Почта, sms, телефон, а теперь и онлайн-календари. Как мошенники добираются до жертв?
© AP Photo/Elise AmendolaВ последнее время пользователям онлайн-календарей приходят уведомления со ссылками на вредоносные сайты. ТАСС — об этой и других мошеннических схемах, а также способах защититься
Смартфон вибрирует и светится от нового оповещения. «Перевод №84323093 поступил на ваш счет в сумме 17 944 руб.», — написано в описании мероприятия, которое кто-то добавил в ваше приложение с календарем. Место проведения — «Экстренное сообщение от отдела контроля выплат». Мероприятие проводится каждый день в течение месяца. В трех местах указана одна и та же ссылка. Как легко догадаться, переходить по ней нельзя: мошенники попросят ввести какую-нибудь деликатную информацию, автоматически установят вредоносный код или подстроят еще какую-нибудь гадость.
Вряд ли кто-то клюнет на такую бесхитростную наживку: неужели отдел контроля выплат не нашел другого способа связаться, кроме календаря? Но чтобы выудить личные данные, злоумышленники могут придумать и более правдоподобное событие, например концерт интересной группы (предпочтения человека можно узнать на страницах в социальных сетях) или премьеру фильма, который все обсуждают вот уже месяц.
Эта мошенническая схема осуществима из-за настроек онлайн-календарей, установленных по умолчанию. Так, «Календарь» Google добавляет мероприятия, даже когда вы не приняли приглашение. А если приглашение отклонить, оно все равно будет видно, то есть опасная ссылка останется под рукой.
Чтобы изменить настройки:
После этого спам больше не будет приходить.
Чем пользуются мошенники
Чаще всего преступники пользуются не уязвимостями программ и оборудования, а человеческими слабостями: страхом, рассеянностью, жадностью. Наиболее распространенный метод мошенничества — фишинг (англ. phishing, то есть fishing — «рыбалка»), когда жертв заманивают на страницу, похожую на сайт банка, магазина, социальной сети, через электронное письмо, sms или другим способом.
Человек как ни в чем не бывало переходит по ссылке и указывает свои логины, пароли, PIN- и CVV/CVC-коды банковских карт, которыми потом пользуются злоумышленники. На смартфоне с Android иногда даже не надо вводить никакой информации — скрипт на странице сам установит вредоносную программу. Случай с календарем — это тоже разновидность фишинга.
Теми же слабостями пользуются телефонные мошенники. Одни представляются сотрудниками банков и сообщают о подозрительных денежных операциях, чтобы выведать информацию для доступа к счету. Другие якобы работают в компании — операторе связи и предлагают какую-нибудь услугу или подарок, которые можно получить, предоставив личные данные.
Преступники бывают очень убедительными: говорят грамотным языком, со знанием дела, упоминают подробности, случайному человеку вроде бы неизвестные (на самом деле, многое можно выведать на страницах в соцсетях и в продающихся на черном рынке базах данных). Если человек на том конце спрашивает логин и пароль, это явно мошенничество. При малейших подозрениях следует закончить разговор и проверить информацию на сайте компании, где предположительно работает собеседник, по телефону, указанному на этом сайте, или лично в офисе.
Некоторые рекомендации насчет того, как обезопаситься от мошенников, собраны в инфографике ТАСС.
Также:
Марат Кузаев