“Українці досі вірять у СМС про виграш в лотерею”, — експерт з кібербезпеки про захист в онлайні
Через небувалу популярність онлайн-шопінгу збільшилася й активність онлайн-шахраїв. Тепер зловмисники зламують не комп’ютери, а людську психологію за допомогою соціальної інженерії. Численні кібератаки із використанням маніпуляцій ведуть до того, що українці самостійно віддають злодіям гроші, просто повіривши, що по ту сторону екрану реальні продавці, покупці, або співробітники банку.
Масштаби проблеми дійсно можуть вразити: кіберзлодії протягом 2020 року вкрали 252 мільйони гривень з рахунків громадян тільки “завдяки” соцінженерії*. Водночас згідно з дослідженням OLX, відсоток людей, які вважають, що можуть стати жертвою злочинців, зменшився з 75% до 61% протягом року. До Кіберполіції ж у випадку шахрайства звертаються лише 2 з 10 постраждалих, до банку — 3 з 10, повідомляє УП. Життя.
57% українців не знають жодного способу, як захистити свої акаунти чи платіжні дані. Що таке “фішинг” не знає кожен другий користувач.
Про характер кібератак проти українців та причини їхньої довірливості журналіст УП Федір Попадюк поговорив з експертом з кібербезпеки, керівником відділу бізнес-аналітики OLX Україна Віктором Нобіузом.
*За даними Асоціації ЄМА
Хотів почати з такої історії. Кілька років тому мій комп’ютер намагалися зламати – на екрані просто з’явилося повідомлення, що комп’ютер буде заблоковано, якщо я не надішлю гроші протягом доби. Як називається такий вид шахрайства і чи популярний він зараз?
Це доволі розповсюджений вид шахрайства. Зараз програми-вимагачі націлені здебільшого на корпоративний сегмент, тобто намагаються блокувати комп’ютери в великих компаніях та вимагають кошти: або щоб повернути доступ до вкраденої інформації, або ж погрожують “продати дані конкурентам”.
В принципі, якщо казати взагалі про шахрайські методи, то вони пов’язані один з одним. Наприклад, програма-вимагач може встановитися за допомогою використання фішингу.
Це відбувається так: ви отримуєте лист на електронну пошту від нібито знайомого або відомого сайту/компанії, де буде посилання на щось дуже просте. Можливо: “подивись, які фотки я запостив з тобою на фейсбуці“. А насправді це посилання на сайт-копію. Клікнувши на нього, ви запускаєте програму, яка встановить цього вимагача, а він згодом просто заблокує всю систему. У фіналі ви отримаєте лист або СМС із вимогою сплатити кошти, щоб розблокувати.
Таким чином завантажуються віруси, запускаються інші програми, які, наприклад, можуть відстежувати дані, які ви вводите в інтернеті. Тобто вони будуть красти персональні дані й паролі. Це так звані програми “стілери”.
До речі, такі атаки часто бувають хвилями, коли хтось тобі з друзів кидає такий лінк, а потім ти вже розумієш, що сам відсилаєш зі своєї сторінки купу повідомлень. Знайома ситуація? Так створюються так звані бот-мережі. І по ланцюжку такі програми розповсюджуються дуже широким колом людей.
Ще поширеним різновидом шахрайства є фішинг, коли сайт майже один в один дублює назву та дизайн оригіналу, проте має фальшиву платіжну форму для оплати чи отримання коштів. Користувач вводить там свої платіжні дані, однак замість замовлення товару чи іншої операції — шахраї знімають гроші з картки жертви.
На які речі потрібно звертати увагу, коли потрапляєш на такий сайт і не впевнений, це OLX чи OIX?
Варто пам’ятати, що двох різних сайтів з однаковою назвою не може існувати. Тобто якщо це olx.ua, то іншого такого не буде. І перш за все потрібно, коли вже потрапили на сайт, перевірити його адресу – чи дійсно вона відповідає оригінальній. Потім переконайтеся, чи є символ “замочка” біля адреси сайту. Так Google намагається вказувати на те, що зв’язок із цим сайтом є захищеним — за протоколом https.
По суті цей замочок вказує на те, що ваше з’єднання із сайтом є безпечним, і ніхто сторонній не може його перервати або приєднатися до нього…
Так, проте іноді шахраї також використовують безпечні з’єднання на фішингових сайтах, оскільки просто десь дістали сертифікат безпеки. Тому потрібно звертати увагу на назву сайту – чи немає помилок у словах та зайвих букв/символів.
Помилка у парі з неуважністю користувача – 100% успіх шахрайської схеми:
OIX[.]ua
0LX[.]ua
OLXPAY[.]ua
OLX-UA[.]ru.com
OLX.UA.DOSTAVKA[.]org.uk
OLX-EPAY[.]net
Якщо ви не впевнені, то скопіюйте повне посилання і спробуйте його загуглити. Можливо, ви вже побачите якісь історії, в яких люди жаліються, що це шахрайський сайт.
В OLX ми створили спеціальний лінк-чекер і якщо користувач сумнівається, то на освітньому сайті Онлайн[за]хист або у Центрі підтримки клієнтів є спеціальне поле, де можна перевірити посилання – ви одразу побачите, чи має сайт відношення до компанії OLX/послуги OLX Доставка, чи він шахрайський.
Якщо говорити на прикладі OLX, є ж різні .com, .ua, .io. Чи відстежуєте ви, наприклад, щоб хтось там не створив olx.ms чи oIx.ua, який буде фішинговим сайтом?
Ми щомісяця блокуємо десятки та навіть сотні сайтів-копій OLX. Це відбувається з залученням сторонніх спеціалізованих сервісів, які моніторять інтернет-простір і відповідають за безпеку в онлайні.
Схожі назви з оригіналом сайту шахраї створюють спеціально, щоб ввести користувача в оману. Порівняйте: pravda.com і praDVa.com. Не всі помітять різницю. Коли людина швидко читає назву, то наш мозок налаштоланий таким чином, щоб не читати кожну літеру, а схопити першу літеру й останню, і добудувати назву автоматично.
Потім цей сайт, який спочатку дуже схожий на оригінал, буде наповнюватися таким самим контентом. З часом на ньому можуть виникати якісь, наприклад, фейкові новини. І після того злочинці можуть почати шантажувати власників оригінального сайту: “або зробіть щось, або ми будемо розповсюджувати фейки“.
Або ж на цьому сайті може бути фальшива платіжна форма, яка збирає персональні дані інтернет-користувачів (часто з метою крадіжки грошей).
До речі, ви помітили, що слово “налаштований” було написано з помилкою?
Чи є, наприклад, статистика: яка категорія більш або менш вразлива до таких атак?
Першими, хто потрапляють на гачок шахраїв, будуть початківці та ті, хто не знайомий з правилами роботи сайту/послуг. Наприклад це можуть бути люди, які користуються новою технологією чи вперше стикаються із необхідністю сплачувати онлайн.
Злочинці атакують всіх, хто купують в онлайні, замовляють їжу або доставку товарів із супермаркетів – у багатьох країнах протягом минулого року масово з’явилися шахрайські копії таких сервісів. Загалом сайтів-двійників у 2020 році Google виявив понад два мільйони.
Під прицілом шахраїв будуть всі люди, які користуються інтернетом. В Україні майже 30 мільйонів онлайн-користувачів, за останній рік кількість зросла на 20%. І це збільшило, так би мовити, простір для шахрайських дій.
До речі, я нещодавно читав на сайті Онлайн[за]хист якраз про соціальну інженерію. Для мене це дуже цікава тема, як взагалі за допомогою психології і тиску на людину можуть отримати дані. В мене була історія, коли ледь не дізналися CVV телефоном, тому що шахраї подзвонили дуже рано і представилися з того банку, картку в якому я вже закрив.
Зараз це дуже поширена історія, коли людям дзвонять нібито працівники служби безпеки банку з приводу блокування картки. Це вид шахрайства, і треба розуміти: якщо вам хтось телефонує вночі, зранку або в незручний час – це різновид соціальної інженерії — психологічної маніпуляції, щоб людина не могла швидко зорієнтуватися, що відбувається. У багатьох випадках дзвонять злочинці, які вже перебувають у місцях позбавлення волі. Вони отримують контактні дані майбутніх жертв із відкритих джерел в інтернеті чи з соціальних мереж.
Тобто фактично це такий інтернет-сталкерінг за певною людиною.
Точніше, такий вид шахрайства називається доксінг. Коли збираються бази даних користувачів. В більшості випадків це стосується публічних людей, політиків. І потім такі дані просто продаються десь в інтернеті або використовуються для шантажу, що “ось ми маємо такі дані та можемо їх розповсюдити – сплатіть нам гроші!“.
Як у таких випадках убезпечити свої персональні дані?
Це питання онлайн-гігієни: не робити та не залишати в інтернеті того, що можуть використати проти вас. Необхідно намагатися не публікувати багато персональних даних про себе у відкритому просторі, дивитись, на яких сайтах ви вказуєте ці дані, і використовувати тільки перевірені платформи та сайти.
Зараз в багатьох каналах у телеграмі розповсюджують рекламу швидкого заробітку. Наприклад, здай свій фейсбук-акаунт в оренду на місяць – отримай 3000 грн. Нібито легкі гроші, і люди можуть досить просто повестися на таку пропозицію.
Що за цим може критися? По-перше, якщо ви здаєте свій реальний акаунт, то ви втрачаєте свої персональні дані. По-друге, все ваше коло друзів буде під ризиком втрати їхніх персональних даних чи іншої, часто конфіденційної, інформації. Потім за допомогою вашої фейсбук-сторінки можна створити багато акаунтів на інших ресурсах, скажімо, десь на якихось торгових площадках для здійснення шахрайських схем.
Отакої. А як взагалі зрозуміти та побачити, де в українському інтернеті найбільше відбувалося шахрайств?
Якщо представити собі якусь мапу шахрайств або звідки вони починаються, то минулого року найбільшого розповсюдження здобули так звані “автолотереї”. Це навіть не шахрайство, яке починається в інтернеті, воно починається з СМС. Жертва отримує СМС “Вітаємо! Ви виграли автомобіль. Зателефонуйте за таким номером або перейдіть за посиланням, дізнайтеся деталі“. Далі на шахрайському сервісі пропонують сплатити так зване мито за отриманий виграш. Воно буде складати, скажімо, відсоток від вартості автомобіля. Люди сплачують і чекають, коли ж вони отримають той автомобіль.
Йдуть роки…
Були випадки, коли ошукані жертви зверталися до Кіберполіції, і вже після питали: “Так, а коли ж мені машину дадуть? Я отримаю свої кошти назад і машину?“. Питання риторичне. Такий вид шахрайства минулого року склав 31% від усіх шахрайств.
На другому місці були фішингові сайти, які копіювали онлайн-магазини, сайти з переказу коштів та навіть онлайн-кінотеатри. Там збиралися дані платіжних карток українців, а потім шахраї виводили гроші з рахунків.
Тоді як від такої історії вберегтись?
Шахраї шукають користувачів, які не обізнані про безпеку, і маніпулюють ними, впливають на психологічний стан, щоб жертва самостійно віддала платіжні дані. Щоб цього уникнути, необхідно завжди бути уважним, не піддаватися емоціям та прокачувати власну кіберграмотність. Щоб навчити українців правил безпеки в інтернеті, ми, наприклад, як соціально-відповідальний бізнес, оголосили 2021 рік “Роком безпеки” та запустили освітній сайт Онлайн[за]хист. На ньому детально розповідається про найпоширеніші методи шахраїв та даються поради, як захистити себе в онлайні.
Базові правила з безпеки в онлайні виглядають так:
1. Не відкривайте посилання від сторонніх осіб. Кіберзлодії часто скорочують їх за допомогою спеціальних сервісів (bit.ly чи подібних), щоб ввести вас в оману.
2. Встановлюйте складні та різні паролі до акаунтів та банківських карток. До речі, за дослідженням сервісу розвідки витоку даних DLBI рейтинг найпопулярніших паролів в 2020 році склали “123123”, “1234567” і “000000”, вперше asdasd та asdfghjkl, “марина”. Не варто встановлювати такі паролі.
3. Для онлайн-шопінгу заведіть окрему картку та не тримайте там надто великих сум. Пароль, термін дії та CVV маєте знати тільки ви.
4. Будьте уважними. Перевіряйте адресу сайту та пошти. І не довіряйте скриншотам правил чи квитанцій/чеків. Кіберзлодії роблять їх дуже схожими з оригіналом знайомих/відомих вам компаній. Справжні правила читайте тільки на платформі та завжди перевіряйте рахунок в онлайн-банкінгу.
5. Якщо підозрюєте шахрайство, звертайтеся до служби підтримки, банку та Кіберполіції.
Ці правила мають бути основою для будь-якої активності в онлайні, особливо, коли мова стосується власних коштів.
У наступному матеріалі про кібербезпеку Українська Правда розкаже про те, як захиститися від шахраїв під час онлайн-шопінгу.
Федір Попадюк спеціально для УП. Життя