У такій схемі шахраї можуть представлятися вашими знайомими, про яких вони дізналися, швидко розповідати про те, що сталося, і передавати трубку нібито співробітникам поліції. Останні вимагають перевести «хабар» на картку. Найменш винахідливі вимагачі можуть обмежуватися короткими повідомленнями від імені ваших знайомих з проханням надіслати їм грошей.

В окремих випадках телефонні зловмисники пропонують різні послуги, наприклад, — отримання доступу до особистого листування іншої людини або історії дзвінків абонента за певну винагороду. На перший погляд, такий очевидний обман легко розпізнати, але, як показує статистика, з мільйонів фішингових повідомлень і фейкових дзвінків достатня кількість спрацьовує і приносить шахраям гроші, що дозволяє їм продовжувати займатися цим і вигадувати нові методи впливу на користувачів.

 

 

Як розпізнати шахрая та захиститися?

Як не дивно, захиститися від подібних методів шахрайства досить просто. Насамперед у Київстар рекомендують ретельно перевіряти інформацію, особливо якщо це обіцянка вигоди з незнайомих джерел чи номерів. На офіційному сайті оператора завжди буде інформація про акцію чи розіграші, тож варто як мінімум звіритись з сайтом. Або ж зателефонувати до довідкової служби, в Київстар це номер 0 800 300 466 або 466 з мобільного. Розглянемо декілька найпростіших та найефективніших заходів безпеки, які можуть захистити вас від соціальної інженерії.

  • У випадку з фішинговими SMS-повідомленнями достатньо перевірити точність посилання, на яке вам пропонують перейти. Незважаючи на схожість з веб-адресою вашого банку або будь-якого іншого сервісу, «бите» посилання матиме кілька неправильних символів або букв.
  • Якщо ж вас повідомляють про перемогу в будь-якій акції або лотереї — не полінуйтеся дізнатися у свого мобільного оператора про існування такої акції та уточнити її деталі.
  • Коли йдеться про блокування або викрадення грошей з картки — краще перевірити це самостійно за допомогою мобільного додатку або звернутися по допомогу до співробітників банку.
  • Щодо дзвінків і SMS від нібито ваших знайомих або друзів — найпростіше зв’язатися з ними у відповідь і уточнити, чи дійсно потрібна ваша допомога, або ж просто поставити запитання, відповідь на яке знає лише ця людина. Якщо до вас на зв’язок вийшов «співробітник поліції» — треба запитати у нього відділ, в якому перебувають «друзі», причину, з якої вони туди потрапили, і перевірити цю інформацію у реальній поліції та реальних друзів. У більшості випадків такі питання спантеличують телефонних шахраїв, і вони припиняють розмову.
  • Крім того, не поспішайте відправляти передоплату за будь-якої акційний товар або послугу за сумнівним номером, — найчастіше привабливі пропозиції виявляються шахрайськими, а у будь-якого якісного онлайн-магазину є офіційні банківські реквізити та різні методи оплати.

 

У жодному разі не повідомляйте незнайомим особам по телефону такі дані: реквізити банківської картки; персональну інформацію, враховуючи ПІБ, дату народження, місце проживання; останні SMS-коди, які прийшли на телефон прямо перед дзвінком; реквізити входу в банківський обліковий запис або особистий кабінет мобільного оператора; номери телефонів, email-адреси та особисті дані, до яких прив’язані акаунти банківських сервісів, соцмереж і т. і.

Аби вберегти свій мобільний номер, що прив’язний до інтернет-банкінгу, перейдіть на контракт або зареєструйте свій номер на паспорт.

Для захисту основного номера, до якого, як правило, прив’язані банківські сервіси, абоненти Київстар можуть зареєструвати послугу додаткового номера. Зробити це у декілька кліків можна за цим посиланням. Додатковий номер можна використовувати для реєстрації у соцмережах, на торгових платформах і інших онлайн-сервісах, де існують ризики шахрайства.

«Київстар піклується не лише про безпеку для своїх абонентів, а про безпеку телеком інфраструктури України в цілому. З цією метою компанія підписала Меморандум про співпрацю з Кіберполіцією України та Ситуаційним центром забезпечення кібербезпеки. У рамках співпраці сторони обмінюються досвідом та власними напрацюваннями в питаннях кібербезпеки, також реалізують практичні заходи, які допомагають забезпечувати кращий захист інформаційних систем в Україні», — пояснює директор з кібербезпеки Київстар, Юрій Прокопенко.

 

Що робити, якщо ви стали жертвою шахрайства?

Телефонне шахрайство, незаконне отримання доступу до персональної інформації, так само як і викрадення особистих коштів, є підставою для звернення до правоохоронних органів. Причому чим швидше ви повідомите в поліцію — тим краще буде для вас. Якщо на рахунку зловмисника знайдуть гроші потерпілого — злочин буде простіше довести, а рахунок шахраїв — своєчасно заблокувати.

Пам’ятайте, що представники офіційних сервісів ніколи не попросять у вас повідомити їм будь-які персональні дані або одноразовий код з SMS.

Якщо ж ви помилково передали дані зловмисникам і вони отримали доступ до вашого банківського рахунку — зверніться до співробітників банку, який вас обслуговує та спробуйте заблокувати картку.

Після введення перевірочного SMS-коду, шахраї можуть скористатись іншим номером телефону для двофакторної аутентифікації, тому не намагайтеся повторно вводити пароль і витрачати час на отримання доступу до акаунту самостійно.

У багатьох сервісах і налаштуваннях смартфонів є функції відстеження активності та можливість повідомити про втрату доступу до акаунту. Не нехтуйте подібними функціями і не соромтеся звертатись до своїх операторів мобільного зв’язку по консультацію.

Пам’ятайте, що представники офіційних сервісів ніколи не попросять у вас повідомити їм будь-які персональні дані або одноразовий код з SMS, а інформація про акції завжди є на сайті відповідальної компанії.

І, найголовніше, пам’ятайте, що карантин по всьому світу, зокрема і в Україні, став причиною нової хвилі активності телефонних шахраїв, тому вимоги до особистої безпеки зараз як ніколи високі.

Популярні статті

  • Антифрод
  • Ваша безпека

Обережно — телефонні шахраї! Частина перша
  • Безпека дітей

Топ-10 порад із кібербезпеки для дітей
  • Ваша безпека
  • Антифрод

Як зловмисники вгадують ваші паролі та що з цим робити
  • Продукти

Захистіть свій ґаджет із додатком Star Guard my
button-pre
button-next