- Apgaulė apima įvairias apsimetinėjimo technikas (SMS, skambučius, el. laiškus, internetą, IP, DNS, GPS, veido atpažinimą), kurių tikslas – pavogti duomenis ar pinigus.
- Klastodami SMS žinutes ir skambinančiojo ID, nusikaltėliai suklastoja siuntėją ir numerį, kad apsimestų bankais ar patikimomis organizacijomis.
- Geriausia apsauga – būti atsargiems dėl netikėtų žinučių ir skambučių, nebendrinti neskelbtinų duomenų ir visada pasitikrinti informaciją oficialiais kanalais.
- Mokymai, saugumo priemonės ir reguliavimo priemonės stiprina apsaugą, tačiau vartotojų apdairumas išlieka svarbiausias.
La tapatybės vagystė SMS žinutėmis ir skambučiais Tai tapo viena pavojingiausių ir labiausiai paplitusių sukčiavimo schemų, paveikiančių tiek asmenis, tiek įmones; peržiūrėkite naujausią informaciją Naujienos apie kompiuterių saugumą ir kibernetinį saugumą.
Šiame straipsnyje mes išsamiai paaiškinsime Kas yra SMS klastojimas, kaip jis veikia ir kaip jis susijęs su kitais klastojimo tipais? (skambučiuose, el. laiškuose, interneto svetainėse, IP, DNS, GPS ir kt.), taip pat požymius jiems aptikti ir praktines priemones, kurias galite taikyti, kad apsisaugotumėte kasdieniame gyvenime tiek asmeniniame, tiek profesiniame gyvenime, taip pat ir su saugumas ir privatumas programose.
Kas yra apgaulė ir kodėl ji tokia pavojinga?
Kalbėdami apie apgaulingą turinį, turime omenyje tapatybės vagystės technikų rinkinys Užpuolikai juos naudoja norėdami apsimesti patikimu asmeniu, įmone ar organizacija. Tikslas visada tas pats: apgauti auką, kad ji atskleistų neskelbtinus duomenis, atliktų mokėjimus ar atliktų veiksmus, kurie būtų naudingi sukčiui.
Kibernetiniai nusikaltėliai derina klastojimą su įvairiomis formomis sukčiavimas (apgaulė siekiant pavogti duomenis)Šios sukčiavimo akcijos gali būti vykdomos el. paštu, SMS žinutėmis, telefono skambučiais arba netikromis svetainėmis. Bankininkystės sektoriuje šios sukčiavimo akcijos ypač sutelktos į internetinės bankininkystės duomenų, kortelių duomenų, SMS patvirtinimo kodų (OTP) ar kitos asmeninės informacijos, kurią galima panaudoti finansiniam sukčiavimui ar net kitiems tapatybės vagystės nusikaltimams, gavimą.
Svarbu prisiminti, kad Geros reputacijos finansų įstaigos neprašo informacijos SMS žinutėmis, telefonu ar el. paštu. Reikėtų prašyti tokios informacijos kaip internetinės bankininkystės vartotojo vardas ir slaptažodis, į jūsų mobilųjį telefoną išsiųsti kodai, kortelės numeris, galiojimo data arba trijų skaitmenų saugos kodas (CVV/CVC). Jei kas nors prašo šios informacijos šiais kanalais, turėtumėte nedelsdami įtarti.
SMS klastojimas: kas tai yra ir kaip tai veikia
El SMS klastojimas Tai technika, leidžianti užpuolikui išsiųsti tekstinį pranešimą, kuris atrodo kaip atsiųstas teisėto siuntėjo (dažniausiai banko, kurjerių įmonės ar vyriausybinės agentūros), nors iš tikrųjų jį atsiuntė nusikaltėlis. Ši praktika dažnai naudojama sukčiavimo apsimetant atmainoje, vadinamoje šypsodamasis, kurioje apgaulė atkeliauja SMS žinute.
Praktiškai sukčius Siuntėjo numerio arba vardo keitimas kurį matote savo mobiliojo telefono ekrane (laukas, vadinamas siuntėjo ID). Dėl to apgaulinga žinutė gali atsirasti toje pačioje SMS žinutėje, kurioje anksčiau gavote teisėtus pranešimus iš savo banko ar patikimos paslaugos. Toks tęstinumo įspūdis verčia vartotoją sumažinti budrumą.
Šių SMS žinučių turinys paprastai apima nerimą keliantys arba skubūs pranešimaiŠios sukčiavimo schemos dažnai apima: neatpažintus mokėjimus, neišvengiamą sąskaitos uždarymą, būtinybę atnaujinti informaciją, tariamus prizus ar mokesčių grąžinimą ir kt. Tuomet jos kviečia jus spustelėti nuorodą arba paskambinti telefono numeriu, kuris iš tikrųjų nepriklauso apsimestiniam subjektui.
Viena iš labiausiai paplitusių taktikų – žinutėje yra nuoroda į netikrą svetainę, kuri imituoja banko svetainęŠis puslapis gali būti beveik identiškas tikrajam: logotipai, spalvos, panašus tekstas ir net labai panašus URL. Tikslas – kad įvestumėte savo internetinės bankininkystės prisijungimo duomenis, kortelės duomenis ir kodus, kuriuos gaunate SMS žinute, kad nusikaltėlis galėtų pasiekti jūsų paskyrą.
Kitais atvejais SMS žinutė nukreipia auką į suklastotas telefono numeriskai tariamas „vadovas“ arba „agentas“ apsimeta banko darbuotoju, prašo asmeninių duomenų ir žingsnis po žingsnio veda asmenį, kad šis autorizuotų pavedimus ar mokėjimus, manydamas, kad „sprendžia saugumo problemą“.
Kodėl netikros SMS žinutės painiojamos su oficialiomis?
Vienas iš dažniausiai užduodamų klausimų – kaip įmanoma gauti apgaulingą pranešimą rodomi toje pačioje temoje nei teisėtos SMS žinutės iš banko. Paaiškinimas slypi tame, kaip mobilieji telefonai ir tinklai tvarko siuntėjo identifikatorių.
Įrenginiai grupuoja pokalbius vien pagal Siuntėjo IDŠis raidinis ir skaitmeninis laukas nėra patikimai patikrintas ir teisiškai patvirtintas visame pasaulyje. Kitaip tariant, tinklas ir mobilieji įrenginiai daro prielaidą, kad kiekvienas, prisistatantis „Banku X“ arba naudojantis konkretų numerį, iš tikrųjų toks yra, be griežtos kontrolės.
Ši spraga leidžia kibernetiniams nusikaltėliams uzurpuoti bankų ir įmonių naudojamą siuntimo pavadinimąKadangi nėra griežto slapyvardžio savininko autentifikavimo, vartotojo terminalas maišo netikras žinutes su teisėtomis, sukurdamas visiško normalumo įspūdį.
Rezultatas yra toks net ir atidūs bei patyrę vartotojai Jie gali pakliūti į spąstus, nes kanalas ir kontekstas („jūsų banko“ žinutės) atrodo visiškai autentiški, o žinutės tonas perteikia baimę, skubumą ar finansinių nuostolių jausmą.
Skambinančiojo ID klastojimas: apsimetinėjimas kitu asmeniu telefono skambučiuose
El Skambintojo ID klastojimas Telefoninių žinučių klastojimas yra SMS žinučių klastojimo atitikmuo, tačiau taikomas skambučiams. Užuot manipuliavęs SMS siuntėju, užpuolikas... suklastoja numerį, kuris rodomas skambinančiojo IDTaigi, mobiliojo telefono ekrane gali būti rodomas tikrasis banko, oficialios įstaigos ar net žinomo kontaktinio asmens numeris, net jei skambutis atliekamas iš kitur.
Naudodamas šią techniką, sukčius apsimeta esąs banko darbuotojas, sąskaitų tvarkytojas arba oficialios tarnybos darbuotojas ir susisiekia su auka, pranešdama apie skubią problemą: įtartinus judesius, neteisėtus bandymus prisijungti, kortelės blokavimą, būtinybę nedelsiant patikrinti duomenis ir pan.
Skambučio metu asmuo kitame gale paprastai klausia itin jautrūs duomenys: skaitmeninės bankininkystės vartotojo vardas ir slaptažodis, SMS žinute gauti kodai, visas kortelės numeris, PIN kodas, asmens duomenys (asmens tapatybė, gimimo data, adresas) arba net tai, kad auka atlieka pavedimus „sukčiavimui blokuoti“, kurie iš tikrųjų nukreipiami į nusikaltėlių kontroliuojamas sąskaitas.
Pasekmės gali būti rimtos: tiesioginė prieiga prie banko sąskaitųTai apima neautorizuotus pinigų pervedimus, sąskaitų atidarymą aukos vardu arba tapatybės vagystę siekiant įvykdyti kitus nusikaltimus. Todėl, jei pokalbio metu jūsų prašoma saugumo informacijos, turėtumėte padėti ragelį ir patys paskambinti oficialiais banko telefono numeriais.
Norint nustatyti galimą skambinančiojo ID klastojimo atvejį, patartina patikrinti, ar Jie primygtinai reikalauja skubiai atlikti operaciją, jei tonas bauginantis arba klausimai neįprasti (pavyzdžiui, prašoma pilnų slaptažodžių ar kodų, kurių bankas niekada neprašo telefonu).
Kiti labai dažni klastojimo tipai
Nors SMS žinučių ir skambinančiojo ID klastojimas yra ypač pavojingas finansų sektoriuje, yra ir kitų metodų. daug kitų parodijos variantų kurie taip pat siekia apgauti ir pavogti informaciją ar pinigus. Jų supratimas padeda atpažinti modelius ir geriau apsisaugoti.
El. pašto klastojimas
Į pašto klastojimasUžpuolikas siunčia el. laiškus, kurie atrodo kaip iš teisėto adreso: banko, gerai žinomos įmonės ar net asmeninio kontakto. Gudrybė – suklastoti siuntėjo (FROM) laukelį, kad iš pirmo žvilgsnio domenas atrodytų patikimas, nors atidžiau apžiūrėjus, dažniausiai toks ir yra. šiek tiek skiriasi nuo tikrojo domeno objekto (pavyzdžiui, pakeisti raidę, pridėti brūkšnelį arba naudoti kitą plėtinį).
Šiuose el. laiškuose paprastai klausiama, ar vartotojas pateikti asmeninius arba finansinius duomenisAtsisiųskite priedą arba spustelėkite nuorodas, kurios veda į apgaulingus puslapius. Daugeliu atvejų tai naudojama kenkėjiškoms programoms (virusams, Trojos arkliams, klavišų paspaudimų registratoriams) įdiegti arba atidaryti svetainę, identišką banko svetainei, kurioje auka įves savo prisijungimo duomenis.
Svetainės ar domeno klastojimas
El žiniatinklio klastojimas arba domenų klastojimas Tai reiškia, kad sukuriama netikra svetainė, imituojanti teisėtą svetainę (banką, internetinę parduotuvę, vyriausybinę agentūrą ir pan.). Naršyklės adreso juostoje rodomas URL paprastai yra labai panašus, bet ne identiškas tikrosios svetainės URL. Užpuolikai dažnai derina šią techniką su SMS ar el. laiškų klastojimu, kad nukreiptų srautą į šias apgaulingas svetaines.
Patekusi į netikrą svetainę, auka įeina jūsų prisijungimo duomenis, kortelės duomenis ar kitą konfidencialią informaciją manydami, kad yra originaliame puslapyje. Nusikaltėliai realiuoju laiku fiksuoja šiuos duomenis ir gali juos iš karto panaudoti norėdami pasiekti paskyrą, atlikti pirkimus ar išvalyti likučius.
IP klaidinimas
Į IP apsimetimasKibernetinis nusikaltėlis suklastoja kito kompiuterio IP adresą, kad tikslinė sistema manytų, jog ryšys kilo iš patikimo šaltinio. Tokiu būdu jie gali apeiti saugos filtrus, pasiekti ribotus išteklius arba pasinaudoti pasitikėjimu, kuris egzistuoja tarp to paties tinklo mašinų.
Šio tipo ataka dažnai naudojama kaip dalis sudėtingesnių strategijųpavyzdžiui, paslaugų teikimo trikdymo (angl. DDoS) atakos arba įsilaužimai į įmonių tinklus, ir gali sudaryti sąlygas konfidencialios informacijos vagystei, jei nėra įdiegtos tinkamos apsaugos priemonės.
DNS klastojimas
El DNS parodijos Jis remiasi domenų vardų sistemos (DNS) manipuliavimu, kuri svetainių pavadinimus verčia į IP adresus. Užpuolikai užkrečia aukos maršrutizatorių ar kompiuterį arba manipuliuoja DNS atsakymais, kad vartotojui apsilankius žinomoje svetainėje, jis būtų tyliai nukreiptas į kenkėjišką svetainę. jų kontroliuojama apgaulinga svetainė.
Vartotojo požiūriu, viskas atrodo normalu (jis įveda URL adresą, kurį visada naudoja), bet iš tikrųjų jis patenka į manipuliuojamą svetainę, kurioje gali pavogti prisijungimo duomenis, banko duomenis arba įdiegti kenkėjiškas programas to nesuvokdamas.
GPS klaidinimas
El GPS apgaulė Tai apima padėties nustatymo signalo klastojimą arba manipuliavimą taip, kad įrenginys manytų esąs kitoje vietoje, nei yra iš tikrųjų. Ši technika gali būti naudojama apgauti navigacijos sistemas, keisdami transporto maršrutus, modifikuodami vietos įrašus ar net sukčiaudami, susijusio su pristatymais ar maršrutais, už kuriuos mokama pagal atstumą.
Pavyzdžiui, kenkėjiškas vairuotojas gali panaudoti GPS klastojimą, kad apgautų platformą, priversdamas patikėti, jog jis keliavo daugiau kilometrų nei iš tikrųjų ir tokiu būdu apmokestinti daugiau arba nukreipti transportą į kitą zoną sistemai to iš karto neaptikus.
„Žmogaus viduryje“ (MitM) atakos
Tipinių atakų metu Žmogus viduryje (MitM)Kibernetinis nusikaltėlis užima poziciją tarp dviejų bendraujančių šalių (pavyzdžiui, vartotojo ir svetainės) ir perima eismą nė vienam iš jų nepastebintĮprastas būdas tai padaryti – sukurti netikrą „Wi-Fi“ tinklą, kurio pavadinimas labai panašus į teisėto „Wi-Fi“ tinklo (kavinės, viešbučio, universiteto ir pan.) pavadinimą.
Jei vartotojas prisijungia prie to spąstų tinklo, užpuolikas gali jį užfiksuoti slaptažodžius, kortelių duomenis, el. pašto adresus ir kitą neskelbtiną informacijąKai kuriais atvejais jis taip pat gali modifikuoti srautą, kad nukreiptų į netikras svetaines arba įterptų kenkėjišką kodą.
Veido imitavimas
El veido imitavimas Jame daugiausia dėmesio skiriama veido atpažinimo sistemų apgaulei. Užpuolikas naudoja kito asmens veido nuotraukos, vaizdo įrašai ar modeliai norint atrakinti mobiliuosius telefonus, pasiekti bankininkystės programas arba apeiti biometrinės autentifikacijos kontrolę.
Jei sistemoje trūksta pažangių gyvybės aptikimo mechanizmų (pavyzdžiui, gylio, natūralių judesių ar šviesos atspindžių analizės), ji gali būti apgauta ir leisti neteisėta prieiga prie paskyrų ir paslaugų labai jautrus.
Apgaulė profesinėje ir verslo aplinkoje
Įmonės, nuo didelių korporacijų iki MVĮ, taip pat dažnai tampa šių apsimetinėjimo technikų taikiniais. Profesinėje srityje užpuolikai pritaiko savo žinutes apsimetinėjimas viršininkais, kolegomis, tiekėjais ar klientais su kuriais organizacija bendrauja kasdien.
Jiems įprasta bandyti įtikinti darbuotojus atlikti savo darbą skubūs mokėjimai į nusikaltėlių kontroliuojamas sąskaitasJie gali pateikti konfidencialią informaciją (klientų duomenis, vidines ataskaitas, prisijungimo duomenis) arba atsisiųsti dokumentus, kuriuose yra kenkėjiškų programų. Daugelis šių sukčiavimo atvejų yra žinomi kaip generalinio direktoriaus sukčiavimas arba verslo el. pašto kompromitavimas (BEC).
Norint sumažinti riziką, svarbu apmokyti visą komandą geriausios kibernetinio saugumo praktikos ir sustiprinti vidinius patvirtinimo procesus (pavyzdžiui, reikalaujant dvigubo tiekėjų banko sąskaitų pakeitimų arba didelių pervedimų patikrinimo). Taip pat naudinga turėti techninius sprendimus, kurie analizuoja el. laiškus, blokuoja įtartinus pranešimus ir stebi anomalią veiklą.
Kai kurios finansų įstaigos siūlo kibernetinio saugumo paslaugos, skirtos specialiai įmonėms, pavyzdžiui, centralizuotos platformos, kurios aptinka ir blokuoja sukčiavimo ir klastojimo bandymus, įvertina rizikos lygį ir nuolat moko darbuotojus, kad jie išmoktų atpažinti kenkėjišką komunikaciją.
Teisinė sistema ir reguliavimo priemonės prieš klastojimą
Dėl didžiulio klastojimo pagrindu sukurto sukčiavimo išaugimo reguliavimo institucijos patvirtinti konkrečius reglamentus, skirtus šiai praktikai pažabotiViena iš veiksmų krypčių – priversti telekomunikacijų operatorius sustiprinti skambučiuose ir SMS žinutėse naudojamos numeracijos kontrolę.
Tarp labiausiai pastebimų priemonių yra įpareigojimas blokuoti ryšius su padirbtais, manipuliuotais ar nepriskirtais numeriais ir klientų aptarnavimo bei pardavimo skambučiuose naudojamų numerių identifikavimo reguliavimas. Tuo siekiama apsunkinti slapyvardžių ar numerių, kurie neatitinka tikrojo subjekto, naudojimą.
Net ir tokiu atveju vien teisinės ir techninės apsaugos nepakanka: vartotojams išlieka labai svarbu Išlaikykite kritišką ir apdairų požiūrį Būkite atsargūs dėl bet kokių pranešimų, kuriais prašoma konfidencialios informacijos arba spaudžiama veikti skubiai, ypač jei jie atkeliauja SMS žinute ar telefono skambučiu.
Kaip atpažinti ir išvengti SMS žinučių ir skambintojo ID klastojimo
Nors nėra patikimos sistemos, yra keletas gairių, kurios padeda sumažinti riziką tapti šių sukčių aukomis. Pirma, reikia susikurti tam tikrą „Skaitmeninis sveikas protas“Būkite įtariai reaguojantys į bet kokį netikėtą pranešimą ar skambutį, kuriuo prašoma informacijos arba kuris sukelia nerimą.
Susidūrus su įtartina teksto žinute, auksinė taisyklė yra Nespustelėkite nuorodų įtrauktas į tekstą ir neskambinkite numeriais, kurie nurodyti žinutėje. Jei atrodo, kad žinutė iš jūsų banko, eikite tiesiai į oficialią svetainę įvesdami URL naršyklėje arba atidarykite oficialią programėlę ir patikrinkite, ar ten iš tikrųjų yra įspėjimas ar problema.
Skambučių atveju, net jei ekrane matote banko numerį, neturėtumėte jo pateikti. slaptažodžius, patvirtinimo kodus, kortelės duomenis arba parašo raktusJei jie primygtinai reikalauja, padėkite ragelį ir patys paskambinkite klientų aptarnavimo numeriu, kuris nurodytas oficialioje svetainėje arba kortelės kitoje pusėje.
Taip pat patartina aktyvuoti ir pasinaudoti dviejų veiksnių autentifikavimas (2FA) svarbiose paslaugose, tokiose kaip internetinė bankininkystė, el. paštas ar profesionalios platformos, tačiau visada nepamirškite, kad SMS žinute arba į autentifikavimo programėlę siunčiami kodai niekada neturėtų būti bendrinami su niekuo, net jei asmuo teigia esąs iš banko.
Galiausiai, išlaikyti turėti atnaujintus mobiliojo telefono ir saugumo sprendimus (antivirusinė programa, apsauga nuo brukalo, URL filtrai) prideda papildomą apsaugos sluoksnį nuo kenkėjiškų programų ir pavojingų nuorodų, sumažindama užkrėtimo ar nukreipimo į sukčiavimo svetaines tikimybę.
Bendros rekomendacijos, kaip apsisaugoti nuo sukčiavimo
Be kiekvieno konkretaus kanalo (SMS, skambučio, el. laiško, svetainės), yra keletas geriausių praktikų, kurios padeda apsisaugoti nuo praktiškai bet kokio tipo klastojimo. Vienas iš svarbiausių yra Nesidalinkite slapta informacija nesaugiais kanalais arba nepatvirtinta, ypač jei jūs nepradėjote bendravimo.
El. laiške, prieš spustelėdami nuorodą arba atsisiųsdami priedą, atidžiai peržiūrėkite siuntėjo domenas ir pranešimo turinysIeškokite smulkių rašybos klaidų, neįprastų domenų ar informacijos užklausų, kurių jūsų bankas niekada neprašytų el. paštu. Jei kažkas atrodo ne taip, geriausia ištrinti pranešimą arba susisiekti su banku tiesiogiai kitu kanalu.
Naršydami internete, pripraskite žiūrėti į Visas URL naršyklės juostoje ir patikrinkite, ar jis tiksliai atitinka oficialų subjekto adresą. Saugokitės svetainių, kurių pavadinimai pernelyg panašūs į originalus, bet nėra identiški, arba kurias gavote per nuorodas nepageidaujamuose el. laiškuose ar tekstinėse žinutėse.
Viešuosiuose arba atviruose „Wi-Fi“ tinkluose venkite naudotis jautriomis paslaugomis, tokiomis kaip internetinė bankininkystė, įmonės el. paštas arba administravimo skydaiJei reikia tai padaryti, naudokite patikimą VPN, kad užšifruotumėte ryšį ir sumažintumėte tikimybę, kad kažkas perims jūsų srautą.
Galiausiai, nepamirškite, kad agresyvus tonas arba bandymas jus skubinti paprastai yra blogas ženklas: Jokia teisėta bankininkystės procedūra nereikalauja neatidėliotinų sprendimų, kilus grėsmei Galite prarasti pinigus per kelias minutes. Jei žinutėje ar skambutyje pastebite spaudimą ar dramą, sustokite, įkvėpkite ir patys patikrinkite informaciją.
Žinių, sveiko skepticizmo ir kai kurių pagrindinių techninių priemonių derinys kibernetiniams nusikaltėliams gerokai apsunkina sėkmę naudojant apgavystės technikas – SMS žinutėmis, skambučiais, el. laiškais, netikrose svetainėse ar kitais skaitmeniniais kanalais.
