Эксперт по кибербезопасности Ульянов рассказал, как защитить себя от «спуфинга»
Единственный надежный и доступный способ защититься от «спуфинга» – проявлять осторожность в Интернете и перепроверять любую информацию, связанную с прямыми денежными переводами, вводом платежной информации или переходом по неизвестным ссылкам. Об этом Общественной службе новостей сообщил руководитель ...итического центра компании Zecurion, эксперт по кибербезопасности Владимир Ульянов.
Ранее официальный канал МВД в Telegram предупредил россиян о так называемом «спуфинге» – кибератаках, при которых злоумышленники выдают себя за других людей или представителей какой-то компании с целью завоевать доверие жертвы.Новости СМИ2 Единой, конкретной схемы «спуфинга» нет – это общий термин, который объединяет под собой как новые, так и давно известные инструменты мошенников по обману людей. «Спуфингом» является, например, маскировка своего номера под номер государственных органов или другого человека, создание фальшивых сайтов, имитирующих уже существующие, или рассылка вредоносных файлов.
Спуфинг эволюционирует
Как отмечает Владимир Ульянов, у «спуфинга» есть множество вариаций. Все они так или иначе завязаны на подмене, например, подмене личности, номера телефона, сайта, сообщений в мессенджерах и так далее, и нацелены на монетизацию, то есть кражу денег у жертвы. Собственно, с английского слово spoofing так и переводится – подмена.
«Создание дипфейков в последнее время относительно упростилось и удешевилось».
Набор спуфинговых схем, которыми пользуются мошенники, со временем меняются – одни теряют эффективность и заменяются на более продвинутые, а другие обрастают дополнительными средствами, усиливающими их воздействие, указал эксперт. Так, звонки с подложных номеров в последнее время стали поступать россиянам гораздо реже благодаря работе операторов. Из-за трудности и дороговизны такой схемы, злоумышленники начали от нее отказываться, отметил он.
«Более актуальный тренд, касающийся спуфинга – это, например, дипфейки, которые тоже могут использоваться для обмана и для того, чтобы втереться в доверие. Дипфейки, которые сейчас появляются, действительно несут большую угрозу. К примеру, злоумышленники, используя дипфейк, могут от лица человека призвать вложиться в какую-нибудь криптовалюту, обещая большой доход. И какие-то его знакомые или подписчики на это согласятся, хотя оснований доверять таким призывам, на самом деле, не так много, потому что создание дипфейков в последнее время относительно упростилось и удешевилось. Использовать их для реальных атак все проще и проще. Это то, что действительно входит в нашу жизнь», — говорит ...итик.
При этом мошенники в рамках «спуфинга» могут использовать и дополнительные инструменты. Например, методы социальной инженерии, с помощью которых злоумышленники оказывают психологическое давление на жертву и провоцируют на неразумные действия. Другой вариант – использование технологий искусственного интеллекта для поддержания контакта с жертвой.
Сохраняют актуальность и, так сказать, классические спуфинговые схемы. Например, фишинговые сайты, которые почти полностью повторяют оформление известного жертве онлайн-магазина или страницы госоргана. Цель такой схемы – добиться того, чтобы жертва ввела свои персональные данные в соответствующие поля, после чего информация попадет в руки злоумышленников.
Причем, заметил Ульянов, такие сайты могут даже не содержать вредоносного кода или заметных признаков фальсификации, из-за чего распознать их практически невозможно, тем более для рядового пользователя. Ссылки на фишинговые сайты могут распространяться практически по любым каналам: открытым и закрытым группам в соцсетях, через личные сообщения, публичные посты и так далее.
«Такое до сих пор работает в мессенджерах».
Все эти старые средства и технологические новшества мошенники могут комбинировать для более эффективного «спуфинга», отметил эксперт.
«Приходят сообщения от какого-то собеседника – это может быть друг, брат, сосед, кто-то, кому доверяем. Нет оснований подозревать подвоха. Стиль общения, судя по тем случаям, которые расследовались, очень точно повторяет стиль общения человека, вплоть до расстановки знаков препинания, типичных орфографических ошибок и других деталей. Злоумышленники очень точно это копируют, — говорит собеседник издания. — Могут просто попросить денег под предлогом помощи. Казалось бы, сценарий уже заезженный, но, тем не менее, такое до сих пор работает в мессенджерах. Могут зайти чуть похитрее, например, попросить перейти по ссылочке и проголосовать за племянника, который участвует в каком-нибудь школьном конкурсе, либо поучаствовать в розыгрыше. Людям вроде как не сложно. Казалось бы, чего там – просто перейти по ссылке, зарегистрироваться или поставить галочку. Но эти ссылки как раз могут вести на потенциально опасные ресурсы».
Фильтр от «спуфинга»
Учитывая высокий уровень развития технологий, легкодоступность дипфейков и искусственного интеллекта, и прочие риски, сопряженные с подменой всего и вся, защититься от «спуфинга» можно только соблюдением базовых правил информационной безопасности и кибер-гигиены, говорит Ульянов.
«В рамках высокотехнологичного общества, в котором мы сейчас живём, мы не можем полностью доверять собеседнику, только если мы буквально не находимся в одной комнате в момент общения. А большинство схем мошеннических как раз построено на удалённых коммуникациях. Ни текстовый, ни даже голосовой трафик, которым мы обмениваемся в социальных сетях и мессенджерах, ни сообщения по электронной почте нельзя на 100% считать надежными. К сожалению, это нужно принять, — подчеркнул эксперт по кибербезопасности. — Соответственно, нужно оставаться бдительными, проверять источники информации и ссылки, которые от них приходят, использовать дополнительные методы проверки. Например, если знакомый человек пишет с подозрительной просьбой – связаться с ним по телефону вне мессенджера, а еще лучше, конечно, встретиться лично и подтвердить информацию».
Уровень доверия к рассылкам на почте или публичным сообщениям в чатах и группах в соцсетях вовсе должен быть минимальным, продолжает ...итик. Любого пользователя могут взломать мошенники, поэтому переходить по неизвестным ссылкам – и тем более, если их отправитель также неизвестен – ни в коем случае нельзя.
Даже продвинутый пользователь не всегда сможет отличить фишинговый сайт от настоящего, поэтому единственный надежный способ не стать жертвой «спуфинга» – попросту не переходить по ссылкам, не верить информации и не выполнять просьбы, если пользователь не доверяет их источнику на 100%, и лично не убедился в их достоверности и надежности, резюмировал собеседник издания.
Ранее в разговоре с ОСН эксперт по кибербезопасности Владимир Ульянов рассказал, как распознать мошеннический QR-код.
Эксперт Климов: биометрическая защита станет инвестицией в безопасность 
Ковальчук: Академик Велихов умер в Москве, а не в турецком Мерсине 
Что это было: ребрендинг Jaguar, сбор за рекламу в интернете и новая модель управления cookie от Google 
Нарколог Исаев призвал провести экспертизу безопасности аромаингаляторов 
МВД: поврежденные документы Word используются для обмана россиян в сети 
РНК может ограничить работу иностранных хостинг-провайдеров в России 
Эксперты назвали 9 причин не отключать бытовые приборы от сети 
