Не имеет значения, где и на чем вы работаете: в офисе или дома, на компьютере или на мобильном устройстве — необходимо знать и соблюдать правила цифровой гигиены.
Существует множество разнообразных угроз в интернете – от хакерских атак до изощренных мошеннических схем. Образ киберпреступника постоянно меняется. Сегодня кибермошенничество является поистине массовым явлением. Если не каждый из нас, то хотя бы у каждого есть знакомый, который становился целью кибератаки и пал жертвой кибермошенника.
В этой статье мы рассмотрим основные виды интернет мошенничества и приведем ряд рекомендаций по защите данных в интернете, которые помогут вам правильно управлять ими в сети, а также подскажем, как распознать угрозы и своевременно защитить ваши данные и деньги от кибермошенников.
Социальная инженерия
Технология психологического воздействия на человека, применяемая киберпреступниками с целью заставить жертву что-либо сделать для получения закрытой или ценной информации. Действия могут быть разными, например, от пользователя требуется установить приложение, открыть файл, разослать письмо, скачать программу, переслать сообщение, указать нужную информацию и т.д. Таким образом, добившись от пользователя выполнения определенных действий, злоумышленник может получить доступ к его устройству и конфиденциальным данным. Технология подразумевает использование чувство страха, любопытства, жадности.
Основные каналы, по которым мошенники могут взаимодействовать со своей жертвой:
- Электронная почта
- Сайты
- Соцсети и мессенджеры
- Программы и приложения
- Телефонный звонок и СМС
Фишинг
В киберпространстве чаще всего для своих целей злоумышленники используют почту, с помощью которой отправляют письмо от якобы доверенного отправителя, например, от друга или какого-нибудь знакомого почтового ящика. Письмо может содержать в себе вложение с вредоносным файлом или содержать в тексте ссылку на подозрительный ресурс. Открыв файл или перейдя по ссылке на зараженный сайт, жертва запускает зловреда на свое устройство и тем самым открывает злоумышленнику путь к конфиденциальным данным, к таким, как доступ к аккаунту в интернет-банкинге или корпоративной информации, а также к личным данным и аккаунтам в соцсетях и мессенджерах.
Как защититься:
- Разделите почтовые ящики:
- Спам-ящик (для спама, подписок, акций);
- Личный ящик (для важных и личных писем);
- Корпоративный ящик (для рабочей почты).
- Внимательно обращайтесь с почтовыми вложениями и ссылками, особенно от подозрительных отправителей.
- Используйте сложные пароли к аккаунтам и устройствам.
Вишинг
Вид телефонного мошенничества, когда злоумышленники звонят с подменных номеров, которые выглядят легитимно. Представляются обычно сотрудниками организаций, работниками банков, покупателями и т.д. Под всевозможными предлогами выманивают у держателей банковских карт конфиденциальную информацию или побуждают совершить их определённые действия со своими счетами. Используют эффект неожиданности или срочности, и требуют быстро назвать им номер карты или другую информацию.
Признаки:
- Подмена номера или маскировка.
- Корректное общение, хорошая история и много достоверных данных.
- Спешка и побуждение к срочному действию.
Пример:
Злоумышленник звонит от имени техподдержки банка и просит установить приложение, которое повышает или проверяет безопасность мобильного устройства «клиента». На самом деле, под видом такой программы устанавливается приложение удаленного доступа, с помощь которого злоумышленник получает доступ к устройству и данным на нем.
Противодействие:
- Не спешите следовать требованиям собеседника. Возьмите паузу.
- Уточните информацию. Попробуйте выяснить, действительно ли это доверенный звонок.
- По возможности, корректно завершите разговор и перезвоните. Возможно, звонок будет перенаправляться в «некуда».
- Для работников — следуйте корпоративному регламенту.
OSINT
Это поиск, сбор и анализ информации по открытым источникам.
90% всей разведывательной информации поступает из открытых источников, которую сами же пользователи и публикуют. Информация может размещаться в социальных сетях, мессенджерах, сайтах по поиску работы, сайтах знакомств, сайтах объявлений и т.д. По этим данным можно узнать о человеке и его роде деятельности: где работает, должность, интересы и т.д.
Мошенниками создается «цифровой профиль» жертвы. Идентифицируется круг общения, родственные связи, бизнес связи, группы и роли в группах и т.д.
По этим данным киберпреступник формирует фишинговое письмо с зловредом для кибератаки.
Правила поведения:
- Будьте внимательны и смотрите что публикуете.
- Не используйте социальные сети и мессенджеры для решения рабочих вопросов, особенно, если это запрещено в организации.
- Не переходите по подозрительным ссылкам, которые также распространяются через соцсети и мессенджеры.
- Не устанавливайте неизвестные приложения.
- Не переводите деньги незнакомцам. И даже знакомым, т.к. профиль друга может быть взломан.
- Работая с документами в облачных хранилищах, помните об уровне доступа к документам. Проверяйте доступность документов – файлы доступны только по ссылке или видны всему интернету.
ЗАЩИТА УСТРОЙСТВ
Мобильные устройства
- Блокируйте мобильное устройство.
- Обновляйте ОС и приложения регулярно.
- Устанавливает приложения только из доверенных источников.
- Будьте внимательны, к каким данным разрешаете доступ приложению.
- Будьте осторожны с ссылками из смс и сообщений в директе и чатах.
ПК и браузеры
- Всегда блокируйте устройство.
- Обновляйте все: ОС, браузер, плагины, программы.
- Используйте антивирусы.
- Разделяйте личное и корпоративное.
- Проверяйте ссылки.
- Посещайте только надежные сайты.
- Не сохраняйте данные в браузере.
- Не используйте функцию автосохранения учетных данных.
- Разделите среды – персональная и корпоративная.
Защита аккаунта
- Используйте стойкий пароль:
- Придумайте сложный вариант пароля — достаточной длины, с содержанием цифр, символов и заглавных букв.
- Не используйте самые распространенные пароли: 123456, qwerty, 1qaz2wsx и т.д. Должен быть неизвестный вариант пароля.
- Храните пароли в безопасном месте.
«Плохое» (очевидное/явное) место на компьютере быстро находится злоумышленниками.
- Компьютер должен быть «чистым».
Существует программное обеспечение, которое находит и похищает пароли на устройстве. Убедиться, что устройство не заражено зловредным ПО. Установите антивирус.
- Используйте двухфакторную аутентификацию.