Кибермошенники вокруг нас: какие приёмы они используют и как от них защититься?

Самые популярные виды мошенничества

По данным последнего опроса, посвящённого теме кибермошенничества, самым популярным его видом остаётся телефонное: за последние 12 месяцев звонки от аферистов получили 79% жителей России. При этом 62% респондентов либо сами пострадали от телефонных преступлений, либо знают о подобных жертвах среди своих знакомых.

Злонамеренные рассылки в мессенджерах занимают второе место по распространённости: с ними за последний год встречались 42% россиян. Пострадали сами или знают о таких случаях 25%. Наконец, на третьем месте оказались мошеннические интернет-сайты и email‑рассылки: 35% опрошенных с ними сталкивались, 21% пострадали или слышали о пострадавших.

В своей «работе» мошенники используют как различные технические приёмы, так и социальную инженерию, чьи методы позволяют достаточно успешно манипулировать людьми. В результате жертвы сами делятся нужной информацией или совершают действия, выгодные преступникам.

Поговорим подробнее о некоторых инструментах из арсенала злоумышленников и мерах предосторожности, которые помогут не стать их жертвой.

Взлом пароля

Любая активность пользователя в сети требует его регистрации на сайтах, в приложениях, соцсетях, почтовых клиентах и так далее. Утрата одних паролей не грозит практически ничем, потеря других может обернуться настоящей катастрофой — финансовой или репутационной.

Мошенники пытаются выманить важные пароли с помощью фишинговых технологий (о них ниже) или же взламывают их простым перебором символов. Второй вариант называют брутфорсом, от английского brute force — «грубая сила».

С помощью специальных программ хакеры могут перебирать осмысленные фразы или наборы случайных символов. А если атака ведётся на конкретного человека, то в дело вступает социальная инженерия.

— Преступники могут изучить ваши социальные сети, узнать об увлечениях, найти информацию о питомцах и пытаться подобрать пароль, исходя из этой информации, — предупреждает доктор наук в сфере информационной безопасности, профессор университета МЧС Виталий Грызунов. — Людям обычно кажется, что их пароли с годами рождения или кличками животных очень индивидуальные, но на самом деле это не так.

Пользователи часто сами облегчают задачу мошенникам, используя суперпопулярные пароли вроде 123456, qwerty123 и password или применяя одну и ту же комбинацию для разных ресурсов. Согласно опросу, 79% россиян в курсе, что использовать один пароль — идея так себе. Но при этом только 60% всё же придумывают разные пароли.

Как защититься от бутфорса

• Не используйте простые и популярные пароли. Не выбирайте для них осмысленные слова и цифры, которые можно однозначно связать с вами — даты рождения близких родственников, имена родных, клички животных, название профессии или родного города и т. д.
• Используйте пароли длиной от десять символов. По словам Виталия Грызунова, при длине пароля до восемь символов современные программы способны взломать его за несколько секунд.
• В надёжном пароле должны быть заглавные и маленькие буквы, спецсимволы и цифры.
• Не используйте одни и те же пароли для разных сайтов. Тогда, даже если какой-то пароль попадёт к преступникам, они не смогут с его помощью зайти в ваши аккаунты на других ресурсах.
• Регулярно меняйте пароли — утечки данных, к сожалению, происходят регулярно, так что даже надёжный пароль может оказаться скомпрометированным.
• При наличии возможности настраивайте двухфакторную аутентификацию, чтобы только логина и пароля было недостаточно для входа. Дополнительным инструментом для авторизации может быть код из SMS или стороннего приложения, отпечаток пальца и т. п.

— Говоря о защите от взлома, мы всегда лавируем между удобством и безопасностью. Важно иметь в виду, что чем больше масштаб личности человека — в смысле количества денег у него на счёте, известности, влияния на аудиторию — тем больше ступеней защиты ему нужно использовать.

Лайфхак: как придумать надёжный пароль и запомнить его

Надёжный пароль можно сгенерировать с помощью специальных программ, но запомнить получившийся набор символов будет практически нереально. Эксперт подсказал, как создать сложный, но запоминающийся пароль самостоятельно.

• Придумайте запоминающуюся фразу. Это может быть просто забавный и нелогичный для постороннего набор слов, пословица или строчка из стихотворения.
• Возьмите из каждого слова по несколько первых букв и составьте из них пароль. Можете транслитерировать буквы или набрать русские в латинской раскладке.
• Сделайте несколько букв заглавными — например, первую или последнюю букву каждого слова.
• Добавьте цифры и спецсимволы.

Продемонстрируем на примере.

• Берём строчку «трусишка зайка серенький под ёлочкой скакал» и оставляем по две первые буквы из каждого слова.
• Записываем их латиницей, причём каждую первую букву делаем заглавной — TrZaSePoElSk. Ещё загадочнее получится, если мы будем смотреть на русские буквы, но набирать их в латинской раскладке — NhPfCtGjTkCr.
• В качестве финального аккорда добавим цифры и спецсимволы. Например, вставим после третьего и последнего слова цифры 3 и 1 (ассоциация: 31 декабря — новогодняя песенка), в начало поместим знак доллара (ассоциация: праздник всегда связан с расходами), а в конце добавим звёздочку (ассоциация: звезда на макушке ёлки). Получаем пароль из 16 символов $TrZaSe3PoElSk1* или $NhPfCt3GjTkCr1*. Запомнить этот набор символов сам по себе будет сложно, но его можно быстро восстановить, вспомнив фразу и ассоциации.

Фишинг

Пожалуй, самый распространённый вариант кибератаки, цель которой — получить доступ к логину и паролю от некоего сервиса или данным банковской карты. Для этого пользователю отправляется ссылка на мошеннический ресурс, который копирует знакомые благонадёжные сайты, социальные сети, банковские приложения и так далее. При переходе по ней человеку предлагают ввести учётные данные, которые мгновенно попадают в руки преступников.

Фишинговые ссылки, выглядящие почти как настоящие, могут рассылаться по электронной почте, в SMS-сообщениях, через соцсети и мессенджеры. Чтобы «зацепить» жертву, послания направляются от лица реальных известных компаний или знакомых людей (со взломанных или клонированных аккаунтов).

Сообщение, побуждающее перейти по ссылке, всегда давит на какую-то эмоцию. Оно может пугать («Зафиксирована подозрительная попытка входа в ваш аккаунт, срочно подтвердите личные данные и смените пароль!») или радовать победой в розыгрыше, а «знакомый» может попросить проголосовать за него в конкурсе.

Как защититься от фишинга

• При получении письма с информацией, которая побуждает вас к немедленному действию на стороннем сайте, проверьте адрес отправителя. Он может быть похож на официальные контакты компании, от имени которой отправлено письмо, но вы обязательно заметите разницу. Также при появлении подозрений можно связаться со службой поддержки.
• Внимательно проверяйте адреса ссылок, по которым переходите, обращайте внимание на дизайн, логотипы, наличие контактной информации и т. д. Фальшивый и оригинальный сайты могут быть похожи, но никогда не идентичны.
• Не отвечайте на сообщения с неизвестных аккаунтов и, тем более, не переходите по ссылкам в них. Если вам написал знакомый, при появлении малейших подозрений свяжитесь с ним через другой канал связи и уточните, не взломали ли его.
• Пользуйтесь определителями номеров и антивирусами. Они помогут определить спам и фишинговые звонки.
• Регулярно обновляйте своё программное обеспечение, включая антивирус.
• Не используйте одни и те же пароли для разных сайтов и настройте двухфакторную аутентификацию.

Телефонные звонки

Любые звонки от мошенников основаны на знании психологии, методах социальной инженерии, а в некоторых случаях — и внимательном изучении личности жертвы.

Цель такой коммуникации — вынудить человека перевести преступникам деньги или выманить у него важную информацию, например, данные банковской карты или пароль от Госуслуг. Для этого могут использоваться самые разные схемы и предлоги: звонок «из управляющей компании», которая предлагает вам поменять счётчик, звонок «из банка», чья служба безопасности заметила подозрительные действия с вашим счётом, звонок из «пенсионного фонда», от «следователя», «начальника» или даже «близкого родственника», попавшего в беду.

У всех подобных звонков есть, как минимум, два общих момента:

1. мошенники давят на эмоции, стараются сразу же вызвать страх и тревогу, используют естественное для каждого человека желание сэкономить или получить неожиданные деньги;
2. они вынуждают жертву принять решение быстро, не давая времени проверить информацию или с кем-то посоветоваться.

— Преступники используют наше уязвимое состояние и давят на проблему, — объясняет психолог Мария Компаниец. — Чаще всего они стараются застать нас врасплох и нагнетают ситуацию, чтобы мы не успели сообразить, что происходит. Когда вы берете трубку, с вами не просто беседуют, а сразу идёт сужение вашего внимания на какой-то тревожной ситуации.

Как защититься от телефонных мошенников

• Твёрдо помните, что ни банки, ни правоохранительные органы не разбираются в подозрительных ситуациях по телефону. Первые, заметив подозрительную активность, скорее, просто молча заблокируют ваш счёт. И потом уже вам самим придётся звонить в поддержку или идти в офис. А полиция, в случае необходимости, вызовет вас для разбирательства повесткой или пришлёт сотрудника для беседы.
• Любая настойчивая просьба немедленно продиктовать код из SMS, данные карты или перевести деньги — это признак мошенничества и повод положить трубку.
• Прислушайтесь к своим ощущениям во время звонка.

— Если вы чувствуете замешательство, если нарастает тревога и паника, если вы пытаетесь узнать подробности, но вас ещё больше запутывают, — это сигнал, что что-то точно не так.

• При возникновении подозрений и нарастании тревоги найдите в себе силы выйти из контакта, чтобы спокойно проанализировать ситуацию. Можно перезвонить или написать родственнику, с которым, якобы, что-то случилось, или связаться с банком. В конце концов, просто забейте описание происходящего в поисковик и поищите аналогичные случаи.

— Даже если действительно что-то произошло, не будет ничего непоправимого, если вы сделаете паузу и попробуете получить какую-то дополнительную информацию. Мошенники будут стараться загнать вас в эмоциональный туннель, а ваша задача — выйти из него, положить трубку и уточнить полученные сведения.

• Жертвами киберпреступников часто становятся люди старшего поколения, которые не успевают за техническим прогрессом. Важно регулярно поддерживать с ними контакт и информировать их о мошеннических схемах. Можно даже написать инструкцию и повесить её на видном месте.

Дипфейки

Используя востребованные цифровые каналы, мошенники постоянно придумывают новые способы втереться в доверие к их аудитории. Например, всё большую популярность сегодня набирают дипфейки — подделка картинок, аудио- и видеосообщений с помощью инструментов ИИ. И хотя 81% россиян, в принципе, слышали о таком явлении, но только 50% в курсе, что можно подделать голос, и лишь 47% знают о возможности генерации фальшивых видео.

Между тем, ко встрече с дипфейками в мессенджерах нужно быть готовым каждому. Хотя пока с ними сталкивались всего около 10% интернет-пользователей, но эксперты предупреждают, что уже к концу 2025 года жертвами таких атак может стать каждый второй.

— Буквально каждый день мы слышим об успехах искусственного интеллекта, — говорит Леонид Армер, директор АНО «Центр защиты и развития личности». — А как показывает человеческая история, когда появляется какая-то новая технология, увы, но одним из первых ею начинают пользоваться злоумышленники, опережая все остальные социальные группы. Поэтому, к сожалению, преступность и дальше будет семимильными шагами осваивать самые передовые способы и методы обмана населения.

С помощью дипфейков мошенники обычно просят денег от лица знакомых людей. Сообщения отправляются с поддельных клонированных аккаунтов или с существующих, которые были взломаны.

Злоумышленники могут использовать реальные поводы, о которых человек рассказывал в своих соцсетях.

— Мы часто не обращаем внимание на то, где и какую информацию оставили. А мошенники, когда готовят на нас атаку, очень внимательно изучают наши аккаунты. Поэтому если мы пишем в ВК «Ребята, я через неделю собираюсь в жаркие тропические страны!», то есть вероятность, что эта информация будет использована в преступных целях.

Как создаются дипфейки

Преступники собирают изображения, видео- или аудиозаписи конкретного человека и загружают их в специальные программы. ИИ анализирует полученный контент, «рассматривая» лицо под разными углами, «внимательно слушая» голос и «запоминая» речевые особенности.

Далее, при достаточном количестве исходного материала, приложение способно сгенерировать голосовое сообщение с нужным текстом от лица жертвы или видео с её участием. Также можно наложить новое лицо на существующее видео или поменять в нём звуковую дорожку.

Сегодня мошенники предпочитают создавать короткие голосовые сообщения или видеокружочки — их небольшой размер и невысокое качество позволяют скрыть дефекты фейкового изображения.

Как защититься от дипфейков

— Если речь идёт о просьбе знакомого или родственника одолжить деньги, главный совет здесь может быть только один — перезвонить человеку по обычному телефону и проверить информацию. И следите за тем, чтобы не оставлять в доступных местах большое количество своих аудиосообщений. Если это происходит, то вероятность того, что ваш голос будет украден, пропущен через программу искусственного интеллекта, обработан и в дальнейшем использован, повышается.

К сожалению, современные технологии — это не только свобода общения, но и множество возможностей для обмана. Поэтому каждому человеку нужно знать об основных видах киберпреступлений и всегда помнить о мерах цифровой безопасности.