Очень часто люди сами, не подозревая этого, предоставляют свою личную и ценную информацию мошенникам. В информационной безопасности есть специальный термин – социальная инженерия. Под ним подразумевается процесс психологического воздействия на жертву с целью получения полезной для злоумышленника информации без использования каких-либо программных средств. Скорее всего любой из нас сталкивался с навязчивыми звонками или сообщениями. Это может быть как реальное предложения от банка или звонок из коллцентра, так и попытка мошенника завладеть вашими данными и денежными сбережениями, что часто называют фишингом.
В предыдущей нашей статье мы рассказывали о схеме пирамиды, в которой используются фишинговые сайты для регистрации пользователя. Но фишинговые могут быть не только сайты, но и сообщения. По данным Group-IB большую часть фишинга приходится на социальные сети, в число которых и входят мессенджеры, и финансовые организации.
В любой момент вам может прийти сообщение на адрес электронной почты или в мессенджер, с различным содержанием, где обязательно будет присутствовать ссылка. Это может быть приглашения принять участие в опросе, уведомление о необходимости произвести установку и настройку нового программного обеспечения, оплата счета, выгодное предложение от бренда и так далее. Мошенники также могут вести себя агрессивно, уведомляя о негативных последствия в случаи отказа.
Другие же мошенники предпочитают личную беседу. Они могут позвонить к вам от имени начальника, правоохранительных органов, родственников, крупных фирм и брендов. Во время звонка могут быть названы личные данные, что может смутить, но не стоит забывать об утечках информации. Но как обезопасить себя от всех этих неприятностей?
Использовать двухфакторную аутентификацию
Применение двухфакторной аутентификации считается одним из самых надежных способов авторизации и совершения электронных платежей. Даже если взлом произошел на стороне сервиса, сайта или банка и база с логинами и паролями попала в сеть, такой метод защиты может вам помочь. При попытке совершить транзакцию или авторизацию, вам приходит сообщение на телефон с кодом, который потребуется для подтверждения этой процедуры. Если же вы видите приходящие на телефон сообщения с кодом, а никаких действий вы не совершали, то стоит сразу же сменить пароль на данном сайте/сервисе и нажать на кнопку выхода со всех устройств, если она имеется или вовсе обратиться в поддержку. Иногда на телефон могут поступать сообщения по типу: «Была замечена подозрительная активность. В вашу учетную запись пытались войти с неизвестного устройства. Если это были не Вы, отправьте одноразовый код, который сейчас получите …». Такие сообщения следует полностью игнорировать и сразу же предпринимать меры по восстановлению доступа к своей учетной записи. Делать двухфакторную аутентификацию через электронную почту не рекомендуется, т.к. доступ к ней также может быть у злоумышленников.
Проверять URL-адреса
Ошибки, перепутанные буквы и дополнительные цифры или буквы в URL-адресе - явный признак фишинга. Например, официальные сайты Яндекса имеют вид https://yandex.com и https://ya.ru, а сайт с название http://yandexx.su скорее не будет иметь никакого отношения к Яндексу. Здесь же стоит отметить безопасное соединение, которое обозначается буквой s после http. Если этой буквы нет в URL-адресе, то лучше не авторизоваться и тем более не проводить какие-либо денежные операции на сайте, за исключением ситуаций, когда вы точно располагаете информацией о безопасности данного ресурса.
Игнорировать ссылки или кликабельные картинки
Если вам приходить на мессенджер, социальную сеть или электронную почту сообщение с незнакомой вам ссылкой, даже если оно от друга, родственников или от официальной компании, то не стоит переходить на данный ресурс. Первым делом, если вы знаете собеседника, стоит связаться с ним альтернативным способом, например, позвонить ему по номеру телефона и спросить про эту ссылку. Возможно, вашего знакомого взломали, а он даже не догадывается об этом. Здесь также не стоит поддаваться на текстовые уловки мошенников, к которым можно отнести ваши персональные данные или сообщения с шантажом. Иногда ссылка может быть скрыта в самом тексте, как это сделано на втором рисунке данной статьи. Чтобы проверить ссылку, достаточно скопировать ее в текстовый редактор и просмотреть или просто навести курсор мыши на ссылку и прочитать полный адрес, если вы находитесь за ПК. Кроме ссылок вам могут присылать картинки, при нажатии на которые вы попадаете на определенный ресурс. С ними поступайте аналогичным образом. Если вы сомневаетесь, что ссылка может оказаться фишинговой, то в таком случаи рекомендуем зайти на нужный вам ресурс не через эту ссылку, а через адресную строку браузера или через любой поисковик.
Использовать приложения для опознавания телефонных номеров
На текущий момент существуют разные мобильные приложения, которые на основе собираемых от различных пользователей сведений, формируют свою контактную базу. В таких приложения к каждому номеру присваиваются названия в виде уникальных тегов, которые получаются путем сбора контактной базы пользователей приложения. Установив такое приложение, можно будет примерно определить от кого был звонок, путем просмотра тегов у номера. Однако, вы также предоставляете свою базу контактов через это приложение и могут существовать лимиты на просмотр тегов чужих номеров. К таким приложениям можно отнести Getcontact, Truecaller, Whoscall и другие.
Существует также антиспам-приложение и голосовые помощники от различных отечественных разработчиков, например Антиспам: Kaspersky Who Calls или МТС Кто звонит: Антиспам. Они также позволяют распознавать звонки, блокировать их или использовать автоответчик для неизвестных номеров. Если вы планируете использовать именно антиспамовые блокировщики входящих звонков, то обязательно уделите время настройкам, иначе можно заблокировать и нужные звонки.
Сохранять спокойствие
Мошенники не будут затягивать надолго беседу и почти сразу же скажут причину звонка. Главное во всем разговоре не торопится с ответами, можете даже попросить подождать и поставить разговор на паузу. При быстрых ответах всегда можно выдать нужную мошенникам информацию случайно. Поэтому всегда стоит вначале подумать, возможно у мошенников даже просто закончится терпение. И помните, что никому нельзя сообщать информацию о договорах, банковской карте, из смс-уведомлений, ПИН-коды, пароли и логины, паспортные данные, кодовые слова и вопросы.
Не провоцировать мошенников
Допустим, вам поступает звонок, а спустя какое-то время вы точно знаете, что общаетесь с мошенником. Вам может захотеться вступить с ними в конфликт или вовсе поиздеваться в отместку. Лучше сразу бросить трубку или грубо прервать разговор, не ввязываясь в длительный диалог. Хоть и на текущий момент с подменой номеров активно ведется борьба, эти сервисы не исчезли полностью. Злоумышленник может использовать их, чтобы отомстить вам и осуществить звонок с вашего номера другим потенциальным жертвам. Или проводить спам-атаки на ваш номер путем автодозвона с различных номеров.
Использовать браузерные расширения
Многие пользователи используют различные внутренние приложения для браузера, которые блокируют рекламу или упрощают просмотр текста в ночное время. Среди них есть множество расширений, направленных на обеспечения безопасности. Вы можете установить приложения, которые будут блокировать отслеживающие скрипты (например, Privacy Badger). Или использовать расширение, которое будет по возможности устанавливать именно безопасное https соединение с сайтом (например, Smart HTTPS). Имеются приложения с функцией антивирусной защиты, блокировкой спама, проверкой ссылок и многие другие. Настройка вашего веб-браузера может существенно повысить защиту ПК. Однако, это не самый легкий процесс и можно попросту установить конфликтующие расширения или неверно их настроить, что приведет к неправильной работе браузера и отображения информации.