Ayon sa mga istatistika ng Central Bank of Russia, noong 2017, 317.7 libong user ang nawalan ng 961 milyong rubles sa Internet dahil sa mga aksyon ng mga manloloko. Kasabay nito, sa 97% ng mga kaso, ang mga biktima ng pandaraya ay hindi nakipag-ugnayan sa mga ahensyang nagpapatupad ng batas. At pinag-uusapan natin ang mga insidenteng iniulat sa bangko.
Tingnan natin ang mga karaniwang paraan na ginagamit ng mga umaatake upang magnakaw ng pera sa mga social network. At para hindi ka mahulog sa network ng mga scammer, magbibigay kami ng payo kung paano protektahan ang iyong sarili mula sa mga cybercriminal.
1. Pag-hack ng account
Ang pagkuha ng impormasyon sa pag-login ng account ay nagbibigay-daan sa mga manloloko na makakuha ng kumpidensyal na impormasyon at linlangin ang mga kaibigan ng user. Para magawa ito, gumagamit ang mga scammer ng buong arsenal ng mga trick:
- paghawa sa isang computer o mobile gadget na may virus;
- pagha-hack ng mga database ng iba pang mga site at katugmang mga password;
- brute force karaniwang password.
Ang impeksyon sa virus ay madalas na nangyayari kapag tumatanggap ng mga email na may mga attachment mula sahindi kilalang tatanggap o pag-download ng mga file mula sa libreng pagho-host ng file. Ang mga virus ay naglalayong i-scan ang mga folder ng browser para sa mga hindi naka-encrypt na password, pati na rin ang pagsubaybay sa kung ano ang ipinasok ng user mula sa keyboard. Halimbawa, ang Android. BankBot.358.origin ay naglalayong sa mga kliyente ng Sberbank at nagnanakaw ng data sa pag-log in para sa isang mobile application. Ang TrickBot Trojan ay naghahanap din ng data sa pag-login para sa mga bank account, pati na rin ang mga palitan ng cryptocurrency. Ang Fauxpersky keylogger ay nagpapakilala sa sarili bilang isang produkto ng Kaspersky Lab at kinokolekta ang lahat ng tina-type ng user sa keyboard.
Ang impormasyong nakolekta ng mga virus ay ipinapadala sa mga umaatake. Karaniwan, ang virus ay bumubuo ng isang text file at kumokonekta sa serbisyo ng mail na tinukoy sa mga setting. Pagkatapos ay inilakip niya ang file sa email at ipinadala ito sa address ng mga scammer.
Gumagamit ang mga user ng parehong password para sa lahat ng site (mga online na tindahan, social network, mail server), upang hindi matandaan at hindi mag-imbak ng mga natatanging password para sa bawat account sa mga computer. Inaatake ng mga malefactor ang hindi gaanong protektadong mga site: mga direktoryo, mga online na tindahan, mga forum. Ang isang buong pangkat ng mga propesyonal sa IT na responsable para sa cybersecurity ay nagtatrabaho sa mga social network. At ang mga online na tindahan at forum ay pinapatakbo sa CMS, kung saan pana-panahong nakakahanap ang mga manloloko ng mga kahinaan upang magnakaw ng data.
Kopyahin ng mga hacker ang database ng user, na karaniwang naglalaman ng mga palayaw, email address at password sa pag-login. Sa kabilana ang mga password ay naka-imbak sa naka-encrypt na anyo, maaari silang i-decrypt, dahil karamihan sa mga site ay gumagamit ng 128-bit MD5 hashing algorithm. Ito ay decrypted gamit ang desktop software o online na serbisyo. Halimbawa, ang serbisyo ng MD5 Decrypt ay naglalaman ng database ng 6 bilyong na-decrypt na salita. Pagkatapos ng pag-decryption, sinusuri ang mga password para sa posibilidad ng pag-access sa mga serbisyo ng mail at mga social network. Gamit ang mail, mababawi mo ang iyong password sa isang social network kung hindi mo ito mahulaan.
Password brute force ay nagiging paunti-unting nauugnay bawat taon. Ang kakanyahan nito ay nakasalalay sa pamamaraang pag-verify ng mga karaniwang kumbinasyon ng mga titik at numero sa mga password para sa pagpasok ng isang social network account. Gumagamit ang mga manloloko ng mga proxy server at VPN na nagtatago ng IP address ng computer upang hindi sila ma-detect ng social network. Gayunpaman, ang mga social network mismo ay nagpoprotekta sa mga user, halimbawa, sa pamamagitan ng pagpapakilala ng captcha.
Paano protektahan ang iyong sarili
Upang labanan ang mga virus, dapat mong sundin ang mga pangunahing tuntunin ng seguridad ng computer:
- huwag mag-download ng mga file mula sa hindi kilalang mga mapagkukunan, dahil ang mga virus ay maaaring magkaila, halimbawa, bilang isang presentation file;
- huwag magbukas ng mga attachment sa mga email mula sa hindi kilalang mga nagpadala;
- mag-install ng antivirus (Avast, NOD32, Kaspersky o Dr. Web);
- itakda ang two-factor authentication sa mga site na may ganitong opsyon;
- kapag ina-access ang serbisyo mula sa device ng ibang tao, lagyan ng check ang kaukulang kahon sa field ng awtorisasyon;
- huwag gamitin ang kakayahan ng browser na matandaan ang mga password.
User ay hindi dapatgamitin ang parehong password para sa mga social network, serbisyo sa mail, online na tindahan at bank account. Maaari mong pag-iba-ibahin ang mga password sa pamamagitan ng pagdaragdag ng mga pagtatalaga ng serbisyo sa kanilang pagtatapos. Halimbawa, ang 12345mail ay angkop para sa mail, 12345shop para sa pamimili, at 12345socialnet para sa mga social network.
2. Pangingikil at blackmail
Sinasadyang i-hack ng mga attacker ang mga social media account para makakuha ng kumpidensyal na data, pagkatapos ay i-blackmail ang biktima at mangikil ng pera. Halimbawa, pagdating sa mga intimate na larawan na ipinadala sa isang partner.
Walang kriminal sa mga larawan mismo. Bina-blackmail ng mga attacker ang user sa pamamagitan ng pagpapadala ng mga natanggap na larawan sa mga kamag-anak at kaibigan. Sa panahon ng komunikasyon, ginagamit ang sikolohikal na panggigipit at pagtatangkang lumikha ng mga damdamin ng pagkakasala sa pag-asang magpapadala ng pera ang biktima.
Kahit na nagpadala ng pera ang biktima, walang kasiguraduhan na hindi magdedesisyon ang mga salarin na "tubusin" muli ang mga larawan o mag-post na lang ng mga larawan para masaya.
Paano protektahan ang iyong sarili
Gumamit ng mga serbisyong nagbibigay-daan sa iyong magpadala ng mga mensaheng nakakasira sa sarili o naka-encrypt sa Telegram o Snapchat. O sumang-ayon sa iyong kapareha na hindi i-save ang mga larawan, ngunit tanggalin ang mga ito kaagad pagkatapos tingnan.
Hindi ka dapat pumunta sa mail at mga social network mula sa mga device ng ibang tao. Kung nakalimutan mong iwanan sila, may panganib na ang iyong sulat ay nasa maling mga kamay.
Para sa mga gustong mag-save ng kumpidensyal na data, inirerekomendang i-encrypt ang mga folder gamit ang espesyal na software, halimbawa, gamit ang teknolohiya ng Pag-encryptFile System (EFS).
3. Mga premyo, legacies at libreng item
Nag-aalok ang mga scammer na makakuha ng isang mamahaling item nang libre, sa kondisyon na magbabayad ka para sa pagpapadala sa iyong address o insurance para sa pagpapadala. Maaari kang makakita ng katulad na alok, halimbawa, sa grupong "Libre" ng iyong lungsod. Bilang isang dahilan, maaari silang magpahiwatig ng isang kagyat na paglipat o pagtanggap ng parehong bagay bilang isang regalo. Kadalasan, ang mga mamahaling bagay ay ginagamit bilang "pain": iPhone, iPad, Xbox, at iba pa. Upang magbayad para sa mga gastos sa pagpapadala, humihingi ang mga scammer ng halaga kung saan komportable ang user na makipaghiwalay - hanggang 10,000 rubles.
Ang mga scammer ay hindi lamang makakapag-alok ng mga libreng item, kundi pati na rin ng mga kalakal na may napakababang presyo, gaya ng iPhone X para sa 5,000 rubles. Kaya, gusto nilang magnakaw ng pera o data ng card gamit ang isang pekeng payment gateway form. Ang mga manloloko ay nagkukunwari sa pahina ng pagbabayad sa card bilang isang pahina ng isang sikat na gateway ng pagbabayad.
Maaaring magpanggap ang mga attacker bilang mga empleyado ng isang bangko o isang notary agency, na humihingi ng tulong sa pag-cash out ng mga pondo mula sa isang account o perang natanggap sa pamamagitan ng mana. Para magawa ito, hihilingin sa kanila na maglipat ng maliit na halaga para makapagtatag ng kasalukuyang account.
Gayundin, maaaring magpadala ng link na humahantong sa isang phishing site upang kunin ang premyo.
Paano protektahan ang iyong sarili
Huwag maniwala sa libreng keso. Huwag pansinin ang mga naturang kahilingan o magreklamo gamit ang mga built-in na tool sa social media. Upang gawin ito, pumunta sa pahina ng account, mag-click sa pindutang "Magreklamo tungkol sa gumagamit" at isulat ang dahilan para sa apela. Serbisyo ng Moderatorsusuriin ng social network ang impormasyon.
Huwag mag-click sa hindi pamilyar na mga link, lalo na kung ang mga ito ay ginawa gamit ang goo.gl, bit.ly at iba pang mga serbisyo sa pagpapaikli ng link. Gayunpaman, maaari mong i-decrypt ang link gamit ang serbisyong UnTinyURL.
Ipagpalagay nating nakatanggap ka ng mensahe sa isang social network tungkol sa isang kumikitang pagbebenta ng isang telepono o tablet. Huwag maniwala sa swerte at agad na magbayad para sa pagbili. Kung nakarating ka sa isang page na may form ng payment gateway, maingat na suriin kung tama ang domain at nabanggit ang pamantayan ng PCI DSS. Maaari mong suriin ang kawastuhan ng form ng pagbabayad sa teknikal na suporta ng gateway ng pagbabayad. Upang gawin ito, makipag-ugnayan lamang sa kanya sa pamamagitan ng e-mail. Halimbawa, sa mga website ng mga provider ng pagbabayad na PayOnline at Fondy, nakalista ang mga email address ng mga serbisyo sa suporta sa customer.
4. "Maghagis ng isang daan"
Gumagamit ang mga scammer ng na-hack na page para hilingin sa mga kakilala at kaibigan ng biktima na maglipat ng pera sa account. Ngayon hindi lamang mga kahilingan para sa mga paglilipat ang ipinapadala, kundi pati na rin ang mga larawan ng mga bank card, kung saan, gamit ang isang graphic editor, ang pangalan at apelyido ng may-ari ng na-hack na account ay inilapat.
Bilang panuntunan, humihiling ang mga attacker na maglipat ng pera nang madalian, dahil natatakot silang mawalan ng kontrol sa account. Kadalasan ang mga kahilingan ay naglalaman ng mga elemento ng sikolohikal na presyon at isang palaging paalala na ang lahat ay kailangang gawin nang madalian. Maaaring pag-aralan ng mga manloloko ang kasaysayan ng komunikasyon nang maaga at kahit na gumamit ng mga address na kilala mo lamang sa pangalan o mga palayaw.
Paano protektahan ang iyong sarili
Tawagan ang isang kaibigan at direktang magtanong kung kailangan nila ng pera. Kaya siguraduhin moang katotohanan ng kahilingan at maaari kang magbigay kaagad ng babala tungkol sa pag-hack ng page.
Kung kilala mo nang husto ang taong na-hack ang account, bigyang pansin ang paraan ng pananalita. Ang umaatake, malamang, ay hindi magkakaroon ng oras upang ganap na kopyahin ang kanyang istilo ng komunikasyon at gagamit ng mga pananalita na hindi karaniwan para sa kanya.
Bigyang pansin ang larawan ng isang bank card. Maaari mong kalkulahin ang peke sa pamamagitan ng hindi magandang kalidad na pagpoproseso sa isang graphic editor: ang mga titik ay "tumalon", ang mga inisyal ay hindi nasa parehong linya sa petsa ng validity ng card, at kung minsan ay mag-o-overlap pa ang mga ito sa validity ng card.
Mabuhay sa social media
Mula Disyembre 2014 hanggang Disyembre 2016, tumaas nang 11 beses ang bilang ng mga pag-atake sa mga user na gumagamit ng social engineering. 37.6% ng mga pag-atake ay naglalayong magnakaw ng personal na data, kabilang ang impormasyon ng bank card.
Ayon sa pagsasaliksik ng ZeroFOX, ang Facebook ay umabot sa 41.2% ng mga pag-atake, Google+ para sa 21.6%, at Twitter para sa 19.7%. Hindi kasama sa pag-aaral ang social network na VKontakte.
Natukoy ng mga eksperto ang 7 sikat na taktika ng scam sa social media:
- Pag-verify ng pekeng page. Nag-aalok ang mga manloloko sa ngalan ng social network na makuha ang inaasam-asam na checkmark ng isang "na-verify" na pahina. Ipinapadala sa mga biktima ang address ng isang espesyal na inihandang pahina para sa pagnanakaw ng data.
- Pagkakalat ng pekeng link gamit ang mga naka-target na ad. Gumagawa ng advertisement ang mga attacker upang maakit ang mga user sa mga page na may mababang presyo at magbenta ng mga pekeng produkto.
- Imitasyon ng sikat na brand customer service. Ang mga umaatake ay nagkukunwari bilang mga serbisyo sa teknikal na suporta ng malalaking brand at tumatanggap ng kumpidensyal na impormasyon mula sa kanilang mga customer.
- Paggamit ng mga lumang account. Maaaring gumamit ng mga lumang account ang mga umaatake sa pamamagitan ng pagbabago ng kanilang mga setting para i-bypass ang mga kontrol sa social media.
- Mga pekeng page ng mga online na tindahan at brand. Niloloko ng mga umaatake ang mga page ng komunidad ng mga online na tindahan at dinadala ang mga user sa mga pahina ng phishing para sa pahintulot, pagnanakaw ng data sa pag-log in o pagbebenta ng mga pekeng produkto.
- Mga pekeng promosyon. Upang lumahok sa pagkilos, maaaring humingi ang mga umaatake ng isang email o larawan na sinasabing para sa pakikilahok, na maaaring magamit sa ibang pagkakataon sa mga ilegal na pagkilos.
- Pandaraya sa pananalapi. Nag-aalok ang mga attacker ng mataas na kita sa maikling panahon sa pamamagitan lamang ng pagnanakaw ng pera mula sa mga mapanlinlang na user.
- Mga pekeng pahina ng mga kumpanya ng HR. Ginagaya ng ilang scammer ang opisyal na istilo ng malalaking kumpanya at humihingi ng bayad para sa pagsasaalang-alang ng aplikasyon sa trabaho.
May isang paraan lamang para protektahan ang iyong sarili mula sa social engineering - kaalaman. Samakatuwid, kailangan mong matutunang mabuti ang mga tuntunin ng seguridad sa computer at huwag maniwala sa masyadong mapagbigay na mga alok.