Кейс В 2015 г. хакерами был взломан аккаунт PR-директора компании Acronis Екатерины Турцевой
[105]. Действуя от имени Турцевой, злоумышленники убедили ее друзей расстаться с более чем 250 000 рублей
[106].
В период пандемии COVID-19 злоумышленники (в том числе и продавцы фиктивных сертификатов) стали шантажировать покупателей фиктивных сертификатов о вакцинации, угрожая, что за хранение поддельного сертификата предусмотрена уголовная ответственность, и требуя с жертвы десятки тысяч рублей. Учитывая, что в России за покупку и хранение поддельного документа предусмотрено наказание до 1 года лишения свободы, многие жертвы отправляют деньги злоумышленникам. Аналогичные методы шантажа применяются к покупателям любых других нелегальных товаров
[107].
С поддельными сертификатами злоумышленники поступают двумя путями. Первый из них – генерируют поддельный сертификат с QR-кодом с внесением данных на государственные порталы. В этом случае сертификат неотличим от настоящего, но покупателю угрожает риск заражения и невозможность вакцинироваться, если он все же решится это сделать (по крайней мере, в государственных медучреждениях). Второй вариант – создают сертификат с QR-кодом, ведущим на фейковый сайт «Госуслуг». Такое предложение обходится покупателю дешевле, но и срабатывает не всегда, так как ориентировано на невнимательность людей, проверяющих QR-коды
[108]. В обоих случаях жертва передает продавцам фиктивных сертификатов внушительный объем персональных данных, которые те продают злоумышленникам или используют самостоятельно в шантаже покупателей как описано выше.
Все подобные способы атаки называются социальной инженерией – термин был введен Кевином Митником, известным хакером (ныне – специалистом по информационной безопасности (ИБ)). Преступники используют социальную инженерию, чтобы побудить (заставить) человека расстаться с деньгами или с ценной информацией (которую позже можно монетизировать с помощью шантажа). Это самый распространенный и успешный вид атаки
[109], наиболее неприятный для специалистов по информационной безопасности, поскольку такие преступления нельзя предотвратить с помощью технологий защиты. Здесь главную роль играет человеческий фактор – уязвимость потенциальной жертвы.
Современные методы социальной инженерии используются в основном для манипуляции пользователями интернет-сервисов (через сайты, вредоносное программное обеспечение, электронную почту, мессенджеры и пр.) и сотовых сетей (с помощью телефонии и SMS-сообщений). Но они могут применяться и при личной встрече (например, этим занимаются «представители пенсионных фондов», а также торговцы волшебных лекарств и «чудо-фильтрами для воды», ходящие по подъездам), при звонках на стационарные телефоны и даже в обычных почтовых отправлениях (например, в рассылках «с денежными призами»)
[110].
С особой любовью мошенники относятся к таким мероприятиям, как «черная пятница», во время которых на протяжении нескольких дней многие магазины продают товары по сниженным ценам. В этот период возникает много ресурсов типа https://blackfridayscom.tld, нацеленных на сбор личных и финансовых данных пользователей. Людей завлекают с помощью рекламных акций, таких как бесплатные подписки и реклама фейковых интернет-магазинов, якобы торгующих товарами мировых брендов с невообразимыми скидками. Аналогичные «акции» злоумышленники приурочивают к таким событиям, как выпуск новых флагманских устройств, предлагая раньше всех обзавестись «новейшим гаджетом», да еще и со скидкой. В реальности жертва получает реплику аппарата или вовсе лишается денег.
Примечание. Обратите внимание: на фишинговые сайты могут вести ссылки типа «Отписаться», какие обычно содержатся в рекламных электронных письмах и позволяют получателю отказаться от получения таких сообщений. Злоумышленники могут воспользоваться этим; когда получатель перейдет по такой ссылке, чтобы отписаться, он попадет на фишинговый сайт, крадущий данные. Поэтому всегда важно проверять адрес сайта в строке браузера, а еще лучше переходить на любые сайты, вручную набирая их адрес. Используя поисковые системы (в том числе и крупные – Google и «Яндекс») для поиска сайтов, также очень важно проверять появляющиеся в списке выдачи адреса ресурсов, на которые вы собираетесь перейти. Злоумышленники могут оплачивать рекламу поддельных сайтов с определенными ключевыми словами, стремясь попасть в топ поисковой выдачи.
В последнее время в России получили распространение фишинговые письма от имени сотрудников государственных организаций, в частности с ссылками на клоны сайта «Госуслуги» и банковских ресурсов с предложением оформить выплаты на ребенка, вакцинироваться от COVID-19 и т. п.
[111] После посещения подложного сайта пользователь вместо получения денег лишается их, перечислив злоумышленникам, а также предоставляет им свои персональные данные для дальнейших мошенничеств. Для проверки подлинности подобных предложений можно перейти на официальный сайт компании (в данном случае оператора сотовой связи) и проверить текущие акции там (либо позвонить на горячую линию компании).
Примечание. Согласно отчету
[112] компании Positive Technologies, в 2020‒2021 гг. чаще всего похищали учетные и персональные данные, а также информацию о платежных картах. Преобладали целевые атаки: 77 % всех киберпреступлений.
Важно отметить, что на фишинговых сайтах крайне опасно аутентифицироваться не только путем предоставления своих учетных данных, но и через аккаунты в социальных сетях (многим нравится этот быстрый способ авторизации на различных сайтах). Достаточно нажать кнопку (ссылку) для входа с аккаунтом Facebook, «ВКонтакте» и т. п., как на сайте автоматически создается профиль пользователя, и он получает доступ ко всем материалам ресурса. В случае если авторизация происходит на фишинговом сайте, личные данные пользователя утекают мошенникам. Если они получают логин и пароль, используемые вами в социальной сети, то могут осуществлять фишинг и рассылку спама уже от вашего имени, а также украсть ваши конфиденциальные данные и использовать их в целевых атаках против вас
[113].
