Знаток Финансов

Эксперт рассказал о способах защиты от кражи денег в сети

Совершенство социальной инженерии

Однако из года в год эффективность фишинговых атак и использования троянов снижается – люди становятся все более осведомленными в вопросах безопасности. Это толкает злоумышленников на поиски новых способов заработка. И на первое место по степени угрозы выходит социальная инженерия – это введение в заблуждение путем обмана и входа в доверие.

Наверняка вы сами или ваши знакомые сталкивались с ситуацией, когда на мобильный телефон, иногда даже не привязанный к счету, раздается звонок от якобы сотрудника банка или даже его службы безопасности, клиенту говорят о несанкционированных или сомнительных движениях по карте и просят сообщить CCV-код или коды для подтверждения операций из SMS-сообщений. Причем обычно голос на противоположном конце трубки довольно вежлив, спокоен, обращается по имени-отчеству, зачастую называя паспортные данные или номер карты. В случае, если вы получили подозрительный звонок, не стоит продолжать разговор и уж тем более называть никакие данные.

Аккаунты смартфонов

Независимо от марки и модели смартфона, в нем зачастую хранится вся необходимая информация, которая привязана к аккаунту владельца. Открыты записи в соцсетях и банковских приложениях, присутствуют фотографии, где-то записаны или сохранены в памяти устройства пароли, а также другая важная информация.

При взломе аккаунта вся эта информация перестает быть конфиденциальной, а хакеры могут делать с ней что угодно – начиная от обнародования и заканчивая, но не ограничиваясь, списанием денег со счетов. Как поступать в тех или иных случаях – зависит от модели смартфона и используемой операционной системы.

Для техники, которая работает на iOS, риск взлома возрастает в разы, поскольку техника Apple очень популярна, а ее владельцами становятся, как правило, небедные люди. Узнав логин и пароль от входа в аккаунт пользователя, хакеры могут работать со смартфоном дистанционно. Поэтому как только вы обнаружили, что с устройством происходит что-то странное и после антивирусной чистки странности не прекращаются – сразу же удаляйте все данные. Конечно же, это приведет к тому, что ими не воспользуетесь и вы тоже, но подобное намного лучше, чем быть игрушкой в чужих руках. Если удаление данных чревато для вас проблемами, то для восстановления контроля над устройством можно обратиться в сервисный центр.

В операционных системах смартфонов Android предусмотрена возможность дистанционного управления с любого устройства. Также осуществляется привязка к аккаунту Гугл. Это дает мошенникам возможность перехватить контроль над смартфоном и единственным способом вырвать устройство из их рук будет сбросить все настройки на заводские. Это также удалит все данные, кроме информации, располагающийся на карте SD. С учетом того, что хакеры могут блокировать дисплеи и менять графические пароли смартфонов, подобный шаг представляет собой единственную возможность противодействовать мошенникам.

Далеко не всегда причиной взлома смартфона является целенаправленная хакерская атака. Чаще всего владельцы устройств просто скачивают неизвестные программы, или же заходят на фишинговые сайты. Для того, чтобы защитить себя от мошенников, не стоит скачивать подозрительные файлы, особенно те, что имеют расширение .ехе. Следует регулярно запускать проверку антивирусом и удалять подозрительные программы.

Электронная почта

Взлом аккаунтов электронных почтовых сервисов пользователями зачастую недооценивается в связи с тем, что почтовый ящик – это не финансовый инструмент. Но если вспомнить о том, что именно к электронному адресу привязываются аккаунты социальных сетей и различных онлайн-игр, банковских приложений и прочих важных для пользователя сервисов, и если потерян контроль над почтовым ящикам – можно потерять доступ к связанным приложениям и сервисам.

Зачастую хакеров не интересует подобная информация – чаще всего электронные адреса взламываются для того, чтобы проводить с них спам-рассылку другим пользователям. Но это одна из самых безобидных причин – иногда электронная почта взламывается совершенно с другими целями.

Обнаружив, что электронная почта взломана, пользователю следует немедленно провести на своем компьютере проверку антивирусом всех имеющихся дисков и носителей. Если вирусов нет, или была проведена чистка от них в ходе проверки, следующим шагом будет восстановление доступа к собственной почте. Для этого потребуется ввести логин и пароль, после чего – изменить последний.

Если же пароль изменен злоумышленниками, понадобится нажать на кнопку «забыл пароль» и восстановить их с помощью стандартного алгоритма, включающего в себя получение письма-активатора на резервный почтовый ящик или мобильный номер, указанный при регистрации.

Если по каким-то причинам подобное не удалось – можно обратиться за помощью в службу поддержки. Некоторые сервисы, в частности, Google, рассылают пользователям предупреждения о попытках взлома. Пренебрегать такими сообщениями не следует. Кроме того, установление опции «показывать последний вход» поможет вовремя заметить, если предыдущий вход в аккаунт почтовой службы осуществлялся с другого IP-адреса и принять меры.

Враги народа

Самыми распространенными средствами кражи, которые используют киберпреступники, остаются вирусы-трояны: попадая в персональный компьютер или в телефон на базе Android, они получают доступ к онлайн-банкингу. “Заразить” устройство можно, например, посредством фишинга, получив письмо на электронную почту или в виде SMS с файлом, ссылкой от “якобы” банка, госорганов, контрагентов, друзей. Главная опасность этого вируса – в том, что владелец счета не получает SMS-сообщений о переводе денежных средств, их перехватывает троян.

Еще один вид мошенничества, от которого страдают как физлица, так и компании, – тайпсквоттинг, или, простыми словами, сайты-двойники. Здесь преступники рассчитывают на вашу невнимательность. Как и любую другую подделку, сайт-двойник можно отличить от оригинального. Главное – проверьте адрес: поддельный сайт будет содержать искаженное название, а подключение к нему будет небезопасным (в адресной строке, к примеру, название www.podarki.ru будет выглядеть как www.podark1.ru, а вместо https:// со значком замка вы увидите http://. Кроме того, изображения будут низкого качества, могут быть использованы старые логотипы организации, под чей сайт маскируются мошенники, в словах могут встречаться грамматические ошибки, на сайте нет реквизитов организации, адреса, ИНН и т.п.).

Аккаунты социальных сетей

Два года назад социальная сеть «Вконтакте» была взломана с помощью приложения, ссылка на которое была отправлена более 100 тыс. пользователей. Установившие это приложение послали хакерам свои логины и пароли, которые потом висели в свободном доступе на одном из хакерских сайтов. То есть, любой человек мог использовать личную страницу пользователя, например, для рассылки спама. Или просто менять пароли пользователей.

Взлом аккаунта социальной сети для большинства пользователей доставляет намного меньше проблем, чем взлом смартфона. Но бороться с мошенниками все же требуется. Для того, чтобы вырвать свою страницу из их рук, потребуется сначала почистить hosts файлы, в которых содержится ссылка на вашу страницу, а также провести сканирование операционной системы антивирусом. После проведения данных действий понадобится сменить пароль. Меры безопасности против хакеров, которые «работают» по социальным сетям таковы:

  • не открывать подозрительные ссылки на приложения и страницы, даже если они приходят от друзей;
  • игнорировать спам-рассылки;
  • привязать страницу к номеру телефона – это позволит легко восстановить доступ к ней в случае изменения мошенниками пароля и, вдобавок, позволит контролировать проведенные изменения профиля.

Знание = безопасность

Несмотря на постоянно совершенствующиеся банковские технологии и системы безопасности, жертвами мошенников ежедневно становятся сотни людей – они попадаются на новые, все более изощренные схемы вывода денежных средств. Банки рассказывают о том, как защитить свои денежные средства от мошенников. Но, несмотря на это, мы часто сами игнорируем простые правила безопасности – и становимся главными помощниками мошенников.

“Основное и самое простое правило, которое чаще всего игнорируется, но именно оно в большинстве случаев поможет вам сохранить деньги – никому не называйте данные вашей карты, даже сотруднику банка. Пин-код, CCV-код, расположенный на оборотной стороне, дата окончания действия, разовые пароли, приходящие на телефон в виде SMS или Push-уведомлений – вся эта информация должна быть доступна только вам и никому больше. Заполучив ее, мошенники могут с легкостью лишить вас денег”, – объясняет Ольга Грачева, заместитель регионального директора по развитию розничного бизнеса ОО “Самарский” ПСБ банка.

Правило номер два – не переходите по ссылкам, полученным в SMS и по электронной почте от незнакомых номеров и с неизвестных адресов. Если отправителем указан ваш клиент, контрагент, знакомый, перепроверьте адрес почты, номер.

Еще одно важное правило при использовании карты – не упускайте ее из вида, когда расплачивайтесь ею, например, в кафе или ресторанах. Официант должен принести терминал к вашему столику, а если по какой-то причине это сделать невозможно, подойдите к кассе лично

То же правило действует, если вы расплачиваетесь банковской картой в общественном транспорте.

Для того чтобы обезопасить себя, совершая покупки в сети Интернет, заведите специальную карту для онлайн-покупок. Расплатиться ею в обычном магазине или снять наличные невозможно, так как на карте отсутствует магнитная полоса и к ней не выпускается ПИН-код. Для оплаты нужно всего лишь перевести необходимую сумму с основной карты – это займет минимум времени. Если вы не хотите оформлять дополнительную карту, подключите к вашему основному “пластику” систему 3D-Secure, если вы этого еще не сделали. Эта технология позволяет подтвердить совершаемую операцию одноразовым паролем, который вы получите на мобильный телефон.

И еще несколько советов. Нельзя передавать свой мобильный телефон посторонним лицам. В современном мире мобильный телефон – средство подтверждения платежей. Как можно чаще проверяйте историю операций по вашей карте. Установите дневной лимит снятия наличных денег с карты.

Банковские карты и персональная информация

Один из самых банальных способов взлома банковского счета – отправить пользователям сообщение о временной блокировке кредитки и попросить прислать номер карты для того, чтобы была возможность блокировку снять.

Таким образом, в ловушку мошенников в этом году попало более 10 тысяч граждан Республики Беларусь. Такая утечка информации может обойтись пользователям очень дорого – намного дороже потери личных фотографий и доступа к игровым аккаунтам.

Взлом карты чаще всего осуществляется с помощью фишинга – пользователю передают ссылку на какой-либо сайт-приманку, который является копией сайта банковского учреждения. В ответ на предложение получить кредит, оформить заявку на карту рассрочки и прочие привлекательные предложения пользователи, вводящие информацию в специальных полях сайта, сами передают сведения о своих счетах в руки интернет-мошенников. И не стоит удивляться тому, что в следующий визит за деньгами к банкомату обнаруживается, что счет опустел. Подобная система фишинга применяется с 2001 года и представляет серьезную опасность как для пользователей, так и для организаций.

Единственный способ отличить сайт-подделку – ошибка в адресной строке. Для максимальной схожести с оригиналом хакеры используют в своих сайтах субдомен, который незначительно отличается от оригинала (twiter – Twitter). Еще один вариант поймать пользователя «на крючок» — отправить внешне правильную ссылку, которая на самом деле приведет на фишинговый сайт: переход по http://www.google.com@members.tripod.com/ приводит не на страницу популярной поисковой системы Гугл, а на сайт members.tripod.com по реферальной ссылке пользователя www.google.com.

Но иногда даже внимательный просмотр содержимого адресной строки не принесет результата и не позволит определить сайт-обманку, поскольку в последнее время мошенники приноровились менять строку с помощью JavaScript. Одним из примеров такого обмана является размещение картинки с поддельным адресом поверх адресной строки. Фишинговые сайты могут обладать совершенной маскировкой, в наличие будут иметься и «техподдержка» и голосовой инструкции. Единственный способ отличить такой сайт от поддельного – вовремя вспомнить, что ни в одном онлайн-банке от клиентов не требуют указывать полный номер карты, пин-код и паспортные данные, а следовательно – если на сайте предлагают ввести их в соответствующие поля, то лучше этого не делать ни при каких обстоятельствах.

Необходимо помнить о том, что для оплаты покупок в интернете Pin-код не требуется: достаточно ввести номер карты и находящийся на обороте ее стороны CVV2 или CVC2. И если мошенникам известны эти данные – они без труда сумеют опустошить счет любого пользователя.

Что делать, если это произошло? Прежде всего, потребуется обратиться в банк для блокировки вашей карточки, а также ее последующего перевыпуска. Для покупок в интернете лучше иметь отдельную карту, сумма денежных средств на которой будет невелика. При использовании картой подключайте услугу СМС-информирования по всем операциям. Услуга, как правило, платная, зато предоставляется практически всеми банками и позволяет контролировать все манипуляции со счетом в режиме онлайн. Это самый действенный способ обеспечить сохранность ваших средств.

В современном мире жить без высоких технологий и интернет-среды уже невозможно. А следовательно – первоочередной задачей и пользователей, и различных компаний является обеспечение безопасности интернет-жизни от кибермошенников и их преступной деятельности.

Охота на юрлиц

От мошенников часто страдают не только физлица, но и фирмы, предприниматели. При этом размер хищений исчисляется миллионами рублей.

Особое внимание безопасности следует уделять в интернет-банке. На компьютере с доступом к системе ДБО должно быть установлено лицензионное ПО и лицензионный антивирус

Очень важно, чтобы компьютер использовался только по своему прямому рабочему назначению – ограничьте доступ с этого компьютера на другие сайты, особенно развлекательного характера. Если есть возможность выделите для работы с интернет-банком отдельный ПК, предоставив к нему доступ только ограниченному количеству сотрудников

Если для дистанционного банковского обслуживания используется аппаратный ключ с электронной подписью, не держите его постоянно вставленным в компьютер, его необходимо подключать только для заверения платежей в клиент-банке.

Уделяйте пристальное внимание персоналу. На практике чаще всего деньги из фирмы “уводят” сотрудники, обладающие доступом к счетам

Помните: никакие современные банковские технологии не защитят наши деньги, если мы сами будем нарушать нормы информационной безопасности при использовании финансовых инструментов.

Как защитить личные данные

При смене пароля придумывайте новую комбинацию

Многие сервисы просят пользователей периодически менять пароли. И казалось бы, это — действенная мера безопасности. Но на самом деле всё совсем наоборот.

Вспомните: когда вам нужно было обновить пароль, вы придумывали новое сочетание букв и цифр или модифицировали старый вариант? Скорее всего, второе. Как правило, пользователи идут по пути упрощения комбинации, а это только ослабляет защиту. К тому же немного изменённый шифр легко забыть, поэтому люди записывают его. Эти заметки оставляют на рабочем столе, на стикере, носят в кошельке — получить к ним доступ могут многие, в том числе и мошенники.

Один сложный пароль — надёжнее часто меняющихся подражателей. Для примера — корпорация Microsoft в обновлённой версии своей операционной системы Windows 10 (1903) отказалась Security baseline (DRAFT) for Windows 10 v1903 and Windows Server v1903 от политики регулярной смены паролей, назвав эту меру устаревшей.

Намного эффективнее завести менеджер паролей. Он придумает за вас сложную комбинацию и сохранит её под защитой. Приложение самостоятельно будет подставлять нужный пароль к почте, соцсетям, учётным записям. Вот несколько популярных сервисов: 1Password, LastPass, Enpass. Они платные, но это невысокая цена за надёжное хранилище для ваших паролей.

Используйте двухфакторную аутентификацию

Очень популярный сегодня метод защиты данных. Говоря простыми словами, это — двойной барьер, два шага, необходимых для доступа. Например, для входа в интернет‑банкинг вы вводите логин и пароль. Если они верны, на телефон приходит СМС с кодом. Этот шифр и является второй ступенью. Вместо СМС могут использоваться специальные приложения или аппаратные токены. Не пренебрегайте возможностью двухфакторной аутентификации, когда ПО вашего смартфона или компьютера предложит вам такой вариант.

Не подключайтесь к непроверенному Wi‑Fi

Присоединяться к чужому незапароленному Wi‑Fi опасно. Киберпреступники могут создать поддельную сеть, чтобы украсть данные ничего не подозревающих пользователей. Чаще всего это происходит в местах массового скопления людей: кафе, торговых центрах и городских парках. Через беспроводную сеть злоумышленники способны добраться до ваших логинов, паролей, информации о кредитных картах, интернет‑подписках и любимых соцсетях. Чтобы этого избежать, всегда пользуйтесь только безопасными интернет‑соединениями.

Как наказать киберпреступников

Важно понимать, что мошенничество с виртуальными деньгами и личными данными заканчивается вполне реальным наказанием. Подключите СМС‑оповещение о списании денег с карты и контролируйте финансы

При утечке средств незамедлительно обращайтесь в банк для уточнения деталей и заявляйте в полицию при краже. Также просите помощи в правоохранительных органах, если подозреваете, что кто‑то недобросовестно использует ваши личные данные.

Ответственность за преступления против собственности регламентируется главой 21 Уголовного кодекса Уголовный кодекс Российской Федерации Российской Федерации. А все вопросы в отношении личной информации регулирует Федеральный закон о персональных данных.

Добавить комментарий