Однажды друг прислал мне ссылку на стендап-шоу в моём городе и предложил сходить туда вечером. Идея мне понравилась, поэтому я перешёл по ссылке и уже хотел оформлять билеты, как задумался: город у меня маленький, почему в него хотят приехать Нурлан Сабуров и Алексей Щербаков? В общем, оказалось, что друг попался на фишинговую ссылку и чуть не потянул меня за собой. А так бы плакали мои деньги.
Кроме фишинга в интернете много и других видов обмана: вредоносное ПО, криптоджекинг или хакерские атаки. В статье расскажу о самых популярных методах развода и о том, как на такой развод не попасться.
Фишинг — популярный метод, с помощью которого хакеры пытаются украсть личную информацию жертвы. Способ так называют, потому что он образовался от английского fishing — т.е. рыбная ловля. Фактически хакеры пытаются заманить пользователя на крючок разными способами. И два самых распространённых из них — подделка URL-адресов и рассылка мошеннических писем.
Обычно хакеры создают копию какого-то сайта. Например, криптовалютной биржи, сервиса продажи билетов или интернет-банкинга. А в URL-адресе фальшивки меняют какую-нибудь букву или сокращают ссылку через специальные сервисы. В итоге человек не замечает ошибку в адресе или переходит по короткой ссылке якобы на настоящий сайт. А там делает любое действие: привязывает кошелек, оплачивает покупку или вводит данные от интернет-банкинга. В любом случае, заканчивается всё примерно одинаково — потерей денег.
Второй распространенный способ фишинга — рассылка email-писем с просьбой ответить на какой-то личный вопрос, скачать файл или перейти по какой-то ссылке.
Работает метод так: мошенник подделывает адрес почты и копирует дизайн писем-оригинала. А в самом письме просит раскрыть конфиденциальную информацию вроде пароля от аккаунта или данные карты. Из-за того, что письмо похоже на настоящее, пользователь попадается на удочку и делится секретной информацией.
Так по отчётам Symantec Internet Security Threat Report (ISTR) за 2018 год, примерно 0,5% всего URL-трафика является фишинговым, а 5,8% этого трафика — вредоносным.
У фишинга есть несколько разновидностей:
Spear-phishing — атаки, направленные на определённых людей, например, системных администраторов.
Whaling — атаки, направленные на руководителей высшего звена.
Vishing — атака через голосовую почту. Пример такого обмана — звонки от представителей банков, которые сообщают о транзакциях по счёту на крупную сумму.
Не доверяйте незнакомцам. Если вам пишет или звонит незнакомец, расспросите, кто он такой и почему вам звонит. Если он представляется банковским работником, спрашивайте, откуда у него ваш номер, почему представители банка звонят сами и т.д. Если из-за таких вопросов собеседник начинает злиться, материться или угрожать вам — кладите трубку.
А если вы переживаете, что зря поссорились с сотрудником банка — позвоните в компанию самостоятельно и выясните, что случилось. Главное, не ошибитесь с номером телефона, берите его только с официальных сайтов, а не из поиска.
Защитите ПК и учётные записи. По-другому это можно назвать соблюдением базовых правил поведения в интернете:
Не распространяйте информацию о себе в интернете. Не публикуйте фото паспортов. Не заполняйте в соцсетях данные о себе, по которым можно лучше изучить вашу личность. Например, место учёбы и работы, адрес жительства или номер телефона.
Автор проекта «Блог системного администратора»
Вот несколько правил, которые помогут понять, опасна ссылка или нет. Перво-наперво убеждаемся в безопасности ссылки — проверяем её доменное имя и содержание. Не переходим, если содержание не соответствует ожидаемому. Не знаем отправителя — не открываем линки, которые присылают в «личку».
Бывает, что злоумышленники подменивают гиперссылки. Выглядит это так: мы видим один домен, а по факту в текст зашита ссылка, ведущая на совершенно другой сайт. Чтобы определить подлинность ссылки, просто наведите на неё курсор мыши — так вы увидите реальную ссылку перехода.
Хакеры распространяют вредоносное ПО через почту или мессенджеры. Обычно в письмо они добавляют сопроводительный текст, в котором сообщают о крупном выигрыше, внезапном наследстве или о чём-то ещё, что побудит человека скачать и открыть файл из письма или кликнуть на ссылку. А во вложенном файле может быть вирус. Даже если файл кажется безопасным, не выглядит как какой-то непонятный .rar архив, в нём всё равно может быть вирус.
Когда пользователь откроет файл, могут запуститься вредоносные скрипты, и на устройство клиента установится вредоносное ПО с сайта злоумышленника. Программа запустится на ПК, просканирует сеть и локальное хранилище в поисках файлов и украдёт, скомпрометирует или зашифрует разные файлы.
Вредоносного ПО много: трояны, черви, программы-вымогатели и различные шпионы. Кратко о каждом.
Черви — ПО, которое может самостоятельно распространяться между компьютерами и так заражать огромное количество пользователей. Иногда в таком ПО есть специальный код, который позволяет им воровать данные с компьютеров, удалять файлы или создавать новые.
Пример такой атаки — червь ILOVEYOU, который маскировался под любовное письмо и распространялся по email. В письмо был встроен скрипт — несколько строк кода, которые запускались после открытия содержимого письма. В итоге, когда человек открывал вложение письма — запускался скрипт и воровал платёжные данные жертвы. А затем автоматически рассылался по контактам жертвы через электронную почту.
Вирус заразил более 45 млн человек и причинил ущерба более чем на $15 млрд.
Трояны — программы, которые получают доступ к ПК пользователя после их установки. После установки троян сканирует весь компьютер и скачивает с него различные пароли, данные от аккаунтов и т.д.
Пример такого развода — мошеннические письма в декабре 2021 года, когда хакеры рассылали людям оповещения о том, что их уволили с работы или, наоборот, выплатили новогодний бонус. Также в письмо вкладывали Excel-файл с вирусом Dridex, который ворует банковские данные с компьютера.
Сколько денег удалось украсть хакерам, неизвестно. Но общий ущерб, который принёс вирус за время своего существования, оценивают в $31 млн.
Программы-вымогатели — вирус, который блокирует доступ к компьютеру или шифрует определённые данные до тех пор, пока жертва не переведёт выкуп хакерам.
За год случается несколько сотен миллионов таких атак, сообщается в анализе от Statista.
Обычно программы-вымогатели распространяют через email-письма. Делают это так же, как с червями и троянами. Но также «вымогателей» могут рассылать через соцсети и мессенджеры. Просто в таком случае вероятность того, что человек откроет их через ПК, намного ниже. А иногда хакерам даже не приходится распространять программу — они просто вставляют её в torrent-файл и под видом какого-то полезного софта продвигают вирус.
Как только пользователь открывает такой файл, вымогатель сразу устанавливается на компьютер. При этом бывает два вида «вымогателей»: программы с требованием выкупа и программы-шифровальщики.
С требованием выкупа. Вирус блокирует основные функции компьютера. Например, частично отключает мышь и клавиатуру или ограничивает доступ к рабочему столу. И такое состояние сохранится до тех пор, пока человек не переведёт деньги на счёт хакеров.
Часто такие вымогатели не опасны с т.з. данных: они не крадут информацию с ПК, а просто ждут, когда пользователь заплатит выкуп.
Шифровальщики. Задача таких программ — зашифровать важные данные, но при этом не мешать работе компьютера. Например, они просто закрывают доступ к каким-то файлам или фотографиям и играют на страхе жертвы: человек видит файлы, но не может ничего с ними сделать.
Когда программа шифрует файлы, на экране пользователя появляется всплывающее окно с требованием выкупа. Чтобы сыграть на страхе, мошенники пишут что-то вроде «отправьте деньги в течение часа, или мы удалим все данные». В итоге человек пугается и переводит деньги, чтобы не потерять файлы. Правда, гарантий, что после перевода денег хакер уберёт вредоносную программу, нет. Поэтому риск, что файлы останутся зашифрованными навсегда, остаётся.
В 2017 году группа хакеров Shadow Brokers распространяла программу-вымогатель WannaCry в более чем 150 странах. Когда файл устанавливался на ПК, он использовал уязвимость операционной системы и блокировал компьютер пользователя. Взамен на разблокировку у жертв требовали выкуп в биткоинах. За всё время действия вируса пострадали около 230 000 компьютеров по всему миру, а хакерам удалось украсть около $4 млрд.
Я читал несколько статей на Хабре, Securitylab и других тематических площадках, а также просмотрел несколько книг по теме. Вот как специалисты рекомендуют защищаться от вредоносного ПО: обновлять программы до последней версии, пользоваться антивирусом, проверять источники ссылок, делать резервные копии нужных файлов.
Обновляйте ПО до последней версии. В новых версиях производители ПО учитывают недочёты и прошлые проблемы с безопасностью: дорабатывают их и выпускают ПО, в которых уязвимостей меньше или они отсутствуют.
Пользуйтесь антивирусом. Он отреагирует, если вы попытаетесь запустить вредоносное ПО или перейти по небезопасной ссылке. А лучше — вовсе не загружайте сомнительные файлы из email-писем или с неизвестных сайтов. Не переходите по ссылкам, которые присылают незнакомцы. Некоторые вирусы могут не восприниматься антивирусами как вредоносные, пока их не запустят. А когда антивирус их распознает — будет поздно.
Проверяйте источники ссылок. Для этого пользуйтесь специальными сервисами вроде AVG Threatlabs или Kaspersky VirusDesk.
А чтобы не бояться ссылок, запомните две вещи:
Делайте периодическое резервное копирование системы и всех важных файлов. Файлы можно загружать в Google или Яндекс облако самостоятельно, а можно настроить автоматическое резервное копирование с помощью сервисов Redo Backup and Recovery, EASEUS Todo Backup Free или Cobian Backup.
Другой вариант — отправлять важные файлы на флешку или внешний жёсткий диск. Но здесь больше рисков: внешний носитель может сломаться и на него тоже могут попасть вирусы. Из-за этого может пострадать вся информация, которая на нём хранится.
Автор проекта «Блог системного администратора»
5-7 лет назад появилась волна вирусов-шифровальщиков. Они рассылались по почте, в основном по email-адресам организаций (т.к. физлицо платить не станет, в большинстве случаев). Схема была максимально простой: письмо отправлялось на общую почту организации или напрямую в бухгалтерию, а в нём содержались грамотные заголовок и описание задолженности. А так как бухгалтерам приходят подобные письма постоянно, то они попросту не соблюдали меры предосторожности и открывали файлы-вложения, содержащие в себе вредоносное ПО.
В результате вирус в фоновом режиме шифровал все файлы на компьютере и FTP-сервере, до которых удавалось дотянуться. А потом появлялось предупреждение о том, что нужно перевести определённую сумму в крипте на указанный адрес, иначе файлы восстановить не получится. И реально, на тот момент ни Касперский, ни Dr.Web в 99% случаев не могли расшифровать данные.
Поэтому мне приходилось неоднократно связываться со злоумышленниками, чтобы выяснить условий получения дешифраторов. Были клиенты, у которых шифровались 1С базы за несколько лет, и их потеря была сродни потере бизнеса. Там я старался сбить цену и всячески перестраховаться от потери финансов без получения дешифратора. Например, пытался получить определённые расшифрованные файлы в качестве доказательства.
Естественно, клиент был предупреждён обо всех рисках и понимал, на что идёт. Но другого выбора не оставалось, потому что предварительно были опробованы все способы дешифрации, в том числе обращения к разработчикам антивирусного ПО (они, кстати, помогали в 1% случаев).
Криптоджекинг — вид мошенничества, когда хакеры получают доступ к мощностям чужого ПК и майнят на нём криптовалюту. По-другому это называют скрытым майнингом.
За первые 6 месяцев 2022 года мировые объёмы криптоджекинга выросли на $66,7 млн или на 30% по сравнению с первым и вторым кварталом 2021 года — рассказывает американская компания SonicWall, специализирующаяся на кибербезопасности.
Обычно компьютер заражают через сайт с встроенным вредоносным JavaScript-кодом. Это выглядит так: пользователь заходит на вредоносный сайт, JavaScript-код запускает скрипт, который начинает использовать компьютер для добычи цифровых монет.
Когда майнер начинает работать, пользователи об этом даже не знает. Ведь он не вредит файлам системе, а просто использует мощности компьютера. Но есть два признака, которые могут выдать майнер — замедление работы ПК и сильный нагрев устройства из-за высокой нагрузки.
Здесь правила такие же, как и для защиты от вредоносного ПО:
А также не посещайте сайты без HTTPS/SSL-шифрования — их проще взломать и встроить в их код вредоносный скрипт.
Автор проекта «Блог системного администратора»
Не посещайте сомнительные сайты и не ставьте браузерные расширения, о которых вам достоверно неизвестно. Используйте браузер с опцией блокировки криптоджекинга: Chrome, Firefox, Opera, Edge и Brave.
Если вы недостаточно уверены в том, какие сайты посещаете и какие файлы открываете, установите антивирус. Полной защиты он не предоставит, но сможет отсечь большую часть зловредов. Также стоит использовать блокировщики рекламы в браузере, потому что скрипты криптоджекинга часто доставляются через онлайн-рекламу.
Кроме того, нужно научиться следить за производительностью своего компьютера. Так вы заметите, что при запуске определённых программ или посещении сайтов ПК начинает работать медленнее или сильно гудеть. Скорее всего, в этот момент запускается криптомайнер.
Чтобы удостовериться в этом, можно посмотреть нагрузку на процессор и видеокарту через диспетчер задач. Зайти в него можно через «Пуск»: кликнуть на его иконку правой кнопкой мыши и выбрать строку «Диспетчер задач». Другой вариант — нажать сочетание клавиш «Ctrl + Shift + Esc». Разберёмся на примере, как анализировать загрузку.
В диспетчере задач нужно смотреть на вкладку «Процессы» и отслеживать, какие приложения сильнее остальных нагружают ПК в процентах. Обратите внимание на цифры в скобках рядом с Google Chrome — это количество открытых вкладок. Если развернёте это описание, узнаете, какая из них потребляет больше ресурсов ПК.
Кроме процессора майнеры могут нагружать видеокарту (GPU). Чтобы посмотреть на загрузку видеокарты, в диспетчере задач на вкладке «Процессы» щёлкните правой кнопкой мыши по заголовку любого столбца и включите параметр «GPU».
В macOS есть аналог диспетчера задач — приложение «Мониторинг системы». Его можно найти так: Finder → Программы → Утилиты. Другой вариант— открыть мониторинг через поиск Spotlight. Для этого нажмите на иконку поиска в строке меню справа и напишите «Мониторинг системы».
Ещё один способ защиты от майнеров — постоянно обновлять ПО, чтобы в них было меньше уязвимостей, через которые могут устанавливаться майнеры.
А ещё можно установить блокировщик рекламы по типу AdBlock или MinerBlock, потому что криптомайнеры часто распространяются через рекламные объявления.
Например, в 2018 году хакеры распространяли скрытые майнеры через рекламу в YouTube. Когда пользователь переходил по рекламе из видео, запускался скрипт и начинал майнить криптовалюту.
Автор проекта «Блог системного администратора»
Обнаружение криптомайнера — это не всегда простая задача. Основные признаки: перегрев ПК и сильное снижение производительности.
Если скрытый майнер проник на компьютер, проверьте список процессов в диспетчере задач. Найдите подозрительные процессы и закройте их вручную. Но бывает такое, что майнер приостанавливает работу в момент запуска диспетчера задач, поэтому придётся использовать антивирус.
Нужно запустить полное сканирование антивирусом, но, вероятно, если антивирус допустил запуск майнера, он его не обнаружит и при полной проверке. Поэтому используйте свежие версии Kaspersky Virus Removal Tool и Dr.Web CureIt!. Они не требуют установки и могут работать параллельно с вашим антивирусом.
Атака «человек посередине» (Man-in-the-Middle) — вид хакерской атаки, в которой мошенник внедряется в соединение между сервером и пользователем. Фактически он становится посредником между человеком и сайтом. Из-за этого он может украсть какие-то данные, которые передаются от человека к ресурсу.
Таким способом в 2019 году у израильского стартапа украли $1 млн. Всё было так: хакеры воровали email-письма из переписки израильского стартапа и китайского венчурного фонда, редактировали их и пересылали получателю с поддельного адреса. И ни стартап, ни венчурный фонд не понимали, что на самом деле общаются с хакерами. Итог — венчурный фонд перевёл на счёт мошенников $1 млн, думая, что отправляет их в стартап.
Но необязательно быть стартапом или венчурным фондом, чтобы попасться на такой обман. Хакер может встроиться в соединение между сайтом интернет-банкинга и пользователя — увидеть данные банковской карты или пароль от аккаунта.
Не подключайтесь к общедоступным Wi-Fi сетям. Они не защищены паролем и их легко взломать. А значит — через них хакеры могут перехватить конфиденциальную информацию, которую вы передаёте серверам сайтов.
Используйте разные пароли. Это поможет в том случае, если на вас провели MITM-атаку. Дело в том, что если хакер и узнает ваш пароль от какого-то аккаунта, то получит доступ только к одной учётной записи. А если использовать везде одинаковый пароль, то после взлома мошенник сможет зайти в любой аккаунт.
Подключайтесь к сайтам только с HTTPS/SSL-шифрованием. Эти протоколы шифруют канал между пользователем и сервером. Поэтому хакеры не смогут войти в ваш канал и перехватить информацию.
Чтобы не попасть на опасный сайт, используйте антивирусы. Они блокируют переход на сайт, который работает на HTTP-протоколе. Другой вариант — используйте браузер, который не позволяет заходить на HTTP-ресурсы без согласия пользователя. Например, Google Chrome или Mozilla Firefox.
Читайте только в Конверте
Внутри конструктора Unisender — ИИ-ассистент. Поможет составить тему, проверить ошибки в тексте, нарисовать картинку. И даст рекомендации как маркетолог или психолог.
Искренние письма о работе и жизни, эксклюзивные кейсы и интервью с экспертами диджитала.
Проверяйте почту — письмо придет в течение 5 минут (обычно мгновенно)
