Мошенничество в социальных сетях: как не стать жертвой?
Мошенничество в социальных сетях продолжает процветать. Какие новые «трюки» освоили Интернет-мошенники? Какие типовые ошибки делают пользователи социальных сетей? Какие эксперименты по добыванию личных данных в социальных сетях произвели американские и бразильские исследователи? Как избежать несанкционированного вскрытия личных данных?
Ещё пять лет назад мошенничество в Сети и другие виды киберпреступлений рядовыми обывателями воспринимались как что-то диковинное, навеянное хакерскими фильмами и фантастическими книгами. Сегодня взлом аккаунта в «Вконтакте», опустошение вашего электронного кошелька или «угон» почты стали настолько обыденными вещами, что на них уже никто не обращает внимания. Только подобное безразличие лишь способствует росту Интернет-преступности. Тем не менее, первой и главной причиной, по которой пользователи становятся жертвами мошенников, до сих пор остаётся их излишняя доверчивость.
В конце зимы этого года десятки пользователей «Одноклассников» столкнулись с «новым» для себя видом мошенничества – мошенничеством в социальных сетях. Злоумышленники создавали поддельные профили родственников или знакомых потенциальной «жертвы», втирались в доверие и посылали личные сообщения с просьбой отправить им пришедший на телефон жертвы код. Эти коды использовались социальной сетью для приобретения виртуальной валюты. В результате злоумышленники получали прибыль, а доверчивые пользователи расставались с реальными деньгами со своих телефонных счетов.
Описанная техника на языке специалистов информационной безопасности называется «кви про кво». Вкратце её суть заключается в том, что мошенник выдаёт себя за другого человека с целью получения доступа к его ресурсам. К примеру, «Вконтакте» разрешила привязывать к своему профилю реальные кредитные карты. Но так ли это безопасно?
Бывший военнослужащий армии США Брендон Ли Прайс решил показать на практике, как, порой, легко присвоить себе чужую личность, располагая лишь сведениями из общедоступных социальных сетей. Ему удалось выдать себя не за кого-нибудь, а за Пола Аллена, сооснователя «Microsoft». Прайс связался по телефону с филиалом «Citibank» и, представившись Алленом, попросил сменить адрес счета с Сиэтла на Питтсбург. Помимо этого, к счету был добавлен новый телефонный номер. Позже он вновь связался с банком и сообщил от лица сооснователя «Microsoft», что утерял свою дебетовую карту, однако о краже ее сообщать не хочет. Прайс попросил банковского сотрудника прислать ему на адрес в Питтсбурге новую карту. На следующий день мошеннику удалось получить карту, активировать ее и сразу же применить в целях платежа по ссуде в Банке вооруженных сил США в размере 658 тысяч долларов уже на собственное имя. В этот же день он с помощью карты попытался совершить денежный перевод посредством системы «Western Union» на сумму в $15 тыс.
Но кто виноват?
Как ни странно, первопричиной является беспечность самих пользователей социальных сетей, оставляющих о себе слишком много конфиденциальной информации в открытом доступе. К созданию подобной ситуации «приложили усилия» и сами ресурсы. Все они меняют политику безопасности в одностороннем порядке, зачастую ставя пользователей перед фактом. Так, к примеру, «Вконтакте» «без спроса» в своё время сделала открытыми списки друзей. Казалось бы, что может быть в этом криминального? Ответ на практике представил бразильский исследователь по вопросам компьютерной безопасности Нельсон Новаес Нето (Nelson Novaes Neto). В ходе эксперимента он доказал, что существует возможность стать другом любого пользователя «Facebook» в течение 24 часов, используя методы социальной инженерии. После этого злоумышленник получает доступ ко всей той информации, которая ранее была скрыта от посторонних на странице пользователя. В итоге отсутствие бдительности может привести даже к захвату настоящего аккаунта (с помощью функции соцсети по восстановлению пароля «Three Trusted Friends»). Кроме того, дополнительную угрозу безопасности несёт в себе интеграция различных сервисов друг с другом. К примеру, «Foursquare» (сервиса, позволяющего отмечать на карте своё местоположение и делиться этой информацией с друзьями) и «Twitter» (онлайн-сервиса для ведения микро-блогов). Подобный «союз» может представлять интерес для грабителей. Например, если «жертва» живёт одна, то благодаря этим сервисам можно отследить в каких местах и в какое время она бывает. Значит, в это время в квартире никого нет.
Кто-то скажет: «Я не зарегистрирован в социальных сетях, поэтому ваши проблемы меня не касаются» - и будет прав, но лишь отчасти. В этом году власти Ирландии обнаружили, что «Facebook» создает так называемые "теневые профили" – по сути, досье как на участников этой соцсети, так и на тех, кто еще не зарегистрирован на сервисе.
Информация о тех, кто еще не присоединился к соцсети, собирается на основе всех доступных в «Internet» источников: синхронизированных номеров телефонов, адресов электронной почты, контактов мгновенных сообщений, чатов и многого другого.
Таким образом, собственные "скрытые профили" есть даже у тех, кто не регистрировался и не собирался регистрироваться в этом сообществе псевдодрузей, т.е. «Facebook» хочет узнать как можно больше обо всех людях в мире – или хотя бы зарегистрировать их, не спрашивая разрешения.
При этом "теневые профили" содержат достаточно подробную информацию и включают такие пункты, как политические взгляды, философские убеждения, религиозная принадлежность, сексуальная ориентация и многое другое.
Неужели всё настолько плохо?
Конечно, нет. Если вы не управляете крупной компанией и у вас нет конкурентов, которые хотят прочесть вашу личную переписку, проблема элементарной Интернет-безопасности решается довольно просто.
- Придумывайте оригинальный и сложный пароль для почтового ящика, на который вы будете регистрировать аккаунт социальной сети. Изучите систему безопасности почтовой службы; возможно, она предоставляет дополнительные меры защиты.
- Общаясь в социальных сетях, не следует слепо доверять всем, кто захочет установить с вами контакт. Особенно если в разговоре появляются просьбы, связанные с отправкой SMS на какой-либо номер или отправки внезапно пришедших на телефон кодов.
- Также обязательно «освежите» секретные вопросы для восстановления паролей на важных для вас ресурсах. Безусловно, когда-то кличку первой собаки знали только вы, но кто поручится, что за всё время в Сети вы ни разу об этом не написали?
- Не привязывайте к аккаунту в соцсети реальную кредитку или интернет-кошелёк, если на них находятся крупные суммы денег.
Помните, многих неприятностей можно избежать, если вы о них предупреждены.
Написать комментарий