Как взламывают аккаунты Вконтакте и других социальных сетей.
https://t.me/chozzФишинг
Одним из самых распространенных видов мошенничества является фишинг, в основе которого лежит получение идентификационных данных пользователей.
Название (в переводе "рыбалка") совсем не случайно. Многие из нас неравнодушны к бесплатным подаркам, интригам, сплетням и каким-то новостям о себе самих. Мошенники умело играют на этих чувствах, закидывая свою наживку:
Стикеры бесплатно??? Бегом сюда — *ссылка*.
Смотри, какое твое фото я нашёл — *ссылка*.
Ты выиграл iPhone. Забирай здесь — *ссылка*.
Я сделал про тебя мультфильм, он вот тут — *ссылка*.
Почитай, что думают твои друзья о тебе. *ссылка*.
Обратите внимание — в каждом случае Вам будут настойчиво предлагать перейти по неким ссылкам. Они могут быть замаскированы при помощи специальных сервисов для сокращения или же наоборот быть слишком длинными. Сайт по ссылке может очень напоминать ВКонтакте или быть совсем на него не похожим. Но важно одно — по этой ссылке Вам предложат ввести логин и пароль от Вашей страницы. Как только Вы это сделаете — эта информация сразу же станет доступна мошенникам. Рыбка проглотила наживку и попалась на крючок.
Опасность таится еще и в том, что подобное сообщение может прислать кто угодно, даже близкий друг. Но бдительность не стоит терять ни на секунду — к странице Вашего друга кто-то мог получить доступ точно таким же способом. Лучше задайте пару проверочных вопросов другу, прежде чем переходить по сомнительной ссылке (например: "Напомни, где мы познакомились?")
Отдельно стоит упомянуть, что для подобного мошенничества могут использоваться аккаунты или сообщества под именем Администрации ВКонтакте. Принцип остается тот же — вы получаете личное сообщение или обнаруживаете упоминание на стене сообщества. Меняется только наживка: "Если вы не перейдете по ссылке и не подтвердите данные, аккаунт будет заблокирован!", "Мы обнаружили подозрительную активность на вашей странице — вам надо срочно перейти по ссылке!"
Меры безопасности:
- Никогда не переходите по ссылкам, если вы не уверены, куда они ведут. Даже по ссылкам от друзей.
- Отмечайте все подозрительные сообщения со ссылками как спам, чтобы мы могли их проверить.
- Если вы все же перешли по ссылке, обязательно смените пароль в настройках: и проверьте ваше устройство любым доступным антивирусом.
Брутфорс
Пароль от аккаунта — вещь серьезная, это понимают все. Если его забыть, можно утратить доступ к очень многим ценным вещам — перепискам, фотографиям, документам. И пожалуй, только недоверием к собственной памяти можно объяснить тот факт, что самые популярные пароли в мире — это до сих пор 123456, qwerty, 66666 и тому подобные. Конечно, такую комбинацию забыть сложно. Но очень важно понимать, что простой и очевидный пароль может сыграть на руку тому, кто захочет получить доступ к Вашей странице.
В математике есть интересный способ решения задач — "брутфорс", что в переводе означает "грубая сила". Заключается он в методичном перебирании всех возможных решений. Этим же методом стали пользоваться и злоумышленники, желающие получить доступ к какому-то конкретному аккаунту. Сам человек или же программа в автоматическом режиме просто перебирают все наиболее часто используемые пароли. Комбинации цифр, последовательности букв на клавиатуре, имя пользователя, его день рождения — и, к сожалению, слишком часто нужный пароль находится.
Решение этого вопроса только одно — сложная комбинация цифр и букв, применение разных регистров (большие и маленькие буквы). И отказ от использования в качестве пароля информации, которая могла бы быть известна кому-то еще: номеров телефонов, имен, дней рождения и так далее.
Вредоносные программы
В интернете можно встретить большое количество программ, расширений и приложений, которые обещают разнообразить возможности того или иного сайта. Например, отключить рекламу, скачать любую аудиозапись или видео, всегда оставаться offline или наоборот — online, сменить дизайн сайта на цветочки или супергероя из последнего блокбастера, накрутить лайков на аватарку и многое-многое другое. Все это прекрасно и заманчиво, но лишь на первый взгляд.
Что же страшного могут таить в себе дополнительные стикеры или просмотр гостей страницы? Прежде всего следует помнить о том, что бесплатный сыр бывает только в мышеловке. Разработчикам таких программ тоже хочется получать за свою работу что-то более существенное, чем простое “спасибо”. И безобидное с виду расширение может начать аккуратно подменять проверенную рекламу сайта на что-то навязчивое и низкосортное. Его автор получает денежку в карман, а пользователь начинает видеть рекламу в тех разделах, где ее быть не должно. И не всегда это что-то приличное.
Впрочем, хорошо, если дело обойдется только рекламой. Устанавливая то или иное программное обеспечение для нашего сайта, Вы даете ему полный доступ к своей странице. И ни Вы, ни мы не знаем, чем именно оно занимается долгими зимними вечерами за вашей спиной. В погоне за дополнительным доходом его создатели могут встроить в него рассылку спама или заявок в друзья, вступление в накручиваемые группы и многое другое. В результате нашей защитной системе придется заблокировать страницу, чтобы остановить нарушения, в то время как сам пользователь даже не будет знать обо всем происходящем.
И наконец, механизмы нашего сайта постоянно обновляются, а значит то расширение, которое ещё вчера работало без сучка и задоринки, сегодня может начать влиять на работу сайта самым неожиданным образом. Например, могут переставать воспроизводиться видео- и аудиозаписи, прикрепляться фотографии к сообщению, при нажатии на один раздел сайта может начать перекидывать в другой и многое другое — никто не знает, где именно и как именно скажется вмешательство того или иного расширения.
Так что перед установкой любого стороннего программного продукта для работы с нашей социальной сетью, Вам нужно серьёзно обдумать, что для Вас важнее — новые функции (которые зачастую оказываются фикцией) или безопасность страницы и корректная работа сайта.
Социальная инженерия
В наши дни разработчики любого крупного сайта уделяют значительное внимание информационной безопасности. Взломать (именно взломать, получив доступ к серверам сайта) аккаунты пользователей сейчас практически невозможно. И именно поэтому современные мошенники пошли другим путём, сделав ставку не на таланты хакера, а на психологию. Так и родилось понятие социальной инженерии.
Сама по себе социальная инженерия представляет собой получение доступа к какой-то закрытой информации. Вот только осуществляется это не за счёт технических средств, а при помощи знания человеческой природы. Задача злоумышленника состоит в том, чтобы расположить к себе, втереться в доверие или каким-либо образом заинтересовать нужного ему человека. А дальше пользователь все сделает сам — и нужные данные сообщит, и деньги переведёт, и в сообщество назначит.
Одним из ярких примеров социальной инженерии можно считать фишинг, основанный на любопытстве и горячей любви ко всему бесплатному. В погоне за объектом своего интереса (наживкой) пользователь сам вводит данные от страницы на стороннем сайте — и, можно сказать, дарит их мошеннику. Тому остаётся только радостно потирать руки — кто знает, что он найдёт в личной информации. И если даже вы не храните на странице компрометирующие фотографии, а все переписки ведёте исключительно по работе, сама мысль о том, что кто-то посторонний копался во всём этом, мало кому будет приятна.
Впрочем, для получения доступа к чужой странице, плохим парням иногда даже не нужно прибегать к фишингу. Ведь можно просто выдать себя за представителя Администрации сайта, какого-нибудь магазина или, скажем, любимой игры пользователя, изучив его страницу. Рассказав красивую историю о выигранном призе, некоей плановой проверке, возможности получить бесплатные голоса — варианты могут быть самые разные, — злоумышленник просит назвать код из SMS-сообщения (скажем, для подтверждения личности). И радостный пользователь может даже не обратить внимание на то, что код этот — для мгновенной смены номера телефона. Результат — доступ к странице потерян.
Впрочем, потери могут быть и намного более материальными. Ведь основная цель социальной инженерии — заработать. И нередко аккаунты, к которым получил доступ злоумышленник, используются для того, чтобы попросить денег у друзей пользователя. Как правило, для этого придумывается какой-то трогательный повод, суммы назначаются небольшие, перевести просят на карту. Ну, кто же откажется помочь заболевшему другу тысячей рублей, если есть такая возможность. Тем более, даже из дома выходить не надо. На это и делается расчёт — и если даже откликнутся немногие, мошенник уже в плюсе.
Как же избежать подобных ситуаций? Ответ один — бдительность. Важно раз и навсегда запомнить, что интернет, как и реальная жизнь, полон людей, которые не упустят возможности поживиться за чужой счёт. Никогда и никому, ни при каких условиях не сообщайте пароль от своей страницы. Не передавайте данные о банковских картах вне специальных платежных интерфейсов. Внимательно изучайте сообщения от нашего сайта и не сообщайте никому коды из них вне интерфейса Поддержки. И даже если вы уверены, что денег у вас попросил именно друг, потратьте минуту на то, чтобы перезвонить ему или спросить в переписке что-то, что можете знать только вы двое.