Мошенники научились использовать самые разные способы коммуникации — мессенджеры, видеозвонки и даже приложения для знакомств. Рассказываем, о каких методах обмана в сети нужно помнить, и как их предотвратить.
Мама, помаши мне рукой
Все чаще мошенники используют дипфейки. Они находят в интернете фото знакомых и родственников будущей жертвы и с помощью ИИ создают фальшивые видеосообщения от их имени. Особенно продвинутые киберпреступники могут «надеть» лицо вашего друга и попробовать обмануть вас в видеозвонке. Технология дипфейков настолько развилась, что зачастую сложно понять, что перед вами «оживленное» фото или вовсе другой человек.
Если вам вдруг позвонил по видеосвязи знакомый и просит занять ему деньги или поделиться с ним чувствительной информацией, стоит проверить, точно ли это он? Самое банальное — попросите его провести рукой перед лицом. Если перед вами будет мошенник, в этот момент его фейковая маска отключится. Но даже после этой проверки стоит убедиться наверняка. Попросите собеседника связаться с вами в альтернативном канале связи или задайте ему вопрос, ответ на которой может знать только он. Важно, чтобы ответ на этот вопрос нельзя было найти в вашей переписке.
Главной угрозой остается фишинг
Это тип кибератаки, когда мошенники обманом вынуждают человека раскрыть конфиденциальную информацию. Для этого они часто прибегают к социальной инженерии — манипулированию страхом, любопытством, состраданием и другими чувствами жертвы.
Уже много лет фишинг является самым популярным видом компьютерных преступлений. Ежедневно мошенники рассылают 3,4 миллиарда фишинговых электронных писем, а новый сайт-обманка создается каждые 20 секунд.
Уловка может поджидать в мессенджере или почтовом письме, а злоумышленники могут действовать от имени родственников, друзей, новых знакомых в дейтинге или даже силовиков.
Каждый испугается «неоплаченного штрафа»
Исследователи выяснили*, что фишинговые письма, касающиеся юридических вопросов, работают эффективнее писем по другим темам — на них часто попадаются как молодые, так и люди пожилого возраста. Каждый испугается, если узнает о «неоплаченном штрафе».
В последние годы стали популярны схемы обмана на сайтах знакомств. Мошенники создают реалистичный профиль и начинают строить с будущей жертвой доверительные отношения. Придумать биографию и генерировать фотографии для своего персонажа им часто помогает тот же ИИ.
Такое общение может длиться долго, целые месяцы. Когда преступник поймет, что собеседник ему доверился, он может прибегнуть к одной из схем обмана:
— предложит вложить деньги в проект своего друга
— расскажет о внезапно произошедшей трагедии и попросит о финансовой помощи
— предложит «наконец встретиться», чтобы посетить платное мероприятие и отправит ссылку на поддельную онлайн-кассу якобы для покупки билетов
После получения средств или ввода реквизитов карты мошенник исчезает.
«Следите за руками»
Всех способов обмана в одном посте не описать. Более того, методы и тактики, которые используют мошенники, постоянно меняются. Поэтому подпишитесь на ресурсы, посвященные разбору известных мошеннических схем. Такие есть во всех соцсетях.
Также стоит помнить несколько простых вещей:
— службы поддержки банков или сервисов почти никогда не связываются с пользователями первыми
— с просьбой перевести деньги на «безопасный счет» звонят только мошенники
— «легкого заработка», который обещают в соцсетях, к сожалению, не бывает — это всегда обман или предложение незаконной работы
— никогда и никому нельзя называть коды для авторизаций в сервисах или данные банковской карты. Исключений из этого правила не бывает.
Имеет смысл установить самозапрет на кредиты в Госуслугах. Это простая, но действительно полезная мера, которая спасет вас, если вы все-таки доверитесь мошенникам. Также на Госуслугах можно проверить уже оформленные кредиты, для этого нужно заказать выписку из кредитной истории.
Не переходите по подозрительным ссылкам
Чтобы не попасть на поддельный сайт, не переходите по подозрительным ссылкам, особенно полученным от незнакомых людей. Не вводите личные данные на сайтах, которые вызывают у вас подозрение. Лицензированные кошельки в Telegram можно определить по наличию галочки возле названия.
Не переходите по ссылкам вида clck.ru или bit.ly — это ссылки от специальных сервисов для сокращения ссылок. Сами по себе они безобидны, но с их помощью можно спрятать фишинговую ссылку или программу, которая украдет данные с вашего устройства.
Проверяйте, имеют ли сайты, на которых вы вводите личные данные, активный сертификат подлинности. Его наличие показывает иконка замка или галочки в адресной строке.
Не открывайте файлы, которые вам отправили в мессенджерах, если вы их не ждали. Автосохранение файлов в Telegram стоит отключить.
Всегда обновляйте программное обеспечение ваших устройств. Обновления операционной системы, помимо прочего, исправляют известные проблемы с безопасностью. Это может спасти вас в том числе от фишинга.
Если вы все-таки попались
Теперь пару слов о том, что поможет защитить данные и деньги, если вы все-таки попались на уловку мошенников.
Используйте сложные пароли. Желательно, чтобы пароль состоял минимум из 16 символов и содержал буквы, цифры и знаки. Значительно повысит надежность пароля добавление в него кириллицы, но не во всех сервисах есть такая возможность.
Если вы используете простой пароль, его можно легко подобрать с помощью программы, которая автоматически перебирает все возможные сочетания цифр, символов и букв. Не все сервисы имеют защиту от таких программ, зато почти все злоумышленники умеют ими пользоваться.
Даже если вы используете надежные пароли, их нужно периодически менять, хотя бы раз в три месяца. Хранить пароли лучше всего в специальных менеджерах, вроде KeePassXC или Bitwarden. В них же можно держать другую чувствительную информацию, например, документы. Важно, чтобы они были скачаны из официальных источников — App Store, Google Play, Microsoft Store или с официальных сайтов.
Скорее всего ваши пароли уже не раз «утекали» после взломов популярных сервисов. Если вы используете одинаковые или похожие пароли, мошеннику достаточно просто «пробить» ваши данные, и он узнает ваши пароли от всех остальных сервисов.
Используйте многофакторную аутентификацию везде, где это возможно. Это способ подтверждения входа, который сервис обычно запрашивает после ввода пароля. Лучше всего использовать специальные приложения, которые генерируют временные коды для подтверждения. Например, Proton Authenticator. После ввода пароля вам нужно будет перейти в приложение, скопировать код из него и вставить на сайт.
Если в качестве подтверждения входа вы используете контрольный вопрос, ответ на него не должен совпадать с реальностью — иначе его смысл теряется. Скорее всего, мошенники узнают девичью фамилию вашей матери всего за пару минут.
Подтверждение по коду из смс можно использовать, но стоит помнить, что иногда мошенники выпускают дубликат сим-карты жертвы и перехватывают ее сообщения. Чтобы защититься от этого, запретите своему оператору связи предоставлять вам услуги по нотариальной доверенности. У одних операторов это делается через личный кабинет на сайте, у других — только в салоне связи.
Уменьшите свой цифровой след
Данные, которые вы оставили в сети, могут быть чувствительными сами по себе, но они также могут содержать подробности вашей биографии, зная которые, мошенник сможет более убедительно пытаться вас обмануть. Полностью стереть информацию о себе из сети не удастся, но существенно уменьшить ее количество — возможно.
Рассмотрите возможность скрыть от незнакомых пользователей ваши каналы и профили в соцсетях. Проверьте, чтобы групповые переписки, в которых вы состоите, были скрыты от не состоящих в них пользователей — это касается даже домового чата.
Удалите из переписок в соцсетях фотографии документов, платежные данные и любую другую чувствительную информацию — если есть возможность, удалите для обоих получателей. Это спасет от последствий не только в случае вашего взлома, но и если взломают ваших знакомых.
Удалите старые страницы в соцсетях и аккаунты на сайтах, которыми вы не пользуетесь. Введите свое ФИО, ники и айди в соцсетях в поиск Google и «Яндекса», чтобы узнать, какую информацию о вас можно найти в поисковиках.
Но не думайте, что злоумышленники пользуются только соцсетями или «Гуглом». Готовя атаку, они почти наверняка проверят вас через боты для «пробива». Такие боты показывают информацию, которая утекала из сервисов и государственных баз данных, а затем соединяют ее с информацией из ваших соцсетей. Получается что-то вроде цифрового досье на человека.
В некоторых ботах можно скрыть информацию о себе, но стоит понимать, что она останется в других ботах и в базах данных на черном рынке. Если все-таки решите скрыть свои данные, то не дайте боту считать новую информацию о вас. Не отправляйте ему свой номер телефона, сохраненные контакты и геопозицию, используйте VPN и не указывайте данных, которых у него еще нет. Эти правила нужно соблюдать, даже если вы запустите бот просто из любопытства.
С вероятностью почти сто процентов в утечках можно найти реквизиты ваших документов, электронные почты и номер телефона, информацию о ваших родственниках, прописке и даже фактическом месте проживания. Так что не стоит удивляться, если мошенник будет все это знать. Даже если вы скроете себя в части агрегаторов утечек, это спасет вас лишь от ленивых злоумышленников.
Более того, данные из интернета неизбежно продолжат утекать. Чтобы снизить риски, не регистрируйтесь на сайтах без особой надобности и не указывайте свои настоящие данные там, где это не обязательно.