Сучасне шахрайство – яке воно?
Злочин проти власності стоять на першій сходинці серед усіх видів злочинів. Згідно зі статистикою шахрайство поширене як і серед звичайного населення, так і в бізнесі, у зв’язку з чим за кількістю заведених кримінальних проваджень стоять поруч з крадіжками і грабежами. Пов’язана така «популярність» з тим, що людина добровільно, без будь-яких зусиль і застосування сили, віддає гроші або персональні дані і навіть не підозрює, що в йдуть прямо в руки злочинців. Крім того, часто складно відрізнити шахрайство від цивільно-правових відносин.
Злодії, які займаються викраденням даних, зазвичай, отримують особисту інформацію, таку як паролі, номери ID, кредитних карток або номери соціального страхування, та використовують ці дані від імені жертви. Викрадена конфіденційна інформація може бути використана для різних незаконних цілей, зокрема для отримання кредитів, здійснення онлайн-покупок або для отримання доступу до медичних та фінансових відомостей жертви.
Більшість людей не знають, що багато інформації вже захищено за допомогою технології шифрування. Наприклад, онлайн-магазини та Інтернет-банкінг не працювали б без хорошого шифрування. Шифрування призначене для захисту коштів та особистої інформації. У корпоративному середовищі шифрування слід використовувати для захисту інтелектуальної власності та інноваційних розробок компанії, а також інших конфіденційних даних.
Шифрування — це процес кодування інформації з метою запобігання несанкціонованого доступу.
Крадіжки персональних даних тісно пов’язані з фішингом та іншими методами соціальної інженерії, які часто використовуються для отримання конфіденційних відомостей жертви. Публічні профілі в соціальних мережах або інших популярних онлайн-сервісах також можуть стати джерелом даних для зловмисників.
Після отримання потрібних фактів про жертву, зловмисники використовують її для замовлення товарів та доступу до онлайн-рахунків жертв. В свою чергу, жертви можуть зазнати фінансових втрат внаслідок несанкціонованого зняття коштів та покупок від їх імені.
Крім цього, жертви можуть бути притягнуті до кримінальної відповідальності за дії зловмисників.
Найпопулярніші методи соціальної інженерії, якими користуються шахраї
Фішинг (виловлювання персональних даних)
Фішинг – це один з різновидів шахрайства в інтернеті з метою отримання незаконного доступу до конфіденційних даних користувачів. Саме слово є омофоном англійського слова «Fishing» (рибалка), оскільки техніка використовує ту ж логіку «вилову».
Якщо ви отримували коли-небудь електронне повідомлення нібито з банку чи іншого популярного онлайн-сервісу, який вимагав «підтвердити» дані облікового запису, номер кредитної картки чи іншу конфіденційну інформацію, то ви знаєте, як виглядає фішинг-атака.
96% фішингових атак припадають на електронну пошту. Ще 3% здійснюються через шкідливі сайти і лише 1% — за телефоном. Дослідження Symantec показують, що в 2020 році з 4200 електронних листів хоча б один був фішинговим.
Ціль фішингу – отримання цінних даних, які можуть бути продані або використані для зловмисних цілей, таких як вимагання, викрадення грошей або особистих даних. Для цього користувачам пропонують якусь послугу або можливість, яка приваблює їх до таких дій. Наприклад, користувачам соціальної мережі Instagram пропонують дізнатися, хто заходив на їх особисту сторінку (хоча насправді такої можливості сама соціальна мережа не надає), а клієнтам інтернет-магазинів пропонують товар з божевільною знижкою.
Шахраї «вивуджують» дані користувачів під різними пристойними приводами: перевірка авторизації на сайті, необхідність «відписатися» від спаму в електронній пошті, оплата покупки за низькою ціною або з великою знижкою, необхідність встановити новий додаток.
Одна з перших великих, хоча і невдалих, спроб фішингової атаки була в 2001 році. Зловмисники, скориставшись хаосом від терористичних атак 9/11, розіслали потерпілим електронну розсилку нібито для перевірки посвідчення особи. Отримані дані використовувались для крадіжки банківських даних.
Відповідно до дослідження глобального фішингу APWG, у 2016 році спостерігалося понад 250 тисяч унікальних фішингових атак, під час яких використовувалось рекордне число доменних імен, зареєстрованих зловмисниками, перевищуючи позначку в 95 тисяч. В останні роки кіберзлочинці намагалися зосередитися на банківських та фінансових послугах, користувачах електронного банкінгу, соціальних мереж, а також облікових даних електронної пошти.
Вішинг (телефонне шахрайство)
Вішинг – вид шахрайства, при якому зловмисники за допомогою телефонного зв’язку змушують людину повідомити їм свої конфіденційні банківські або персональні дані або стимулюють до здійснення певних дій зі своїм банківським рахунком або банківською картою. Шахраї при цьому майстерно грають певну роль (як правило, співробітника банку, технічного фахівця, постачальника послуг, державну організацію, працівника ІТ-служби і т.д.) і використовують прийоми, методи і технології соціальної інженерії.
Найпопулярніші методи вішингу:
– маскування під технічну підтримку: телефонують нібито від імені провайдера жертви або відомого постачальника програмного чи апаратного забезпечення і стверджують, що виявили неіснуючу проблему з комп’ютером жертви, а потім вимагають оплати за її виправлення, іноді завантажуючи шкідливе програмне забезпечення в процесі;
– попередження: практика відправки автоматизованих повідомлень голосової пошти великій кількості жертв, з використанням тактики залякування. Наприклад, зловмисники стверджують, що у користувачів є неоплачені податкові рахунки або інші штрафи та вимагають негайно перетелефонувати;
– телемаркетинг: це дзвінок з повідомленням, що одержувач виграв цінний приз, однак перед отримання призу жертві нібито потрібно здійснити попередню оплату;
– відомий вже нам фішинг: шахрайство може починатися з фальшивого електронного листа або SMS, яке спонукає користувача зателефонувати за певним номером.
Випадок з Twitter, в ході якого шахраї виманювали у співробітників дані для входу, показує, що жертвами вішингу можуть стати навіть технічно підковані користувачі. У цьому випадку викрадена інформація використовувалася для доступу до облікових записів знаменитостей з метою розповсюдження афери з криптовалютою.
Смішинг (SMS-шахрайство)
Ще одним видом обману за допомогою сервісів зв’язку є смішинг (англ. smishing – sms+phishing). Ця злочинна схема спрямована на перехід користувачем за шкідливим посиланням з SMS-повідомлення.
Смішинг-повідомлення може мати вигляд повідомлення від відомого банку, знайомої компанії або бути просто сповіщенням про раптовий виграш у лотерею чи у велику акцію. У випадку з SMS виявити підступ дещо складніше, ніж під час фішингу, тому що повідомлення невеликі і мають менше інформації, крім самого посилання.
Найімовірніше, це буде пропозиція перейти за посиланням і ввести дані або ж просто зателефонувати чи надіслати зворотне повідомлення, що спричинить деякі витрати. Необхідно пам’ятати, що будь-які подібні оповіщення мають насторожувати. Не варто відповідати на них, слід ще раз перевірити інформацію за допомогою дзвінка на гарячу лінію справжнього сервісу.
Зазвичай фішингові атаки не асоціюються з SMS, хоча насправді зловмисникам набагато простіше отримати телефонний номер, ніж адресу електронної пошти. Тому, що у телефонних номерів існує кінцеве число варіантів, тоді як адреса електронної пошти може бути будь-якої (розумної) довжини. Крім того, адреса електронної пошти складається з букв, цифр і деяких допустимих символів (наприклад, #, ! і %). Тому набагато простіше випадково підібрати потрібні 10 цифр телефонного номеру, щоб атакувати жертву, ніж обчислити адресу електронної пошти.
Шахраї можуть просто розсилати свої повідомлення, використовуючи різні комбінації з потрібної кількості цифр. Вони можуть без проблем перебирати всі комбінації цифр. Згідно зі звітами дослідницької компанії Gartner, люди читають 98% отриманих текстових повідомлень і відповідають на 45%. У той час як – згідно з Gartner – на електронні листи відповідають лише 6%.
Бейтінг (шахрайство через зовнішні носії)
Бейтінг – це техніка соціальної інженерії (метод маніпуляції діями людини), яку використовують зловмисники при якій жертві підкидають що-небудь, щоб вона почала діяти.
Цей метод соціальної інженерії використовує свого роду «приманки», щоб схилити потенційних жертв до використання шкідливих продуктів. Зазвичай шахраї використовують для цього сайти або посилання, пропонуючи отримати будь-яку річ безоплатно (наприклад, фільм, книгу, пісню або інший цифровий файл). Хакер може попросити вас створити акаунт або відразу завантажити файл, який автоматично встановлює на комп’ютер шкідливу програму.
Бейтінг може набувати і матеріальної форми: наприклад, шахраї можуть залишити USB-накопичувач із написом «План звільнення Q1» або жорсткий диск зі шкідливим програмним забезпеченням у громадському місці і почекати, поки хто-небудь цікавий не забере їх і не спробує з’ясувати, що на них знаходиться. Щойно людина підключить флешку або диск до комп’ютера, хакерська програма активується автоматично і завантажить шкідливий файл на комп’ютер жертви, що дає змогу злочинцю заволодіти мережею.
Як же захистити себе від шахраїв?
- обережно ставтеся до посилань і вкладень у листах
- встановіть надійні антивірусні програми
- використовуйте надійні рішення безпеки для своїх акаунтів
- остерігайтеся привабливих пропозицій
- вивчайте інформацію про прийоми соціальної інженерії
Громадяни України мають право звернутися зі скаргою у разі порушення їхніх прав до Омбудсмена – уповноваженого Верховної Ради України з прав людини.
Скарга – звернення з вимогою про поновлення прав і захист законних інтересів громадян, порушених діями (бездіяльністю), рішеннями державних органів, органів місцевого самоврядування, підприємств, установ, організацій, об’єднань громадян, посадових осіб.
Уповноважений приймає та розглядає звернення не тільки громадян України, але й іноземців, осіб без громадянства або осіб, які діють в їхніх інтересах, відповідно до Закону України “Про звернення громадян”.
Звернення подаються Уповноваженому в письмовій формі протягом року після виявлення порушення прав і свобод людини і громадянина.
Порядок звернення до Омбудсмена
Звернення надсилайте електронну пошту: hotline@ombudsman.gov.ua.
У зверненні має бути зазначено прізвище, ім`я, по батькові, місце проживання громадянина, викладено суть порушеного питання, зауваження, пропозиції, заяви чи скарги, прохання чи вимоги. Письмове звернення повинно бути підписано заявником (заявниками) із зазначенням дати. В електронному зверненні також має бути зазначено електронну поштову адресу, на яку заявнику може бути надіслано відповідь, або відомості про інші засоби зв’язку з ним.
Звернення, оформлене без дотримання зазначених вимог, повертається заявнику з відповідними роз’ясненнями не пізніш як через десять днів від дня його надходження, крім випадків, передбачених частиною першою статті 7 Закону України “Про звернення громадян”
Отримати бланк заяви можна:
- в громадській приймальні Уповноваженого;
- в регіональних громадських приймальнях Уповноваженого;
- завантажити за посиланням.
Скринька або пошта:
- через скриньку за адресою: вул. Інститутська, 21/8, м. Київ;
- через регіональні громадські приймальні Уповноваженого;
- поштою на адресу Секретаріату Уповноваженого Верховної Ради України з прав людини: вул. Інститутська, 21/8, м. Київ 01008
Гаряча лінія секретаріату Уповноваженого
0-800-501-720 та до Секретаріату Уповноваженого ВРУ з прав людини 044-299-74-08.
Більше інформації та графік прийому громадян можна дізнатися на сайті: https://ombudsman.gov.ua/
інтелектуальна власність / авторське право / бейтінг / вішинг / кібершахрайство / смішинг / фішинг
