Сооснователь CloudPayments Дмитрий Спиридонов и ведущий эксперт "Лаборатории Касперского" Сергей Голованов рассказали о том, какие новые приемы освоили преступники, передает inbusiness.kz со ссылкой на "Газета.Ru".
"Телефонное мошенничество, скам и фишинг остаются самыми популярными схемами злоумышленников", – отмечает сооснователь и генеральный директор компании CloudPayments Дмитрий Спиридонов.
По его словам, регулярно меняются только "легенды", с помощью которых людей пытаются убедить перевести деньги или дать доступ к личной или платежной информации. Он приводит несколько примеров необычных приемов мошенников. Так, злоумышленник под видом сотрудника банка обзванивают людей или присылает сообщение с предложением открыть вклад под высокий процент. Для того чтобы открыть вклад, человек должен перейти по ссылке на поддельную страницу аутентификации банка, которая выглядит в точности, как настоящая, и ввести логин и пароль для входа.
"Эти данные попадают к мошенникам, которые таким образом получают доступ к мобильному банку жертвы и могут совершать операции с его счетом", – рассказывает Спиридонов.
Как не испортить себе лето
В пандемию специалисты по IT-безопасности отмечали появление большого количества сайтов злоумышленников, якобы, помогающих возвратить деньги за билеты и за несостоявшиеся туры. Чем ближе к пику сезона, тем больше мошеннических сайтов продают дешевые билеты. Так, сервис "Настоящийбилет.рф" (проект Авиасейлс, BrandSecurity и Роскачества), в прошедшем мае выявил 191 ресурс по продаже поддельных авиабилетов. Это на 96% больше, чем месяцем ранее.
Фишинговые страницы имеют очень похожие на официальные ресурсы домены (порой отличаются всего одной буквой) и полностью копируют дизайн сайтов настоящих брендов, от логотипа до контента.
"Одни люди хотят отдохнуть, а другие – обмануть неопытных пользователей. Например, принять оплату за билет переводом на карту частному лицу. Это одна из популярных сейчас схем", — отмечает PR директор "Авиасейлс" Янис Дзенис.
Он рекомендует проверять продавцов по базам проверенных сервисов.
Поддельные QR-коды
Получила распространение и другая фишинговая схема: поддельные QR-коды в связи с чем бьют тревогу не только IT-специалисты, но и нотариусы. С конца прошлого года в большинстве нотариальных документов в бумажной форме появились QR-коды, в которых зашифрованы основные реквизиты документа, чтобы можно было проверить его подлинность.
Однако злоумышленники научились подделывать и сам документ, и QR-код на нем, а после сканирования клиент попадал на сайт, интерфейс которого копировал вид настоящего сервиса проверки кодов Единой информационной системы нотариата. Нотариусы сразу выявляют подделки, но под удар попадают граждане, когда они совершают какие-то действия например, по предъявленной доверенности, без участия нотариуса.
Бесплатный сыр в мышеловке
Некая организация уведомляет жертву, что она выиграла большую сумму денег или дорогой приз, но для того, чтобы его получить, необходимо оплатить налог, доставку или "закрепительный платеж".
"Человек оплачивает требуемую сумму, но приза так и не получает", – приводит пример Дмитрий Спиридонов.
Это типичный пример скама, когда злоумышленники зарабатывают на небольших "комиссионных" от несуществующих выигрышей в лотерею, социальных выплат или компенсаций, соглашаются в "Лаборатории Касперского".
"В этих случаях злоумышленники постоянно адаптируют свои ресурсы, указывая на них актуальную информацию, например, из последних новостей или подделывая страницы официальных организаций", — поясняет Сергей Голованов.
Обман по телефону
Это самый распространенный вид мошенничества. Но легенды и тактика здесь постоянно меняется. К примеру, сейчас популярна такая версия: некто представляется сотрудником службы безопасности банка или правоохранительных органов и рассказывает о том, что проводится служебное расследование, в ходе которого планируется разоблачить нечестных на руку банковских служащих. В связи с этим просят оказать содействие.
В "Лаборатории Касперского" фиксируют увеличение случаев, где с помощью методов социальной инженерии убеждают человека сообщить информацию для осуществления перевода или входа в интернет-банк, установить на свое устройство программу для удаленного управления или же самостоятельно перевести средства якобы на безопасный счет.
Как не стать жертвой
Эксперты призывают пользователей устанавливать на устройства защитные приложения, и даже если звонящий звучит убедительно, записать его данные, положить трубку и перезвонить по официальному номеру организации, которую он якобы представляет.
Сооснователь CloudPayments рекомендует несколько правил "цифровой гигиены" в сети: подключить в банке оповещения обо всех операциях по счету и никогда не переходить по ссылкам в SMS и электронных письмах от незнакомых отправителей.
"Даже если письмо подозрительно похоже на письмо от вашего банка и содержит тревожную информацию о якобы совершенных операциях, которые нужно срочно отменить, введя данные карты, паспорта или кода из SMS: просто проверьте информацию в личном кабинете или позвонив в банк по телефону, указанному на вашей пластиковой карточке. Скорее всего с вашим счетом все в порядке", — поясняет Дмитрий Спиридонов.
Еще одна полезная привычка — не откладывать обновления операционных систем и приложений банков на телефоне и планшете (они обычно закрывают обнаруженные уязвимости) и использовать защищенное соединение при совершении финансовых операций в сети.
Что касается QR-ловушек, то нужно научиться отличать настоящие коды от поддельных. Не сканировать QR-коды на подозрительных сайтах, а в общественных местах проверять, не наклеен ли QR-код поверх другого.
Еще один "красный флаг" — ссылка, открывающаяся при сканировании QR-кода: правильно ли написано название банка или магазина в ссылке?
"Особенно осторожным следует быть если в QR-код зашифрована короткая ссылка, ведь сокращать ее для записи в QR-код не имеет большого смысла, зато таким образом проще замаскировать фишинговый сайт", – говорит Дмитрий Спиридонов.
Для проверки кодов можно установить на смартфон программу, которая выявляет вирусы и фишинговые ссылки. Стоит устанавливать мобильные приложения только из официальных источников и внимательно проверять адреса сайтов перед проведением любых платежей, чтобы не попасть на фейковые страницы.
Подписывайтесь на Telegram-канал Atameken Business и первыми получайте актуальную информацию!
