Современное мошенничество – какое оно?
Преступление против собственности стоит на первой строчке среди всех видов преступлений. Согласно статистике мошенничество распространено как среди обычного населения, так и в бизнесе, в связи с чем по количеству заведенных уголовных производств стоят рядом с кражами и грабежами. Связана такая «популярность» с тем, что человек добровольно, без всяких усилий и применения силы, отдает деньги или персональные данные и даже не подозревает, что уходят прямо в руки преступников. Кроме того, часто сложно отличить мошенничество от гражданско-правовых отношений.
Воры, занимающиеся похищением данных, обычно получают личную информацию, такую как пароли, номера ID, кредитных карт или номера социального страхования, и используют эти данные от имени жертвы. Похищенная конфиденциальная информация может быть использована для различных незаконных целей, в частности для получения кредитов, осуществления онлайн-покупок или для получения доступа к медицинским и финансовым сведениям жертвы.
Большинство людей не знают, что много информации уже защищено с помощью технологии шифрования. К примеру, онлайн-магазины и Интернет-банкинг не работали бы без хорошего шифрования. Шифрование предназначено для защиты денежных средств и личной информации. В корпоративной среде шифрования следует использовать для защиты интеллектуальной собственности и инновационных разработок компании, а также других конфиденциальных данных.
Шифрование — это процесс кодирования информации с целью предотвращения несанкционированного доступа.
Воровство персональных данных тесно связано с фишингом и другими методами социальной инженерии, которые часто используются для получения конфиденциальных сведений жертвы. Публичные профили в социальных сетях или других популярных онлайн-сервисах могут стать источником данных для злоумышленников.
После получения нужных фактов о жертве злоумышленники используют ее для заказа товаров и доступа к онлайн-счетам жертв. В свою очередь, жертвы могут понести финансовые потери вследствие несанкционированного снятия средств и покупок от их имени.
Кроме того, жертвы могут быть привлечены к уголовной ответственности за действия злоумышленников.
Самые популярные методы социальной инженерии, которыми пользуются мошенники
Фишинг (вылов персональных данных)
Фишинг – это одна из разновидностей мошенничества в интернете с целью получения незаконного доступа к конфиденциальным данным пользователей. Само слово является омофоном английского слова «Fishing» (рыболов), поскольку техника использует ту же логику «виловую».
Если вы получали когда-либо электронное сообщение якобы из банка или другого популярного онлайн-сервиса, требовавшего «подтвердить» данные аккаунта, номер кредитной карты или другую конфиденциальную информацию, то вы знаете, как выглядит фишинг-атака.
96% фишинговых атак приходится на электронную почту. Еще 3% осуществляются через вредоносные сайты и только 1% — по телефону. Исследования Symantec показывают, что в 2020 году из 4200 электронных писем хотя бы один был фишинговым.
Цель фишинга – получение ценных данных, которые могут быть проданы или использованы для злонамеренных целей, таких как вымогательство, похищение денег или личных данных. Для этого пользователям предлагают какую-либо услугу или возможность, привлекающую их к таким действиям. Например, пользователям социальной сети Instagram предлагают узнать, кто заходил на их личную страницу (хотя на самом деле такую возможность сама социальная сеть не предоставляет), а клиентам интернет-магазинов предлагают товар с сумасшедшей скидкой.
Мошенники «выуживают» данные пользователей под разными приличными поводами: проверка авторизации на сайте, необходимость «отписаться» от спама в электронной почте, оплата покупки по низкой цене или с большой скидкой, необходимость установить новое приложение.
Одна из первых больших, хотя и неудачных попыток фишинговой атаки была в 2001 году. Злоумышленники, воспользовавшись хаосом от террористических атак 9/11, разослали потерпевшим электронную рассылку якобы для проверки удостоверения личности. Полученные данные использовались для кражи банковских данных.
Согласно исследованию глобального фишинга APWG, в 2016 году наблюдалось более 250 тысяч уникальных фишинговых атак, во время которых использовалось рекордное число доменных имен, зарегистрированных злоумышленниками, превышая отметку в 95 тысяч. В последние годы киберпреступники пытались сосредоточиться на банковских и финансовых услугах, пользователях электронного банкинга, социальных сетей и учетных данных электронной почты.
Вишинг (телефонное мошенничество)
Вишинг – вид мошенничества, при котором злоумышленники с помощью телефонной связи заставляют человека сообщить им свои конфиденциальные банковские или персональные данные или стимулируют к совершению определенных действий со своим банковским счетом или банковской картой. Мошенники при этом мастерски играют определенную роль (как правило, сотрудника банка, технического специалиста, поставщика услуг, государственную организацию, работника ИТ-службы и т.д.) и используют приемы, методы и технологии социальной инженерии.
Самые популярные методы вишинга:
— маскировку под техническую поддержку: якобы звонят от имени провайдера жертвы или известного поставщика программного или аппаратного обеспечения и утверждают, что обнаружили несуществующую проблему с компьютером жертвы, а затем требуют оплаты за ее исправление, иногда загружая вредоносное программное обеспечение в процессе;
— предупреждение: практика отправки автоматизированных сообщений голосовой почты большому количеству жертв с использованием тактики устрашения. Например, злоумышленники утверждают, что у пользователей есть неоплаченные налоговые счета или другие штрафы и требуют немедленного перезвона;
— телемаркетинг: это звонок с уведомлением, что получатель выиграл ценный приз, однако перед получением приза жертве якобы нужно произвести предварительную оплату;
— известен уже нам фишинг: мошенничество может начинаться с фальшивого электронного письма или SMS, которое побуждает пользователя позвонить по определенному номеру.
Случай из Twitter, в ходе которого мошенники выманивали у сотрудников данные для входа, показывает, что жертвами вишинга могут стать даже технически подкованные пользователи. В этом случае похищенная информация использовалась для доступа к аккаунтам знаменитостей с целью распространения аферы с криптовалютой.
Смишинг (SMS-мошенничество)
Еще одним видом обмана с помощью сервисов связи является смишинг (англ. smishing – sms+phishing). Эта преступная схема направлена на переход пользователем по вредоносной ссылке из SMS-сообщения.
Смишинг-сообщение может иметь вид сообщения от известного банка, знакомой компании или быть просто уведомлением о внезапном выигрыше в лотерею или в крупную акцию. В случае с SMS обнаружить подвох несколько сложнее, чем во время фишинга, потому что сообщения невелики и имеют меньше информации, кроме самой ссылки.
Скорее всего, это будет предложение перейти по ссылке и ввести данные или просто позвонить или отправить обратное сообщение, что повлечет за собой некоторые расходы. Необходимо помнить, что любые подобные оповещения должны быть насторожены. Не стоит отвечать на них, следует еще раз проверить информацию с помощью звонка на горячую линию подлинного сервиса.
Обычно фишинговые атаки не ассоциируются с SMS, хотя на самом деле злоумышленникам гораздо проще получить телефонный номер, чем адрес электронной почты. Потому что у телефонных номеров существует конечное число вариантов, тогда как адрес электронной почты может быть любой (умной) длины. Кроме того, адрес электронной почты состоит из букв, цифр и некоторых допустимых символов (например, #, ! и %). Поэтому гораздо проще случайно подобрать нужные 10 цифр телефонного номера, чтобы атаковать жертву, чем вычислить адрес электронной почты.
Мошенники могут просто рассылать свои сообщения, используя разные комбинации из нужного количества цифр. Они могут без проблем перебирать все комбинации цифр. Согласно отчетам исследовательской компании Gartner люди читают 98% полученных текстовых сообщений и отвечают на 45%. В то время как – согласно Gartner – на электронные письма соответствуют лишь 6%.
Бейтинг (мошенничество через внешние носители)
Бейтинг – это техника социальной инженерии (метод манипуляции действиями человека), которую используют злоумышленники, при которой жертве подбрасывают что-нибудь, чтобы она начала действовать.
Этот метод социальной инженерии использует своего рода приманки, чтобы склонить потенциальных жертв к использованию вредных продуктов. Обычно мошенники используют для этого сайты или ссылки, предлагая получить любую вещь бесплатно (например, фильм, книгу, песню или другой цифровой файл). Хакер может попросить вас создать аккаунт или сразу загрузить файл, автоматически устанавливающий на компьютер вредоносное приложение.
Бейтинг может принимать и материальную форму: например, мошенники могут оставить USB-накопитель с надписью «План увольнения Q1» или жесткий диск с вредоносным программным обеспечением в общественном месте и подождать, пока кто-нибудь интересный не заберет их и не попытается выяснить, что на них находится. Как только человек подключит флешку или диск к компьютеру, программа хакера активируется автоматически и загрузит вредоносный файл на компьютер жертвы, что позволяет преступнику завладеть сетью.
Как же защитить себя от мошенников?
- осторожно относитесь к ссылкам и вложениям в письмах
- установите надежные антивирусные программы
- используйте надежные решения безопасности для своих аккаунтов
- остерегайтесь привлекательных предложений
- изучайте информацию о приемах социальной инженерии
Граждане Украины имеют право обратиться с жалобой в случае нарушения их прав к Омбудсмену – уполномоченному Верховной Радой Украины по правам человека.
Жалоба – обращение с требованием о возобновлении прав и защите законных интересов граждан, нарушенных действиями (бездействием), решениями государственных органов, органов местного самоуправления, предприятий, учреждений, организаций, объединений граждан, должностных лиц.
Уполномоченный принимает и рассматривает обращения не только граждан Украины, но и иностранцев, лиц без гражданства или лиц, действующих в их интересах согласно Закона Украины «Об обращениях граждан».
Обращения представляются Уполномоченному в письменной форме в течение года после выявления нарушения прав и свобод человека и гражданина.
Порядок обращения к Омбудсмену
Обращение отправляйте по электронной почте: hotline@ombudsman.gov.ua.
В обращении должна быть указана фамилия, имя, отчество, место жительства гражданина, изложена суть поднятого вопроса, замечания, предложения, заявления или жалобы, просьбы или требования. Письменное обращение должно быть подписано заявителем (заявителями) с указанием даты. В электронном обращении также должен быть указан электронный почтовый адрес, на который заявителю может быть направлен ответ, или сведения о других средствах связи с ним.
Обращение, оформленное без соблюдения указанных требований, возвращается заявителю с соответствующими разъяснениями не позднее чем через десять дней со дня его поступления, кроме случаев, предусмотренных частью первой статьи 7 Закона «Об обращении граждан».
Получить бланк заявления можно:
— в общественной приемной Уполномоченного;
— в региональных общественных приемных Уполномоченного;
— скачать по ссылке
Ящик или почта:
— через ящик по адресу: ул. Институтская, 21/8, г. Киев;
— через региональные общественные приемные Уполномоченного;
— по почте в адрес Секретариата Уполномоченного Верховной Рады Украины по правам человека: ул. Институтская, 21/8, г. Киев 01008
Горячая линия Секретариата Уполномоченного
0-800-501-720 и в Секретариат Уполномоченного ВРУ по правам человека 044-299-74-08.
Больше информации и график приема граждан можно узнать на сайте: https://ombudsman.gov.ua/
