Как уберечься от фишинга и иных видов интернет-мошенничества? Мнение эксперта по данному вопросу

Современного человека сложно представить без использования умных гаджетов, сети Интернет и иных благ информационно-коммуникационных технологий. Стараясь идти в ногу со временем, мы невольно погружаемся в виртуальную реальность, позволяя интернет-мошенникам получать любую необходимую им информацию.

Согласно Закону Республики Узбекистан «Об информатизации», ею является организационный социально-экономический и научно-технический процесс создания условий для удовлетворения потребностей юридических и физических лиц в информации с использованием информационных ресурсов, информационных технологий и информационных систем.

В Республике Узбекистан реализуются комплексные меры по активному развитию цифровой экономики, а также широкому внедрению современных информационно-коммуникационных технологий во все отрасли и сферы, прежде всего, в государственное управление, образование, здравоохранение и сельское хозяйство.

Информатизация всевозможных процессов обычной жизни человека была призвана облегчить и автоматизировать выполнение ежедневных рутинных задач, но вместе с тем повлекла за собой формирование и развитие новых видов преступлений, совершаемых посредством сети Интернет.

Одной из основных угроз для современного пользователя сети Интернет и иных информационно-коммуникационных средств является социальная инженерия – современное понятие в контексте информационной безопасности.

Социальную инженерию в данном случае можно охарактеризовать как сбор информации, ее анализ и использование злоумышленниками против определенного человека в корыстных целях, путем убеждения, манипуляций и т.д. Конечной целью такого сбора информации является противоправное получение денежных средств и иных данных, находящихся во владении потерпевших.

Несмотря на то, что методы социального инжиниринга применяются по большей части в сети Интернет, основным объектом поражения является сам пользователь, а не его коммуникационные устройства.

Согласно статистике, более 70% серьезных компьютерных преступлений осуществляется с использованием в качестве вспомогательного или основного метода социального инжиниринга. Социальный инжиниринг предполагает использование человеческих мотивов для осуществления действий, реализующих цели сторонних объектов. По многим оценкам, число эффективных новаций в методах социального инжиниринга в 2015 году превысило даже количество новых программных методов. При этом, правоохранительным органам не хватает знаний, опыта и квалификации в борьбе с социальным инжинирингом. Достаточно сказать, что в большинстве стран ЕС в высших учебных заведениях правоохранительных органов и структур повышения квалификации не только отсутствуют спецкурсы по социальному инжинирингу, но и нет соответствующих учебников, методических материалов, деловых игр и т.п.

Схожую тенденцию мы можем наблюдать повсеместно, в том числе и в Республике Узбекистан. Делая упор на формирование информационной безопасности в системе информационно-коммуникационных средств и ресурсов, мы упускаем человеческий фактор, который является наиболее уязвимым, и на который нельзя установить антивирус.

Фи́шинг (англ. phishing от fishing «рыбная ловля, выуживание») – это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей – логинам и паролям. Это достигается путем проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приемами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам. Для того, чтобы заманить пользователей в фишинговые сети, злоумышленникам необходима приманка, способная привлечь большое количество неравнодушных людей. Это может быть какое-то мероприятие или политически значимое событие, социальная помощь и т.д.

Летом 2014 года был обнаружен фишинговый сайт, имитировавший сайт FIFA, на котором пользователю предлагалось подписать петицию в защиту Луиса Альберто Суареса, нападающего национальной сборной Уругвая. Чтобы подписать петицию, пользователю необходимо было заполнить форму, введя в нее свое имя, страну проживания, номер мобильного телефона и адрес электронной почты.

Фишинг, как явствует из отчетов, широко используется не только для атак против населения, но и для проникновения в корпоративные сети и системы ICS.

В конце 2014 года хакеры атаковали немецкий сталелитейный завод, один из первых подтвержденных случаев, в которых цифровая атака вызвала физическое уничтожение оборудования. Нападавшие получили доступ через фишинг и социальный инжиниринг, чтобы получить учетные данные, необходимые для доступа к сети.

Использование человеческих слабостей, интересов и потенциально уязвимых чувств, позволяет мошенникам виртуозно «выуживать» у граждан необходимую информацию в своих корыстных целях.

Фишеры используют самые разнообразные и изощренные методы для достижения своих целей. Например, можно создать сайт, внешне неотличимый от сайта какого-либо известного банка или фирмы. Все пользователи, которые зайдут на поддельный сайт, введут свои данные: пароль, регистрационное имя, PIN – код и т.п. Таким образом, они дают мошенникам ключ к своим денежным средствам. Распространенным приемом у фишеров также является рассылка электронных сообщений пользователям с уведомлением, например, что их организация проводит какие-то изменения для проверки безопасности или же, что пользователь является должником данной организации. Приемов достаточно много, но все они направлены на достижение единой цели – фишеру необходимо завладеть личными данными пользователя, и, фактически, если пользователь поверит рассылке, не проверит данный сайт и пройдет по гиперссылке, указанной в электронном письме или даже просто откроет это письмо, он становится жертвой мошенничества.

Ярким примером распространения фишинга в Республике Узбекистан являются вспыхнувшие во время пандемии вируса Covid-19 случаи мошенничества с использованием общеизвестных товарных знаков службы доставки Fargo и электронной торговой площадки Olx.uz.

Злоумышленники находили людей, продающих какие-либо товары на сайте olx.uz, потом начинали общаться с ними посредством распространенного мессенджера telegram под видом заинтересованных покупателей, договаривались о покупке и доставке товара при помощи курьерской службы Fargo. На первый взгляд ничего настораживающего или противозаконного нет, поэтому продавцы охотно соглашались на такую сделку.

Тем более, покупатель уже перечислил денежные средства и их нужно просто забрать с сайта компании.

В результате, добросовестные продавцы переходили по видоизмененным ссылкам, где требовалось указать данные пластиковой карты, якобы для получения денежных средств. Стоит ли говорить, что после ввода данных денежные средства с карт моментально списывались, а так называемые покупатели удаляли переписку в мессенджере и блокировали потерпевших.

Как ни странно, но после снятия карантинных мер, подобного рода деяния не уменьшились, а напротив, набрали обороты и видоизменились, оставляя все большее количество потерпевших за собой.

Все это свидетельствует о существовании реальной угрозы, которую таит в себе социальный инжиниринг. Уберечься от атак и разработок фишеров сложно, но возможно. В первую очередь, все пользователи должны соблюдать социальную гигиену, выраженную одновременно и в пользовании интернет-ресурсами, и в предоставлении собственной информации. 

Ведь феномен социального инжиниринга сводится к тому, что потенциальные потерпевшие сами, добровольно и абсолютно законно предоставляют сведения о себе всему миру, не подозревая о возможных последствиях и размерах убытков. Такая практика социального инжиниринга предполагает не изощренные методы хакерства или навыки использования сложных программно-аппаратных решений, сколько знания и умения пользоваться особенностями человеческой психологии.

Во-вторых, целесообразно пользоваться только доверенными интернет-сайтами и приложениями, не поддаваться влиянию «кричащих» или «продающих платежных» заголовков, и тем более, не вводить и не предоставлять данные от своих карт.

В-третьих, необходимо помнить, что информационные технологии должны служить человеку, а не наоборот. В эпоху глобальной цифровизации мы не должны становиться заложниками гаджетов, социальных сетей и сетевых игр. В погоне за модой не следует пользоваться большим количеством ненужных приложений и заводить аккаунты сразу во всех социальных сетях. Противостоять интернет-мошенникам можно и нужно, достаточно лишь соблюдать элементарные правила пользования информационными технологиями.

Кроме фишинга, к популярным в настоящее время видам интернет-мошенничества можно отнести:

- Вишинг (англ. vishing от Voice phishing) – один из методов мошенничества с использованием социальной инженерии, который, в отличие от фишинга реализуется посредством голосовых сообщений и звонков.

При реализации вишинга мошенники используют телефонную коммуникацию и играют определенную роль (сотрудника банка, покупателя и др.), под различными предлогами выманивают конфиденциальную информацию у владельца платежной карты или побуждают его совершить определенные действия со своим карточным счетом / платежной картой».

- Смишинг (SMS-фишинг или smishing) – атака кибермошенничество посредством использования короткого телефонного сообщения. Принцип действия такой же, как и при осуществлении фишинговых атак по электронной почте: злоумышленник отправляет текстовое сообщение от, казалось бы, легитимного отправителя (например, от заслуживающей доверия компании), которое содержит вредоносную ссылку. Ссылка может быть замаскирована под код купона (скидка 20% на ваш следующий заказ) или предложение выиграть что-то вроде билетов на концерт. Естественно, что после перехода по такой ссылке, потенциальную жертву ожидают неприятные сюрпризы.

Таким образом, мы видим, что распространение и использование социального инжиниринга таит в себе угрозы для обычных пользователей, бдительность и осмотрительность которых способна противостоять даже самым современным угрозам.

Мусаев Гайрат Фархадович,
начальник отдела Академии Генеральной прокуратуры Республики Узбекистан.