5. Социальная инженерия

Тебе приходит письмо или сообщение (в мессенджере, соцсети) якобы от банка, известного магазина, коллеги или друга. В письме — ссылка на сайт-подделку (клон «Госуслуг», ВК). Сайт выглядит один в один как настоящий. Ты вводишь логин и пароль... и отдаёшь их мошеннику.
Основным признаком фишинга является срочность — «Ваш аккаунт заблокируют через \(24\) часа!», заманчивые предложения — «Вы выиграли iPhone, перейдите по ссылке», грамматические ошибки, подозрительный адрес отправителя.

Тебе звонит «сотрудник службы безопасности банка» и называет тебя по имени-отчеству, знает твою примерную сумму на карте или последние покупки (потому что ты сам мог выложить фото чека в сторис). Под легендой (претекстом) — «У вас подозрительная активность, нужно срочно перевести деньги на безопасный счёт» — тебя просят совершить действие. Легенда может быть любой: звонок «из полиции», «от оператора сотовой связи», «из IT-отдела компании, где работают родители».

Автоматический звонок от «робота» или «сотрудника» с сообщением о проблеме с сим-картой/картой/счётом. Для решения проблемы просят нажать \(1\) и ввести данные карты.

Приходит СМС: «Ваша посылка ожидает в пункте выдачи, перейдите по ссылке, чтобы выбрать время». Ссылка ведёт на фишинговый сайт или скачивает вирус на телефон.

Тебе обещают бесплатно настроить компьютер, провести опрос за приз или дать доступ к закрытому курсу, если ты скачаешь специальную программу или сообщишь код из СМС.

Срабатывает человеческое любопытство: «О, флешка, чья же это? Надо вставить и посмотреть, что там!» А там — вирус-шифровальщик или программа-шпион.

 

Обратная социальная инженерия — злоумышленник создаёт проблему, а потом предлагает её решение.
Мошенник заражает твой компьютер вирусом, который блокирует работу, и оставляет сообщение: «Позвоните по такому-то телефону для помощи». Когда ты звонишь, он помогает тебе за деньги или просит удалённо подключиться к компьютеру.

 

Социальные инженеры давят на эмоции и создают условия, в которых ты не успеваешь подумать. Вот маркеры, которые должны сразу включать красную лампочку в голове.

 

\(1\). Срочность. Тебя торопят: «Прямо сейчас!», «Через \(5\) минут карту заблокируют!», «Действует только час!».
\(2\). Запугивание. Тебя пугают: «На вас оформили кредит!», «С вашего счёта уходят деньги!», «Ваш аккаунт взломают!», «Ваших родителей посадят!».
\(3\). Жадность. Тебе предлагают лёгкие деньги: «Вы выиграли!», «Срочная распродажа для избранных», «Заработок в интернете \(100500\) рублей в час».
\(4\). Просьба передать данные (пароль; код из СМС; данные карты).
\(5\). Просьба перейти по ссылке или установить программу.

 

 

Технически защититься от этого сложно, но можно тренировать свою цифровую бдительность.

 

Правило \(1\): остановись и подумай.
Правило \(2\): перепроверяй информацию по официальному каналу.
Правило \(3\): не сообщай лишнего в соцсетях.
Социальные инженеры собирают о тебе информацию по крупицам.
Кличка собаки? (Часто это секретный вопрос.)
Девичья фамилия мамы?
Где ты отдыхал?
Фото карты или пропуска на всеобщее обозрение?
Не выкладывай это в открытый доступ. Проверь настройки приватности своих страниц.
Правило \(4\): контролируй ссылки.
Правило \(5\): двухфакторная аутентификация (\(2FA\)).