I følge statistikken til Russlands sentralbank mistet 317,7 tusen brukere i 2017 961 millioner rubler på Internett på grunn av handlingene til svindlere. Samtidig, i 97% av tilfellene, tok ikke svindelofre kontakt med rettshåndhevelsesbyråer. Og vi snakker om hendelser som ble rapportert til banken.
La oss se på de vanlige måtene angripere bruker for å stjele penger på sosiale nettverk. Og for at du ikke skal falle inn i nettverket av svindlere, vil vi gi råd om hvordan du kan beskytte deg mot nettkriminelle.
1. Kontohack
Å skaffe kontopåloggingsinformasjon lar svindlere få tak i konfidensiell informasjon og lure brukerens venner. For å gjøre dette bruker svindlere et helt arsenal av triks:
- infiserer en datamaskin eller mobil gadget med et virus;
- hacking databaser av andre nettsteder og matchende passord;
- brute force vanlige passord.
Virusinfeksjon oppstår oftest ved mottak av e-poster med vedlegg fraukjente mottakere eller nedlasting av filer fra gratis filhosting. Virus er rettet mot å skanne nettlesermapper for ukrypterte passord, samt overvåke hva brukeren skriver inn fra tastaturet. For eksempel er Android. BankBot.358.origin rettet mot Sberbank-klienter og stjeler påloggingsdata for en mobilapplikasjon. TrickBot-trojaneren søker også etter påloggingsdata for bankkontoer, samt kryptovalutautvekslinger. Fauxpersky keylogger forkledd seg som et produkt fra Kaspersky Lab og samler alt som brukeren skriver på tastaturet.
Informasjonen som samles inn av virus sendes til angripere. Vanligvis danner viruset en tekstfil og kobles til e-posttjenesten som er spesifisert i innstillingene. Deretter legger han ved filen til e-posten og sender den til adressen til svindlerne.
Brukere bruker samme passord for alle nettsteder (nettbutikker, sosiale nettverk, e-postservere), for ikke å huske på og ikke lagre unike passord for hver konto på datamaskiner. Misbrukere angriper mindre beskyttede nettsteder: kataloger, nettbutikker, fora. Et helt team av IT-fagfolk med ansvar for cybersikkerhet jobber på sosiale nettverk. Og nettbutikker og fora drives på CMS, der svindlere med jevne mellomrom finner sårbarheter for å stjele data.
Hackere kopierer brukerdatabasen, som vanligvis inneholder kallenavn, e-postadresser og påloggingspassord. På tross avat passord lagres i kryptert form, kan de dekrypteres, siden de fleste nettsteder bruker 128-biters MD5 hashing-algoritmen. Den dekrypteres ved hjelp av skrivebordsprogramvare eller nettjenester. For eksempel inneholder MD5 Decrypt-tjenesten en database med 6 milliarder dekrypterte ord. Etter dekryptering kontrolleres passord for muligheten for tilgang til e-posttjenester og sosiale nettverk. Ved å bruke e-post kan du gjenopprette passordet ditt på et sosi alt nettverk hvis du ikke kunne gjette det.
Password brute force blir mindre og mindre relevant for hvert år. Dens essens ligger i den metodiske verifiseringen av vanlige kombinasjoner av bokstaver og tall i passord for å gå inn på en sosial nettverkskonto. Svindlere bruker proxy-servere og VPN-er som skjuler datamaskinens IP-adresse slik at de ikke blir oppdaget av det sosiale nettverket. Imidlertid beskytter sosiale nettverk selv brukerne, for eksempel ved å introdusere captcha.
Slik beskytter du deg selv
For å bekjempe virus må du følge de grunnleggende reglene for datasikkerhet:
- ikke last ned filer fra ukjente kilder, da virus kan forkles for eksempel som en presentasjonsfil;
- ikke åpne vedlegg i e-poster fra ukjente avsendere;
- installer antivirus (Avast, NOD32, Kaspersky eller Dr. Web);
- sett tofaktorautentisering på nettsteder som har dette alternativet;
- når du får tilgang til tjenesten fra en annens enhet, merk av den tilsvarende boksen i autorisasjonsfeltet;
- ikke bruk nettleserens evne til å huske passord.
Bruker bør ikkebruke samme passord for sosiale nettverk, posttjenester, nettbutikker og bankkontoer. Du kan diversifisere passord ved å legge til tjenestebetegnelser på slutten. For eksempel er 12345mail egnet for post, 12345shop for shopping og 12345socialnet for sosiale nettverk.
2. Utpressing og utpressing
Angripere hacker seg bevisst inn på sosiale medier-kontoer for å få tak i konfidensielle data, og utpresser deretter offeret og presser penger. For eksempel når det gjelder intime bilder sendt til en partner.
Det er ikke noe kriminelt i selve bildene. Angripere utpresser brukeren ved å sende de mottatte bildene til slektninger og venner. Under kommunikasjon brukes psykologisk press og forsøk på å skape skyldfølelse i forventning om at offeret skal sende penger.
Selv om offeret sendte pengene, er det ingen garanti for at gjerningsmennene ikke vil bestemme seg for å "løse ut" bildene igjen eller bare legge ut bilder for moro skyld.
Slik beskytter du deg selv
Bruk tjenester som lar deg sende selvødeleggende eller krypterte meldinger til Telegram eller Snapchat. Eller avtal med partneren din om ikke å lagre bildene, men å slette dem umiddelbart etter visning.
Du bør ikke gå til e-post og sosiale nettverk fra andres enheter. Hvis du glemmer å forlate dem, er det en risiko for at korrespondansen din kommer i feil hender.
For de som liker å lagre konfidensiell data, anbefales det å kryptere mapper ved hjelp av spesiell programvare, for eksempel ved bruk av krypteringsteknologiFilsystem (EFS).
3. Premier, arv og gratis varer
Svindlere tilbyr å få en dyr vare gratis, forutsatt at du betaler for frakt til adressen din eller forsikring for frakt. Du kan komme over et lignende tilbud, for eksempel i "Gratis"-gruppen i byen din. Som en grunn kan de indikere et presserende trekk eller motta det samme som en gave. Ganske ofte brukes dyre ting som "agn": iPhone, iPad, Xbox og lignende. For å betale for fraktkostnader ber svindlere om et beløp som brukeren er komfortabel med - opptil 10 000 rubler.
Svindlere kan ikke bare tilby gratis varer, men også varer med en sterkt redusert prislapp, for eksempel iPhone X for 5000 rubler. Dermed ønsker de å stjele penger eller kortdata ved å bruke et falskt betalingsgatewayskjema. Svindlere skjuler kortbetalingssiden som en side i en populær betalingsgateway.
Angripere kan utgi seg for å være ansatte i en bank eller et notarbyrå, og be om hjelp til å ta ut penger fra en konto eller penger mottatt ved arv. For å gjøre dette, vil de bli bedt om å overføre et lite beløp for å opprette en brukskonto.
Du kan også sende en lenke til et phishing-nettsted for å kreve premien.
Slik beskytter du deg selv
Ikke tro på gratis ost. Bare ignorer slike forespørsler eller klag ved å bruke de innebygde sosiale medieverktøyene. For å gjøre dette, gå til kontosiden, klikk på knappen "Klag på brukeren" og skriv årsaken til klagen. Moderatortjenestesosi alt nettverk vil vurdere informasjonen.
Ikke klikk på ukjente lenker, spesielt hvis de er laget ved hjelp av goo.gl, bit.ly og andre lenkeforkortingstjenester. Du kan imidlertid dekryptere koblingen ved å bruke UnTinyURL-tjenesten.
La oss si at du mottok en melding på et sosi alt nettverk om et lønnsomt salg av en telefon eller et nettbrett. Ikke tro på flaks og betal umiddelbart for kjøpet. Hvis du har landet på en side med et betalingsgatewayskjema, kontroller nøye at domenet er korrekt og at PCI DSS-standarden er nevnt. Du kan sjekke riktigheten av betalingsskjemaet ved den tekniske støtten til betalingsgatewayen. For å gjøre dette, bare ta kontakt med henne på e-post. For eksempel, på nettsidene til betalingsleverandørene PayOnline og Fondy, er e-postadressene til kundestøttetjenestene oppført.
4. "Kast hundre"
Svindlere bruker en hacket side for å be offerets bekjente og venner om å overføre penger til kontoen. Nå sendes ikke bare forespørsler om overføringer ut, men også fotografier av bankkort, hvor navnet og etternavnet til eieren av den hackede kontoen er påført ved hjelp av en grafisk editor.
Som regel ber angripere om å få overføre penger raskt, da de er redde for å miste kontrollen over kontoen. Ofte inneholder forespørsler elementer av psykologisk press og en konstant påminnelse om at alt må gjøres snarest. Svindlere kan studere kommunikasjonshistorien på forhånd og til og med bruke adresser som bare er kjent for deg ved navn eller kallenavn.
Slik beskytter du deg selv
Ring en venn og spør direkte om de trenger penger. Så du forsikrer degsannheten til forespørselen, og du kan umiddelbart advare om hacking av siden.
Hvis du kjenner godt personen hvis konto ble hacket, vær oppmerksom på talemåten. Angriperen vil mest sannsynlig ikke ha tid til å kopiere kommunikasjonsstilen sin fullstendig og vil bruke talemåter som er uvanlige for ham.
Vær oppmerksom på bildet av et bankkort. Du kan beregne en forfalskning ved behandling av dårlig kvalitet i et grafisk redigeringsprogram: bokstaver vil "hoppe", initialer vil ikke være på samme linje med kortets gyldighetsdato, og noen ganger vil de til og med overlappe kortets gyldighet.
Overlev sosiale medier
Fra desember 2014 til desember 2016 økte antallet angrep på brukere som bruker sosial teknikk 11 ganger. 37,6 % av angrepene var rettet mot å stjele personopplysninger, inkludert bankkortinformasjon.
I følge forskning fra ZeroFOX sto Facebook for 41,2 % av angrepene, Google+ for 21,6 % og Twitter for 19,7 %. Det sosiale nettverket VKontakte var ikke inkludert i studien.
Eksperter identifiserer 7 populære sosiale medier-svindeltaktikker:
- Falsk sidebekreftelse. Svindlere på vegne av det sosiale nettverket tilbyr å få det ettertraktede merket for en "verifisert" side. Ofre får tilsendt adressen til en spesielt forberedt side for datatyveri.
- Spredning av en falsk lenke ved hjelp av målrettede annonser. Angripere lager en annonse for å tiltrekke brukere til sidene med lave priser og selger forfalskede varer.
- Imitasjon av kundeservice av kjente merkevarer. Angripere forkle seg som tekniske støttetjenester for store merker og mottar konfidensiell informasjon fra kundene sine.
- Bruker gamle kontoer. Angripere kan bruke gamle kontoer ved å endre innstillingene deres for å omgå kontroller for sosiale medier.
- Falske sider med nettbutikker og merker. Angripere forfalsker fellesskapssider i nettbutikker og leder brukere til phishing-sider for autorisasjon, stjeler påloggingsdata eller selger forfalskede varer.
- Falske kampanjer. For å delta i handlingen kan angripere be om en e-post eller et bilde angivelig for deltakelse, som senere kan brukes i ulovlige handlinger.
- Finansiell svindel. Angripere tilbyr høye inntekter i løpet av kort tid ved ganske enkelt å stjele penger fra godtroende brukere.
- Falske sider fra HR-bedrifter. Noen svindlere imiterer den offisielle stilen til store selskaper og krever betaling for å vurdere en jobbsøknad.
Det er bare én måte å beskytte deg mot sosial ingeniørkunst – kunnskap. Derfor må du lære reglene for datasikkerhet godt og ikke tro på for sjenerøse tilbud.