«Фишинг»: рыбалка на ваши пароли
Фишинг (от англ. phishing — гибрид слов fishing, рыбалка, и password, пароль) — это классическая схема кражи логинов, паролей и другой конфиденциальной информации при помощи сайтов-двойников.
Что значит сваттинг, кэтфишинг и не толькоТакие странички тщательно (а иногда не очень) мимикрируют под официальные порталы или выдают себя за безопасные сервисы. Чаще всего такие сайты-наживки живут совсем недолго, но даже за короткую жизнь они могут помочь обмануть десятки и сотни людей.
Часто URL-адрес очень похож на настоящий, но с небольшими изменениями: например, в названии заменена одна буква или вместо точки использует другой символ. Как только вы вводите там логин и пароль, они попадают к аферистам.
Попасть на такого «клона» можно разными путями — ссылку могут прислать по почте с заманчивым предложением получить приз или ее может отправить ваш знакомый (на самом деле аферист), попросив принять участие в голосовании. В особых случаях мошенники покупают рекламу у поисковиков, за счет чего «двойники» оказываются на первом месте в выдаче, выше настоящего сайта.
Например, после начала учебного года аферисты переключились на тему электронных дневников. Родителям звонят якобы из школы и просят «активировать» учетную запись по ссылке, а затем ввести код из СМС. На самом деле код дает доступ к Госуслугам жертвы, откуда мошенники уже могут добраться и до онлайн-банков.
«Вишинг и смишинг»: обман по телефону
Звонки из «службы безопасности» и других «очень важны организаций» — обычное дело. Такой обман по-умному можно назвать вишингом (voice phishing, голосовой фишинг). Это один из самых простых и одновременно эффективных способов, ведь во время живого разговора по телефону сложно проверить информацию и повременить с ответом. Этим и пользуются мошенники — они манипулируют эмоциями собеседника, чтобы получить от него желаемый код из СМС.
Менее контактный способ «развода» — смишинг (SMS + phishing). Суть та же: с помощью методов социальной инженерии, угроз и спешки вас заставляют совершить нужное аферистам действие.
Вспомним недавний случай: 56-летней жительнице Дзержинского района позвонили и сообщили, что «срок действия ее SIM-карты подходит к концу», выманив номер, привязанный к Госуслугам. Затем подключился лжеполицейский, который обвинил ее в госизмене и заставил установить приложение для удаленного доступа к телефону. Зная, что женщина ждет крупные выплаты, аферисты несколько месяцев держали ее в страхе и в итоге похитили более 13,5 млн рублей.
«Спуфинг»: цифровое перевоплощение
Спуфинг (от англ. spoof — мистификация, пародия) — общее название для технологий, которые лежат в основе многих атак. Суть состоит в подмене идентификационных данных, чтобы выдать себя за кого-то другого.
Мошенники могут подделать номер телефона, чтобы на вашем экране высветился номер настоящего банка. Или отправить письмо с поддельного, но очень похожего адреса. Цель — усыпить вашу бдительность.
Например, в 2023 году была зафиксирована массовая рассылка от имени госорганов с темой «Призыв по мобилизации». Письма выглядели официально, а адрес был похож на ведомственный, но в прикрепленном архиве скрывался вирус, который давал мошенникам полный контроль над компьютером жертвы.
«SIM-свопинг»: угон номера телефона
SIM-свопинг (от англ. swapping, подмена) — многоступенчатая схема обмана, цель которой получить дубликат вашей SIM-карты.
«Развод» начинается с разведки. Прежде чем идти к оператору, аферисту нужно собрать на вас полное досье. Для этого присылаются фишинговые письма со ссылками, где под предлогом сбоя просят ввести ваши личные данные, покупают на черном рынке украденные базы или просто внимательно изучают социальные сети.
Собрав все необходимые сведения, мошенник может прийти в салон связи и уговорить сотрудника выдать новую SIM-карту вместо «утраченной». Как только преступник вставляет ее в свой телефон, ваша тут же отключается, и все ваши звонки и СМС с кодами подтверждения начинают приходить ему.
Как это выглядит в жизни? 20-летний красноярец с помощью специального ПО находил SIM-карты, которые бывшие владельцы не отвязали от аккаунтов в микрокредитных организациях. Используя их, он оформил на чужие имена 65 микрозаймов на общую сумму в 1 млн рублей.
«Джус-джекинг»: опасные зарядки
Села батарейка в аэропорту или на вокзале, а под рукой только общедоступный USB-порт? Осторожно, мошенники могут использовать его для атаки под названием джус-джекинг (от англ. Juice Jacking — буквально «угон сока», где «сок» — это сленговое название электроэнергии).
Дело в том, что USB-кабель — это не только провод для питания, но и для передачи данных. Мошенники могут модифицировать общественные зарядные станции так, чтобы незаметно скачивать с телефона данные или устанавливать вредоносное ПО, например, программы-шпионы. Эта уязвимость настолько серьезна, что даже официальные ведомства США призывают путешественников избегать публичных USB-портов.
Эксперты рекомендуют использовать свой собственный адаптер («вилку») и подключайтесь к обычной розетке. Если другого выхода нет, на всплывающее на экране телефона окно «Доверять этому компьютеру?» или «Обмен данными» всегда отвечайте «Нет» и выбирайте режим «Только зарядка».
Троянские программы: файлы с подвохом
Троян — это вредоносная программа, названная в честь знаменитого Троянского коня из греческой мифологии. Как и его тезка, вирус проникает на ваше устройство под видом чего-то легитимного: полезного приложения, фото или видеофайла.
В отличие от классических вирусов, трояны не размножаются сами, а ждут, пока вы их установите. После этого они могут делать что угодно: красть данные банковских карт, нарушать работу компьютера или использовать его ресурсы для майнинга криптовалют.
Недавно троих программистов задержали за создание трояна «Мамонт». Они распространяли его через телеграм-каналы под видом безопасных приложений. Когда жертва устанавливала программу, троян получал доступ к СМС-банкингу и выводил деньги с карт.
«Дипфейки»: нейросеть вместо друга
Это технология из будущего, которая уже здесь. Дипфейк (от англ. deep learning — глубокое обучение и fake — подделка) — это реалистичная подделка видео или голоса с помощью искусственного интеллекта. Аферисты берут фото и видео из ваших соцсетей и создают ролик, в котором ваша цифровая копия просит у ваших друзей и родных срочно перевести денег. Голос и мимика могут быть почти неотличимы от настоящих.
«Распознать дипфейк можно по неестественной монотонной речи, дефектам звука и видео, несвойственной мимике», — комментирует управляющий Отделением Красноярск Банка России Сергей Журавлев.
Если вы получили подобное видео, самый надежный способ проверки — позвонить человеку лично. Или задать в переписке контрольный вопрос, ответ на который знаете только вы двое.
«Man-in-the-Middle»: бесплатный Wi-Fi только в мышеловке
Подключаясь к бесплатному Wi-Fi в кафе или аэропорту, вы рискуете стать жертвой атаки «человек посередине» (Man-in-the-Middle) или «посредника». Мошенник создает поддельную точку доступа с таким же названием, как у настоящей. Ваш телефон подключается к ней, и весь ваш интернет-трафик — пароли, сообщения, данные карт — проходит через устройство злоумышленника.
Кстати, в аэропорту Красноярска уже предупреждали о появлении фейковых точек Wi-Fi. Помните: официальные сети никогда не попросят вас авторизоваться через мессенджеры или продиктовать код из СМС.
«Дропперство»: как стать «денежным мулом»
В сети часто можно встретить объявления о легком заработке: «Нужно просто принимать деньги на свою карту и переводить их дальше, оставляя себе процент». Звучит заманчиво, но это — дропперство, или работа «денежным мулом» (англ. Money Mule). Соглашаясь на это, вы, как мул, перевозящий контрабанду, становитесь соучастником в схеме по отмыванию украденных денег, даже если не догадываетесь об этом.
Школьница из Назарово нашла такую «работу» в соцсетях. Через ее карту мошенники провели деньги, похищенные у другой жертвы. Девушка оставила себе 1600 рублей вознаграждения, а в итоге получила уголовное дело по статье 187 УК РФ (Неправомерный оборот средств платежей), по которой грозит до трех лет лишения свободы. Это стало первым делом в регионе за дропперство.
А с какими хитрыми схемами сталкивались вы? Делитесь опытом в комментариях.
