Как не стать одной из многочисленных жертв фишинга и скимминга Поделиться
Дарить подарки другим — большое удовольствие. Так что впереди у нас много поводов почувствовать себя счастливыми. Ведь многие интернет-магазины настойчиво зазывают на свои большие предновогодние распродажи. Однако ловкачи, охочие до чужого добра, тоже не дремлют. Они пользуются праздничным ажиотажем и расставляют потенциальным покупателям ловушки. Увы, в них умудряются попасть даже искушенные, опытные люди с несколькими высшими образованиями и приличным уровнем IQ. Предаваясь тайной страсти — шопингу, человек настолько увлекается и теряет голову, что в упор не видит характерные признаки мошенничества.
Как удается злоумышленникам облапошивать доверчивых граждан, серфингующих по веб-страницам интернет-магазинов в поисках заветных скидок уходящего года? Все просто: за последние несколько лет мошенники повсеместно используют «идеальные» способы развода на новый лад — фишинг и электронный скимминг. Что же скрывается за этими модными словечками? Есть ли простые решения, чтобы дать отпор злодеям?
Фото: unsplash.COM
— Фишинг — процесс выманивания конфиденциальной информации у человека, чтобы украсть деньги или совершить мошеннические действия. Обманщики совершают подделки под какие-то известные сайты. Например, делают клон страницы платежа банка, где надо вводить данные кредитной карты. Затем жертвам делается рассылка со специальной ссылкой на него под каким-нибудь благовидным предлогом. Например, пишут «обнаружен новый штраф ГИБДД, оплатить можно здесь», а следом размещается та самая ссылка, — говорит. — Не так давно и меня пытались развести. В одном известном строительном интернет-магазине я сделал заказ на 15 тысяч рублей. Спустя две минуты с левого номера мне приходит SMS с сообщением об отмене заказа и предложением пройти по ссылке для возврата денег. Ссылка ведет на некий клон страницы платежа того банка, который я использовал для расчета за товар. Подозрительными мне показались два момента. Откуда клон уже знает сумму моего заказа и почему предлагает ввести все данные кредитки, включая ее текущий баланс? Я начал свое собственное расследование, и в итоге выяснилось, кто оказался злоумышленником. Это был оператор обработки заказов того самого интернет-магазина. Обращаю внимание, что это очень известная торговая сеть по продаже стройматериалов и сопутствующих товаров для ремонта. Так вот этот нечистоплотный сотрудник банально сливал данные клиентов мошенникам. Он наказан.
Согласно исследованиям Роскачества, ни один браузер не дает 100% защиты от кражи личных данных. Эксперты Центра цифровой экспертизы и компании-разработчика антивирусных программ проверили мобильные браузеры на способность к распознаванию фишинговых ссылок (более 1800 свежих ссылок!). В проверке участвовало 5 браузеров для двух платформ: Android: Chrome, Opera, Mozilla Firefox и Яндекс-браузер IOS: Safari, Chrome, Opera, Mozilla Firefox и Яндекс-браузер. Эксперты пробовали открывать фишинговые ссылки в упомянутых браузерах и фиксировали факты открытия фишингового контента либо, наоборот, предотвращения его открытия силами браузера с уведомлением пользователя. Таким образом удалось выявить степень защищенности обычных мобильных браузеров без установки дополнительного антивирусного программного обеспечения (ПО). Базовая защита от фишинга в браузерах составила в среднем 90%. Показатели на iOS чуть выше. Это объясняется тем, что платформа более закрыта и менее уязвима в вопросах безопасности. Лучшие результаты на Android у Chrome и Яндекс-браузера. На iOS — у Safari.
— Базовая защита от фишинга в браузерах оказалась на достаточно хорошем уровне, но все же не 100%. Поэтому для повышения уровня защищенности пользователям лучше всего подстраховаться и поставить антивирусные программы, — считает старший специалист Центра цифровой экспертизы по тестированию цифровых продуктов Сергей Кузьменко. — Рекомендую также постоянно повышать уровень своей цифровой грамотности.
Чтобы не попасться на удочку злоумышленников, будьте предельно внимательны. Не переходите по сомнительным ссылкам в почте, соцсетях, мессенджерах или СМС. Не кликайте по подозрительным рекламным баннерам. Должны насторожить крайне щедрые или чересчур тревожные сообщения, особенно если вас торопят, не дают времени подумать или запугивают, — комментирует ведущий аналитик компании-разработчика антивирусных программ Михаил Сытник. — Перед тем как вводить личные или платежные данные, обратите внимание на название сайта в адресной строке. В нем не должно быть опечаток или лишних букв. Для онлайн-покупок лучше всего завести отдельную карту, например виртуальную, и держать на ней небольшие суммы. Можно установить суточные лимиты на снятие. Нелишним будет установить защитное решение, которое заблокирует попытку перейти на фишинговый ресурс.
В любом случае, когда вы собираетесь в интернет-магазин за подарками к празднику, именно знание слабых мест виртуального шопинга станет вашим оружием против киберворишек. Кстати, исследования показали, что после периода пандемии привычка заказывать товары в Сети у людей не только сохранилась, но и превратилась в культ потребления. Количество интернет-покупок порой достигает космических масштабов особенно в предпраздничный период. А значит, и у махинаторов работы — вал! Многие люди делают столько заказов, что в какой-то момент у них отключаются мозг и способность анализировать, и они перестают замечать, что с их заказом что-то неладно.
— Злоумышленники очень любят подделывать официальные электронные письма от розничных продавцов известных торговых площадок. В письме, например, сообщается, что человеку нужно ввести свои учетные данные или платежную информацию для выполнения заказа. Либо письмо информирует клиента о необходимости войти в систему, чтобы обновить платежную информацию и адрес для оформления покупки. Ссылки в таком письме ведут вас на специальную страницу. Она очень похожа на настоящую, где вам нужно ввести конфиденциальную информацию.
если оно выглядит подлинным, но кажется совершенно неожиданным, насторожитесь.
наличие ошибок, корявых стилистических оборотов — причина к недоверию.
наличие признаков психологического давления, например необходимость срочного принятия решения, выглядит очень подозрительно.
наличие ссылки на неизвестное вложение, на которую переходить, скорее всего, небезопасно.
вам делают «невероятное эксклюзивное предложение», что очень похоже на ловушку.
— Задача фишинг-злодеев, — говорит разработчик интернет-сервисов Алексей Щербаков, — выглядеть как можно более убедительно. У каждого из этих махинаторов общее образование может быть разного уровня. Поэтому ваша задача — заранее настроиться на недоверие. Ведь если человек живет за счет обмана других, он обязательно проколется на «косвенных» деталях. И таких деятелей, и их подозрительные письма всегда можно расколоть по 9 контрольным признакам, которые лучше всего записать и держать под рукой:
Угрозе скомпрометировать свою финансовую информацию подвержены все держатели кредитных и дебетовых карт. То есть фактически каждый из нас. Отовариваясь на маркетплейсах и сайтах частных объявлений, важно понимать механизм работы злоумышленников, которые охотятся за данными вашей карты в интернет-пространстве.
— Скимминг вообще — это перехват данных клиента на оригинальном сайте или устройстве. Например, в картоприемник настоящего банкомата ставят устройство, которое считывает данные всех вставляемых в него карт и передает их злоумышленнику. Но сейчас карточки все бесконтактные, так что этот вариант ушел в прошлое. А вот электронный скимминг, он же веб-скимминг или Magecart, — это распространенный класс атак, обычно нацеленных на посетителей интернет-магазинов, — говорит Олег Артамонов. — Это свеженький вид мошенничества с картами на цифровых рынках. Киберпреступник взламывает сервер магазина, но сам сайт не ломает. Он лишь добавляет туда код, который, например, перехватывает данные каждого сделанного заказа и отправляет злодею. То есть вредоносный код прячется на странице оформления заказа. А потом, например, он может рассылать по е-мейлам из этих заказов письма. Их содержание примерно такое: «Оплатить ваш заказ можно здесь» со ссылкой уже на свой фишинговый сайт. Мошенники используют такое ПО для сбора финансовых данных о покупателях. Украденная информация обычно включает в себя имя и адрес жертвы, номер карты и код безопасности (CVV). Хакеры могут продать украденные данные и в даркнете, и всем заинтересованным для совершения покупок по картам жертв.
Важный момент состоит и в готовности онлайн-магазинов обеспечивать информационную безопасность своих площадок. Ведь это и вопрос репутации!
— Один из самых верных способов избежать мошенничества — тратить деньги в обычных магазинах. Но онлайн-рынок заманчив, и мы привыкли покупать не выходя из дома, — комментирует Сергей Кузьменко. — Первое, на что стоит обращать внимание, заходя на сайт, — буква S на конце расширения. Вы должны увидеть HTTPS. Это будет означать, что соединение защищено. Однако на данный момент получить сертификат безопасности на сайт несложно. Поэтому внимательно смотрите на контент. И если какое-то предложение кажется вам слишком заманчивым, чтобы быть правдой, то, скорее всего, это вам не кажется.
Увы, простому пользователю сложно обнаружить мошенничество с электронным скиммингом на платежной странице сайта. Даже если на сайте шифрование и все остальное выглядит идеально. В большинстве случаев скрытое устройство электронного скимминга будет жизнеспособно всего несколько дней, и если его не обнаружат раньше — то недель. Так что же делать и как заподозрить неладное?
включить двух- или даже трехфакторную аутентификацию подтверждения личности (как минимум это одноразовый код и пароль).
Она предназначена специально для онлайн-расчетов в Интернете. Уровень безопасности проведенных операций с ней выше, так как не придется раскрывать реквизиты основной карты. Кроме того, изначально на ней лимит трат человек устанавливает сам (неплохо такой лимит установить и на основной карте).
, принимающих меры предосторожности для защиты своих сайтов от онлайн-атак.В открытом доступе сегодня можно проверить благонадежность продавца в специальном реестре доверенных онлайн-площадок.
Эксперты в области психологии обращают внимание на большую зависимость от покупок в Интернете у людей с повышенной социальной тревожностью. Ведь приобретения на цифровых площадках не требуют личного контакта. Подобным шопоголикам специалисты советуют больше времени проводить с близкими и любимыми людьми. Такое время бесценно и никогда не заменит кратковременную одноразовую радость от приобретения вещи. Так что на предстоящих новогодних праздниках предпочтительнее всего дарить своим людям светлого себя, то есть упакованного в Нежность, Заботу и Любовь к ближнему. Вложите в это всю свою страсть.
