fbpx
ОСТАННІЙ ПОДКАСТ
Підписуйся на найнауковішу розсилку!
І миттєво отримуй 9 електронних журналів Куншт у подарунок.

Ми під'їдаємо крихти cookies за вами. Навіщо це нам?

Читати

Пардон за відволікалочку. Допоможи Куншт бути незалежним!

Пардон за відволікалочку. Допоможи Куншт бути незалежним!

Повідомлення успішно надіслано

Для пошуку
введіть назву запису
Без рубрики — 16.06.21
ТЕКСТ: Мар'яна Капранова
Ілюстрації: Каталіна Маєвська
Ми любимо тексти без помилок. Якщо ви все ж таки щось знайшли, виділіть фрагмент і натисніть
Ctrl+Enter.
Ловися, рибко: як інтернет-шахраї ошукують користувачів

«Я зламав вашу операційну систему і побачив, що ви дивитеся фільми для дорослих. Якщо не надішлете мені гроші у криптовалюті, я розішлю це вашим контактам», «Я Ілон Маск, і подвою біткоїни всім, хто поповнить мій гаманець», «Я твій друг і в мене надзвичайна ситуація – надішли мені грошей», «Ви порушили правила копірайту фейсбука, тож ваш акаунт буде заблоковано – перейдіть за посиланням, щоб оскаржити наше рішення».

 

Напевно, хоч одне схоже повідомлення надходило вам на електронну пошту чи у соцмережі або знайоме вам із новин, розповідей друзів та знайомих. Хтось одразу розуміє, що це шахрайство. Хтось потрапляв на гачок і має гіркий досвід. Людей запитують і присоромлюють: «Як? Це ж було очевидно: і одруки є, і посилання якесь підозріле, і пошта дивна та й фейсбук не повідомляє про блокування облікового запису через теґ або особисті повідомлення».


Не поспішайте так картати себе або інших. Насамперед тому, що це прояв соціальної інженерії, а ваш сором ще й допомагає шахраям.

Що ж таке соціальна інженерія?

 

Соціальна інженерія в інформаційній безпеці – це спосіб атаки, який використовує не технічні вразливості системи, а особливості людської психіки. Одним із основних та найпопулярніших методів зловмисної соціальної інженерії є фішинг (термін походить від англійського слова fishing – риболовля). На його прикладі й пояснимо, як та чому працює соціальна інженерія. 

 

Фішинг – це атака, спрямована на те, щоб користувач сам видав шахраям щось важливе. Зазвичай це стосується так званих credentials (наприклад, даних для входу в акаунти: зазвичай це електронна пошта, пароль або код) або грошей. Або ж завантажив шкідливе програмне забезпечення, яке збиратиме дані чи пошкодить систему.

 

«Оскільки розробники постійно винаходять дедалі кращі технології захисту, роблячи важчим використання технічних вразливостей, зловмисники дедалі частіше використовуватимуть людський фактор. Бо дуже просто зламати людський фаєрвол, а всі витрати не перевищують вартості одного телефонного дзвінка та передбачають мінімальний ризик», – пише у книжці «The Art of Deception» (з англ./укр. «Мистецтво обману») консультант з комп’ютерної безпеки та колишній гакер Кевін Митник. Адже поки атакувати й ламати самі системи стає важче, психіка людини залишається такою ж вразливою.

 

Тут трохи зупинимося на когнітивній психології і згадаємо Даніела Канемана – когнітивного психолога і поведінкового економіста. У книжці «Мислення швидке й повільне» той виокремлює два типи мислення: Систему 1 та Систему 2. Система 2 – це повільне мислення, свідомі рішення, вона повільна та енерговитратна. До неї належить і те, що ми зазвичай називаємо критичним мисленням. Система 1 – це мислення автоматичне, емоційне та швидке. Оскільки нам доводиться ухвалювати тисячі рішень за хвилину, нам потрібна Система 1 – без неї ми б не вижили та були б дуже неефективними. Вона спирається на припущення та емоції. Це може бути корисно для виживання та швидкої роботи, але якраз ці швидкі рішення, припущення та емоції породжують когнітивні упередження.

 

Звертаючись до наших упереджень та емоцій, фішинг намагається змусити нас залишатися у цьому автоматичному режимі. Шахраї хочуть, щоб користувачі «ухвалювали швидке, а не продумане рішення». Адже завдання фішингу – викликати у вас якусь емоцію та спонукати до дії, граючи на цій емоції.

 

Шахрайські схеми та маніпуляції існували завжди. Популярні в еру раннього інтернету (та й зараз) «нігерійські листиНігерійські листи – популярний вид шахрайства, коли зловмисники надсилають листи від імені принца, чиновників, мільйонерів з пропозицією заплатити невелику суму в обмін на відсотки від фінансових операцій, спадок тощо. Назвали так, бо Нігерія часто фігурує у таких листах.» беруть початок ще з 1980-х і передавалися телефонами та факсами. Банківські фішинги починалися з телефонних дзвінків та смс, а зараз комбінуються з поштою та месенджерами. З електронної пошти вони перейшли і в соцмережі та месенджери. Через поширеність витоків даних та повторного використання паролів популярними стають комбіновані атаки, коли зламують облікові записи друзів та знайомих і вже з них – як більш довірених – надсилають шахрайські листи. 

Три кити фішингу: емоції, надія та обмеження у часі


Очікування винагороди, страх, сором – це постійні супутники фішингу. Наприклад, за останній рік у фейсбуці та інстаграмі став популярним фішинг про порушення копірайту1. Начебто користувач запостив щось, що порушує правила компанії, а тому його акаунт заблокують. Саме за допомогою такого фішингу у листопаді минулого року намагалися зламати сторінку Уляни Супрун2.

 

Для тих, хто не розвиває свої блоги та сторінки, такі повідомлення можуть здатися не вартими уваги. Ну то й що? Яка тут емоція? Але для блогерів, які заробляють акаунтом на життя, для комунікаційників компаній, які вкладають гроші та час на ведення та розвиток сторінки, блокування загрожує втратою прибутку, комунікації з клієнтами та рекламодавцями. Тому цілком логічно, що перша реакція, яка може виникнути на таке повідомлення – тривога, страх, ба навіть паніка.

«Шановний користувачу, ми перевірили ваш акаунт та вимкнули деякі функції через те, що у вашому акаунті містився контент, захищений авторським правом. Авторські права дуже важливі для нас: якщо протягом 24 годин не буде жодних заперечень, ваш акаунт буде видалено. Якщо ви вважаєте, що це помилка, будь ласка, подайте апеляційну заявку. Вона буде розглянута нашим апеляційним менеджером та повернута вам»

Або ж у березні цього року поширилась хвиля атак3 на верифіковані акаунти, коли користувачам надходило повідомлення начебто від підтримки інстаграму про те, що компанія забере бейдж (синю галочку верифікації). У тих, хто проходив кола пекла з отримання бейджа, легко може виникнути панічна реакція.

 

Шахраї не розраховують, що на такі повідомлення відповідатимуть всі. Можна надіслати сотні чи й тисячі таких повідомлень за допомогою дешевого програмного забезпечення або навіть просто копіюючи текст. Так зловмисники можуть отримати, скажімо, 100 наборів даних для входу, а далі вже виманювати гроші з власників акаунтів (наприклад, змінити пароль і просити викуп, знайти чутливу інформацію і шантажувати її викриттям) або ж надсилати друзям та підписникам повідомлення з проханням дати грошей зі зламаних акаунтів.  

 

Але не емоціями єдиними. Поки ви читали повідомлення, мозок вже встиг намалювати картину, як ви втрачаєте роботу через блокування сторінки, згадуються усі ті сотні годин планування та створення контенту, які стануть марними.


Або ж фейсбук заблокує сторінку з тисячами чи мільйонами підписників: ваша робота і робота колег просто зникне, а на вас чекає неприємна розмова або й звільнення. 

 

І після цих неприємних фантазій вам дають надію: перейди за посиланням, надішли кошти або просто введи пароль від сторінки. І всього цього жаху не буде. Але треба зробити все якомога швидше.

Тут ми підходимо до третього кита: обмеження у часі. Адже один з найкращих способів захисту від фішингу – не поспішати. Але зловмисники якраз цього не хочуть, бо коли нас переповнюють емоції, наше критичне мислення не бачить очевидних хиб і неточностей. В одному із досліджень Ланкастерського університету4 науковці виділили обмеження у часі як один із ключових факторів сприйнятливості до фішингу. 

 

Учасники виконували завдання на визначення справжності електронних листів, щоб зрозуміти, чому одні люди ведуться на фішинг, а інші – ні. Одним з факторів, які розглядали науковці, був час. Дослідники виявили, що учасники, яким давали часові обмеження на ухвалення рішень, частіше вирішували неправильно.

 

Вони теж пов’язують це із подвійною системою: коли людина перебуває під тиском часу, вона швидше спиратиметься на інтуїтивну Систему 1. Коли ж часових обмежень немає, є змога застосувати раціональні механізми, врахувати додаткові фактори. Втім науковці зауважують, що вплив фактору часу може відрізнятися залежно від часових рамок, а також від змісту самих листів.

 

У липні минулого року, наприклад, зловмисники атакували кількох співробітників Twitter, які мали доступ до інструментів адміністрування. Шахраї отримали змогу зламати акаунти Ілона Маска, Джеффа Безоса, Білла Гейтса, Барака Обами, Джо Байдена, Apple та інші сторінки, що належать відомим людям, політикам і компаніям. Вони почали публікувати з цих акаунтів твіти, що протягом 30 хвилин вони подвоять суму криптовалюти, яку їм надішлють користувачі. 

Фішингове повідомлення від облікового запису Ілона Маска у твіттері.

Здавалося б, це ж шахрайство в найкращих традиціях «листів від нігерійських принців». Але хоча акаунти з такими повідомленнями деактивували протягом лічених хвилин, зловмисники встигли отримати на біткойн-гаманець 120 тисяч доларів.

Як захиститися від фішингу?


Фішинг проникає у дедалі більше сфер нашого життя, а схеми постійно змінюються. Тому точно сказати, що ось певний лист/пост справжній, а інший – ні, на перший погляд не завжди вдається.

 

Ще кілька років тому фішинг досить часто надходив на пошту, наприклад, з повідомленнями про вхід у гугл чи фейсбук людини. Тоді ж популярними були поради подивитися на дизайн листа – але і в гуглі, і в фейсбуці їх постійно змінюють – або ж переходити за посиланнями лише із захищеним з’єднанням. Тобто http тицяти не можна, а https – можна. Зловмисники почали робити сайти з захищеним з’єднанням (не всі, але наразі це не гарантований показник).

 

А як щодо поради перевіряти адресу відправника? Вони з’явились, коли ще не такими популярними були злами акаунтів через повторне використання паролів. Зараз цілком можна зламати акаунт друга і написати з нього або просто підробити адресу відправника у самому емейлі. Поступово фішинги почали з’являтися і в самих соцмережах. Їх можна побачити у прикладах вище.

 

Тобто фішинг є абсолютно різним та може спіткати вас усюди: на пошті, в SMS, месенджерах, соцмережах. Їхніх схем – безліч. Тут ми згадали лише комерційні та популярні схеми, які спостерігали та з якими стикалися протягом року. 

 

На корпоративному рівні, наприклад, з фішингом намагаються боротися, розсилаючи фішингові ж листи, бо начебто на досвіді можна закріпити знання. Втім дослідження та практика показують, що це не завжди працює, як очікувалось. Наприклад, у дослідженні Ейндговенського університету5 працівникам компанії надсилали фішингові листи. Посилання вело на сторінку, яка попереджала людей, що їх обдурили.

 

Через деякий час дослідники знову надіслали листа тим самим учасникам і виявили, що ті так само клікали на підроблені посилання, а от інтерв’ю після дослідження показали, що люди відчували, ніби їхня компанія зрадила і присоромила їх. 

Головний захист від фішингу 


Якщо повідомлення викликає сильну емоцію і при цьому вас просять терміново щось зробити (перейти за лінком, надіслати гроші), важливо не поспішати. Зазвичай достатньо кількох хвилин, щоб заспокоїтися, а тоді вже ретельно перевірити повідомлення, використовуючи Систему 2.

Технічні способи захисту

 

Насамперед варто розуміти, що ці поради захистять саме від фішингів, які спрямовані на те, щоб отримати ваші паролі. Налаштуйте двофакторну автентифікацію (2ФА), де є така можливість. Навіть якщо ви введете пароль на зловмисному сайті, вона зменшить ймовірність входу у ваш акаунт. У більшості випадків вона захистить від фішингу, хоча дедалі частіше трапляються схеми, які пропонують ввести код від 2ФА.

 

Важливо не забути про месенджери (телеграм, вайбер тощо), адже туди теж поширені фішингові схеми6. Вони також мають можливість двофакторної автентифікації. У випадку з месенджерами це означає, що вам треба встановити пароль або код. Тоді для входу на новому пристрої потрібно ввести як код із SMS, так і пароль/код. Навіть якщо зловмисник перехопить SMS, не знаючи пароля/коду він не зможе увійти у ваш обліковий запис.

Що варто знати, якщо ви виявили фішинг занадто пізно?


Якщо ви ввели дані для входу в акаунт, важливо вийти з невідомих активних сесій (якщо такі є) і змінити пароль7. Якщо ж у вас такий же або схожий пароль на інших акаунтах, їх теж варто змінити. Налаштуйте двофакторну автентифікацію, якщо до цього її не було.
Якщо ввели дані картки, потрібно заблокувати її. Чи є сенс звертатися до банку? Я звернулась до служб підтримки двох банків як звичайна користувачка і запитала про політику дій у разі списання коштів шахраями.

 

У monobank відповіли, що за рішенням суду можуть надати інформацію для розслідування (в межах чинного законодавства) і повернути кошти за рішенням суду. 

 

У Приватбанку сказали, що у разі підтвердження шахрайства можуть провести внутрішнє розслідування і повернути кошти лише у випадку, якщо вони були переслані на картку Приватбанку. 

 

В обох випадках банки радять спершу звертатися в поліцію. Без цього на повернення коштів розраховувати не варто. Але навіть після звернення до поліції на практиці ймовірність повернення коштів дуже низька або займає доволі багато часу (судова справа може тривати кілька років або ж ваш випадок може взагалі не дійти до суду). Втім ви можете попередити інших про схему шахрайства: розповісти про це друзям, написати пост. Це може вберегти інших.

Матеріал підготовлено за фінансової підтримки Швеції та Internews (проєкт Audience understanding and digital support). Думки, виражені в цій публікації, відображають винятково точку зору автора.

ТЕКСТ: Мар'яна Капранова
Ілюстрації: Каталіна Маєвська
Статті
До ворожки не ходи
До ворожки не ходи: духи і привиди

З'ясуємо, звідки взялися легенди про духів та привидів і чому деякі люди часом їх бачать, а ще послухаємо, як «говорить привид»!

Хімія
Що всередині: наука морозива

Кожна складова морозива по-своєму важлива.

Промо
Проєкт інтелект. Епізод 2: Чи зможемо ми колись говорити з тваринами за допомогою Petcube

Навіщо вашим домашнім улюбленцям штучний інтелект?

Суспільство
Нобелівка‒2021: економіка. Природні експерименти допомагають відповісти на важливі питання

Цьогорічні лауреати – Девід Кард, Джошуа Енґріст та Ґвідо Імбенс – показали, що природні експерименти можна використовувати, щоб відповісти на ключові суспільні питання.

До ворожки не ходи
До ворожки не ходи: астрологія, нумерологія, ворожіння

Чому люди звертаються до ворожіння, що чекають від астрології та нумерології і чи це справді їм допомагає?

Наука
Три в одному: за що дали Нобелівки з фізіології або медицини, хімії та фізики

Слухайте про цьогорічну Нобелівку!