По данным областного УМВД, Томская область, к сожалению, находится среди регионов-лидеров по уровню преступности в Сибирском федеральном округе из-за большого числа киберпреступлений: на них приходится более 49 % от всех правонарушений в регионе. При этом с каждым годом растет число жертв мошенничества и сумма ущерба. Так, в 2024 году жители Томской области отдали мошенникам более миллиарда рублей! Как показывает практика, даже осведомленные о мошеннических схемах люди попадаются на уловки жуликов. Почему так происходит? Человеческий фактор плюс возможности современных цифровых технологий. Что именно применяют мошенники и как им противостоять? Разбираемся.
Основной метод мошенников — социальная инженерия. Это психологическое манипулирование человеком с целью заставить его выполнить то, что нужно жулику, — отдать деньги или сообщить конфиденциальные данные. Для этого обманщики используют «болевые точки» и слабости людей — страх потерять деньги или получить неприятности, жадность, желание быстро обогатиться и т. д. Показательный пример социальной инженерии — схема с «безопасными счетами»: человеку звонят от имени банка и сообщают о взломе его личного кабинета мошенниками, которые прямо сейчас пытаются вывести все деньги со счета. Дальше жертве говорят: срочно спасайте деньги — переведите их на безопасный (резервный и др. варианты названия) счет. Такой вид обмана называют вишингом.
Чтобы манипулировать человеком, мошеннику необходимо наладить с ним контакт, войти в доверие и усыпить бдительность. В этом жуликам помогают современные технологии. Например, многие люди сегодня не отвечают на звонки с незнакомых номеров, потому что количество телефонного спама и мошеннических обзвонов уже зашкаливает. Но жулики придумали, как это обойти, — они используют спуфинг и дипфейки.
Спуфинг: виды и способы защиты
Спуфинг (от англ. spoof — подделка, обман) — вид кибермошенничества, при котором мошенники маскируются под других людей или компании, чтобы получить доступ к персональным данным, заразить устройство жертвы вредоносной программой или заставить отдать деньги.
Самые популярные виды спуфинга
· Спуфинг автоматического определителя номера — подмена номера вызывающего абонента. На экране телефона отображаются ложные сведения о вызывающем абоненте. Пример — звонок якобы с номера банка: жулик представляется менеджером кредитной организации и под каким-то предлогом пытается заставить человека сообщить данные карты или код из СМС. Это самый распространенный вид спуфинга.
· Спуфинг электронной почты — подменяется адрес отправителя, его имя и заголовок электронного письма. Содержание письма может быть разным — к примеру, мошенники пишут от имени судебных приставов и сообщают о крупном долге, который нужно срочно погасить, а иначе арестуют банковские счета и внесут во все черные списки. Для оплаты долга дается ссылка. Ради правдоподобности к письму может быть прикреплен документ с гербом и печатью. На самом деле ссылка приведет на фишинговую страницу, где пользователь укажет данные карты, передав их мошенникам, а бонусом еще и денег им переведет.
· Спуфинг сайтов (фарминг) — происходит подмена сайта или URL-адреса. Мошенники создают сайт-клон, который имитирует настоящий сайт. Копируется визуальное оформление, интерфейс, адрес сайта тоже максимально похож на подлинный. Мошенники перенаправляют трафик с подлинного сайта на фейковый. В результате пользователь думает, что вводит логин и пароль (или платежные данные карты) на подлинном сайте, а на самом деле отдает их мошенникам.
· СМС-спуфинг (смишинг) — мошенник подменяет данные об отправителе СМС-сообщения. Например, жулики активно используют для обмана короткий номер 900, который знаком всем клиентам Сбера. Подменив свой номер на 900, мошенники могут прислать СМС с таким содержанием: «Ваша карта заблокирована, так как по ней проходили подозрительные операции. Чтобы разблокировать, перейдите по ссылке и введите данные паспорта и реквизиты карты» и др. Переход по таким ссылкам приведет на фишинговую страницу для сбора данных или к загрузке вредоносного ПО.
· Спуфинг Face ID (или другой биометрической аутентификации). Мошенники пытаются обмануть систему аутентификации с помощью фотографий, видео или 3D-моделей лица.
Правила защиты от спуфинга
1. Осторожно относитесь к сообщениям, звонкам и письмам, в которых вас просят совершить любые действия, касающиеся денег. Даже если отправитель вам знаком, проверяйте информацию.
2. Не отвечайте не звонки с незнакомых номеров.
3. Запретите прием звонков с незнакомых номеров в мессенджерах, чтобы вам могли звонить только люди из вашего списка контактов. Так вы отсеите звонки мошенников, маскирующихся под организации и знакомых вам людей.
4. Не переходите по ссылкам из СМС, электронных писем и сообщений в мессенджерах, не открывайте вложенные файлы и не скачивайте их — это может привести к потере персональных данных и денег.
5. Используйте надежные пароли и включите двухфакторную аутентификацию на всех сайтах и во всех приложениях, которые ее поддерживают, чтобы мошенники не могли взломать ваши аккаунты и получить доступ к конфиденциальной информации.
6. Используйте антивирусную программу на всех устройствах.
7. Регулярно обновляйте свои устройства, чтобы они получали актуальные настройки безопасности от разработчика операционной системы.
Дипфейки и способы защиты от них
Дипфейк — это голос, фото или видео, подделанные с помощью искусственного интеллекта. Слово происходит от двух английских терминов: deep learning (глубинное обучение) и fake (обман, подделка). Например, для создания голосового дипфейка в нейросеть загружается образец голоса человека (достаточно отрезка длительностью 10 секунд), программа считывает особенности речи (тембр, интонации) и затем может озвучить голосом с такими же характеристиками любой текст, нужный мошенникам. Поэтому сегодня они могут не только позвонить с подменного номера, но еще и поговорить с жертвой голосом ее знакомого или родственника. Чаще всего при этом мошенники просят перевести деньги, используя информацию, собранную о человеке в интернете.
Правила защиты:
1. Проверяйте информацию: сами перезвоните человеку, от лица которого поступил звонок, — так вы сможете убедиться, правда ли вам звонил знакомый или это был мошенник.
2. Придумайте кодовое слово, которое будете использовать в общении с близкими и родственниками: если есть сомнения в собеседнике, попросите назвать кодовое слово — мошенник не сможет.
3. Не выкладывайте в открытый доступ свои видео и голосовые записи. Мошенники собирают информацию о людях в интернете, в соцсетях, а затем используют эти данные для обмана.
4. Настройте приватность своих страниц в соцсетях, чтобы заходить к вам и просматривать ваши посты, фото и видео могли только те люди, которых вы добавили в друзья.
5. Не выкладывайте в интернете информацию о том, где находитесь и что делаете или что планируете делать.
6. Поставьте надежные пароли в мессенджерах и настройте двухфакторную аутентификацию. Взламывая аккаунты в мессенджерах, мошенники берут оттуда голосовые сообщения, «кружки» с видео и делают на их основе дипфейки. А затем рассылают контактам взломанного пользователя сообщения с просьбой перевести деньги.
7. Не используйте голосовые и видеосообщения в общих чатах — это потенциальные образцы для дипфейков.
О своем цифровом следе нужно заботиться не только из-за дипфейков. Любые подробности о вашей жизни, о которых вы рассказали в интернете, могут дать мошенникам базу, на которой они построят схему обмана. К примеру, вы на радостях поделились в соцсетях новостью, что едете в отпуск и будете отдыхать в классном отеле. И вот вам звонит «менеджер отеля» и уточняет, когда у вас самолет, в какое время вы прибудете, — якобы возникли накладки с размещением. Этот прием жуликов называется претекстингом. Ничего не подозревая, вы все рассказываете мошеннику. А он, пока вы в самолете без связи, рассылает от вашего имени сообщение: якобы вы попали в аварию и вам срочно нужны деньги. Вот почему сегодня важно заботиться о безопасности так называемой цифровой личности — о совокупности данных, которые вы оставляете о себе в Сети.