Как уберечься от фишинга и иных видов интернет-мошенничества? Мнение эксперта по данному вопросу
Сотрудник Академии Генеральной прокуратуры Республики Узбекистан подробно освещает актуальную проблему наших дней и дает свои рекомендации.

Фото: ИЗВЕСТИЯ / Александр Казаков
Современного человека сложно представить без использования умных гаджетов, сети Интернет и иных благ информационно-коммуникационных технологий. Стараясь идти в ногу со временем, мы невольно погружаемся в виртуальную реальность, позволяя интернет-мошенникам получать любую необходимую им информацию.
Согласно Закону Республики Узбекистан «Об информатизации», ею является организационный социально-экономический и научно-технический процесс создания условий для удовлетворения потребностей юридических и физических лиц в информации с использованием информационных ресурсов, информационных технологий и информационных систем.
В Республике Узбекистан реализуются комплексные меры по активному развитию цифровой экономики, а также широкому внедрению современных информационно-коммуникационных технологий во все отрасли и сферы, прежде всего, в государственное управление, образование, здравоохранение и сельское хозяйство.
Информатизация всевозможных процессов обычной жизни человека была призвана облегчить и автоматизировать выполнение ежедневных рутинных задач, но вместе с тем повлекла за собой формирование и развитие новых видов преступлений, совершаемых посредством сети Интернет.
Одной из основных угроз для современного пользователя сети Интернет и иных информационно-коммуникационных средств является социальная инженерия – современное понятие в контексте информационной безопасности.
Социальную инженерию в данном случае можно охарактеризовать как сбор информации, ее анализ и использование злоумышленниками против определенного человека в корыстных целях, путем убеждения, манипуляций и т.д. Конечной целью такого сбора информации является противоправное получение денежных средств и иных данных, находящихся во владении потерпевших.
Несмотря на то, что методы социального инжиниринга применяются по большей части в сети Интернет, основным объектом поражения является сам пользователь, а не его коммуникационные устройства.
Согласно статистике, более 70% серьезных компьютерных преступлений осуществляется с использованием в качестве вспомогательного или основного метода социального инжиниринга. Социальный инжиниринг предполагает использование человеческих мотивов для осуществления действий, реализующих цели сторонних объектов. По многим оценкам, число эффективных новаций в методах социального инжиниринга в 2015 году превысило даже количество новых программных методов. При этом, правоохранительным органам не хватает знаний, опыта и квалификации в борьбе с социальным инжинирингом. Достаточно сказать, что в большинстве стран ЕС в высших учебных заведениях правоохранительных органов и структур повышения квалификации не только отсутствуют спецкурсы по социальному инжинирингу, но и нет соответствующих учебников, методических материалов, деловых игр и т.п.
Схожую тенденцию мы можем наблюдать повсеместно, в том числе и в Республике Узбекистан. Делая упор на формирование информационной безопасности в системе информационно-коммуникационных средств и ресурсов, мы упускаем человеческий фактор, который является наиболее уязвимым, и на который нельзя установить антивирус.
Фи́шинг (англ. phishing от fishing «рыбная ловля, выуживание») – это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей – логинам и паролям. Это достигается путем проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приемами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам. Для того, чтобы заманить пользователей в фишинговые сети, злоумышленникам необходима приманка, способная привлечь большое количество неравнодушных людей. Это может быть какое-то мероприятие или политически значимое событие, социальная помощь и т.д.
Летом 2014 года был обнаружен фишинговый сайт, имитировавший сайт FIFA, на котором пользователю предлагалось подписать петицию в защиту Луиса Альберто Суареса, нападающего национальной сборной Уругвая. Чтобы подписать петицию, пользователю необходимо было заполнить форму, введя в нее свое имя, страну проживания, номер мобильного телефона и адрес электронной почты.
Фишинг, как явствует из отчетов, широко используется не только для атак против населения, но и для проникновения в корпоративные сети и системы ICS.
В конце 2014 года хакеры атаковали немецкий сталелитейный завод, один из первых подтвержденных случаев, в которых цифровая атака вызвала физическое уничтожение оборудования. Нападавшие получили доступ через фишинг и социальный инжиниринг, чтобы получить учетные данные, необходимые для доступа к сети.
Использование человеческих слабостей, интересов и потенциально уязвимых чувств, позволяет мошенникам виртуозно «выуживать» у граждан необходимую информацию в своих корыстных целях.
Фишеры используют самые разнообразные и изощренные методы для достижения своих целей. Например, можно создать сайт, внешне неотличимый от сайта какого-либо известного банка или фирмы. Все пользователи, которые зайдут на поддельный сайт, введут свои данные: пароль, регистрационное имя, PIN – код и т.п. Таким образом, они дают мошенникам ключ к своим денежным средствам. Распространенным приемом у фишеров также является рассылка электронных сообщений пользователям с уведомлением, например, что их организация проводит какие-то изменения для проверки безопасности или же, что пользователь является должником данной организации. Приемов достаточно много, но все они направлены на достижение единой цели – фишеру необходимо завладеть личными данными пользователя, и, фактически, если пользователь поверит рассылке, не проверит данный сайт и пройдет по гиперссылке, указанной в электронном письме или даже просто откроет это письмо, он становится жертвой мошенничества.
Ярким примером распространения фишинга в Республике Узбекистан являются вспыхнувшие во время пандемии вируса Covid-19 случаи мошенничества с использованием общеизвестных товарных знаков службы доставки Fargo и электронной торговой площадки Olx.uz.
Злоумышленники находили людей, продающих какие-либо товары на сайте olx.uz, потом начинали общаться с ними посредством распространенного мессенджера telegram под видом заинтересованных покупателей, договаривались о покупке и доставке товара при помощи курьерской службы Fargo. На первый взгляд ничего настораживающего или противозаконного нет, поэтому продавцы охотно соглашались на такую сделку.
Тем более, покупатель уже перечислил денежные средства и их нужно просто забрать с сайта компании.
В результате, добросовестные продавцы переходили по видоизмененным ссылкам, где требовалось указать данные пластиковой карты, якобы для получения денежных средств. Стоит ли говорить, что после ввода данных денежные средства с карт моментально списывались, а так называемые покупатели удаляли переписку в мессенджере и блокировали потерпевших.
Как ни странно, но после снятия карантинных мер, подобного рода деяния не уменьшились, а напротив, набрали обороты и видоизменились, оставляя все большее количество потерпевших за собой.
Все это свидетельствует о существовании реальной угрозы, которую таит в себе социальный инжиниринг. Уберечься от атак и разработок фишеров сложно, но возможно. В первую очередь, все пользователи должны соблюдать социальную гигиену, выраженную одновременно и в пользовании интернет-ресурсами, и в предоставлении собственной информации.
Ведь феномен социального инжиниринга сводится к тому, что потенциальные потерпевшие сами, добровольно и абсолютно законно предоставляют сведения о себе всему миру, не подозревая о возможных последствиях и размерах убытков. Такая практика социального инжиниринга предполагает не изощренные методы хакерства или навыки использования сложных программно-аппаратных решений, сколько знания и умения пользоваться особенностями человеческой психологии.
Во-вторых, целесообразно пользоваться только доверенными интернет-сайтами и приложениями, не поддаваться влиянию «кричащих» или «продающих платежных» заголовков, и тем более, не вводить и не предоставлять данные от своих карт.
В-третьих, необходимо помнить, что информационные технологии должны служить человеку, а не наоборот. В эпоху глобальной цифровизации мы не должны становиться заложниками гаджетов, социальных сетей и сетевых игр. В погоне за модой не следует пользоваться большим количеством ненужных приложений и заводить аккаунты сразу во всех социальных сетях. Противостоять интернет-мошенникам можно и нужно, достаточно лишь соблюдать элементарные правила пользования информационными технологиями.
Кроме фишинга, к популярным в настоящее время видам интернет-мошенничества можно отнести:
- Вишинг (англ. vishing от Voice phishing) – один из методов мошенничества с использованием социальной инженерии, который, в отличие от фишинга реализуется посредством голосовых сообщений и звонков.
При реализации вишинга мошенники используют телефонную коммуникацию и играют определенную роль (сотрудника банка, покупателя и др.), под различными предлогами выманивают конфиденциальную информацию у владельца платежной карты или побуждают его совершить определенные действия со своим карточным счетом / платежной картой».
- Смишинг (SMS-фишинг или smishing) – атака кибермошенничество посредством использования короткого телефонного сообщения. Принцип действия такой же, как и при осуществлении фишинговых атак по электронной почте: злоумышленник отправляет текстовое сообщение от, казалось бы, легитимного отправителя (например, от заслуживающей доверия компании), которое содержит вредоносную ссылку. Ссылка может быть замаскирована под код купона (скидка 20% на ваш следующий заказ) или предложение выиграть что-то вроде билетов на концерт. Естественно, что после перехода по такой ссылке, потенциальную жертву ожидают неприятные сюрпризы.
Таким образом, мы видим, что распространение и использование социального инжиниринга таит в себе угрозы для обычных пользователей, бдительность и осмотрительность которых способна противостоять даже самым современным угрозам.
Мусаев Гайрат Фархадович,
начальник отдела Академии Генеральной прокуратуры Республики Узбекистан.
Советуем прочитать
Десятиклассник из Навои досрочно стал студентом. Теперь ему можно не учиться в 11-м классе?
Узбекистан | 12:06 / 04.04.2025
В США впервые за 15 лет расстреляли приговоренного к смерти
Мир | 15:21 / 08.03.2025
В Ташкенте возбуждено уголовное дело против лиц, вырубивших 37 деревьев
Общество | 21:06 / 18.02.2025
Кровавая ночь в особняке: кто убил самаркандского предпринимателя Шомурода Нурмаматова?
Общество | 18:34 / 29.01.2025
Новости по теме

18:07 / 05.06.2025
В Ташкенте задержан адвокат, выдававший себя за сотрудника МВД и вымогавший деньги

17:28 / 05.06.2025
Uzbekistan Airports опровергла слухи о продаже невостребованного багажа

16:04 / 03.06.2025
После расследования Kun.uz в Джизаке задержан гражданин, сдававший в металлолом чужие грузовики

09:13 / 03.06.2025