В центре внимания:

Кристина Волощук: технологии и мошенники. Что нужно знать и как не попасться на обман?

Кристина Волощук: технологии и мошенники. Что нужно знать и как не попасться на обман?

Мобильные технологии и интернет, к сожалению, предоставляют множество возможностей для мошенничества. Усугубляет ситуацию и банальное непонимание гражданами потенциальных рисков. И не только гражданами! Опасность попасться на «удочку» кибермошенников грозит бизнесу в том числе.

Фишинг

Под термином «фишинг» подразумевается вид мошеннической деятельности, в основе которой – использование вредоносных программ, дублирующих сайты, приложения, рекламу или рассылку известных компаний и брендов. Цель фишинга проста и прозаична: выманить у доверчивых граждан деньги и/или конфиденциальные данные (логины и пароли от платежных сервисов, данные кредитных карт и все в таком роде).

Способов сделать это невероятно много! Что хуже – они постоянно меняются, появляются все новые их вариации. При этом сразу понять, что перед вами фиктивный сайт или рассылка, особенно в суете рабочего дня, зачастую крайне сложно.

Наиболее распространенные схемы фишинга:

  • имитация интернет-магазина. На первый взгляд – перед вами обычный сайт, предлагающий купить вполне неплохие товары. Главная особенность таких «магазинов» в ценовой политике: предлагаемые ими товары либо изначально стоят очень дешево, либо завлекают большой скидкой. Продавцы обычно просят выслать деньги за покупку, после чего исчезают, оставляя покупателя без ничего;
  • рассылка email-сообщений с просьбой подтвердить логин и пароль из-за технических сбоев или обновлений системы. Как правило, эти письма рассылаются от имени известных сервисов пополнения счета, платежных систем, банков. Таким образом злоумышленники пытаются получить контроль над аккаунтами пользователей;
  • подделка сайтов/приложений известных компаний. В прошлом году, например, запустился дубль известной всем платежной системы «Приват24». Невнимательный пользователь сразу подмены не заметит и в итоге сам, добровольно, предоставит мошенникам доступ к своим счетам;
  • смишинг (выманивание денег посредством смс-сообщений). Работает по следующей схеме. Абоненту приходит смс якобы от лица банка, в котором его просят пройти по ссылке и указать данные своей карты (вплоть до CVV-кода) во избежание ее блокировки. Иногда вместо ссылки указывается номер телефона якобы для связи с сотрудником банка. Кроме того, по-прежнему в ходу трюк с неожиданным «выигрышем» в некоей лотерее или викторине.
  • перехват SIM-карты. В этом случае аферист делает серию коротких звонков абоненту. Если тот, увидев пропущенный вызов, перезванивает, то в итоге ни до кого не дозванивается, зато позже получает извещение о блокировке симки. Так происходит потому, что мошенники обращаются к оператору с просьбой восстановить якобы утерянную сим-карту. Один из способов подтвердить, что карта принадлежит именно вам, – назвать несколько номеров, на которые осуществлялись вызовы в последнее время и сумму последнего пополнения счета. После того как SIM-карта оказалась в руках злоумышленников, все ваши сервисные сообщения и доступ к ресурсам попадают к ним;
  • синхронный перевод денег. В этом случае поддельные сервисы осуществляют денежный перевод по всем правилам, но меняют номер карты настоящего получателя на номер карты аферистов.

Масштабы развития фишинга в Украине впечатляют. Так, в первой половине 2016 года, по данным EMA Academy, в стране действовало 117 фишинговых сайтов, в то время как в 2015-м – 38. Всего же в 2016-м было выявлено 174 фишинговых сайта. При этом уровень их посещаемости немалый. В среднем, фиксируется 15-30 тысяч заходов в месяц.

Интересно, впрочем, что в 2017 году количество подобных ресурсов уменьшилось до 108. Но повода для радости пока нет.

По большей части снижение количества фишинговых сайтов происходит из-за того, что у мошенников появляются другие способы выманивания денег, не связанные с фишингом. Теперь они создают оригинальные сайты, обучающие быстрому заработку по предоплате или кредитные сервисы, обещающие выдать средства только после внесения пользователем первого задатка.

Мошенники научились делать сайты с SSL-сертификатом

Вариаций может быть множество. При этом совершенствуется подача информации пользователям, улучшается дизайн сайтов. Мошенники даже научились делать сайты с SSL-сертификатом (визуально его наличие отражается в присутствии окончания «s» в строке адреса http).

Опасные мобильные приложения

Магазины приложений – еще одна угроза для пользователей. Первенство тут занимает Play Market. Открытость данной платформы дает возможность мошенникам без особого труда распространять свои вредоносные программы и ловить доверчивых пользователей на «живца». Делается это, опять же, по-разному.

Разумеется, фишинг тут занимает первое место. Но есть и более утонченные способы выманить личные данные пользователей. Например, под видом вполне оригинального и полезного приложения. Вы скачиваете его, пользуетесь и не подозреваете, что алгоритм в этот момент собирает ваши данные и отсылает разработчику.

Вирусы тоже не дремлют. Причем подцепить их можно даже просто подключившись к бесплатному Wi-Fi или установив бесплатное приложение. Получив доступ через вирусное программное обеспечение к данным пользователя, мошенники могут им дистанционно управлять. Это значит, что все ваши действия в интернете, включая проведение онлайн платежей с разовыми паролями, будут им видны.

Часто пользователей берут эффектом неожиданности посредством вирусной рекламы. Работает это так. Вы сидите в Интернете, и вдруг всплывает реклама с требованием обновить «устаревший WhatsApp/Viber/Play Market…», перейдя для этого по ссылке. Из-за невнимательности, а также неожиданности запроса очень многие сразу же соглашаются, что в итоге приводит к установке на смартфон считывающего данные вируса.

Стоит отметить также, что не только Play Market грешен. Опасные приложения попадаются и в более защищенном Apple Store. По статистике, до 10% имеющихся в нем программ и сервисов являются вредоносными.

Промышленный шпионаж и прочие угрозы бизнесу

Опыт показывает, что компании – и крупные, и малые – тоже не защищены должным образом от мошенников. Так, в Европе массовым явлением стала кража денежных средств со счетов юридических лиц через подмену ФИО получателя в электронной почте. Сделать это возможно в том случае, если поставщик и покупатель вели переписку через электронную почту и фиксировали реквизиты получателя денег.

Перед самой оплатой покупателю может прийти письмо с новыми реквизитами и просьбой выслать деньги на новый счет. Притом с адреса продавца. В итоге, деньги могут быть отправлены не по назначению, а в руки мошенников.

Наибольшую угрозу кибемошенничество представляет для криптовалютного рынка

Доступ к конфиденциальной информации можно получить и через скайп сотрудника банка, от имени которого будет отправлена «зараженная» ссылка клиентам финансового учреждения.

Наибольшую угрозу фишинг и кибемошенничество в целом представляет для криптовалютного рынка. Истории с обманутыми вкладчиками там не редки.

Кстати, одна из масштабнейших афер случилась в начале этого года в ходе ICO-кампании стартапа BeeToken. Мошенники от имени компании разослали инвесторам письма с предложением приобрести токены стартапа в первые сутки на более выгодных условиях. По данным Сoindesk, обманутые инвесторы перечислили ворам не менее $928 000 за 25 часов.

Вредоносное ПО грозит бизнесу не только финансовыми потерями, но информационными утечками.

Причем мошенники используют самые разные хитрости, чтобы внедрить вредоносный код в систему компании.

Например, могут незаметно оставить в вашем офисе флешку. Сотрудники, не найдя ее владельца, наверняка будут сами ею пользоваться. Почему нет, в конце концов? Угрозы же вроде бы никакой. А в итоге «лишнее» ПО поселяется в корпоративных компьютерах и «сливает» хакеру информацию.

Как бороться?

Как видим, риски столкнуться с мошенниками в наше время велики. Более того, сейчас никто не застрахован от этого, даже компании, у которых, казалось бы, больше ресурсов для противодействия. Потому пользуясь смартфоном, и тем более совершая мобильный платеж, необходимо соблюдать максимальную осторожность.

Всегда проверяйте сайт, через который осуществляете платеж. Если сайт не зарегистрирован на домене национального уровня (.UA), а его адрес начинается с http, а не с https – это уже тревожный знак.

Не лишним будет проверить, не находится ли данный ресурс в черном списке на сайте Украинской межбанковской ассоциации членов платежных систем ЕМА.

При этом нужно помнить, что подделывать протокол SSL уже научились, поэтому его наличие уже не является 100%-ной гарантией безопасности.

Также не помешает проверить регистрационные данные сайта. Сделать это несложно – достаточно скопировать ссылку в соответствующую строку на портале Whois, специально предназначенного для анализа доменов и IP-адресов.

При получении email- или смс-сообщений с просьбами оставить свои пароли и/или кредитные данные, внимательно проверяйте отправителя.

Банки обычно не просят у клиентов подобную информацию в сообщениях или по телефону, если только те сами не обращаются в колл-центр, например. Но все же рассылки и разного рода оповещения делают.

Отличить настоящее банковское уведомление от поддельного можно по наличию в нем номера колл-центра финансового учреждения, а также дублирования нескольких цифр платежной карты клиента. Если этого нет – перед вами точно фальшивка.

Кристина Волощук, Head of Corporate Business Kreston GCG

Источник

Читайте также
Поделиться в VK Поделиться в Facebook Поделиться в Twitter Поделиться в ЖЖ Поделиться в ММ Поделиться в Одноклассниках

26.06.2018 10:32 | Сергей Сарыкин

Поиск:

Поиск
Последние финансовые новости
Финансовый дайджест VK
Финансовый дайджест в Facebook
Финансовый дайджест в Твиттере
Финансовый дайджест в Google+
Все права защищены © 2017-2019 Финансовый дайджест
Любое копирование материалов с сайта apulogny.ru без ссылки на источник запрещено.