Наши специалисты составили чек-лист для защиты от мошенников при онлайн-шоппинге.
Не нажимайте на ссылки из электронного письма от известных компаний, а самостоятельно введите в поиске сайт из рассылки.
Проверьте адрес электронной почты отправителя, а не только имя
Если имя отправителя и адрес электронной почты не совпадают, стоит насторожиться.
Обращайте внимание на то, что вы не единственный получатель письма. Обычно злоумышленники используют массовую рассылку по всей своей базу электронных адресов, указывая их в поле «Кому»
Легитимные площадки используют персонализированные рассылки.
Остерегайтесь любых ошибок или странностей в платежной форме. Подлинные розничные торговцы гарантируют, что формы, которые подтверждают транзакцию, являются правильными и функциональными. Эти формы проверят правильность ввода символов для каждого поля, таких как адреса, почтовый индекс и номера телефонов.
Внимательно изучайте сайт и всю информацию на нем, включая реальность существования юридического лица и соответствие в адресе, номере телефона. Проверяйте, что на сайте есть валидный сертификат, а также отсутствуют страницы-заглушки.
Не покупайте ничего у людей, которые просят заплатить за пределами платформы, которую они используют для продажи своей продукции. Будьте осторожны с любыми транзакциями, которые приводят к необычному способу оплаты, особенно физическому лицу.
Используйте сложные и разные пароли для каждого сайта, не забывайте их менять. Включите двухфакторную аутентификацию для дополнительной защиты от взлома.
Заведите отдельную виртуальную карту для оплаты в интернет магазинах. Так при утечке данных карты вы сможете ее безболезненно заблокировать, а при попытке злоумышленника снять с нее деньги баланс основного счет для него будет недоступен.
Как защититься от фишинговых атак
Для защиты от фишинга важно помнить несколько базовых правил
Проверьте адрес отправителя
Мошенники могут подделать адрес отправителя, чтобы сделать письмо более правдоподобным. Однако если вы внимательно посмотрите на него, то обнаружите, что он не соответствует официальному адресу компании. Если сомневаетесь в подлинности письма, обратитесь в службу поддержки компании и уточните информацию.
Используйте антивирусы и определители номеров
Антивирусное программное обеспечение помогает защитить компьютер от спам-сообщений, а определитель номеров — от звонков, которые используют для фишинговых атак. Обновляйте своё антивирусное ПО регулярно, чтобы защитить себя от новых видов угроз.
Используйте разные пароли для разных сайтов
Многие люди используют один пароль для всех сервисов. Это удобно, но, насколько бы он ни был сложным, узнав его, злоумышленники смогут авторизоваться на всех сайтах, которыми пользуется человек.
Важно, чтобы пароли всегда были уникальными. Если вам сложно их запомнить, то используйте специальные приложения: Kaspersky Password Manager, «Пассворк» и другие
Настройте двухфакторную аутентификацию
Почтовый ящик, для доступа к которому используется мобильный телефон, тоже может быть взломан. Мошенники могут перехватить SMS-уведомления и всё равно войти в ваш аккаунт. Однако сделать это будет сложнее, а далеко не все мошенники технически подкованы.
Будьте осторожны, совершая онлайн-покупки
При покупке товаров или услуг убедитесь, что сайт использует безопасный протокол передачи данных, — в строке с адресом сайта должно быть написано https, а не http. Такие сайты в адресной строке браузера обозначаются символом замка:
Скриншот: Skillbox Media
Если нажать на него, то можно увидеть информацию о сертификате безопасности: наименование организации, которой он принадлежит, и его срок действия.
Никогда не вводите свои платёжные данные на сайтах, которым вы не доверяете. Заведите отдельную банковскую карту для покупок в интернете и не храните на ней большую сумму денег.
Обновляйте программное обеспечение
Обновление операционной системы, браузера и других программ позволяет повысить их защищённость. Как правило, в новых версиях устраняются выявленные уязвимости.
Будьте осторожны, когда используете общественный Wi-Fi
Общественные Wi-Fi-сети могут быть небезопасными, так как мошенники часто используют их для доступа к личным данным людей. Любая операция через такую сеть может привести к перехвату информации, например данных банковских карт.
Больше интересного про код — в нашем телеграм-канале. Подписывайтесь!
Виды фишинга
Фишинг — это не только ссылки в электронных письмах и СМС. Арсенал злоумышленников постоянно растёт, так как о старых способах узнаёт всё больше людей. Разберём основные варианты фишинговых атак.
Социальный фишинг
Это фишинговые атаки, целью которых являются аккаунты в популярных соцсетях, например VK или «Одноклассниках».
Мошенники создают фейковую страницу входа в соцсеть и приглашают человека перейти по ссылке. Для этого они отправляют на его электронную почту письмо о том, что кто-то пытается войти в аккаунт и требуется срочно подтвердить пароль для его защиты.
Как только человек вводит данные на фейковом сайте, фишеры получают доступ к его аккаунту. Затем страница перенаправляет пользователя на настоящий сайт соцсети, и он может даже не заметить, что изначально был не там. Другая опасность в том, что, если человек использует одни и те же логины и пароли в других соцсетях и сервисах, то фишеры получат доступ и к ним.
Сделать так, чтобы сообщения от мошенников выглядели настоящими, не так уж и сложно. Невнимательный пользователь может не заметить разницы. Например, у официального сайта LinkedIn есть несколько доменов электронной почты, включая [email protected] и [email protected]. Поэтому сложно проверить, какие домены в самом деле принадлежат LinkedIn, а какие нет.
То же касается и других сетей ― нужно внимательно проверять адрес отправителя письма и адрес страницы, где вы вводите свои данные: vk.com — это настоящий сайт, а vkom.com ― подделка.
Фишинг-атаки на электронную почту
Мошенники отправляют электронные письма с поддельными ссылками, которые выглядят как официальные письма от банков, онлайн-магазинов или сервисов. При переходе по ссылке пользователь попадает на поддельный сайт, где требуется ввести информацию для входа в аккаунт. В итоге мошенники могут получить доступ к личным данным.
Такой вид мошенничества встречается реже, так как современные почтовые сервисы имеют надёжные спам-фильтры и отправляют подозрительные письма в папку со спамом. Открывать их там точно не стоит.
Байтинг
Байтинговые атаки побуждают жертв перейти по ссылке в письме или сообщении без запугивания. Наоборот, они обещают призы и выгодные предложения. Например, пользователю может прийти письмо от Apple с поздравлением и сообщением о выигрыше новой модели iPhone. Сложно удержаться и не перейти по ссылке, чтобы получить приз.
Фарминг
Фарминг — это форма фишинга, которая направлена на получение личных данных через поддельные сайты. Кажется, что это похоже на классический фишинг, но есть различие. В фарминге пользователя автоматически перенаправят на поддельный сайт, даже если он зашёл по проверенной ссылке. Это происходит из-за вируса, который устанавливает вредоносный код на DNS-сервер.
Целевой фишинг, или спирфишинг
Обычно фишинг носит массовый характер. Но спирфишинг — это целенаправленная попытка украсть конфиденциальную информацию у конкретной жертвы. Часто целями спирфишинга являются топ-менеджеры крупных компаний, которые могут инвестировать большие средства в кибербезопасность: хакерам не пробиться к ним с помощью технических средств. Но лазейка в виде человеческого фактора остаётся всегда.
Для успешного целевого фишинга преступникам нужно изучить жертву: с кем она общается, где живёт, работает, куда ходит отдыхать или заниматься спортом. Затем злоумышленники притворяются другом или другим важным лицом, например начальником, чтобы получить конфиденциальную информацию, как правило, по электронной почте или через другие онлайн-сообщения. Именно на спирфишинговые атаки приходится 65% всех успешных кибератак на компании.
Например, крупная французская кинокомпания Pathé потеряла 19 млн евро, то есть 10% годовой прибыли, именно из-за спирфишинга. Мошенники использовали личную учётную запись генерального директора Марка Лакана, чтобы получить одобрение на перевод крупной суммы. Перевод состоялся, а генерального директора в итоге уволили.
Как безопасно пользоваться мобильным устройством?
Старайтесь не использовать облачные хранилища и не храните там резервные копии ваших телефонов
Используйте двухфакторный способ аутентификации (логин, пароль и дополнительно — вход по коду из SMS или Push-уведомления)
В личном кабинете сотового оператора установите вход по одноразовому паролю
При получении сообщения о том, что ваша SIM-карта перевыпущена, сразу обратитесь в ваш банк для блокировки счета
Номер телефона для получения одноразовых паролей от банка не должен быть в открытом доступе (на сайтах, в соцсетях, объявлениях). Для этих целей купите отдельную SIM-карту
Если вам звонят из банка, у вас никогда не спросят номер карты, кодовое слово и пароли из SMS
Если вам предлагают прислать задаток, отменить операцию, разблокировать карту и прочее – никогда не сообщайте пароли из SMS и CVV карт
Устанавливайте лимит на операции
На любую карту — обычную, дополнительную или виртуальную — можно установить лимит на:
- сумму одной операции;
- сумму операций на день, неделю, месяц или бессрочно.
Деньги сверх установленного лимита списать со счета, привязанного к карте, нельзя. Проще говоря, если злоумышленники получат данные карты (или сам «пластик»), они не смогут потратить с нее существенную сумму.
Рассмотрим, как подключить лимит, на примере карты Сбербанка. Зайдите в личный кабинет мобильного банка 🡪 найдите раздел «Настройки» 🡪 «Лимиты и ограничения» 🡪 выберите «На все операции» 🡪 введите сумму лимита. Ограничения можно установить не только на интернет-покупки, но и на снятие наличных: во вкладке «Лимиты и ограничения» выберите раздел «Другие ограничения» и отожмите галочки с соответствующих пунктов.
Почему мошенники бронируют именно ж/д билеты?
По словам экспертов, сегодня киберпреступность подобна эпидемии и очаги ее образуются там, где «крутятся» большие суммы денег в безналичном виде: банковская и финансовая сферы, малый и средний бизнес, который использует систему электронных платежей и переводов. Транспортно-туристическая сфера не стала исключением. Правда, она привлекает хакеров и по другим причинам.
Главная из них — лазейка в системе работы «Российских железных дорог», которая позволяет купить билеты в одном месте, а сдать их в другом. В итоге, выписав через Интернет электронный билет, мошенники меняют его в кассе на вполне реальные бумажные деньги. «Это слабое место не b2b- или b2c-систем, это ошибки технологии возврата ж/д билетов. Любые электронные услуги должны возвращаться по месту их приобретения, и тогда не будет подобных проблем, как их нет, к примеру, с авиабилетами, вернуть которые можно только в месте приобретения», — считает Константин Морковин, гендиректор «Инфо-Порт Системы».
Эту же причину считают ключевой и в других компаниях, специализирующихся на b2b-бронировании. И для решения проблемы, по их мнению, необходимо подключать РЖД. «Уверен, что без поддержки РЖД проблему не решить. Возможный выход — изменения в процедуре возврата. Например, возврат бумажного билета производится там, где этот билет был выписан. Еще вариант — трехдневный мораторий на сдачу билета. За трое суток турагентство наверняка заметит чужую бронь и аннулирует ее», — анализирует ситуацию Дмитрий Горин («Випсервис»).
Что такое фишинговые атаки
Фишинг (от англ. fishing — рыбачить, выуживать) — это вид кибератаки, при которой злоумышленник пытается получить доступ к личной информации пользователя, например к логину и паролю от электронной почты или данным банковской карты.
Фишинг отличается от других видов хакерских атак тем, что мошенники активно манипулируют базовыми человеческими эмоциями, такими как любопытство и страх, а также используют информацию, которые смогли собрать из открытых источников о человеке.
Если приглядеться к такому «срочному» письму или СМС, можно заметить, что домен или номер телефона не совпадают с официальными контактами сервиса, банка или магазина. А в самом письме или сообщении будет ссылка, ведущая на копию официального сайта. Если пользователь введёт там свои данные, то они попадут к мошенникам.
Посмотрим на примеры фишинговых писем, сайтов и сообщений.
Фишинговое письмо маскируется под запрос от существующей компании или сервиса. Например, пользователь может получить письмо, в котором указан безобидный запрос на подтверждение личных данных. На первый взгляд всё хорошо.
Пример фишингового письмаИзображение: LukaSafonov / «Хабр»
Человек может решить, что он получил запрос от Google: есть логотип компании, официально написанный текст, подпись в письме и почтовый ящик, намекающий на связь с компанией. Но почтовый ящик с доменом gmail.com может зарегистрировать любой пользователь. Если навести курсор на текст, на который поставили ссылку, то видно, что она ведёт на сайт с доменом .ru, который не имеет ничего общего с Google.
Оказывается, фишинговые письма существовали задолго до появления интернета и распространялись обычной почтой. Как правило, мошенники просили у получателя поучаствовать в многомиллионных операциях, а взамен обещали процент от сделки. Из-за того, что такой вид мошенничества был особенно популярен в Нигерии, письма стали называться «нигерийскими», а ложная выгода, которую сулили отправители таких писем, — «наследством нигерийского принца».
Фишинговый сайт делают похожим на веб-страницу популярного сервиса. Если не обратить внимания на его адрес, то можно и не заметить разницы:
Пример фишингового сайта социальной сетиИзображение: VK
Форма для авторизации выглядит так же, как и на официальном сайте VK. Но вместо привычного vk.com в адресной строке видим vkom.com. Здесь лучше не авторизовываться — логин и пароль попадут в руки мошенников.
Фишинговое сообщение, обещающее лёгкое получение денег. Как правило, на таком сайте попросят ввести данные карты, включая CVV-код, для её пополнения, а затем код из СМС с подтверждением операцииСкриншот: Skillbox Media
Больше интересных статей
Подборка
25-05-2020
Посоветуйте, что почитать. Часть 2
Мы сделали подборку полезных ресурсов по информационной безопасности. Сами их используем, поэтому рекомендуем тем, кому интересен мир ИБ. Одна часть подборки уже опубликована, и сегодня делимся другой. Часть вторая: Satisfiability modulo theories (SMT) Если вы решили погрузиться в эту тему, пожалуй, лучшим материалом для первого знакомства с SMT будет Theorem prover, symbolic execution and practical reverse-engineering. Он
Статья
16-12-2019
Реверс-инжиниринг: История одного патча Apple
В этом году d1g1 с a1exdandy выступали на конференциях VolgaCTF и KazHackStan с докладом про Patch Diffing программ, написанных на Оbjective-С, и то, как с его помощью можно искать и находить 0-day и 1-day уязвимости в продуктах компании Apple. Видео выступления можно посмотреть по ссылке. Binary Diffing – это процесс сравнения двух исполняемых файлов с целью найти
Блoг
23-02-2020
Страх подавляет разум, или как изолироваться от социального инженера
С появлением у людей первых ценных секретов появилась и социальная инженерия – метод получения доступа к конфиденциальной информации путем психологического воздействия. Жертвой в данном случае становится не компьютер пользователя, а сам пользователь. Поэтому атаки социальной инженерии и не теряют свою актуальность. Они приобретают новые формы, адаптируясь под новые технологии, но главный тотализатор — особенности психологии
15 мин
Как защититься от хакеров?
Интернет-безграмотность — это, пожалуй, главное, что приводит к кибермошенничеству. По мнению некоторых экспертов, многие турагенты потеряли бдительность при работе в Интернете из-за того, что бронировать авиа- и ж/д билеты стало легко, как никогда. «Если раньше для продажи билетов турфирме нужны были какие-то инвестиции, аккредитация пунктов продажи, покупка систем шифрования, обучение кассиров и так далее, то сейчас любое агентство может просто получить доступ к системе бронирования и работать. Но из-за легкости подключения к этой системе агенты перестали серьезно относиться к безопасности при работе в ней», — анализирует ситуацию Дмитрий Витчинка, гендиректор компании «УФС».
К счастью, в этом вопросе турагенты способны помочь себе сами. Чтобы вскрыть личный кабинет, хакеры пользуются разными методами, среди которых банальный подбор комбинации логина и пароля, рассылка писем с вредоносными файлами-вирусами (с разрешением .exe). Другой способ — спам со ссылкой на якобы знакомый сайт, который на самом деле является лишь копией известного ресурса и на который вы по незнанию введете свои логин и пароль. Одним словом, вариантов множество. Но, чтобы не попасться на удочку, не обязательно самому становиться хакером, достаточно пользоваться нехитрыми способами защиты.
Советы экспертов по защите от хакеров
1. Используйте лицензионные антивирусные программы, регулярно обновляйте их. Именно они защитят ваш компьютер, если вы по ошибке скачаете зараженный файл из безобидного письма или зайдете на опасный ресурс.
2. Максимально защищайте свою почту, ведь взломав ее, злоумышленники получат доступ ко всем вашим аккаунтам — будь то социальные сети или личные кабинеты. Поэтому не используйте короткие простые пароли, содержащие менее 8 символов, в кодовое слово включайте прописные и заглавные буквы, а также цифры. К примеру, так: kKC%5426hMaN.
А вот самые популярные пароли рунета.
Найдите среди них свой и срочно замените:
| 123456 (и его вариации) | qwerty |
| 111111 (222222 и т.д.) | monkey |
| abc123 | iloveyou |
| password | gfhjkm |
| 123123 | admin |
| 1q2w3e4r5t | test |
3. Не используйте пароли, которые содержат личные данные: даты рождения, имена родных. Все это можно легко выяснить через социальные сети. Кроме того, выбирайте нестандартные контрольные вопросы, служащие для восстановления пароля. «Девичья фамилия матери» или «Любимая книга» неэффективны, поскольку опять же содержат личную информацию.
4. Не храните пароли на рабочем столе компьютера, где их легко могут найти третьи лица.
5. Используйте разные пароли для социальных сетей, сервисов бронирования и электронной почты
6. Периодически меняйте пароли, особенно после ухода из компании какого-либо сотрудника.
7. Используйте все способы защиты, предлагаемые системами бронирования (см. ниже)
Сами системы бронирования в ответ на кибератаки начали активно заниматься интернет-безопасностью. «Мы сделали большие вложения в новейшие системы защиты. Например, ввели систему СМС-авторизации: для входа в личный кабинет необходимо ввести секретный код, который приходит на мобильный телефон турагента. Опция субагентам предоставляется бесплатно», — рассказывает Дмитрий Горин («Випсервис»).
Подобных способов защиты аккаунтов, разработанных b2b-системами бронирования, несколько. Они не являются обязательными, но эксперты настоятельно рекомендуют подключать такие услуги и активно ими пользоваться.
Итак, что предлагают сервисы бронирования своим субагентам для защиты от хакеров?
— «Усиленная авторизация» — помимо индивидуального логина и пароля для доступа в личный кабинет, агенты получают на свою электронную почту уникальный разовый сессионный ключ, который необходимо вводить при каждом входе в систему.
— СМС-авторизация— при входе в систему агенту на мобильный телефон приходит сообщение с секретной комбинацией символов, которые нужно ввести при авторизации.
— Запрет на бронирование в ночное время суток по часовому поясу, в котором географически находится турагентство.
— Привязка компьютера к определенному IP-адресу — один из самых надежных способов защиты аккаунтов. IP-адрес — это уникальный идентификатор устройства, подключенного к Интернету, и некоторые сервисы бронирования предлагают закрепить за вашим личным кабинетом IP-адрес именно вашего компьютера. Проще говоря, ни с одного другого ноутбука, планшета или компьютера зайти в систему бронирования будет просто невозможно.
Есть ли обязательства при наложенном платеже?
Если вы все же успели заказать товар до того, как в сети появились негативные отзывы о магазине, обличающие его в мошенничестве, то это не значит, что вы потеряете деньги. Вы можете не забирать посылку!
Согласно правилам почты, получатель может проигнорировать извещение и не приходить за своим заказом. По истечении срока посылку отправят обратно отправителю. На вас не будут наложены никакие обязательства. Поэтому игнорирование не несет для вас никаких последствий. А вот мошенник будет наказан – ему придется заплатить дважды за доставку и, вдобавок, за хранение.
Также, если есть желание, вы можете прийти на почту и написать заявление об отказе принимать посылку. Никакой оплаты с вас не потребуют, а заказ отправят обратно продавцу.
Как видите, даже если вы сделали заказ в липовом магазине и не успели забрать купленную вещь, то еще не все потеряно. Вы еще можете сохранить свои деньги! Однако мошенники эту «фишку» тоже узнали, поэтому теперь своим жертвам они присылают угрозы, чтобы вынудить их забрать посылку. Якобы они сотрудничают с налоговыми организациями и коллекторскими службами.
Это – обычный прессинг, который должен заставить вас испугаться и отдать деньги за безделушку в посылке. Не ведитесь на это! Ни один нормальный магазин, который ориентирован на клиентов, не позволит себе подобных высказываний. Это еще один признак того, что перед вами мошенники. И их слова – пустышка. «Магазин» в реальности даже нигде не зарегистрирован. Стоит в ответ пригрозить «менеджерам» обращением в налоговую, суд или правоохранительные органы, как они тут же исчезнут, будто их и не было.
Цели фишинга
Фишеры, то есть мошенники, которые занимаются фишингом, преследуют разные цели.
Кража
Идентификационные данные, например номер телефона, можно использовать для кражи денег пользователей. Мошенники, представляясь сотрудниками службы безопасности банка, сообщают человеку, что кто-то пытается привязать к его карте другой номер телефона. И предлагают провести с карты идентификационный перевод для подтверждения личности. Пользователю нужно сообщить «сотрудникам банка» данные карты и код подтверждения, который придёт в СМС или пуш-уведомлении. Так фишеры могут похитить деньги с карты.
Есть и другие схемы, например «перевод по ошибке». Мошенники присылают фейковое сообщение, маскируясь под банковское приложение, с якобы ошибочным переводом, а затем от имени банка просят вернуть деньги. Чтобы это сделать, опять же потребуется сообщить данные карты и код подтверждения операции.
Фишингу могут подвергаться не только отдельные люди, но и целые компании. В период с 2013 по 2015 год мошенники обманули «Фейсбук»* и Google на 100 миллионов долларов. Фишер воспользовался тем, что обе компании использовали тайваньскую компанию Quanta в качестве поставщика. Злоумышленник выдал себя за представителя компании и отправил компаниям серию фальшивых счетов, которые оплатили и «Фейсбук»*, и Google.
В итоге мошенничество было раскрыто, а злоумышленник был арестован. Но удалось вернуть лишь 49,7 млн долларов из 100.
Шантаж
Мошенники могут взломать облачные хранилища человека, например на «Яндекс Диске», или получить доступ к файлам его телефона. В таком случае киберпреступники шантажируют жертву, например, украв интимные фотографии и угрожая выложить их в открытый доступ. Скандалы со взломом телефонов знаменитостей и распространением личных фотографий сегодня не редкость. Продавая снимки таблоидам, мошенники могут хорошо заработать.
В 2017 году фишеры похитили фильм Disney и требовали за него выкуп. Disney не разглашала информацию о том, что это за фильм и сколько потребовали мошенники. Но, скорее всего, речь шла о пятой части «Пиратов Карибского моря». Хакеры угрожали слить фильм в Сеть, если компания не заплатит им. В итоге этого не случилось, а в интернете появились только его отдельные фрагменты. Видимо, компания смогла договориться со злоумышленниками.