Po statističnih podatkih Centralne banke Rusije je v letu 2017 317,7 tisoč uporabnikov na internetu izgubilo 961 milijonov rubljev zaradi dejanj goljufov. Hkrati se v 97% primerov žrtve goljufij niso obrnile na organe pregona. In govorimo o incidentih, ki so bili prijavljeni banki.
Oglejmo si pogoste načine, ki jih napadalci uporabljajo za krajo denarja na družbenih omrežjih. In da ne boste padli v mrežo prevarantov, vam bomo svetovali, kako se zaščititi pred kibernetskimi kriminalci.
1. Vdor v račun
Pridobitev podatkov za prijavo v račun omogoča goljufom, da pridejo do zaupnih informacij in zavedejo uporabnikove prijatelje. Za to prevaranti uporabljajo cel arzenal trikov:
- okužba računalnika ali mobilnega pripomočka z virusom;
- vdiranje baz podatkov drugih spletnih mest in ujemajočih se gesel;
- pogosta gesla z grobo silo.
Virusna okužba se najpogosteje pojavi pri prejemu e-pošte s prilogami odneznani prejemniki ali prenos datotek z brezplačnega gostovanja datotek. Virusi so namenjeni skeniranju map brskalnika za nešifrirana gesla in spremljanju, kaj uporabnik vnese s tipkovnice. Na primer, Android. BankBot.358.origin je namenjen strankam Sberbank in krade prijavne podatke za mobilno aplikacijo. Trojanec TrickBot išče tudi podatke za prijavo za bančne račune in menjalnice kriptovalut. Fauxpersky keylogger se prikrije kot izdelek Kaspersky Laba in zbira vse, kar uporabnik vnese na tipkovnico.
Podatki, ki jih zberejo virusi, se pošljejo napadalcem. Običajno virus oblikuje besedilno datoteko in se poveže s poštno storitvijo, določeno v nastavitvah. Nato datoteko pripne e-poštnemu sporočilu in jo pošlje na naslov prevarantov.
Uporabniki uporabljajo isto geslo za vsa spletna mesta (spletne trgovine, družbena omrežja, poštni strežniki), da ne bi imeli v mislih in ne shranili edinstvenih gesel za vsak račun na računalnikih. Zlobniki napadajo manj zaščitena spletna mesta: imenike, spletne trgovine, forume. Na družbenih omrežjih deluje cela ekipa IT strokovnjakov, odgovornih za kibernetsko varnost. Spletne trgovine in forumi delujejo na CMS, v katerem goljufi občasno najdejo ranljivosti za krajo podatkov.
Hekerji kopirajo uporabniško bazo podatkov, ki običajno vsebuje vzdevke, e-poštne naslove in gesla za prijavo. Kljubda so gesla shranjena v šifrirani obliki, jih je mogoče dešifrirati, saj večina spletnih mest uporablja 128-bitni algoritem zgoščevanja MD5. Dešifrira se z namizno programsko opremo ali spletnimi storitvami. Na primer, storitev MD5 Decrypt vsebuje bazo podatkov s 6 milijardami dešifriranih besed. Po dešifriranju se gesla preverijo za možnost dostopa do poštnih storitev in družbenih omrežij. Z uporabo pošte lahko obnovite svoje geslo na družbenem omrežju, če ga ne morete uganiti.
Bruta sila gesla postaja vsako leto vse manj pomembna. Njegovo bistvo je v metodičnem preverjanju običajnih kombinacij črk in številk v geslih za vstop v račun družbenega omrežja. Goljufi uporabljajo proxy strežnike in VPN-je, ki skrijejo IP naslov računalnika, tako da jih socialno omrežje ne zazna. Vendar pa družbena omrežja sama ščitijo uporabnike, na primer z uvedbo captcha.
Kako se zaščititi
Za boj proti virusom morate upoštevati osnovna pravila računalniške varnosti:
- ne prenašajte datotek iz neznanih virov, saj so virusi lahko prikriti, na primer kot predstavitveno datoteko;
- ne odpirajte prilog v e-poštnih sporočilih neznanih pošiljateljev;
- namesti protivirusni program (Avast, NOD32, Kaspersky ali Dr. Web);
- nastavite dvofaktorsko preverjanje pristnosti na spletnih mestih, ki imajo to možnost;
- če dostopate do storitve iz naprave nekoga drugega, potrdite ustrezno polje v polju za avtorizacijo;
- ne uporabljajte zmožnosti brskalnika, da si zapomni gesla.
Uporabnik ne bi smeluporabite isto geslo za družbena omrežja, poštne storitve, spletne trgovine in bančne račune. Gesla lahko razširite tako, da na njihov konec dodate oznake storitev. Na primer, 12345mail je primeren za pošto, 12345shop za nakupovanje in 12345socialnet za družbena omrežja.
2. Izsiljevanje in izsiljevanje
Napadalci namerno vdrejo v račune družbenih medijev, da bi pridobili zaupne podatke, nato žrtev izsiljujejo in izsiljujejo denar. Na primer, ko gre za intimne fotografije, poslane partnerju.
Na samih fotografijah ni nič kaznivega. Napadalci uporabnika izsiljujejo tako, da prejete slike pošljejo sorodnikom in prijateljem. Med komunikacijo se uporablja psihološki pritisk in poskusi ustvarjanja občutka krivde v pričakovanju, da bo žrtev poslala denar.
Tudi če je žrtev poslala denar, ni nobenega zagotovila, da se storilci ne bodo odločili ponovno "odkupiti" fotografije ali samo za zabavo objavili slike.
Kako se zaščititi
Uporabite storitve, ki vam omogočajo pošiljanje samouničujočih ali šifriranih sporočil v Telegram ali Snapchat. Ali pa se dogovorite s partnerjem, da slik ne shranjuje, ampak jih izbriše takoj po ogledu.
Ne bi smeli obiskati pošte in družbenih omrežij z naprav drugih ljudi. Če jih pozabite pustiti, obstaja tveganje, da bo vaša korespondenca v napačnih rokah.
Za tiste, ki radi shranjujejo zaupne podatke, priporočamo šifriranje map s posebno programsko opremo, na primer s tehnologijo šifriranjaDatotečni sistem (EFS).
3. Nagrade, zapuščine in brezplačni predmeti
Prevaranti ponujajo brezplačno pridobitev dragega artikla, pod pogojem, da plačate poštnino na vaš naslov ali zavarovanje za pošiljanje. Morda boste naleteli na podobno ponudbo, na primer v skupini »Brezplačno« v vašem mestu. Kot razlog lahko navedejo nujno selitev ali prejem iste stvari kot darilo. Pogosto se kot "vaba" uporabljajo drage stvari: iPhone, iPad, Xbox in podobno. Za plačilo stroškov pošiljanja prevaranti zahtevajo znesek, s katerim se uporabnik lahko razide – do 10.000 rubljev.
Prevaranti ne morejo ponuditi samo brezplačnih artiklov, ampak tudi blago z močno znižano ceno, kot je iPhone X za 5000 rubljev. Tako želijo ukrasti denar ali podatke o kartici z uporabo ponarejenega obrazca za prehod za plačila. Goljufi prikrivajo stran za plačevanje s kartico kot stran priljubljenega plačilnega prehoda.
Napadalci se lahko pretvarjajo, da so zaposleni v banki ali notarski agenciji, in prosijo za pomoč pri unovčevanju sredstev z računa ali denarja, prejetega po dedovanju. Za to bodo morali nakazati majhen znesek za vzpostavitev tekočega računa.
Za prevzem nagrade lahko pošljete tudi povezavo, ki vodi do spletnega mesta z lažnim predstavljanjem.
Kako se zaščititi
Ne verjemite v brezplačen sir. Preprosto prezrite takšne zahteve ali se pritožite z vgrajenimi orodji družbenih medijev. Če želite to narediti, pojdite na stran računa, kliknite gumb »Pritoži se na uporabnika« in napišite razlog za pritožbo. Moderatorska storitevdružabno omrežje bo pregledalo informacije.
Ne klikajte na neznane povezave, še posebej, če so narejene z uporabo goo.gl, bit.ly in drugih storitev za krajšanje povezav. Lahko pa povezavo dešifrirate s storitvijo UnTinyURL.
Recimo, da ste na družbenem omrežju prejeli sporočilo o donosni prodaji telefona ali tablice. Ne verjemite v srečo in takoj plačajte nakup. Če ste prišli na stran z obrazcem za prehod za plačilo, natančno preverite, ali je domena pravilna in ali je omenjen standard PCI DSS. Pravilnost plačilnega obrazca lahko preverite pri tehnični podpori plačilnega prehoda. Če želite to narediti, jo kontaktirajte po e-pošti. Na spletnih mestih ponudnikov plačil PayOnline in Fondy so na primer navedeni e-poštni naslovi storitev za podporo strankam.
4. "vrzi sto"
Prevaranti uporabljajo vdrto stran, da prosijo žrtvine znance in prijatelje, naj nakažejo denar na račun. Zdaj se ne pošiljajo le zahtevki za nakazila, temveč tudi fotografije bančnih kartic, na katerih sta z grafičnim urejevalnikom uporabljena ime in priimek lastnika vdrtega računa.
Napadalci praviloma zahtevajo nujno nakazilo denarja, saj se bojijo izgube nadzora nad računom. Zahteve pogosto vsebujejo elemente psihološkega pritiska in nenehen opomnik, da je treba vse narediti nujno. Goljufi lahko vnaprej preučijo zgodovino komunikacije in celo uporabljajo naslove, ki jih poznaš samo po imenu ali vzdevkih.
Kako se zaščititi
Pokličite prijatelja in ga neposredno vprašajte, če potrebujejo denar. Torej poskrbiteresničnost zahteve in lahko takoj opozorite na vdor v stran.
Če dobro poznate osebo, čigar račun je bil vdrt, bodite pozorni na način govora. Napadalec najverjetneje ne bo imel časa popolnoma kopirati svojega sloga komunikacije in bo uporabljal zanj nenavadne oblike govora.
Bodite pozorni na fotografijo bančne kartice. Ponaredek lahko izračunate s kakovostno obdelavo v grafičnem urejevalniku: črke bodo »skočile«, začetnice ne bodo v isti vrstici z datumom veljavnosti kartice, včasih pa se bodo celo prekrivale z veljavnostjo kartice..
Preživite družbene medije
Od decembra 2014 do decembra 2016 se je število napadov na uporabnike z uporabo socialnega inženiringa povečalo za 11-krat. 37,6 % napadov je bilo namenjenih kraji osebnih podatkov, vključno s podatki o bančnih karticah.
Po raziskavah podjetja ZeroFOX je Facebook predstavljal 41,2 % napadov, Google+ 21,6 % in Twitter 19,7 %. Socialno omrežje VKontakte ni bilo vključeno v študijo.
Strokovnjaki identificirajo 7 priljubljenih taktik prevare v družabnih medijih:
- Lažno preverjanje strani. Goljufi v imenu družbenega omrežja ponujajo pridobitev želene kljukice »preverjene« strani. Žrtve dobijo naslov posebej pripravljene strani za krajo podatkov.
- Širenje lažne povezave z uporabo ciljno usmerjenih oglasov. Napadalci ustvarijo oglas, da privabijo uporabnike na strani z nizkimi cenami in prodajajo ponarejeno blago.
- Imitacija storitev za stranke znane blagovne znamke. Napadalci se prikrivajo kot službe tehnične podpore velikih blagovnih znamk in od svojih strank prejemajo zaupne podatke.
- Uporaba starih računov. Napadalci lahko uporabljajo stare račune tako, da spremenijo njihove nastavitve, da zaobidejo nadzor družbenih medijev.
- Lažne strani spletnih trgovin in blagovnih znamk. Napadalci prevarajo skupnostne strani spletnih trgovin in uporabnike vodijo na strani z lažnim predstavljanjem za avtorizacijo, krajo podatkov za prijavo ali prodajo ponarejenega blaga.
- Lažne promocije. Za sodelovanje v akciji lahko napadalci zaprosijo za e-pošto ali fotografijo, ki naj bi bila za sodelovanje, ki jo lahko kasneje uporabijo v nezakonitih dejanjih.
- Finančne goljufije. Napadalci ponujajo napihnjen dohodek v kratkem času tako, da preprosto ukradejo denar lahkovernim uporabnikom.
- Lažne strani kadrovskih podjetij. Nekateri prevaranti posnemajo uradni slog velikih podjetij in zahtevajo plačilo za obravnavo prošnje za delo.
Obstaja samo en način, da se zaščitite pred socialnim inženiringom – znanje. Zato se morate dobro naučiti pravil računalniške varnosti in ne verjeti preveč radodarni ponudbi.
