Сучасні шахраї це досвідчені психологи та маніпулятори: що таке спуфінг і як не потрапити у халепу

Уявіть, під час перевірки електронної пошти ви раптом виявили терміновий лист, у якому закликають оновити ваші облікові дані для продовження обслуговування поточного рахунку в банку. Звісно, ви відкриваєте прикріплений файл, клік – і на ваш ґаджет установлюється шкідливе програмне забезпечення.

Як стверджують фахівці Нацбанку, на жаль, шахраї часто видають себе за інших, щоб отримати доступ до грошей власників рахунків. Вони можуть називатися працівниками банку, Пенсійного фонду, Фіскальної служби чи поліції, вдавати із себе консультантів мобільного оператора чи представників комунальних служб. Для того, щоб ошукати своїх жертв та викрасти кошти з їхніх карток, шахраї можуть використовувати таку технологію як спуфінг (з англійської “підміна”, “підроблення”).

Спуфінг – один із видів фінансового шахрайства, коли злодії маскуються під офіційне надійне джерело (наприклад, банк чи державну установу) для отримання доступу до конфіденційних даних особи, що дає змогу надалі викрасти кошти з її рахунку.

Таку технологію зловмисники можуть використовувати з використанням усіх можливих каналів зв’язку, а варіанти спуфінгу варіюються від елементарних підроблень до технічно складних кібератак. Спуфінг може бути реалізований через електронні повідомлення, SMS-повідомлення, телефонні дзвінки, онлайн-ресурси тощо. Йдеться про підроблення вебсайтів та IP-адрес, текстових повідомлень і навіть DNS (системи доменних імен). За останнім із перелічених сценаріїв завдяки спуфінг-атаці зловмисники можуть перенаправити онлайн-трафік з офіційного сайту на шахрайський, схожий на нього.

Крім того, зловмисники використовують спуфінг для підміни номера телефону та імітують дзвінки, наприклад, від банківських установ. Роботизований голос під різними приводами повідомляє про необхідність надання банківських конфіденційних даних фейковому працівнику банку. Зазвичай шахраїв цікавлять SMS-коди, надіслані банком, три цифри на звороті вашої платіжної картки (СVC2/CVV2-код), логіни та паролі від онлайн-банкінгу. Отримавши ці відомості, зловмисники можуть привласнити кошти своїх жертв.

Тримайте інформацію, що стосується вашої платіжної картки, в секреті, навіть якщо все вказує на те, що ви говорите з працівником банку. Справжні працівники банків ніколи не запитують конфіденційні дані у клієнтів.

Коли ви самі телефонуєте до контакт-центру банку, консультанти, щоб провести віддалену ідентифікацію клієнта, можуть ставити питання щодо секретного слова, дня чи місця народження тощо. Проте працівники банку ніколи не запитуватимуть тризначний код безпеки на звороті картки, одноразові SMS-коди чи паролі від онлайн-банкінгу.

Щоб уберегтися від спуфінгу фахівці рекомендують:

• Використовуйте антивірус та встановіть ліцензійні програми захисту від шкідливого програмного забезпечення. Стежте, щоб все програмне забезпечення на вашому комп’ютері чи телефоні було оновлене.
• Увімкніть фільтр спаму для листів, що надходять на вашу електронну пошту. Це захистить вас від більшості шахрайських електронних листів.
• Перевіряйте інформацію через офіційні джерела, навіть якщо отримали лист, який виглядає, як лист від банку чи державної установи.
• Цікавтеся методами соціальної інженерії, дізнавайтеся про нові сценарії шахрайства. Зловмисники – це часто досвідчені психологи та маніпулятори. Здавалося б, що в сучасному цифровому світі треба бути хакером, щоб вкрасти гроші з рахунків, але статистика говорить про інше. Значні суми шахраї викрадають з рахунків своїх жертв методами соціальної інженерії. Це означає, що люди самі віддають свої гроші або повідомляють необхідні дані шахраям, щоб ті змогли заволодіти їх статками.