Искусство цифровой самозащиты
Шрифт:
Технология QR-кода достаточно проста: в нем закодирована ссылка на внешний сайт. В примере с сертификатами вакцинации ссылка вела на портал Госуслуг, где была простенькая страничка, отображавшая, что сертификат действителен.
Почему я вдруг поднял эту тему? А всё просто: если взять технику фишинга, т. е. скопировать страничку, вставить туда нужные данные и разместить на каком-нибудь сайте типа gosuslugi.app – ни один проверяющий не заметит, что сайт ненастоящий. Честно признаться, в 2001-м я несколько раз проходил в кафе и рестораны по
Я продемонстрировал, как легко подделать QR-код вакцинации газете «Коммерсантъ» и они написали статью «Неподменимых у нас нет». Тема была настолько больная, что поднялась настоящая буря в СМИ, да такая, что вызвала озабоченность даже в Кремле.
КАК НЕ ПОПАСТЬСЯ НА УДОЧКУ МОШЕННИКОВ?
1. Самое главное правило – компании и сервисы не запрашивают вашу конфиденциальную информацию по электронной почте. Если вы видите призыв зайти и что-то ввести – на 99 % это фишинг.
2. Настоящие компании и сервисы обычно называют вас по имени. Мошенники же опускают обращение и пишут просто что-то вроде «Дорогой пользователь».
3. Настоящие компании и сервисы присылают письма со своих доменов. Обращайте внимание, от кого пришло письмо, если в доменном имени есть лишние буквы и опечатки.
4. Проверяйте ссылки, по которым вас просят перейти. Наведите мышкой на ссылку и проверьте, совпадает ли отображаемое имя с тем, куда реально ведет ссылка, и написана ли сама ссылка верно, без ошибок (смотри выше техники фишинга).
5. При любом малейшем подозрении в том, что вы получили фишинговое письмо, просто свяжитесь с компанией напрямую. Например, настоящий URL-адрес компании можно найти в поисковой системе, банки часто пишут свои телефоны и адреса сайтов на обратной стороне карт.
Фишинг
Телефонное мошенничество
«Телефонные мошенники похищают со счетов россиян 3,5–5 миллиардов рублей ежемесячно. Средний чек по успешной мошеннической операции находится на уровне 8 тысяч рублей» (Станислав Кузнецов, зампред правления Сбербанка).
Ниже приведены некоторые из методов телефонного мошенничества.
Потенциальный покупатель
Человек размещает объявление в интернете, например, о продаже недвижимости на Aвито. Так телефон из объявления немедленно попадает в поле зрения мошенников. И владельцу звонит некий «потенциальный покупатель», готовый платить, не торгуясь, но только на карту или «Cбербанк онлайн».
Для этого он просит сообщить номер карты, срок действия, CVV-код с обратной стороны карты. И СМС-код из сообщения банка о проведенной операции. Или же доступы от «Сбер-онлайн» и код подтверждения. Неопытный пользователь вполне может назвать все реквизиты, вот только после этого счет не пополняется, а опустошается мошенниками.
Звонки от «службы безопасности» банка
Не менее распространены звонки из «службы безопасности банка-эмитента платежной карты» о совершенной подозрительной операции или сбое в программном обеспечении, который привел к потере средств. Для восстановления счета и возврата денег якобы необходимо подтвердить, что вы – это вы, а для этого нужны данные вашей карты и СМС-код подтверждения. Или же другой сценарий: ваши деньги срочно нужно перевести на другой защищенный счет, данные от которого вам даже могут прислать в СМС с короткого номера банка.
Большинство банков имеют специальные номера, которые используются только для сообщений клиентам. Сбербанк, например, рассылает свои уведомления только с номеров 900 или 9000. Технология VoIP [41]
позволяет менять номер звонящего, а некоторые провайдеры не блокируют эту возможность. Есть даже специальные VoIP сервисы под такие вот мошеннические колл-центры, которые оставляют возможность смены номера. Так, при звонке мошенников вы можете видеть номер Сбера и на вопрос «А вы действительно Сбер?» вам нахально ответят: «Bы видите номер, с которого я звоню!»41
VoIP (Voice over Internet Protocol) или IP-телефония – это голосовая связь через интернет (в отличии от традиционной телефонной связи, которая происходит через телефонные линии или мобильную GSM/3G сеть).
На данный момент основным назначением IP-телефонии являются дешевые или бесплатные междугородние и международные звонки. Для совершения этих звонков вам нужно воспользоваться услугами одного из провайдеров IP-телефонии и вы сможете звонить с компьютера, IP-телефона или обычного телефона.
Проблема настолько обострилась, что 02.07.2021 президент России подписал поправки в Федеральный закон «О связи», позволяющие блокировать СМС-сообщения и голосовые звонки с подменных номеров. Операторы лишаются права менять истинный телефонный номер звонящего и обязаны подключиться к специальной службе Роскомнадзора. Частично закон вступил в силу 01.12.2021, а полностью – с 01.05.2022 года. Нет сомнений, что эта мера резко осложнит жизнь телефонным мошенникам.
Звонки от «сотрудников» правоохранительных органов и государственных служб
Особенно циничны звонки из правоохранительных органов, якобы расследующих случаи мошенничества по телефону. Цель та же самая – усыпить бдительность и выманить нужную информацию. На фоне пандемии активизировались мошенники, которые представляются работниками Роспотребнадзора или Пенсионного фонда с сообщениями о новых социальных выплатах. Но для их получения необходимы все те же данные платежных карт.
Махинации со счетами мобильных телефонов
Самый распространенный вариант такого мошенничества – сообщение или звонок об ошибочном переводе денег на счет мобильного телефона и просьба вернуть их владельцу. Могут быть даже угрозы обращения в полицию или оператору с требованием блокировки телефона.
Сообщения о попавшем в беду родственнике и просьбы о помощи
Панический звонок о попавшем в беду родственнике обычно случается среди ночи, полусонной жертве сообщают об автомобильной аварии, наезде на пешехода, крушении поезда или любых других происшествиях, случившихся с детьми, внуками или просто друзьями. Далее следует просьба о срочной помощи в виде перевода немалой суммы на электронный кошелек или счет мобильника.
Сообщения о выигрыше в лотерею
Отличная новость сопровождается требованием перевода на покрытие технических издержек самой лотереи. Здесь расчет на незнание законодательства РФ, согласно которому все расходы организаторов ложатся на них самих.
Сообщения-«грабители»
Жертве приходит СМС с просьбой перезвонить по мобильному номеру, где ему якобы должны сообщить важную новость (о выигрыше в лотерею, проблемах с банковской картой, получении наследства). На звонок долго нет ответа, а после отключения обнаруживается, что со счета списана большая сумма. Мошенники используют возможность зарегистрировать сервис с платным звонком. Обычно подобные сервисы развлекательные и обязательно сообщают о платности в рекламе. Но мошенники этого не делают, и за любой звонок по этому телефону взимается немалая плата.