Мошенники манипулируют вашим доверием

Любой хакер знает: лучший взлом — тот, которого не было. Чтобы пользователи сами предоставили данные, мошенники манипулируют доверием — используют методы социальной инженерии. От таких атак никто не застрахован.

Методы социальной инженерии

Фишинг — рассылка электронных писем.

Человек получает сообщение от источника, который выглядит надежным: сообщение якобы из банка с предложением назвать секретный код для отмены платежа, который вы не совершали, просьба «друга» пройти по ссылке и проголосовать в конкурсе, письмо с сайта для «подтверждения» регистрационных данных.

Цель — заставить раскрыть конфиденциальную информацию в ответном письме или перейти на поддельный сайт, где мошенники смогут перехватить логин и пароль.

Фарминг — перевод пользователя на ложный IP-адрес.

От имени жертвы мошенники рассылают вредоносный код под видом интересного видео или ссылки на пост. После активации вирус вносит изменения на компьютере. Даже если пользователь пишет правильный URL-адрес, система перенаправляет его на мошеннический сайт — клон реальной страницы банка или соцсети. Цель — завладеть персональными данными для личного пользования или продажи другим хакерам.

Претекстинг — обман по заранее составленному сценарию.

Мошенники представляются другими людьми и привлекают внимание жертвы, чтобы узнать секретные данные. Этот вид атак может выглядеть как: звонок из службы безопасности банка, опрос на социально значимые темы, знакомство в сети, визит сотрудника техподдержки вашей фирмы. Хакеры собирают информацию о жертве из открытых источников, продумывают реалистичный сценарий и втираются в доверие. Часто играют на чувстве страха, чтобы подтолкнуть к необдуманным действиям. Цель — в личной беседе получить важную информацию: логин, пароль, PIN-код, телефон, адрес, данные банковских карт.

Как противостоять кибератакам

Проверьте источник. Самостоятельно перезвоните в банк или на линию техподдержки. Уточните, какая информация известна оппоненту. Оператор связи или сотрудник службы безопасности не станет уточнять ваши ФИО — эта информация должна быть у них перед глазами. Если это не так — вам звонит мошенник.

Не поддавайтесь панике. Чувствуете, что вас торопят — попросите время подумать. В случае отказа завершите общение. Настройте спам-фильтр. Выберите сервис, который будет блокировать нежелательные звонки и сообщения. Требуйте удостоверение личности. Попросите предъявить документы, если сотрудник запрашивает у вас конфиденциальные данные. Любой человек в офисе может оказаться мошенником, даже если на предприятии есть пропускной режим. Попасть внутрь несложно — иногда достаточно подойти к входу с коробкой в руках и попросить придержать дверь.

Чтобы не стать жертвой мошенников

Важно обновлять знания об их методах — эту информацию можно найти в сети. Чтобы противостоять злоумышленникам, бизнес и государственный сектор привлекают пентестеров. Освоить их методы и узнать, как поддерживать неуязвимость IT-систем, можно на специальных курсах по кибербезопасности. Пентестеры занимаются профилактикой социальной инженерии. Они обучают сотрудников предприятий и учреждений и моделируют кибератаки — ищут и устраняют уязвимости на уровне людей и технологий.