Максиму пришло электронное письмо из интернет-магазина, в котором он является постоянным клиентам. Там было сказано, что ему нужно подтвердить аккаунт для дальнейшего участия в бонусной программе. Мужчина перешел по ссылке из письма и ввел реквизиты банковской карты. Далее система запросила проверочное списание на 1 рубль для верификации профиля на сайте. Максим ввел CVC-код с оборотной стороны карты, чтобы подтвердить операции. Однако после этого его пришло СМС из банка о списании 10 000 рублей. Выясним, почему так произошло.
Оказалось, что письмо отправили мошенники, а не магазин. Обманным путем они получили от мужчины данные карты, и он не понял, что попался на уловку мошенников. Такая схема называется фишингом.
Как правило, злоумышленники пытаются вызвать у потенциальной жертвы сильные эмоции: пугают потерей средств, заманивают сверхвыгодными предложениями или чем-то интригуют. После этого они получают от человека личную информацию, данные банковской карты или счета, затем крадут деньги. Расскажем про типичные ошибки и о том, как избежать обмана.
Не пользоваться антивирусом
Максим не видел необходимости в покупке антивирусной программы. Вместо этого он самостоятельно чистил почтовый ящик от подозрительных писем.
Что делать?
Необходимо установить антивирус на все свои устройства: смартфон, планшет, ноутбук, компьютер. Хорошая программа защищает от спама и фишинга, автоматически выявляя подозрительных отправителей.
Также она предотвращает установку вредоносных программ для получения реквизитов карт, доступа к банковскому приложению и онлайн-банку, перехвата SMS и push-уведомлений с кодами. Это даже опаснее фишинга, могут украсть все деньги со счетов, а известно об этом станет не сразу.
Необходимо своевременно обновлять антивирус, так как киберпреступники постоянно создают новые вирусы и фишинговые схемы.
Переходить по подозрительным ссылкам
Максим был уверен, что письмо отправил магазин, в котором он часто совершает покупки, ведь в заголовке была знакомое название. Однако он не стал проверять реального отправителя.
Какую схему используют преступники?
Злоумышленники создают почтовый ящик с адресом, схожим с настоящим адресом магазина, банка или другой компании.
Бывает и так, что адрес совсем не похож на тот, что у реальной организации. Но так как он скрыт от пользователя, есть шанс, что удастся провернуть схему. Просто указано название магазина в строке адресата — эта информации видна получателю. Выявить обман просто, но не все уделяют внимание проверке всех деталей.
Еще мошенники рассылают сообщения в мессенджерах и соцсетях с призывом перейти по ссылке. Также они взламывают аккаунты пользователей, затем пишут его контактам.
Мошенники могут даже не маскироваться под существующий магазин или компанию, а создают свой проект. Допустим, это может быть розыгрыш с гарантированными призами или платные опросы.
В сообщении или письме содержится ссылка, ведущая на фишинговый портал. Он создан специально для реализации схемы. Далее пользователь вводит личные и платежные данные, а преступники крадут его деньги. Также устройство может заразиться вирусом, крадущим данные.
Злоумышленники выбирают такую тему, на которую человек отреагирует. Например, «Ваш аккаунт могут взломать», «Дарим Вам 5000 бонусов», «Привет! Прислал тебе фотографии с вчерашней вечеринки». То есть для мошенников важно вызвать определенные эмоции у потенциальной жертвы.
Что делать?
Чтобы защититься от мошенников, необходимо всегда внимательно проверять адрес отправителя письма. Даже если разница всего лишь в одном символе, открывать послание не стоит. Если адрес незнакомый и никаких писем не ожидалось, тогда стоит сразу удалить письмо.
После открытия письма нужно обратить внимание на его оформление и сам текст. Дизайн может быть ужасным, а текст содержать множество ошибок. Однако в последнее время киберпреступники стали точнее копировать стиль известных организаций. Именно поэтому следует все тщательно проверить, даже если послание составлено корректно.
Если ссылка пришла от друга или знакомого, нужно связаться с ним и уточнить, действительно ли он написал.
Не проверять адрес сайта
Максим заметил, что оформление магазина немного другое, но не придал этому значения. Он не подумал, что стоит проверить адресную строку сайта.
Что делать?
После перехода на сайт нужно:
- Проверить адрес в браузерной строке. Желательно сохранять нужные адреса в закладках. Также можно каждый раз вручную вводить адрес, но важно проявить бдительность — даже если неверно ввести всего один символ, есть риск оказаться на поддельном сайте. Именно поэтому следует всегда внимательно проверять адресную строку. Можно оказаться на фишинговом ресурсе даже если перейти с одной страницы известного сайта на другую.
- Убедиться в безопасности соединения. Перед вводом личных данных или реквизитов карты нужно проверить, есть ли перед адресом https и значок в виде закрытого замка. Если они есть, значит установлено безопасное соединение: введенная информация шифруется, поэтому киберпреступники не смогут ее перехватить.
Однако защищенного соединения недостаточно. Если сайт создан недобросовестными людьми, все равно остается риск стать жертвой обмана. В последнее время злоумышленники получают сертификаты безопасности для своих сайтов.
- Посмотреть на оформление. Можно не заметить лишний символ в адресе, а на самом ресурсе может быть безопасное соединение, а некачественное оформление будет сразу заметно.
Цель создания фишинговых порталов — сбор конфиденциальных данных. Обычно мошенники не заморачиваются над структурой и дизайном. Неаккуратная верстка, множественные ошибки, неработающие ссылки и разделы — это типичные признаки фальшивого ресурса.
Однако злоумышленники могут вложить средства в создание качественного сайта, который будет очень поход на ресурс реальной компании. Также они могут запустить собственный проект. Поэтому следует ориентироваться не только на оформление.
Совершать платежи на небезопасных страницах
Когда Максим перешел на фальшивый портал, система предложила ему совершить пробный платеж в размере 1 рубля. Для этого понадобилось ввести CVC/CVV-код с карточки и СМС-код из банка в специальной строке. Но мужчина не заметил, что не произошло перехода на страницу платежной системы.
Что делать?
Нужно запомнить следующее:
- Для совершения оплаты настоящий магазин перенаправляет пользователя на шлюз платежной системы его карты. Это отдельная защищенная страница, поэтому у магазина нет доступа к введенной там информации.
- Платежные шлюзы соединяет держателя «пластика» с его банком для совершения оплаты. Далее требуется ввести СМС-код от банка для подтверждения списания.
- Ни в коем случае никому нельзя сообщать коды от банка — нужно проверить, совпадают ли данные из сообщения с деталями операции. Если все в порядке, тогда можно вводить код в специальное поле. Если нет, следует срочно позвонить в банк.
- У всех платежных систем есть безопасные шлюзы. Их логотипы должны находиться на странице оплаты и быть активной ссылкой, ведущей на сайт ПС. На фальшивых сайтах логотипы — это просто картинки.
Пользоваться одной картой для всех платежей
Максим использовал свою зарплатную карту для совершения покупок в разных магазинах. Теперь ему придется оформить новую карточку. До ее перевыпуска получить остаток средств можно только в офисе банка.
Что делать?
Для платежей в Интернете желательно использовать отдельную карточку. Пополнять ее следует лишь перед покупкой или оплатой услуги на ту сумму, которая будет потрачена.
Также можно оформить виртуальную карту — с привычными реквизитами, но без самого «пластика». Еще в некоторых банках можно создать цифровую карточку специально для одной покупки.