Тыдзень фінансавай пісьменнасці. Бяспека вашых фінансаў.
Многія спецыялісты па інфармацыйнай бяспецы кажуць: як ні абараняй праграмы і сістэмы, усё ж ёсць адно слабае звяно - гэта сам карыстальнік. Людзі часта аказваюцца вельмі даверлівымі і самі выдаюць махлярам канфідэнцыйную інфармацыю. З дапамогай спецыяльных практык махлярам здабыць неабходную інфармацыю нашмат прасцей, чым атрымаць яе шляхам узлому сістэмы бяспекі. Гэтым яны і карыстаюцца.
Адзін з метадаў махляроў - гэта сацыяльная інжынерыя, спосаб атрымання канфідэнцыйнай інфармацыі пры дапамозе псіхалагічнага ўздзеяння на чалавека з мэтай атрымання выгады.
Галоўны спосаб абароны ад махляроў, якія выкарыстоўваюць метады сацыяльнай інжынерыі, - гэта праява пільнасці і асцярожнасці. Метадаў махлярства, якія выкарыстоўваюць сацыяльную інжынерыю, мноства. Самыя распаўсюджаныя для нашай краіны - фішынг, вішынг, узлом сацыяльных сетак.
Фішынг - від махлярства, сутнасць якога - завалоданне лагінамі і паролямі ад важных сайтаў, акаўнтаў, рахункаў у банку і іншай канфідэнцыйнай інфармацыяй праз рассылку лістоў са спасылкамі на махлярскі сайт, знешне вельмі падобны да сапраўднага. Пасля таго, як карыстальнік трапляе на падробленую старонку, махляры спрабуюць разнастайнымі псіхалагічнымі прыёмамі пераканаць яго ўвесці на падробленай старонцы свае лагін, паролі і аднаразовы код, што дазваляе махлярам атрымаць доступ да акаўнтаў і банкаўскіх рахункаў.
Вішынг - метад, які заключаецца ў тым, што зламыснікі, выкарыстоўваючы тэлефонную камунікацыю і іграючы пэўную ролю (супрацоўніка банка, пакупніка і г.д.), пад рознымі маркамі выманьваюць у трымальніка плацежнай карткі канфідэнцыйную інфармацыю або стымулююць яго да выканання нейкіх дзеянняў са сваім рахункам або банкаўскай плацежнай карткай.
Фармінг - пры фармінгу на персанальны камп'ютар ахвяры ўсталёўваецца шкодная праграма, якая змяняе інфармацыю па ІР-адрасах, у выніку чаго падмануты карыстальнік перанакіроўваецца на падроблены сайт без яго ведама і згоды.
Узлом сацыяльных сетак - узломваецца старонка карыстальніка, і ад яго імя ідуць паведамленні яго сябрам, найчасцей з просьбай "скінь грошай на картку".
СМС-атакі - махляр стварае фэйкавы акаўнт у сацыяльных сетках або рэгіструецца, да прыкладу, у Viber, з сім-карты, аформленай не на яго. Далей высылае розныя паведамленні і аб'явы. Напрыклад, "Дапамажыце на лячэнне дзіцяці", размяшчаючы фота і рэквізіты. Калі гэта сапраўды рэальны чалавек, то рэквізіты лёгка правяраюцца. Але, на жаль, людзе не часта правяраюць такую інфармацыю.
Дарожны яблык - гэты метад заключаецца ў выкарыстанні фізічных носьбітаў (CD, флэш-накапляльнікаў). Зламыснік падкідвае такі носьбіт, на якім насамрэч утрымліваецца шкодная праграма, у агульнадаступных месцах на тэрыторыі кампаніі (паркоўкі, сталовыя, працоўныя месцы супрацоўнікаў). Той, хто знайшоў такі носьбіт, з цікаўнасці адкрывае яго на працоўным камп'ютары, тым самым "заражаючы" ўсю сетку арганізацыі.
Кві пра кво (у англійскай мове гэты выраз звычайна выкарыстоўваецца ў значэнні "паслуга за паслугу") - зламыснік прадстаўляецца, напрыклад, супрацоўнікам тэхнічнай падтрымкі і інфармуе пра ўзнікненне нейкіх праблем на працоўным месцы. Далей ён паведамляе пра неабходнасць іх ліквідацыі. У працэсе "рашэння" такой праблемы зламыснік падштурхоўвае чалавека на ажыццяўленне дзеянняў, якія дазваляюць нападніку выканаць пэўныя каманды і ўсталяваць неабходнае шкоднае праграмнае забеспячэнне.
Давайце разгледзім самыя частыя хітрыкі, якімі карыстаюцца кібер-махляры, каб дасягнуць жаданага і атрымаць чужыя грошы.
Сёння многія з нас карыстаюцца папулярнымі пляцоўкамі для продажу або набыцця тавару як у крам, так і ў прыватных асоб. Безумоўна, буйным інтэрнэт-пляцоўкам, здавалася б, няма сэнсу не давяраць. Але і тут нас могуць чакаць падводныя камяні.
Схема "разводкі" прадаўцоў:
Злачынец знаходзіць прадаўца на пляцоўцы аб'яў, капіруе яго кантактныя дадзеныя, але на пляцоўцы не піша, бо яго могуць заблакіраваць. Шукае нумар прадаўца ў мэсэнджарах, прадстаўляецца нібыта пакупніком з інтэрнэт-пляцоўкі, на якой размешчаны тавар, кажа, што гатовы набыць тавар па перадаплаце. Пасля дасылае прадаўцу спасылку на падробленую старонку перадаплаты, дзе прадаўцу трэба ўвесці нумар сваёй банкаўскай плацежнай карткі для таго, каб атрымаць грошы ад пакупніка. Натуральна, ніякіх грошай прадавец не атрымае: як толькі ён увядзе свае персанальныя дадзеныя, злачынец атрымае доступ да яго рахунку.
Схема "разводкі" пакупнікоў:
Злачынец выстаўляе тавар з вельмі выгадным коштам. Калі патэнцыйны пакупнік піша яму, зламыснік пад любой маркай прапануе яму перайсці ў мэсэнджар. Кажа, што ў мэсэнджарах зручней стасавацца. Затым злачынец угаворвае пакупніка на перадаплату па адной з прычын: з'ехаў з горада, баіцца сустракацца падчас эпідэміі каранавіруса, няма часу і г.д. А каб развеяць сумненні пакупніка, кажа пра новую паслугу халдзіравання сродкаў, якая з'явілася на дадзенай інтэрнэт-пляцоўцы: калі дастаўкі не будзе, кампанія аўтаматычна верне сродкі на картку. Зламыснік таксама высылае пакупніку спасылку на падробленую старонку дастаўкі, якая імітуе старонку дадзенай інтэрнэт-пляцоўкі, дзе трэба ўвесці дадзеныя банкаўскай плацежнай карткі, каб ажыццявіць перадаплату. Як толькі карыстальнік уводзіць дадзеныя сваёй банкаўскай плацежнай карткі, з рахунку спісваюцца грошы, тавар не прыходзіць.
Як сябе абараніць:
! Вядзіце перапіску толькі ў рамках інтэрнэт-пляцоўкі, на якой знаходзіцеся. Як правіла, падобныя сайты блакіруюць магчымасць адпраўляць спасылкі на іншыя сайты, і гэта зроблена спецыяльна для таго, каб засцерагчы людзей ад спроб нядобрасумленных карыстальнікаў звесці іх на махлярскую старонку.
! Не пераходзьце па спасылках, якія вам высылаюць староннія людзі.
! Калі трэба перавесці грошы на іншую картку, то карыстайцеся мабільным прыкладаннем вашага банка або самастойна заходзьце на старонку вашага банка.
! Уважліва паглядзіце на вэб-адрас сайта - вы можаце даведацца, ці з'яўляецца сайт фішынгавым, праверыўшы дамен у адрасным радку і параўнаўшы яго з першапачатковым адрасам дамена. Як мы казалі, фішынгавыя сайты вельмі часта выкарыстоўваюць падобныя дамены для падману карыстальнікаў. Напрыклад, ваш дамен выглядае так: yourbank.by. Дамен фішынгавага сайта можа выглядаць так: your.bank.by ці так: yourbanc.by.
Сёння зламыснікі часта тэлефануюць карыстальнікам не па тэлефоне, а ў мэсэнджарах, напрыклад, па Viber з фальшывых акаўнтаў розных банкаў і прадстаўляюцца іх супрацоўнікамі. Пры гэтым у якасці фотаздымка такога акаўнта выкарыстоўваюць лагатып банка, а назва акаўнта ідэнтычная назве банка. Зламыснікі пад рознымі маркамі спрабуюць даведацца ў карыстальнікаў дадзеныя іх банкаўскіх плацежных картак.
Махляры могуць расказваць розныя "легенды": паведамленне пра нібыта аформлены крэдыт, адмена "памылкова" выкананага пераводу на картку ахвяры, магчымасць вырашыць праблему з нечакана спісанымі грашыма, гісторыя пра злачынцаў, якія спрабуюць незаконна выкарыстаць картку і інш. І, вядома ж, па іх словах, пазбегнуць усіх гэтых непрыемнасцей можна, толькі паведаміўшы "супрацоўніку банка" вашы персанальныя дадзеныя - рэквізіты плацежных картак, коды аўтарызацыі, паролі.
Таксама махляры могуць патэлефанаваць ад імя службы бяспекі банка і паведаміць, што праводзяць расследаванне крадзяжу грошай кліента супрацоўнікам самога банка. Пры гэтым просяць не ператэлефаноўваць у банк, бо званок можа перашкодзіць расследаванню, і нават могуць папярэдзіць пра "крымінальную адказнасць" за перашкоду расследаванню. Для пераканаўчасці махляры будуць спасылацца на адвольны нумар артыкула Крымінальнага кодэкса. Далей званок пераключаецца на псеўдасупрацоўніка праваахоўных структур (міліцыі, пракуратуры і інш.), які працягне вас падманваць.
Як сябе абараніць:
! Важна заўжды памятаць, што паведамляць камусьці інфармацыю пра сваю банкаўскую плацежную картку, паролі і коды доступу, пашпартныя дадзеныя ні ў якім выпадку нельга.
! Не панікуйце, калі вам паведамляюць пра блакіроўку рахунку або якія-небудзь непрыемнасці.
! Удакладніце прозвішча, імя, імя па бацьку асобы, якая тэлефануе, і скажыце, што ператэлефануеце ёй самі.
! Пакладзіце слухаўку і набярыце афіцыйны нумар банка самі. Але нават калі ў вас на тэлефоне высвеціцца знаёмы нумар банка, ні ў якім разе не рабіце на яго зваротны званок. Набярыце нумар кол-цэнтра банка ўручную. Тэлефон банка можна знайсці на зваротным баку банкаўскай плацежнай карткі або на афіцыйным сайце банка.
У сацыяльных сетках таксама арудуюць махляры. Часта яны спрытна маскіруюцца пад сваякоў, сяброў, каханых, выбраных для падманнай камбінацыі. Большасць анлайн-махляроў дзейнічаюць па стандартнай схеме: узломваюць уліковы запіс карыстальніка ў сацыяльнай сетцы і пішуць яго знаёмым.
Часцей за ўсё злачынцы просяць адправіць рэквізіты банкаўскай плацежнай карткі, нібыта яны хочуць пераслаць вам грошы. Або пад імем вашага сябра кажуць, што патрапілі ў складаную сітуацыю, і просяць перавесці ім грошы. Той чалавек, старонку якога ўзламалі, нічога не падазрае пра махлярства і зразумее гэта толькі тады, калі не зможа ўвайсці ў свой акаўнт, бо пароль ужо зменены.
Няўважлівасць і пагарда да мінімальных мер фінансавай бяспекі - асноўныя прычыны, па якіх чалавек можа цярпець ад атак кібер-злачынцаў.
Часам кібер-злачынцы зусім не закранаюць у сваіх паведамленнях фінансавых пытанняў. Узламаўшы старонку ў сацыяльных сетках, зламыснік можа папрасіць прагаласаваць за дзяўчыну ў нейкім фотаконкурсе. Перайшоўшы па спасылцы ў паведамленні, карыстальнік трапляе на фальшывую (фішынгавую) старонку, дзе неабходна ўвесці персанальныя дадзеныя.
Як сябе абараніць:
! Калі нехта з сяброў у сацсетках просіць пералічыць грошы на картку або мабільны тэлефон або вы заўважаеце іншую падазроную актыўнасць, звяжыцеся з чалавекам альтэрнатыўнымі спосабамі і папрасіць высветліць сітуацыю.
! Вы можаце ўсталяваць прыкладанне, пры дапамозе якога ўваход у акаўнт пацвярджаецца кодам, які прыходзіць на тэлефон. Такая двайная абарона ўліковага запісу пакідае ўзломшчыкам менш шанцаў.
! Выкарыстоўвайце складаны пароль і не захоўвайце яго ў браўзеры.
! Не карыстайцеся для ўваходу ў сацыяльныя сеткі чужымі прыладамі. Але калі гэта ўсё-ткі неабходна, то трэба правяраць, ці не захаваліся вашы персанальныя дадзеныя на чужой прыладзе.
! Карыстайцеся антывірусным праграмным забеспячэннем і абнаўляце яго.