Почта, sms, телефон, а теперь и онлайн-календари. Как мошенники добираются до жертв?

© AP Photo/Elise AmendolaВ последнее время пользователям онлайн-календарей приходят уведомления со ссылками на вредоносные сайты. ТАСС — об этой и других мошеннических схемах, а также способах защититься

Смартфон вибрирует и светится от нового оповещения. «Перевод №84323093 поступил на ваш счет в сумме 17 944 руб.», — написано в описании мероприятия, которое кто-то добавил в ваше приложение с календарем. Место проведения — «Экстренное сообщение от отдела контроля выплат». Мероприятие проводится каждый день в течение месяца. В трех местах указана одна и та же ссылка. Как легко догадаться, переходить по ней нельзя: мошенники попросят ввести какую-нибудь деликатную информацию, автоматически установят вредоносный код или подстроят еще какую-нибудь гадость.

Вряд ли кто-то клюнет на такую бесхитростную наживку: неужели отдел контроля выплат не нашел другого способа связаться, кроме календаря? Но чтобы выудить личные данные, злоумышленники могут придумать и более правдоподобное событие, например концерт интересной группы (предпочтения человека можно узнать на страницах в социальных сетях) или премьеру фильма, который все обсуждают вот уже месяц.

Эта мошенническая схема осуществима из-за настроек онлайн-календарей, установленных по умолчанию. Так, «Календарь» Google добавляет мероприятия, даже когда вы не приняли приглашение. А если приглашение отклонить, оно все равно будет видно, то есть опасная ссылка останется под рукой.

Чтобы изменить настройки:

Откройте браузерную версию «Календаря» (в мобильном приложении нет нужных пунктов);

Нажмите шестеренку, чтобы зайти в настройки;

В «Мероприятиях» вызовите меню в пункте «Автоматически добавлять приглашения» и выберите «Нет, показывать только приглашения, на которые уже отправлен ответ»;

В «Режиме просмотра» уберите галочку у «Показывать отклоненные мероприятия»;

В «Мероприятиях из Gmail» уберите галочку у «Автоматически добавлять мероприятия из Gmail в мой календарь»;

Откройте мобильное приложение «Календарь», в настройках выберите раздел «Общие» и нажмите тумблер рядом с пунктом «Показывать отклоненные мероприятия», чтобы он стал серым.

После этого спам больше не будет приходить.

Чем пользуются мошенники

Чаще всего преступники пользуются не уязвимостями программ и оборудования, а человеческими слабостями: страхом, рассеянностью, жадностью. Наиболее распространенный метод мошенничества — фишинг (англ. phishing, то есть fishing — «рыбалка»), когда жертв заманивают на страницу, похожую на сайт банка, магазина, социальной сети, через электронное письмо, sms или другим способом.

Человек как ни в чем не бывало переходит по ссылке и указывает свои логины, пароли, PIN- и CVV/CVC-коды банковских карт, которыми потом пользуются злоумышленники. На смартфоне с Android иногда даже не надо вводить никакой информации — скрипт на странице сам установит вредоносную программу. Случай с календарем — это тоже разновидность фишинга.

Теми же слабостями пользуются телефонные мошенники. Одни представляются сотрудниками банков и сообщают о подозрительных денежных операциях, чтобы выведать информацию для доступа к счету. Другие якобы работают в компании — операторе связи и предлагают какую-нибудь услугу или подарок, которые можно получить, предоставив личные данные.

Преступники бывают очень убедительными: говорят грамотным языком, со знанием дела, упоминают подробности, случайному человеку вроде бы неизвестные (на самом деле, многое можно выведать на страницах в соцсетях и в продающихся на черном рынке базах данных). Если человек на том конце спрашивает логин и пароль, это явно мошенничество. При малейших подозрениях следует закончить разговор и проверить информацию на сайте компании, где предположительно работает собеседник, по телефону, указанному на этом сайте, или лично в офисе.

Некоторые рекомендации насчет того, как обезопаситься от мошенников, собраны в инфографике ТАСС.

Почта, sms, телефон, а теперь и онлайн-календари. Как мошенники добираются до жертв?

Также:

Установите антивирус на компьютер и смартфон; не игнорируйте предупреждения браузера, когда говорится об опасности на открывающейся странице;

Придумайте длинные (от 12 знаков) пароли, где есть буквы, цифры и другие символы. Пароли везде должны быть разными. Мало кто следует этому совету, но на самых важных сайтах и сервисах (Google, если у вас смартфон на Android, «Госуслугах») все-таки стоит постараться. Для регистрации на важных сайтах вообще лучше использовать отдельный почтовый ящик, который используется только для этого;

Где это возможно, включите двухфакторную авторизацию — это когда вместе с паролем нужно ввести одноразовый код из sms, ответить на заранее придуманный вопрос и т.п. Ответ на вопрос должны знать только вы, то есть столица Непала или самый крупный вид кошачьих не подойдут;

Пользуйтесь менеджером паролей: не придется держать их в уме, а если на знакомом сайте программа не предложит автоматически осуществить вход в аккаунт, то с большой вероятность этот сайт — подделка, созданная мошенниками;

Проверьте настройки приватности в социальных сетях. По умолчанию почти все на вашей странице обычно видно всему интернету. Эту информацию можно использоваться, чтобы вас обмануть;

Обращайте внимание на URL сайтов, адреса электронной почты, названия Wi-Fi-сетей. Чтобы ввести в заблуждение, мошенники пропускают, добавляют или меняют символы, например, вместо «О» пишут «0» (R0STELEK0M_FREE), а вместо заглавной «I» — строчную «l» и наоборот (beeIine.com), регистрируют страницу в другой доменной зоне (не .com, а .ru). Также подозрительно, когда официальные письма приходят с адресов на бесплатных сервисах (Gmail, «Яндекс.Почта»), а sms-рассылка — с обычного десятизначного номера (но короткий номер сам по себе не гарантирует безопасность!);

Не храните деликатную информацию в облачных хранилищах или хотя бы предварительно зашифровывайте ее;

Если вам предлагают что-то сделать по телефону, то лучше не спешить и сначала проверить информацию на сайте компании. Когда позвонивший торопит с решением, это должно насторожить. Если же вам сообщают, что близкий человек попал в беду, следует сначала с ним связаться и выяснить, правда ли что-то стряслось;

Будьте осмотрительны при использовании публичных Wi-Fi-сетей: трафик в них редко шифруется, а перехватить его проще. Если вы сидите в забегаловке и хотите отправить другу свою часть платы по счету, переключитесь на мобильный интернет.

Марат Кузаев