Top.Mail.Ru
Меню-гамбургер
Кастомные решения
Медиа
Мероприятия
Карты
Сделки
Альфа-курс
Подпишись
на телеграм
Подписаться

Шесть шаблонов: как мошенники обманывают людей в Интернете

Колонки
Колонки
Алексей Лукацкий
Алексей Лукацкий

Бизнес-консультант по информационной безопасности Positive Technologies

Александр Сенников

В последние годы интернет переживает «бум» мошенничества. Рост преступлений в сфере информационно-коммуникационных технологий (ИКТ) за 2024 год составил более 15%. Несмотря на меры против обмана пользователей, ущерб от мошенников в IT-отрасли за этот период превысил 170 млрд рублей. Потери из-за телефонных аферистов еще более крупные — вплоть до 300 млрд рублей по оценке «Сбера».

О том, какие способы используют мошенники, чтобы ввести человека в заблуждение, что делают с преступными схемами компании и как защитить свои данные рассказывает бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий.

Шесть шаблонов: как мошенники обманывают людей в Интернете
  1. Колонки

Содержание

Новые схемы — старый паттерн

Человек не робот, он слаб — это аксиома, хотя даже роботы допускают ошибки или могут быть обмануты, что постоянно демонстрируется в тестах искусственного интеллекта. Более того, человеческий мозг плохо справляется с принятием решений в незнакомой для себя сфере. А интернет и технологии в любом их проявлении относятся именно к таковой для большинства людей.


В отличие от природного страха огня, хищников, молний и других явлений, мы плохо распознаем цифровые угрозы, чем и пользуются мошенники, которые эксплуатируют шесть основных человеческих шаблонов: страх, жадность, любопытство, стремление помочь, невнимательность, раздражение.


Именно эти свойства нашей натуры задействованы в 99% всех мошеннических схем. Так было тысячу лет назад, когда компьютеров еще не было, так будет и еще через тысячу лет, — меняется только инструментарий.

Любое действие, направленное на введение человека в заблуждение с помощью средств коммуникаций, заставляющее его сделать что-то, несущее угрозу, является фишингом. Появившаяся не так давно схема хищения данных, в ходе которой мошенники представляются сотрудниками «Почты России» и предлагают найти посылку якобы с помощью официального бота в Telegram, тоже подходят под понятие.

Тем более, создание бота сегодня не представляет особой сложности: достаточно просто сделать «ошибку» в его названии — вместо буквы «о» использовать цифру «0», вместо «s» использовать «5» или вместо «i» использовать «l». В итоге, вместо названия, например, @officialbotofrussianpost будет @officialbot0frusslanpost. Глазу сложно распознать такие незначительные отличия, особенно на экране смартфона. Этой невнимательностью и пользуются мошенники.

По такому же принципу регистрируют фишинговые домены в интернете – клонирование сайтов сегодня тоже не является чем-то сложным. Есть даже легальные ИИ-сервисы, которым можно показать любой сайт и попросить сделать его копию, как минимум, визуальную.


Пока мошенники не начинают использовать клоны сайтов для обмана пользователей – это не является нелегальным. При этом у мошенников есть специализированные программы, которые в один клик выполняют такие задачи: копируют весь код сайта и размещают его на вредоносном хостинге.

Наиболее распространенные способы обмана

Как показывают мои наблюдения и собранная статистика, в России самыми часто используемыми схемами хищения средств у граждан в ушедшем году стали:

  • Звонки от имени «служб безопасности банков».
  • Звонки от имени «представителей операторов связи»;
  • Сообщения от фейковых представителей ФСБ и иных правоохранительных органов — от ФСБ чаще всего.


На эту тройку приходится от 75% до 85% всех мошеннических действий. Предположу, что в 2025 мало что изменится.

Все эти схемы направлены на кражу логинов и паролей от учетных записей, а также одноразовых кодов к «Госуслугам», банкам, соцсетям, почте и другим сервисам. Кроме того, их целью является сбор персональных, а также финансовых данных граждан (информации о платежных картах и кодах подтверждения операций).

Как с мошенничеством борются корпорации

Надо признать, что защита клиентов не является обязанностью компаний в большинстве отраслей, за исключением финансового сектора. Поэтому организации действуют по-разному:

  • кто-то ничего не делает;
  • некоторые компании занимается мониторингом интернета в поисках сайтов-клонов. Обнаружив их, компании уведомляют соответствующие структуры, которые разделегируют мошеннические домены – после этого клиенты уведомляются об опасности;
  • ряд компаний повышают осведомленность клиентов о мошенничестве в форме рассылок по почте – это достаточно популярный механизм защиты, при этом не очень дорогой;
  • банки вскоре могут обязать встраивать в свои приложения антивирусы для защиты мобильного банкинга от хищений на стороне смартфонов клиентов;
  • некоторые компании используют различные решения класса «антифрод» в своей IT-инфраструктуре. Детали работы таких систем обычно содержатся в тайне, чтобы мошенники не подстроили свои методы под защиту и не обходили ее.

Хорошей практикой является и метод добровольного запрета, например, как сделали «Госуслуги» с кредитами. Планируемый самозапрет на выдачу сим-карт также относится к защитным мероприятиям.

Это хорошие инициативы, которые, при правильном применении со стороны клиентов, могут помочь снизить число мошенничеств. Но и панацеей их не назовешь.

Например, уже фиксируются случаи, когда гражданам звонят якобы с портала «Госуслуг» и предлагают настроить услугу добровольного запрета на кредиты или отключить ее, потому что она якобы была активирована по ошибке. Это приводит к потере доступа к порталу и последующей выдаче кредитов через него.

Надо признать, что без всестороннего обучения граждан критическому мышлению и включения темы кибербезопасности в школьные и корпоративные курсы, университетскую программу, в социальную рекламу на ТВ и в городском транспорте, эту проблему решить будет сложно.

Все-таки 99% всех мошенничеств связано с атаками на людей, и без вовлечения людей задача не может быть решена — технологии будут только способствовать этому, но они не заменят человека.

Что делать, если вас обманули или взломали

Все зависит от схемы обмана и достигнутого мошенниками результата: фишинговое ли это письмо, кража денег из банка, переписанная квартира, раскрытие пароля и другие последствия.

Первый шаг: обращение в полицию для того, чтобы факт мошенничества был зарегистрирован.

Сделать это можно по адресу проживания, по телефону или на сайте МВД. Оно станет основанием для обращения в организацию за возвратом денег или блокированием транзакции, для начала следственных мероприятий, обращения в суд и так далее.

Если мошенничество связано с кражей денег:

  • Необходимо сразу же заблокировать карту через мобильное приложение, личный кабинет на сайте или контактный центр (телефон указан на оборотной стороне карты).
  • Затем, в течение суток, надо написать заявление в банк о несогласии с операцией.


Если мошенники узнали пароль:

  • Надо сразу же попробовать поменять его на сайте или, если уже поздно, обратиться в службу технической поддержки.

Но лучше, конечно, не доводить до этого, а заранее выполнить меры, снижающие шансы мошенников:

  • Внедрить везде многофакторную аутентификацию.
  • Установить самозапреты на «Госуслугах».
  • Установить лимиты на дневные операции в банке.
  • Завести виртуальные карты для покупок в интернете с небольшой суммой на счете.
  • Придумать надежный пароль (главное, чтобы он был длинным, а не только содержал спецсимволы, верхний и нижний регистр, буквы и цифры).

Почему важна длина пароля, а не его наполнение разными знаками? Существует так называемая формула Андерсена, которая доказывает, что на надежность пароля в первую очередь влияет именно его длина, а не разнообразием символов в нем. Отказываться от них, конечно, не стоит, но и во главу ставить не надо. Запомнить это будет сложно, что приведет к записи паролей на бумажку или в открытый текстовый файл.


Ущерб от мошенников

По итогам 2024 года «Сбер» оценил финансовые потери от телефонных мошенников в 300 млрд рублей. Не видя методики расчета, сложно подтверждать или опровергать цифры, озвученные банком. Однако, если взять за основу, что российский бизнес составляет около 1% от мирового (во многих сферах именно такое соотношение), то совокупный объем потерь от различных видов мошенничества в России может составлять около 900 млрд рублей, так как в мире это значение равно $1 трлн.

Цифры, представленные «Сбером» по телефонному мошенничеству, вполне соответствуют этим показателям. Согласно данным, опубликованным в начале марта Федеральной торговой комиссией, объем мошенничеств вырос на 25% в годовом выражении. По данным Visa, глобальный рост составил 60%.

С учетом увеличения цифровизации в России, роста объемов электронной коммерции, увеличения сумм на счетах граждан, а также высвобождения киберпреступных групп после боевых действий в Украине, которые могут переключиться на атаки против гражданского населения, можно предположить, что в 2025 году масштабы мошенничества и связанные с ним потери станут еще более значительными.

Фото на обложке: Moor Studio / Getty Images

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

ТЕГИ
Бизнес-нетворкинг
Сервис Русбейс для поиска полезных знакомств и обмена опытом
Присоединиться

Материалы по теме