“З моєї банківської карти зникли 40 тисяч гривень”, “Банк попросив мене підтвердити авторизацію і я позбувся грошей”. Щодня в Україні довірливі люди втрачають гроші зі своїх банківських рахунків через шахраїв. Навіть якщо ви ніколи не потрапляли в такі пастки, і впевнені, що вас це не стосується, – будьте уважні: шахраї щоразу удосконалюють свої методи.
Як розпізнати подібні атаки – читайте у спільному спецпроєкті з цифрової грамотності Репортера та гарячої лінії цифрової безпеки Nadiyno – “Спитай у Nadiyno”. Ми розказуємо про щоденні ризики в цифровому просторі та пояснюємо, як захистити себе.
Також пропонуємо вже зараз звертатися на https://nadiyno.org з вашими індивідуальними запитами. Ви отримаєте швидку та безплатну консультацію від операторів гарячої лінії щодо будь-якого запиту на тему банківських карток, паролів, смартфонів, месенджерів.
Як працює шахрайство через SMS
Окрім фішингу через електронні листи, про який ми розказували минулого разу, шахраї часто використовують SMS, аби заволодіти конфіденційною інформацією.
SMS-спуфінг – це вид кібератаки, коли зловмисник надсилає людині повідомлення від імені когось, кому вона довіряє. Це може бути від імені відомого бренду чи вашого родича. Основна мета – аби ви зреагували й виконали дію, про яку вас просять. Після цього шахраї отримують доступ до смартфона чи банківського рахунку.
Іноді цілі є іншими. SMS-фішинг передбачає розсилку дезінформації чи різних деморалізуючих закликів. Перейшовши за посиланням з такого повідомлення, людина може передати персональні дані невідомим особам або завантажити на свій смартфон шкідливий застосунок.
Ось перелік поширених способів використання SMS-фішингу шахраями:
- відправка фішингового посилання для «відновлення акаунта» нібито від соціальної мережі;
- запит на інформацію, дані для доступу нібито від фінансової, або іншої установи чи сервісу та номер телефону «служби підтримки»;
- посилання на додаток нібито, наприклад, мережі супермаркетів, який виявиться вірусом;
- вітання з перемогою у лотереї, в якій ви не брали участь, та посилання на ваш «подарунок».
Шахраї намагаються приглушити пильність людини і змушують її діяти якомога швидше, аби вона не витрачала час на обдумування можливих наслідків. Зазвичай зловмисники намагаються спіймати на гачок людину завдяки повідомленням про злам банківського акаунта, зміну пароля в соціальній мережі або використовують «гарячі пропозиції», які обмежені в часі.
Читайте також: Cпитай у Nadiyno. Як захиститися від шахрайського фішингу
Для того, аби втертися в довіру, шахраї використовують альфа-імена, схожі на назви справжніх компаній та брендів. Це може бути банк, мобільний оператор, мережа супермаркетів тощо. Тому на телефон людини може прийти SMS нібито від Facebook про те, що вона, наприклад, змінила пароль, і для скасування цієї дії треба перейти по посиланню.
Такі повідомлення важко відрізнити від справжніх, тому що ім’я відправника дійсно буде максимально схоже на оригінальне – може відрізнятися лише одна літера, або замість пробілу використовуватиметься підкреслення, використане скорочення тощо
Використання альфа-імені фактично дозволяє відправнику залишитися анонімним – такі повідомлення важко відстежити і це займає багато ресурсів, на них також не можна відповісти. Тому важливо розуміти та відрізняти справжні повідомлення від фішингових.
Як захистити себе від SMS-фішингу:
Захиститися доволі просто:
-
перевіряйте відправника SMS
Шахраї здатні надсилати SMS від імені вашого мобільного оператора. Зазвичай повідомлення від одного відправника зберігаються в одному чаті. Якщо раптом SMS від, наприклад, Kyivstar, відкривається окремо, хоча вам вже приходили повідомлення від оператора, висока ймовірність того, що це шахраї. І загалом слід памʼятати, якщо ім’я відправника – частково схоже на справжнє, цілком ймовірно, що воно таки підроблене.
-
не переходьте за невідомими посиланнями
Ви можете неусвідомлено перейти на фішинговий сайт, мета якого – отримати паролі, дані банківських карток тощо. Через лінк ви можете завантажити застосунок з вірусом, який дозволяє шахраям використовувати ваш смартфон у своїх цілях. Варто заборонити встановлення застосунків з невідомих джерел (на Андроїді), щоб уберегтися від шкідливого програмного забезпечення.
Як це зробити? Знайдіть на смартфоні, що працює на Андроїд, налаштування опції «Встановлення з невідомих джерел» й вимкніть її: «Налаштування» → «Безпека» → «Невідомі джерела».
Інший варіант — скористайтеся пошуком в налаштуваннях (чи смартфоні загалом) із запитом «невідомі джерела». Вимкніть можливість встановлення поза Play Market (з невідомих джерел).
-
не вірте призовим місцям у конкурсах, в яких ви не брали участь або в виплати, на які ви офіційно не подавались
Шахраї надсилають повідомлення про перемогу, які спонукають людину відповісти, аби дізнатися деталі. Далі вони запитують особисту інформацію для того, щоб нібито відправити вам «приз», проте серед таких даних можуть бути і номери банківських карток разом з CVV-кодом. Також не варто вірити в повідомлення з інформацією, що вам нараховано виплати, як от виплати постраждалим/переселенцям від фондів, держави, якщо ви самі на них не подавались на офіційних ресурсах фондів/держави.
-
перевіряйте спеціальні пропозиції від брендів
На ваш телефон може прийти SMS про акцію у якійсь мережі супермаркетів, для активації якої треба перейти за посиланням. Такі пропозиції варто перевіряти на офіційному сайті бренду і не відкривати лінк з повідомлення.
-
перевірте повідомлення від банку
Банки ніколи не будуть просити вас підтвердити ваші особисті дані за телефоном або назвати PIN-код чи інші дані для авторизації, наприклад, одноразовий код. Якщо в SMS вам повідомляють про блокування картки чи інші «проблеми» з грошима або рахунком, треба звернутися в офіційну службу підтримки – зазвичай її контакти вказані на зворотній стороні банківської карти.
-
не вірте SMS про «інфікування» вашого телефону
Щоб бути впевненим у тому, що на вашому телефоні немає ніяких вірусів, краще встановити надійний антивірус від відомого виробника з репутацією.
Також варто ігнорувати SMS з кодами, підтвердженнями, запитами, які приходять на ваш телефон, якщо ви самі нічого такого не запитували. І якщо вам дзвонять з незнайомого номеру, а потім надходить SMS, і у дзвінку вас просять передати код з SMS – також потрібно це ігнорувати, бо це точно шахраї.
Для більшої безпеки можна ще використовувати застосунки, які фільтрують SMS, блокують в разі спаму та перевіряють відправників. Це не вирішує проблему на сто відсотків, але зменшує вірогідність того, що ви потрапите в тенета SMS-шахраїв. Наприклад, це може бути застосунок CallApp: Caller ID&Block. Додатково ще можна перевірити сайт на фішинг (наприклад, тут) та, якщо він там є — точно його ігноруйте. Якщо ж сайту немає в цій базі – все-одно варто уважно його перевірити, бо це може бути новий сайт, який ще просто не встигли внести в базу шахрайських сайтів.
І головна рекомендація – будьте завжди пильними, адже підходи шахраїв можуть трансформуватися і покращуватися. А також завжди перевіряйте всю інформацію, що до вас надходить або в SMS, або через інші канали, в альтернативних джерелах. Якщо це дійсно SMS від держави/бізнесу/сервісів – то ця інформація буде не лише в SMS, а й на сайті цих установ, в соцмережах, а також вам зможуть підтвердити її телефоном, якщо ви до них звернетесь.
Текст підготовлено у співавторстві з експертами безоплатної Гарячої лінії з цифрової безпеки Nadiyno.
