Ռուսաստանի Կենտրոնական բանկի վիճակագրության համաձայն՝ 2017 թվականին 317,7 հազար օգտատեր համացանցում խարդախների գործողությունների պատճառով կորցրել է 961 միլիոն ռուբլի։ Ընդ որում, դեպքերի 97%-ում խարդախության զոհերը չեն դիմել իրավապահ մարմիններին։ Եվ խոսքը բանկին հաղորդված միջադեպերի մասին է։
Եկեք տեսնենք, թե ինչպես են հարձակվողները օգտագործում սոցիալական ցանցերում գումար գողանալու ընդհանուր եղանակները: Եվ որպեսզի դուք չընկնեք խաբեբաների ցանցի մեջ, մենք խորհուրդներ կտանք, թե ինչպես պաշտպանվել ձեզ կիբերհանցագործներից։
1. Հաշվի կոտրում
Հաշվի մուտքի մասին տեղեկություններ ստանալը թույլ է տալիս խարդախներին ձեռք բերել գաղտնի տեղեկատվություն և խաբել օգտատիրոջ ընկերներին: Դա անելու համար խաբեբաներն օգտագործում են հնարքների մի ամբողջ զինանոց՝
- վարակել համակարգիչը կամ շարժական սարքը վիրուսով;
- այլ կայքերի տվյալների բազաների կոտրում և համապատասխան գաղտնաբառեր;
- տարածված գաղտնաբառեր կոպիտ ուժով։
Վիրուսային վարակն ամենից հաճախ տեղի է ունենում կցորդներով նամակներ ստանալիսանհայտ հասցեատերեր կամ ֆայլերի ներբեռնում անվճար ֆայլերի հոսթինգից: Վիրուսներն ուղղված են զննելու բրաուզերի թղթապանակները չգաղտնագրված գաղտնաբառերի համար, ինչպես նաև հետևելու, թե ինչ է օգտատերը մուտքագրում ստեղնաշարից: Օրինակ, Android. BankBot.358.origin-ն ուղղված է Սբերբանկի հաճախորդներին և գողանում է բջջային հավելվածի մուտքի տվյալները: TrickBot Trojan-ը նաև որոնում է մուտքի տվյալներ բանկային հաշիվների, ինչպես նաև կրիպտոարժույթների փոխանակման համար: Fauxpersky keylogger-ը քողարկվում է որպես Kaspersky Lab-ի արտադրանք և հավաքում է այն ամենը, ինչ օգտագործողը մուտքագրում է ստեղնաշարի վրա:
Վիրուսների կողմից հավաքված տեղեկատվությունը ուղարկվում է հարձակվողներին: Սովորաբար վիրուսը ձևավորում է տեքստային ֆայլ և միանում է կարգավորումներում նշված փոստային ծառայությանը: Այնուհետև նա կցում է ֆայլը նամակին և ուղարկում խաբեբաների հասցեին։
Օգտատերերն օգտագործում են նույն գաղտնաբառը բոլոր կայքերի համար (առցանց խանութներ, սոցիալական ցանցեր, փոստի սերվերներ), որպեսզի հիշեն և չպահեն եզակի գաղտնաբառերը յուրաքանչյուր հաշվի համար համակարգիչներում: Չարագործները հարձակվում են ավելի քիչ պաշտպանված կայքերի վրա՝ գրացուցակներ, առցանց խանութներ, ֆորումներ: Կիբերանվտանգության համար պատասխանատու ՏՏ մասնագետների մի ամբողջ թիմ աշխատում է սոցիալական ցանցերում։ Իսկ առցանց խանութներն ու ֆորումները գործում են CMS-ով, որտեղ խարդախները պարբերաբար խոցելիություններ են գտնում տվյալներ գողանալու համար:
Հաքերները պատճենում են օգտվողների տվյալների բազան, որը սովորաբար պարունակում է մականուններ, էլփոստի հասցեներ և մուտքի գաղտնաբառեր: Չնայածոր գաղտնաբառերը պահվում են կոդավորված ձևով, դրանք կարող են վերծանվել, քանի որ կայքերի մեծ մասն օգտագործում է 128-բիթանոց MD5 հեշավորման ալգորիթմը: Այն վերծանվում է աշխատասեղանի ծրագրաշարի կամ առցանց ծառայությունների միջոցով: Օրինակ, MD5 Decrypt ծառայությունը պարունակում է 6 միլիարդ վերծանված բառերի տվյալների բազա: Ապակոդավորումից հետո գաղտնաբառերը ստուգվում են փոստային ծառայություններ և սոցիալական ցանցեր մուտք գործելու հնարավորության համար: Փոստի միջոցով դուք կարող եք վերականգնել ձեր գաղտնաբառը սոցիալական ցանցում, եթե չեք կարող կռահել այն:
Գաղտնաբառի կոպիտ ուժը տարեցտարի դառնում է ավելի ու ավելի քիչ ակտուալ: Դրա էությունը կայանում է նրանում, որ սոցցանցի հաշիվ մուտք գործելու համար գաղտնաբառերում տառերի և թվերի ընդհանուր համակցությունների մեթոդական ստուգումն է: Խարդախներն օգտագործում են պրոքսի սերվերներ և VPN-ներ, որոնք թաքցնում են համակարգչի IP հասցեն, որպեսզի դրանք չհայտնաբերվեն սոցիալական ցանցի կողմից: Այնուամենայնիվ, սոցիալական ցանցերն իրենք են պաշտպանում օգտատերերին, օրինակ՝ ներմուծելով captcha։
Ինչպես պաշտպանվել ձեզ
Վիրուսների դեմ պայքարելու համար պետք է հետևել համակարգչային անվտանգության հիմնական կանոններին.
- մի ներբեռնեք ֆայլեր անհայտ աղբյուրներից, քանի որ վիրուսները կարող են քողարկվել, օրինակ, որպես ներկայացման ֆայլ;
- մի բացեք կցորդները անհայտ ուղարկողների նամակներում;
- տեղադրել հակավիրուսային (Avast, NOD32, Kaspersky կամ Dr. Web);
- սահմանել երկգործոն նույնականացում այն կայքերում, որոնք ունեն այս տարբերակը;
- երբ ուրիշի սարքից մուտք գործեք ծառայություն, նշեք համապատասխան վանդակը թույլտվության դաշտում;
- մի օգտագործեք բրաուզերի գաղտնաբառերը հիշելու ունակությունը:
Օգտվողը չպետք էօգտագործեք նույն գաղտնաբառը սոցիալական ցանցերի, փոստային ծառայությունների, առցանց խանութների և բանկային հաշիվների համար: Դուք կարող եք դիվերսիֆիկացնել գաղտնաբառերը՝ դրանց վերջում ավելացնելով ծառայության անվանումները: Օրինակ՝ 12345mail-ը հարմար է փոստի համար, 12345shop-ը՝ գնումների համար, իսկ 12345socialnet-ը՝ սոցիալական ցանցերի համար:
2. Շորթում և շանտաժ
Հարձակվողները միտումնավոր կոտրում են սոցիալական մեդիայի էջերը՝ գաղտնի տվյալներ ստանալու համար, այնուհետև շանտաժի ենթարկում զոհին և գումար շորթում։ Օրինակ, երբ խոսքը վերաբերում է զուգընկերոջն ուղարկված ինտիմ լուսանկարներին:
Նկարներում ոչ մի հանցավոր բան չկա. Հարձակվողները շանտաժի են ենթարկում օգտատիրոջը՝ ուղարկելով ստացված նկարները հարազատներին ու ընկերներին։ Հաղորդակցության ընթացքում օգտագործվում են հոգեբանական ճնշում և մեղքի զգացում ստեղծելու փորձեր՝ զոհի կողմից գումար ուղարկելու ակնկալիքով։
Նույնիսկ եթե տուժողն ուղարկի գումարը, երաշխիք չկա, որ հանցագործները չեն որոշի կրկին «փրկագին տալ» լուսանկարները կամ պարզապես նկարներ տեղադրել զվարճանալու համար:
Ինչպես պաշտպանվել ձեզ
Օգտագործեք ծառայություններ, որոնք թույլ են տալիս ինքնաոչնչացող կամ կոդավորված հաղորդագրություններ ուղարկել Telegram-ին կամ Snapchat-ին: Կամ համաձայնեք ձեր զուգընկերոջ հետ՝ նկարները չպահել, այլ դրանք դիտելուց անմիջապես հետո ջնջել։
Պետք չէ ուրիշների սարքերից փոստ և սոցիալական ցանցեր գնալ: Եթե մոռանաք թողնել դրանք, ապա վտանգ կա, որ ձեր նամակագրությունը սխալ ձեռքերում կլինի:
Նրանց, ովքեր սիրում են պահպանել գաղտնի տվյալները, խորհուրդ է տրվում գաղտնագրել թղթապանակները հատուկ ծրագրաշարի միջոցով, օրինակ՝ օգտագործելով գաղտնագրման տեխնոլոգիաՖայլային համակարգ (EFS).
3. Մրցանակներ, ժառանգություններ և անվճար իրեր
Խաբեբաներն առաջարկում են թանկարժեք ապրանք ստանալ անվճար, պայմանով, որ դուք վճարում եք առաքման համար ձեր հասցեով կամ ապահովագրություն առաքման համար: Դուք կարող եք հանդիպել նմանատիպ առաջարկի, օրինակ, ձեր քաղաքի «Անվճար» խմբում: Որպես պատճառ կարող են նշել հրատապ քայլը կամ նույնը նվեր ստանալը։ Շատ հաճախ որպես «խայծ» օգտագործվում են թանկարժեք իրերը՝ iPhone, iPad, Xbox և այլն: Առաքման ծախսերը վճարելու համար խաբեբաները խնդրում են գումար, որից օգտատերը հարմար է բաժանվել՝ մինչև 10,000 ռուբլի:
Խաբեբաները կարող են ոչ միայն անվճար ապրանքներ առաջարկել, այլև զգալիորեն ցածր գնով ապրանքներ, օրինակ՝ iPhone X-ը՝ 5000 ռուբլով: Այսպիսով, նրանք ցանկանում են գողանալ գումար կամ քարտի տվյալները՝ օգտագործելով կեղծ վճարման դարպասի ձևը: Խարդախները քողարկում են քարտի վճարման էջը որպես հայտնի վճարային դարպասի էջ:
Հարձակվողները կարող են ձևանալ որպես բանկի կամ նոտարական գործակալության աշխատակիցներ՝ խնդրելով օգնություն՝ հաշվից կամ ժառանգաբար ստացված գումարները կանխիկացնելու համար: Դա անելու համար նրանց կառաջարկվի փոքր գումար փոխանցել ընթացիկ հաշիվ ստեղծելու համար:
Նաև, մրցանակը ստանալու համար կարելի է ուղարկել ֆիշինգ կայք տանող հղում:
Ինչպես պաշտպանվել ձեզ
Մի հավատացեք անվճար պանիրին. Պարզապես անտեսեք նման հարցումները կամ բողոքեք՝ օգտագործելով սոցիալական մեդիայի ներկառուցված գործիքները: Դա անելու համար անցեք հաշվի էջ, սեղմեք «Բողոքեք օգտատիրոջ մասին» կոճակը և գրեք բողոքարկման պատճառը։ Մոդերատորի ծառայությունսոցիալական ցանցը կվերանայի տեղեկատվությունը։
Մի սեղմեք անծանոթ հղումների վրա, հատկապես, եթե դրանք ստեղծված են goo.gl, bit.ly և հղումների կրճատման այլ ծառայությունների միջոցով: Այնուամենայնիվ, դուք կարող եք վերծանել հղումը՝ օգտագործելով UnTinyURL ծառայությունը:
Ենթադրենք, դուք սոցիալական ցանցում հաղորդագրություն եք ստացել հեռախոսի կամ պլանշետի շահավետ վաճառքի մասին։ Մի հավատացեք բախտին և անմիջապես վճարեք գնման համար: Եթե դուք հայտնվել եք վճարման դարպասի ձևով էջի վրա, ուշադիր ստուգեք, որ տիրույթը ճիշտ է և նշված է PCI DSS ստանդարտը: Վճարման ձևի ճիշտությունը կարող եք ստուգել վճարման դարպասի տեխնիկական սպասարկումից: Դա անելու համար պարզապես կապվեք նրան էլ. փոստով: Օրինակ՝ PayOnline-ի և Fondy-ի վճարային պրովայդերների կայքերում նշված են հաճախորդների աջակցության ծառայությունների էլեկտրոնային հասցեները:
4. «Նետիր հարյուրը»
Խաբեբաներն օգտագործում են կոտրված էջը՝ խնդրելով զոհի ծանոթներին և ընկերներին գումար փոխանցել հաշվին։ Այժմ ուղարկվում են ոչ միայն փոխանցումների հարցումներ, այլ նաև բանկային քարտերի լուսանկարներ, որոնց վրա գրաֆիկական խմբագրիչի միջոցով կիրառվում են կոտրված հաշվի տիրոջ անունն ու ազգանունը։
Որպես կանոն, հարձակվողները խնդրում են շտապ գումար փոխանցել, քանի որ վախենում են կորցնել վերահսկողությունը հաշվի վրա։ Հաճախ հարցումները պարունակում են հոգեբանական ճնշման տարրեր և անընդհատ հիշեցում, որ ամեն ինչ պետք է շտապ անել: Խարդախները կարող են նախապես ուսումնասիրել հաղորդակցության պատմությունը և նույնիսկ օգտագործել հասցեներ, որոնք հայտնի են միայն ձեզ անունով կամ մականունով:
Ինչպես պաշտպանվել ձեզ
Զանգահարեք ընկերոջը և ուղղակիորեն հարցրեք՝ արդյոք նրանց փող է պետք: Այսպիսով, դուք համոզվեքխնդրանքի իսկությունը և կարող եք անմիջապես զգուշացնել էջը կոտրելու մասին։
Եթե լավ գիտեք նրան, ում հաշիվը կոտրել են, ուշադրություն դարձրեք խոսքի ձևին։ Հարձակվողը, ամենայն հավանականությամբ, չի հասցնի ամբողջությամբ կրկնօրինակել իր հաղորդակցման ոճը և կօգտագործի իր համար անսովոր խոսքի թվեր։
Ուշադրություն դարձրեք բանկային քարտի լուսանկարին. Դուք կարող եք հաշվարկել կեղծը գրաֆիկական խմբագրիչում անորակ մշակման միջոցով. տառերը «կթռնեն», սկզբնատառերը չեն լինի նույն տողում քարտի վավերականության ամսաթվի հետ, և երբեմն դրանք նույնիսկ կհամընկնեն քարտի վավերականության հետ:
Գոյատևեք սոցիալական լրատվամիջոցները
2014 թվականի դեկտեմբերից մինչև 2016 թվականի դեկտեմբերը սոցիալական ճարտարագիտություն օգտագործող օգտատերերի վրա հարձակումների թիվն աճել է 11 անգամ։ Հարձակումների 37,6%-ն ուղղված է եղել անձնական տվյալների, ներառյալ բանկային քարտի տվյալների գողությանը։
Համաձայն ZeroFOX-ի հետազոտության՝ Facebook-ին բաժին է ընկել հարձակումների 41,2%-ը, Google+-ը՝ 21,6%-ը, իսկ Twitter-ը՝ 19,7%-ը։ VKontakte սոցիալական ցանցը չի ներառվել հետազոտության մեջ։
Փորձագետները բացահայտել են սոցիալական մեդիայի խարդախության 7 հայտնի մարտավարություն.
- Կեղծ էջի հաստատում։ Սոցցանցի անունից խարդախներն առաջարկում են ստանալ «ստուգված» էջի բաղձալի նշանը։ Զոհերին ուղարկվում է տվյալների գողության համար հատուկ պատրաստված էջի հասցեն:
- Կեղծ հղումի տարածում թիրախային գովազդի միջոցով: Հարձակվողները գովազդ են ստեղծում՝ օգտատերերին ցածր գներով էջեր գրավելու և կեղծ ապրանքներ վաճառելու համար:
- Հանրահայտ ապրանքանիշի հաճախորդների սպասարկման իմիտացիա. Հարձակվողները քողարկվում են որպես խոշոր ապրանքանիշերի տեխնիկական աջակցության ծառայություններ և իրենց հաճախորդներից ստանում գաղտնի տեղեկատվություն:
- Օգտագործելով հին հաշիվներ: Հարձակվողները կարող են օգտագործել հին հաշիվները՝ փոխելով դրանց կարգավորումները՝ շրջանցելու սոցիալական մեդիայի կառավարումը:
- Օնլայն խանութների և ապրանքանիշերի կեղծ էջեր. Հարձակվողները կեղծում են առցանց խանութների համայնքային էջերը և օգտատերերին տանում են ֆիշինգի էջեր՝ թույլտվության, մուտքի տվյալները գողանալու կամ կեղծ ապրանքներ վաճառելու համար:
- Կեղծ ակցիաներ: Ակցիային մասնակցելու համար հարձակվողները կարող են խնդրել էլփոստ կամ լուսանկար, իբր մասնակցության համար, որոնք հետագայում կարող են օգտագործվել անօրինական գործողություններում:
- Ֆինանսական խարդախություն. Հարձակվողներն առաջարկում են ուռճացված եկամուտ կարճ ժամանակահատվածում՝ պարզապես դյուրահավատ օգտատերերից գումար գողանալով:
- HR ընկերությունների կեղծ էջեր. Որոշ խաբեբաներ ընդօրինակում են խոշոր ընկերությունների պաշտոնական ոճը և պահանջում են վարձատրություն՝ աշխատանքի դիմումը քննարկելու համար։
Սոցիալական ճարտարագիտությունից պաշտպանվելու միայն մեկ միջոց կա՝ գիտելիքը: Ուստի պետք է լավ սովորել համակարգչային անվտանգության կանոնները և չհավատալ չափազանց առատաձեռն առաջարկներին։