Україною шириться епідемія фішингових атак: як не потрапити на гачок

Шахраї масово крадуть персональні дані українців, використовуючи фішинг. Що це таке, які популярні схеми використовують зловмисники, хто найчастіше стає жертвою зловмисників, і як захистити свої гроші та персональні дані, - розбирався УНІАН.

"Мій акаунт в телеграмі зламали російські хакери. Просять проголосувати за дитину й направляють на російський сайт. Будь ласка, будьте обережні й не пересилайте код підтвердження. Просто ігноруйте повідомлення, яке приходить вам від мого імені", - натрапляємо ми на черговий допис про злам акаунту у популярному меседжері, написаний українкою Валентиною у мережі Facebook.

Таких історій тисячі: шахраї просять проголосувати за дітей на конкурсах танців, співу та й будь-чого іншого, використовуючи для цього меседжери Telegrаm. WhatsApp та Signal. Ви, напевно, неодноразово натрапляли на такі повідомлення у соцмережах, або ж і самі отримували схожі розсилки від нібито добре знайомих людей.

Задум максимально простий: шахраї недарма використовують тему дитячих конкурсів, аби зіграти на почуттях сентиментальних громадян, щоб якомога більша кількість користувачів перейшла за шкідливим посиланням – адже як можна не допомогти дитині здійснити її маленьку мрію, не по-людськи це. Тим паче, що такі повідомлення надходять начебто від добре знайомих контактів – тих, чиї облікові записи були зламані раніше.

Щойно ви переходите за посиланням, натрапляєте на шахрайський сайт, де вводите усі необхідні для зловмисників дані, отримуєте SMS на зазначений номер телефону, і передавши код підтвердження, втрачаєте доступ до свого акаунту. Потім аналогічні повідомлення від вашого імені отримують усі ваші контакти – і коло скомпрометованих сторінок користувачів розширюється.

"Злочинці розповсюджували серед громадян України повідомлення зі шкідливими посиланнями на начебто вебсайт Telegram, щоб отримати несанкціонований доступ до облікових записів, зокрема і з можливістю перехоплення одноразового коду з SMS", - попереждала українців Державна служба спеціального зв'язку та захисту інформації України.

Такий метод шахрайства, за якого зловмисники обманом змушують людей розкрити конфіденційну інформацію або виконати певні дії, називається "фішинг". І масштаби цього явища стають дедалі загрозливішими.

Такий обман може переслідувати одразу кілька цілей: або збір персональних даних для створення відповідних баз та "армій" ботів, або крадіжка коштів з банківських карт, або "колядування" серед контактів жертви із проханням позичити певну суму "до зарплати", або підробка документів.

За даними платформи Опендатабот, в Україні за п’ять місяців поточного року було відкрито рекордну кількість справ про шахрайство - понад 38 тисяч. І це лише ті випадки, коли жертви втрачали кошти і зверталися по допомогу до поліції – реальна кількість спроб різноманітного шахрайства у десятки разів вища. І, за даними Нацбанку, саме фішинг та соціальна інженерія є найпопулярнішими методами маніпуляцій з платіжними картками в Україні (та й загалом у світі).

Типові шахрайські схеми

Але ж які ще актуальні методи фішингу, окрім голосування на дитячому конкурсі, застосовують зловмисники?

Як розповів УНІАН начальник інформаційно-комп'ютерного відділу "Волиньпроект" Ігор Пуць, доволі актуальною нині схемою є підтвердження даних при зникненні зв’язку. Ефективна спроба ввести людей в оману, "зігравши" на наболілій темі. Шахраї відправляють повідомлення нібито від імені мобільного оператора, в яких стверджують, що для повноцінного прийому сигналу користувачу потрібно підтвердити дані своєї сім-картки. Насправді ж це звичайне виманювання персональної інформації, адже компаніям зв’язку для нормальної роботи ця інформація не потрібна.

Інший спосіб шахрайства - махінації зі знижками. Коли ціни на продукти зростають, зловмисники надсилають людям фішингові акційні купони (які можна сплутати з розсилками магазинів), з посиланням на неперевірені інтернет-сторінки.

Також українці масово отримують повідомлення із пропозиціями легкого заробітку в інтернеті, обіцянками грошового призу, подарунками за реєстрацію на певному порталі.

"У всіх цих випадках людина переходить за посиланням, думаючи, що відкриває справжню сторінку банку чи іншої організації", - пояснює експерт Ігор Пуць.

Мімікрія шахраїв під авторитетні установи набуває масового характеру, і подекуди її дійсно легко сплутати з офіційними розсилками.

Наприклад, українці масово отримували посилання на заповнення гугл-форми для внутрішніх переселенців, що нібито було необхідно для отримання грошової допомоги від міжнародних донорів. Такі анкети, зокрема, містили поля, у яких необхідно було заповнити дані платіжних карток. Однак, чи варто казати, що люди, які надіслали такі анкети, не лише не отримували допомоги, але й втрачали усе зароблене? Це черговий приклад шахрайства.

Крім того, минулого літа розповсюджена схема грабунку була пов’язана з використанням сервісів доставки – "Укрпошти", "Нової пошти", міжнародної компанії DHL тощо.

"Я очікував доставку з китайського магазину. Мені прийшло повідомлення нібито від "Укрпошти" про зміну адреси доставки. Я перейшов за посиланням на сайт майже ідентичний до "Укрпошти", ввів номер і пароль від кредитної картки. Вже тільки потім я зрозумів, що це був фішинговий сайт", - поділився своєю історією айтівець Андрій.

Проте, за словами потерпілого, банк одразу заблокував його картку, через що шахраї не змогли зняти кошти.

"Банк побачив, що запит на транзакцію відбувся десь з Сінгапуру, при тому, що я перебував в Україні. Це мене врятувало", - додав він.

В "Укрпошті" відмічали, що влітку минулого року багато людей отримувало шахрайські SMS зі змістом: "Через відсутність адреси Ваша посилка не може бути доставлена. Ви можете оновити адресу та зробити новий запит на доставку за посиланням...". Компанія також навела перелік шахрайських сайтів:

Як бачимо, в усіх посиланнях умисно фігурує назва "Укрпошти", аби отримувачі таких повідомлень не запідозрили обман і перейшли на шкідливий ресурс. Однак реальна адреса українського поштового оператора виглядає інакше і не містить переліку латинських літер після крапки.

І щодня шахраї вигадують усе нові й нові методи обману, використовуючи чутливі теми.

Хто під загрозою

Жертвою фішингової атаки може стати будь-хто: як довірливий та не достатньо освічений у галузі інформаційних технологій пенсіонер, так і активний користувач інтернету. Не виключенням є навіть дотичні до ІТ-галузі люди, що підтверджує досвід нашого співрозмовника Андрія, який ледь не втратив кошти, заповнивши дані своєї кредитної картки на фішинговому сайті, що імітував "Укрпошту". Кожен може проявити неуважність, і саме на це розраховують зловмисники, що накопичують статки, користуючись наївністю своїх жертв.

"З моєї практики відомо, що фішингові атаки можуть стати пасткою для будь-якого користувача, незалежно від соціального статусу чи віку. Шахраї – це справжні психологи, які завжди тримають руку на пульсі подій та використовують актуальні ситуації та проблеми країни", - зазначив Ігор Пуць.

Доволі часто "під удар" потрапляють також співробітники масштабних корпорацій, які є привабливою мішенню для хакерів.

"Під загрозою також перебувають бізнесмени та працівники великих компаній. Зловмисники можуть атакувати компанії через їхніх співробітників, щоб отримати доступ до корпоративних мереж і даних", - розповідає нам співзасновник маркетингової компанії Pixeltarget Agency Ілля Злобин.

Саме тому у кожній організації має бути кваліфікований ІТ-персонал, який має регулярно проводити освітні бесіди із колегами, пояснюючи, які листи та розсилки можуть бути потенційно шкідливими.

Проте елементарні знання з кібербезпеки треба мати усім громадянам без виключення, незалежно від того, маєте ви доступ до корпоративних таємниць, чи ні. Адже від цього напряму залежить безпека ваших персональних даних та грошей.

Як себе захистити

Експерти наводять прості правила, які допоможуть вберегтися від фішингу:

• Завжди перевіряйте адресу відправника електронної пошти або SMS-повідомлення. Кожна літера та символ мають значення, адже шахраї умисно роблять свої адреси схожими на офіційні установи, але повністю скопіювати їх вони не в змозі;
• Не переходьте за посиланнями у повідомленнях від незнайомих або підозрілих відправників та не довіряйте пропозиціям легкого заробітку;
• Не вводьте персональні дані на підозрілих ресурсах та нікому й ніколи не передавайте коди своїх кредитних карток;
• Використовуйте антивірусне програмне забезпечення. Антивірусні програми можуть допомогти виявити та заблокувати фішингові сайти;
• Будьте обережні з особистою інформацією. Не надавайте особисту інформацію у відповідь на електронні листи або повідомлення без підтвердження їх автентичності.

Таргетолог Нікіта Наконечний додає, що якщо посилання виглядає незрозуміло, то ні в якому разі не можна за ним переходити. Посилання має "читатись".

Тобто, https://www.unian.ua/ - безпечне посилання, а, умовно, https://8b76qfr27wipas3/ - містить загрозу.

"Не переходьте ніколи за посиланнями від незнайомих людей. От як навчились не сідати в машину до незнайомця - так і тут. Якщо знайомий вам скидає посилання, не бійтесь перепитати: "що це". Якщо після цього розмова закінчилась - тоді ви щойно обійшли пастку", - сказав Наконечний.

Від себе додамо, що навіть якщо знайома людина пише вам у нетиповому для себе стилі (наприклад, вона завжди говорить українською, а тут несподівано перейшла на російську, або робить кричущу кількість помилок, тоді як завжди писала грамотно, і навпаки), це вже привід задуматися про те, що доступ до її/його облікового запису отримали шахраї. У такому випадку найкращим рішенням буде передзвонити цій особі або написати у іншому меседжері, аби впевнитися, що ви не спілкуєтеся з шахраєм. Так само і у випадку, коли "друзі" намагаються позичити у вас кошти – передзвоніть людині і перепитайте, чи це дійсно вона. Така проста дія не займе у вас багато часу, проте убезпечить від неприємного досвіду.

Розуміння того, як працюють зловмисники, та як від них захиститися, допоможе суттєво знизити ризик стати жертвою кіберзлочинців.

Фішингові атаки - це серйозна загроза, але знання та обережність можуть допомогти уникнути шахрайства. Будьте пильні, не довіряйте підозрілим повідомленням і завжди перевіряйте інформацію перед тим, як ділитися своїми особистими даними. І пам’ятайте, що безкоштовний сир – тільки в мишоловці.

Дмитро Петровський

УНІАН в Google News