Podľa štatistík centrálnej banky Ruska v roku 2017 317,7 tisíc používateľov stratilo na internete 961 miliónov rubľov v dôsledku konania podvodníkov. Zároveň v 97 % prípadov obete podvodu nekontaktovali orgány činné v trestnom konaní. A hovoríme o incidentoch, ktoré boli nahlásené banke.
Pozrime sa na bežné spôsoby, ktorými útočníci kradnú peniaze na sociálnych sieťach. A aby ste sa nedostali do siete podvodníkov, poradíme vám, ako sa chrániť pred kyberzločincami.
1. Hacknutie účtu
Získanie prihlasovacích údajov k účtu umožňuje podvodníkom získať dôverné informácie a oklamať priateľov používateľa. Podvodníci na to používajú celý arzenál trikov:
- infikovanie počítača alebo mobilného modulu gadget vírusom;
- hackovanie databáz iných stránok a zodpovedajúce heslá;
- bežné heslá hrubou silou.
Vírusová infekcia sa najčastejšie vyskytuje pri prijímaní e-mailov s prílohami odneznámych príjemcov alebo sťahovanie súborov z bezplatného hostingu súborov. Vírusy sú zamerané na skenovanie nezašifrovaných hesiel v priečinkoch prehliadača, ako aj na sledovanie toho, čo používateľ zadáva z klávesnice. Napríklad Android. BankBot.358.origin je zameraný na klientov Sberbank a kradne prihlasovacie údaje do mobilnej aplikácie. Trojan TrickBot tiež vyhľadáva prihlasovacie údaje k bankovým účtom, ako aj zmenárňam kryptomien. Keylogger Fauxpersky sa maskuje ako produkt spoločnosti Kaspersky Lab a zhromažďuje všetko, čo používateľ napíše na klávesnici.
Informácie zhromaždené vírusmi sa odosielajú útočníkom. Vírus zvyčajne vytvorí textový súbor a pripojí sa k poštovej službe špecifikovanej v nastaveniach. Potom pripojí súbor k e-mailu a odošle ho na adresu podvodníkov.
Používatelia používajú rovnaké heslo pre všetky stránky (internetové obchody, sociálne siete, poštové servery), aby si nezapamätali a neukladali jedinečné heslá pre každý účet na počítačoch. Škodcovia útočia na menej chránené stránky: adresáre, internetové obchody, fóra. Na sociálnych sieťach pracuje celý tím IT profesionálov zodpovedných za kybernetickú bezpečnosť. A online obchody a fóra fungujú na CMS, v ktorých podvodníci pravidelne nachádzajú zraniteľné miesta pri krádeži údajov.
Hackeri skopírujú databázu používateľov, ktorá zvyčajne obsahuje prezývky, e-mailové adresy a prihlasovacie heslá. Napriek tomuže heslá sú uložené v zašifrovanej forme, možno ich dešifrovať, pretože väčšina stránok používa 128-bitový hashovací algoritmus MD5. Dešifruje sa pomocou softvéru pre stolné počítače alebo online služieb. Napríklad služba MD5 Decrypt obsahuje databázu 6 miliárd dešifrovaných slov. Po dešifrovaní sa heslá skontrolujú z hľadiska možnosti prístupu k poštovým službám a sociálnym sieťam. Pomocou pošty môžete obnoviť svoje heslo na sociálnej sieti, ak ste ho nedokázali uhádnuť.
Hrutá sila s heslom je každým rokom menej a menej relevantná. Jeho podstata spočíva v metodickom overovaní bežných kombinácií písmen a číslic v heslách pre vstup do účtu na sociálnej sieti. Podvodníci používajú proxy servery a VPN, ktoré skryjú IP adresu počítača, aby ich sociálna sieť nezistila. Samotné sociálne siete však používateľov chránia napríklad zavedením captcha.
Ako sa chrániť
Ak chcete bojovať proti vírusom, musíte dodržiavať základné pravidlá počítačovej bezpečnosti:
- nesťahujte súbory z neznámych zdrojov, pretože vírusy môžu byť zamaskované napríklad ako prezentačný súbor;
- neotvárať prílohy v e-mailoch od neznámych odosielateľov;
- nainštalujte antivírus (Avast, NOD32, Kaspersky alebo Dr. Web);
- nastaviť dvojfaktorové overenie na stránkach, ktoré majú túto možnosť;
- pri prístupe k službe zo zariadenia niekoho iného začiarknite príslušné políčko v poli autorizácie;
- nepoužívajte schopnosť prehliadača zapamätať si heslá.
Používateľ by nemalpoužívať rovnaké heslo pre sociálne siete, poštové služby, internetové obchody a bankové účty. Heslá môžete diverzifikovať pridaním označenia služieb na ich koniec. Napríklad 12345mail je vhodný pre poštu, 12345shop pre nakupovanie a 12345socialnet pre sociálne siete.
2. Vydieranie a vydieranie
Útočníci sa zámerne nabúrajú do účtov sociálnych médií, aby získali dôverné údaje, potom obeť vydierajú a vymáhajú peniaze. Napríklad, keď ide o intímne fotografie odoslané partnerovi.
Na samotných fotografiách nie je nič kriminálne. Útočníci vydierajú používateľa posielaním prijatých obrázkov príbuzným a priateľom. Počas komunikácie sa využíva psychický nátlak a pokusy o vytváranie pocitov viny v očakávaní, že obeť pošle peniaze.
Aj keď obeť poslala peniaze, nie je zaručené, že sa páchatelia nerozhodnú fotografie opäť „vykúpiť“alebo len zverejniť obrázky pre zábavu.
Ako sa chrániť
Používajte služby, ktoré vám umožňujú odosielať samodeštruktívne alebo šifrované správy na telegram alebo Snapchat. Alebo sa s partnerom dohodnite, že obrázky neuložíte, ale ihneď po zhliadnutí ich vymažete.
Na poštu a sociálne siete by ste nemali chodiť zo zariadení iných ľudí. Ak ich zabudnete nechať, existuje riziko, že vaša korešpondencia bude v nesprávnych rukách.
Pre tých, ktorí si radi ukladajú dôverné údaje, sa odporúča šifrovať priečinky pomocou špeciálneho softvéru, napríklad pomocou technológie šifrovaniaSystém súborov (EFS).
3. Ceny, dedičstvá a bezplatné položky
Podvodníci ponúkajú drahú položku zadarmo za predpokladu, že zaplatíte za dodanie na vašu adresu alebo poistenie za dopravu. Na podobnú ponuku môžete naraziť napríklad v skupine „Zadarmo“vášho mesta. Ako dôvod môžu uviesť naliehavé sťahovanie alebo prijatie tej istej veci ako dar. Pomerne často sa ako „návnada“používajú drahé veci: iPhone, iPad, Xbox a podobne. Na zaplatenie prepravných nákladov podvodníci požadujú sumu, s ktorou sa používateľ bez problémov rozlúči – až 10 000 rubľov.
Podvodníci môžu ponúkať nielen bezplatné položky, ale aj tovar s výrazne zníženou cenou, ako napríklad iPhone X za 5 000 rubľov. Chcú tak ukradnúť peniaze alebo údaje o karte pomocou falošného formulára platobnej brány. Podvodníci maskujú stránku platby kartou za stránku obľúbenej platobnej brány.
Útočníci môžu predstierať, že sú zamestnancami banky alebo notárskej agentúry a požiadať o pomoc pri vyberaní prostriedkov z účtu alebo peňazí získaných dedičstvom. Za týmto účelom budú požiadaní o prevod malej sumy na založenie bežného účtu.
Na získanie ceny je možné poslať aj odkaz vedúci na phishingovú stránku.
Ako sa chrániť
Neverte v syr zadarmo. Jednoducho ignorujte takéto žiadosti alebo sa sťažujte pomocou vstavaných nástrojov sociálnych médií. Ak to chcete urobiť, prejdite na stránku účtu, kliknite na tlačidlo „Sťažovať sa na používateľa“a napíšte dôvod odvolania. Služba moderátorasociálna sieť skontroluje informácie.
Neklikajte na neznáme odkazy, najmä ak sú vytvorené pomocou goo.gl, bit.ly a iných služieb skracovania odkazov. Odkaz však môžete dešifrovať pomocou služby UnTinyURL.
Povedzme, že ste na sociálnej sieti dostali správu o výhodnom predaji telefónu alebo tabletu. Neverte v šťastie a okamžite zaplaťte za nákup. Ak ste sa dostali na stránku s formulárom platobnej brány, pozorne skontrolujte, či je doména správna a či je spomenutý štandard PCI DSS. Správnosť platobného formulára si môžete skontrolovať na technickej podpore platobnej brány. Ak to chcete urobiť, stačí ju kontaktovať e-mailom. Napríklad na webových stránkach poskytovateľov platieb PayOnline a Fondy sú uvedené e-mailové adresy služieb zákazníckej podpory.
4. "Hoď sto"
Podvodníci používajú napadnutú stránku, aby požiadali známych a priateľov obete o prevod peňazí na účet. Teraz sa odosielajú nielen žiadosti o prevody, ale aj fotografie bankových kariet, na ktorých je pomocou grafického editora aplikované meno a priezvisko majiteľa napadnutého účtu.
Útočníci spravidla žiadajú o urgentný prevod peňazí, pretože sa obávajú straty kontroly nad účtom. Žiadosti často obsahujú prvky psychického nátlaku a neustále pripomínajú, že všetko treba urýchlene urobiť. Podvodníci si môžu vopred naštudovať históriu komunikácie a dokonca použiť adresy, ktoré poznáte len vy podľa mena alebo prezývok.
Ako sa chrániť
Zavolajte priateľovi a priamo sa spýtajte, či nepotrebujú peniaze. Takže sa uistitepravdivosť požiadavky a môžete okamžite upozorniť na hacknutie stránky.
Ak dobre poznáte osobu, ktorej účet bol napadnutý, dávajte pozor na spôsob reči. Útočník s najväčšou pravdepodobnosťou nebude mať čas úplne skopírovať svoj komunikačný štýl a použije pre neho nezvyčajné slovné spojenia.
Venujte pozornosť fotke bankovej karty. Falzifikát môžete vypočítať nekvalitným spracovaním v grafickom editore: písmená budú „skákať“, iniciály nebudú na rovnakom riadku s dátumom platnosti karty a niekedy sa dokonca prekrývajú s platnosťou karty.
Prežiť sociálne médiá
Od decembra 2014 do decembra 2016 sa počet útokov na používateľov pomocou sociálneho inžinierstva zvýšil 11-krát. 37,6 % útokov bolo zameraných na krádež osobných údajov vrátane informácií o bankových kartách.
Podľa výskumu spoločnosti ZeroFOX predstavoval Facebook 41,2 % útokov, Google+ 21,6 % a Twitter 19,7 %. Sociálna sieť VKontakte nebola zahrnutá do štúdie.
Odborníci identifikujú 7 populárnych podvodných taktík sociálnych médií:
- Verifikácia falošnej stránky. Podvodníci v mene sociálnej siete ponúkajú vytúženú značku „overenej“stránky. Obetiam sa pošle adresa špeciálne pripravenej stránky na krádež údajov.
- Šírenie falošného odkazu pomocou cielených reklám. Útočníci vytvárajú reklamu, aby prilákali používateľov na stránky s nízkymi cenami a predávali falošný tovar.
- Imitácia zákazníckeho servisu známej značky. Útočníci sa maskujú za služby technickej podpory veľkých značiek a od svojich zákazníkov dostávajú dôverné informácie.
- Používanie starých účtov. Útočníci môžu použiť staré účty tak, že zmenia svoje nastavenia, aby obišli ovládanie sociálnych médií.
- Falošné stránky online obchodov a značiek. Útočníci falšujú komunitné stránky internetových obchodov a vedú používateľov na phishingové stránky s cieľom autorizácie, odcudzenia prihlasovacích údajov alebo predaja falošného tovaru.
- Falošné propagácie. Aby sa útočníci mohli zúčastniť akcie, môžu požiadať o e-mail alebo fotografiu údajne na účasť, čo môže byť neskôr použité na nezákonné akcie.
- Finančný podvod. Útočníci ponúkajú nafúknuté príjmy v krátkom čase jednoduchým ukradnutím peňazí od dôverčivých používateľov.
- Falošné stránky HR spoločností. Niektorí podvodníci napodobňujú oficiálny štýl veľkých spoločností a požadujú platbu za zváženie žiadosti o zamestnanie.
Je len jeden spôsob, ako sa chrániť pred sociálnym inžinierstvom – znalosti. Preto sa musíte dobre naučiť pravidlá počítačovej bezpečnosti a neveriť príliš štedrým ponukám.
