Podle statistik Centrální banky Ruska v roce 2017 ztratilo 317,7 tisíc uživatelů na internetu 961 milionů rublů kvůli akcím podvodníků. Oběti podvodu přitom v 97 % případů nekontaktovaly orgány činné v trestním řízení. A to mluvíme o incidentech, které byly nahlášeny bance.
Pojďme se podívat na běžné způsoby, kterými útočníci kradou peníze na sociálních sítích. A abyste nespadli do sítě podvodníků, poradíme vám, jak se chránit před kyberzločinci.
1. Hack účtu
Získání přihlašovacích údajů k účtu umožňuje podvodníkům získat důvěrné informace a oklamat přátele uživatele. K tomu podvodníci používají celý arzenál triků:
- infikování počítače nebo mobilního gadgetu virem;
- hackování databází jiných webů a odpovídající hesla;
- běžná hesla hrubou silou.
K virové infekci dochází nejčastěji při přijímání e-mailů s přílohami odneznámí příjemci nebo stahování souborů z bezplatného hostování souborů. Viry jsou zaměřeny na skenování složek prohlížeče na nezašifrovaná hesla a také na sledování toho, co uživatel zadává z klávesnice. Například Android. BankBot.358.origin míří na klienty Sberbank a krade přihlašovací údaje do mobilní aplikace. Trojan TrickBot také vyhledává přihlašovací údaje k bankovním účtům a také směnárnám kryptoměn. Keylogger Fauxpersky se maskuje jako produkt společnosti Kaspersky Lab a shromažďuje vše, co uživatel napíše na klávesnici.
Informace shromážděné viry jsou odesílány útočníkům. Virus obvykle vytvoří textový soubor a připojí se k poštovní službě uvedené v nastavení. Poté soubor připojí k e-mailu a odešle jej na adresu podvodníků.
Uživatelé používají stejné heslo pro všechny stránky (internetové obchody, sociální sítě, poštovní servery), aby si nezapomněli a neukládali jedinečná hesla pro každý účet na počítačích. Zločinci útočí na méně chráněné stránky: adresáře, internetové obchody, fóra. Na sociálních sítích pracuje celý tým IT profesionálů zodpovědných za kybernetickou bezpečnost. A online obchody a fóra fungují na CMS, ve kterých podvodníci pravidelně nalézají zranitelnost při krádeži dat.
Hackeři kopírují databázi uživatelů, která obvykle obsahuje přezdívky, e-mailové adresy a přihlašovací hesla. Navzdoryže hesla jsou uložena v zašifrované podobě, lze je dešifrovat, protože většina webů používá 128bitový hashovací algoritmus MD5. Dešifruje se pomocí softwaru pro stolní počítače nebo online služeb. Například služba MD5 Decrypt obsahuje databázi 6 miliard dešifrovaných slov. Po dešifrování jsou hesla zkontrolována pro možnost přístupu k poštovním službám a sociálním sítím. Pomocí pošty můžete obnovit své heslo na sociální síti, pokud jste jej nemohli uhodnout.
Hrubá síla s heslem je každým rokem méně a méně relevantní. Jeho podstata spočívá v metodickém ověřování běžných kombinací písmen a číslic v heslech pro zadání účtu na sociální síti. Podvodníci používají proxy servery a VPN, které skrývají IP adresu počítače, aby je sociální síť neodhalila. Samotné sociální sítě však uživatele chrání například zavedením captcha.
Jak se chránit
Abyste mohli bojovat s viry, musíte dodržovat základní pravidla počítačové bezpečnosti:
- nestahujte soubory z neznámých zdrojů, protože viry mohou být maskovány například jako prezentační soubor;
- neotvírat přílohy v e-mailech od neznámých odesílatelů;
- instalace antiviru (Avast, NOD32, Kaspersky nebo Dr. Web);
- nastavit dvoufaktorové ověřování na stránkách, které tuto možnost mají;
- při přístupu ke službě ze zařízení někoho jiného zaškrtněte odpovídající políčko v poli autorizace;
- nepoužívejte schopnost prohlížeče pamatovat si hesla.
Uživatel by nemělpoužívat stejné heslo pro sociální sítě, poštovní služby, internetové obchody a bankovní účty. Hesla můžete diverzifikovat přidáním označení služeb na jejich konec. Například 12345mail je vhodný pro poštu, 12345shop pro nakupování a 12345socialnet pro sociální sítě.
2. Vydírání a vydírání
Útočníci se záměrně nabourávají do účtů sociálních sítí, aby získali důvěrná data, pak oběť vydírali a vymáhali peníze. Například pokud jde o intimní fotografie zaslané partnerovi.
Na samotných fotkách není nic kriminálního. Útočníci vydírá uživatele zasláním přijatých obrázků příbuzným a přátelům. Během komunikace se využívá psychologický nátlak a pokusy o vytvoření pocitu viny v očekávání, že oběť pošle peníze.
I kdyby oběť peníze poslala, neexistuje žádná záruka, že se pachatelé nerozhodnou fotografie znovu „vykoupit“nebo jen zveřejnit obrázky pro zábavu.
Jak se chránit
Používejte služby, které vám umožňují posílat sebezničující nebo šifrované zprávy na Telegram nebo Snapchat. Nebo se s partnerem dohodněte, že obrázky neuložíte, ale ihned po zhlédnutí je smažete.
Neměli byste chodit na poštu a sociální sítě ze zařízení jiných lidí. Pokud je zapomenete nechat, existuje riziko, že se vaše korespondence dostane do nesprávných rukou.
Pro ty, kteří si rádi ukládají důvěrná data, se doporučuje šifrovat složky pomocí speciálního softwaru, například pomocí technologie EncryptingSystém souborů (EFS).
3. Ceny, dědictví a položky zdarma
Podvodníci nabízejí získat drahou položku zdarma za předpokladu, že zaplatíte za dopravu na vaši adresu nebo pojištění za dopravu. Na podobnou nabídku můžete narazit například ve skupině „Zdarma“vašeho města. Jako důvod mohou uvést naléhavé stěhování nebo obdržení stejné věci jako dar. Docela často se jako „návnada“používají drahé věci: iPhone, iPad, Xbox a podobně. Aby podvodníci zaplatili náklady na dopravu, požadují částku, se kterou se uživatel snadno rozloučí – až 10 000 rublů.
Podvodníci mohou nabízet nejen položky zdarma, ale také zboží s výrazně sníženou cenou, jako je iPhone X za 5 000 rublů. Chtějí tak ukrást peníze nebo údaje o kartě pomocí falešného formuláře platební brány. Podvodníci maskují stránku platby kartou jako stránku oblíbené platební brány.
Útočníci se mohou vydávat za zaměstnance banky nebo notářské agentury a žádat o pomoc při výběru peněz z účtu nebo peněz získaných dědictvím. Za tímto účelem budou požádáni o převod malé částky na založení běžného účtu.
Pro vyzvednutí ceny lze také poslat odkaz vedoucí na phishingovou stránku.
Jak se chránit
Nevěřte na sýr zdarma. Jednoduše takové požadavky ignorujte nebo si stěžujte pomocí vestavěných nástrojů sociálních médií. Chcete-li to provést, přejděte na stránku účtu, klikněte na tlačítko „Stížnost na uživatele“a napište důvod odvolání. Služba moderátorasociální síť informace zkontroluje.
Neklikejte na neznámé odkazy, zejména pokud jsou vytvořeny pomocí goo.gl, bit.ly a dalších služeb zkracujících odkazy. Odkaz však můžete dešifrovat pomocí služby UnTinyURL.
Řekněme, že jste na sociální síti obdrželi zprávu o výhodném prodeji telefonu nebo tabletu. Nevěřte na štěstí a okamžitě zaplaťte za nákup. Pokud jste se dostali na stránku s formulářem platební brány, pečlivě zkontrolujte, zda je doména správná a zda je uveden standard PCI DSS. Správnost platebního formuláře si můžete ověřit na technické podpoře platební brány. Chcete-li to provést, stačí ji kontaktovat e-mailem. Například na webových stránkách poskytovatelů plateb PayOnline a Fondy jsou uvedeny e-mailové adresy služeb zákaznické podpory.
4. "Hoď sto"
Podvodníci používají hacknutou stránku, aby požádali známé a přátele oběti o převod peněz na účet. Nyní se rozesílají nejen žádosti o převody, ale také fotografie bankovních karet, na kterých je pomocí grafického editoru aplikováno jméno a příjmení majitele hacknutého účtu.
Útočníci zpravidla žádají o převod peněz naléhavě, protože se obávají ztráty kontroly nad účtem. Žádosti často obsahují prvky psychického nátlaku a neustálé připomínání, že vše je třeba udělat urychleně. Podvodníci si mohou předem prostudovat historii komunikace a dokonce používat adresy, které znáte pouze vy podle jména nebo přezdívek.
Jak se chránit
Zavolejte příteli a zeptejte se přímo, zda nepotřebují peníze. Takže se ujistětepravdivost požadavku a můžete okamžitě varovat před hacknutím stránky.
Pokud dobře znáte osobu, jejíž účet byl hacknut, věnujte pozornost způsobu řeči. Útočník s největší pravděpodobností nebude mít čas zcela zkopírovat svůj komunikační styl a bude používat pro něj neobvyklé figury.
Věnujte pozornost fotografii bankovní karty. Padělek můžete spočítat nekvalitním zpracováním v grafickém editoru: písmena budou „naskakovat“, iniciály nebudou na stejném řádku s datem platnosti karty a někdy se i překrývají s platností karty.
Přežít sociální média
Od prosince 2014 do prosince 2016 se počet útoků na uživatele pomocí sociálního inženýrství 11krát zvýšil. 37,6 % útoků bylo zaměřeno na krádež osobních údajů, včetně informací o bankovní kartě.
Podle výzkumu společnosti ZeroFOX se na Facebooku podílelo 41,2 % útoků, Google+ 21,6 % a Twitter 19,7 %. Sociální síť VKontakte nebyla do studie zahrnuta.
Odborníci identifikují 7 oblíbených podvodných taktik na sociálních sítích:
- Ověření falešné stránky. Podvodníci jménem sociální sítě nabízejí získání kýženého zaškrtnutí „ověřené“stránky. Obětem je zaslána adresa speciálně připravené stránky pro krádež dat.
- Šíření falešného odkazu pomocí cílených reklam. Útočníci vytvářejí reklamu, aby přilákali uživatele na stránky s nízkými cenami a prodávali padělané zboží.
- Napodobování zákaznického servisu slavné značky. Útočníci se převlékají za služby technické podpory velkých značek a dostávají důvěrné informace od svých zákazníků.
- Pomocí starých účtů. Útočníci mohou používat staré účty tak, že změní svá nastavení, aby obcházeli ovládání sociálních médií.
- Falešné stránky internetových obchodů a značek. Útočníci falšují komunitní stránky internetových obchodů a vedou uživatele na phishingové stránky za účelem autorizace, krádeže přihlašovacích údajů nebo prodej padělaného zboží.
- Falešné propagace. Aby se útočníci mohli zúčastnit akce, mohou požádat o e-mail nebo fotografii údajně kvůli účasti, kterou lze později použít k nezákonným akcím.
- Finanční podvod. Útočníci nabízejí nadsazené příjmy v krátké době tím, že jednoduše kradou peníze důvěřivým uživatelům.
- Falešné stránky HR společností. Někteří podvodníci napodobují oficiální styl velkých společností a požadují platbu za zvážení žádosti o zaměstnání.
Existuje jen jeden způsob, jak se chránit před sociálním inženýrstvím – znalosti. Proto se musíte dobře naučit pravidla počítačové bezpečnosti a nevěřit příliš štědrým nabídkám.