Мошенники все чаще пытаются добраться до персональных финансовых данных типа паролей и номеров кредитных карточек посредством интернета или по телефону. Эксперты рассказывают потребителям о способах защиты от посягательств на их накопления.
Охотники за паролями
Все больше людей осуществляют банковские операции онлайн. По данным Eurostat, в 2021 году данной возможностью пользовались 50% жителей Германии, имевших банковские счета. Однако быстрое и удобное распоряжение счетами и осуществление финансовых операций из дома или во время пребывания в пути имеет свои слабые стороны. Мошенники прибегают к разным способам, чтобы получить доступ к чужим счетам и похитить деньги.
Одной из самых распространенных форм мошенничества в сфере Online-Banking является так называемый фишинг (Phishing). Данный термин происходит от английских слов „password harvesting“ („сбор паролей“) и „fishing“ („ловля рыбы на удочку“). Фишинг означает кражу персональных данных, в частности, с помощью используемых в качестве „наживки“ фальсифицированных веб-сайтов, линков, сообщений по электронной почте (E-Mails) или приложений к ним (Anhaenge), SMS или кратких сообщений (Kurznachrichten) по WhatsApp, отправленных якобы соответствующим финансовым институтом.
Злоумышленники используют похищенные данные, снимая или переводя деньги со счета, или продают их другим преступникам, которые, к примеру, используют банковские реквизиты или номера кредитных карточек для совершения покупок за счет жертв. И хотя протоколы безопасности банков постоянно развиваются (двухфакторная аутентификация, специальные TAN-Apps, алгоритмы безопасности), преступникам то и дело удается получать доступ к банковским счетам. При этом они прибегают не только к компьютерным трюкам, но и прежде всего к социотехнике („Social Engineering“). Она опирается на естественные инстинкты человека, такие как доверие, страх, алчность или готовность помогать, и киберпреступники стараются вызвать у своих жертв именно эти чувства.
Электронные адреса потенциальных жертв мошенники чаще всего приобретают у торговцев адресами. После этого они отправляют фальсифицированные e-mails с приложениями или линками, которые после щелчка „мышкой“ незаметно инсталлируют шпионские программы или „заманивают“ на поддельные веб-сайты известных учреждений или фирм, к примеру, ведомств, банков или Streamingdiensten типа Netflix und Disney+. На фальсифицированных сайтах от потребителей требуют ввести конфиденциальные данные, открывающие доступ к счету, типа номеров счетов, паролей или даже TANs (Transaktionsnummer). Однако уловки преступников нередко можно распознать по определенным признакам.
Признаки обмана
Типичными и явными признаками Phishing-Mail являются:
- отсутствие персонального обращения;
- наличие грамматических ошибок, странное построение предложений, недостаточно грамотный стиль;
- присутствие угроз и упоминание о сжатых сроках, создающие впечатление о необходимости срочных действий;
- требование сообщить персональные данные;
- требование открыть приложение или линк.
Подозрительными являются и непрошеные e-mails на английском языке, сообщения от неизвестного предприятия или известного, но никогда ранее не контактировавшего с потребителем по электронной почте.
Особые формы
Одной из форм фишинга является Smishing, или Phishing посредством SMS. При этом мошенники отправляют фальсифицированные краткие сообщения на мобильный телефон жертвы. Эксперты советуют проявлять осторожность при получении SMS, отправленного с мобильного номера и содержащего линк. Чаще всего речь идет о новых сообщениях в Mailbox, проблемах с договором мобильной связи или Online-Banking или покупках в Google Play Store.
Специалисты призывают ни в коем случае не использовать указанный линк, который ведет на сайт, требующий инсталлировать определенную App, и не загружать на мобильный телефон никаких Apps из неизвестных источников. Кроме того, чтобы прослушать поступившее сообщение, пользователю следует самостоятельно обратиться к своему Mailbox или использовать для этого Арр провайдера мобильной связи.
Помимо SMS, мошенники используют также WhatsApp и другие мессенджеры. Они рассылают сообщения, в которых, к примеру, приглашают поучаствовать в лотерее. Для этого пользователю следует „кликнуть“ по указанному линку. В конце концов, от пользователя также потребуют инсталлировать Арр или ввести персональные данные. Нередко преступники используют также «письма счастья» (Kettenbriefe), в которых призывают поделиться новостью со знакомыми.
Телефонный вариант
Для получения конфиденциальной информации преступники все чаще прибегают к вишингу. Термин „Vishing“, или „Voice-Phishing“, происходит от английских слов „voice“ („голос“) и „fishing“. Вишинг представляет собой одну из разновидностей фишинга, при которой мошенники в попытке добраться до денег или финансовых или персональных данных (например, узнать номер кредитной карточки и даже вынудить человека самостоятельно перевести деньги или совершить иные действия в пользу киберпреступников) звонят жертве по телефону или отправляют сообщение в Mailbox.
Вишингом занимаются, как правило, специально обученные и хорошо подготовленные сотрудники профессионально оборудованных нелегальных колл-центров, располагающихся за границей. Они имеют правдоподобные и убедительные ответы на возможные вопросы абонентов.
Преступники пользуются тем, что личный разговор по телефону в целом порождает больше доверия и часто оказывается более эффективным, чем анонимное сообщение по электронной почте. Они и здесь активно прибегают к социотехнике, стараясь своими голосовыми сообщениями вызвать у собеседника панику или другие эмоции, „отключающие“ здравый смысл и не позволяющие ему логично и спокойно обдумать ситуацию. Для этого его „загоняют“ в искусственный цейтнот, создают впечатление, что его накопления находятся в опасности, завлекают многообещающими инвестициями или упрашивают помочь кому-то в беде.
Социотехнические приемы
Чтобы распознать, что речь идет о вишинге, потребителям следует обращать внимание на некоторые типичные предупредительные сигналы. Необходимо учитывать, что киберпреступники, занимающиеся вишингом, чтобы втереться в доверие к собеседнику, часто представляются официальными или уважаемыми лицами или представителями соответствующих организаций и служб, типа финансамта, прокуратуры, банка или сберкассы, или крупных предприятий и фирм, таких как Microsoft, Apple, Netflix или Paypal, а также организаторами игр, завлекающими возможным или потенциальным выигрышем.
Но если человек в процессе разговора начинает чувствовать, что его пытаются загнать в угол, вызвать у него состояние паники, манипулировать им или заставить безотлагательно принять важное решение, в т.ч. для того, чтобы получить значительный финансовый выигрыш или предотвратить еще большую неприятность, это с большой вероятностью свидетельствует, что звонящий в действительности является мошенником.
С учетом этого эксперты советуют немедленно прекращать телефонный разговор, если собеседник попросит или потребует сообщить персональные данные. При этом речь может идти об адресе, банковских реквизитах и другой информации, касающейся банковского счета, номерах кредитных карточек и паролях. Следует иметь в виду, что подобный вопрос может быть задан совершенно неожиданно. Услышав его, следует сразу же положить трубку, поскольку ни одно серьезное предприятие или учреждение не будет запрашивать у потребителя данные таким образом.
Безвозвратный перевод
Успеху фишинга способствуют широко практикуемые ныне денежные переводы в режиме реального времени (Echtzeit-Überweisungen), при которых деньги списываются со счета плательщика и зачисляются на счет получателя буквально за секунды, что не оставляет жертве ни одного шанса. Ей остается только надеяться, что алгоритм используемого финансовым учреждением искусственного интеллекта заметит „неправильность“, типа большего, чем обычно, количества переводов со счета в режиме реального времени или переводов в „нетипичные“ для клиента страны и остановит трансакцию.
