Пошук по сайту

Анатомія кібер злочину: ключові тренди 2020 року

За даними звіту голови Національної поліції у 2019 році, кіберполіцейські викрили 4 263 кіберзлочинів, які завдали збитків на 28 мільйонів гривень.

Згідно з картою кіберзагроз у режимі реального часу — Україна посідає 17 місце у світі за кількістю кібер атак. В умовах дистанційної роботи, коли навантаження на мережу значно збільшилося, наші комп’ютери, смартфони, банківські картки та гроші стають неймовірно привабливими для кіберзлочинців.[1]

 

За час пандемії експерти виділяють 4 ключові кібербезпекові тренди:

 

1. Збільшення кількості людей, які працюють віддалено (використовуючи ІТ, але не маючи належних знань та досвіду);

2. Збільшення електронних платежів;

3. Збільшення кількості випадків фішингових атак;

4. Потенційна можливість для інформаційних та кібератак з метою дестабілізації ситуації.[2]

 

Часто ми, навіть, не підозрюємо, що можемо стати жертвами кіберзлочинів, оскільки не уявляємо, як саме вони здатні діяти проти нас.

Тому я пропоную зупинитись на деяких видах кіберзлочинів.

 

Скімінг (skimming) — незаконне копіювання вмісту треків магнітної смуги (чипів) банківських карток.

Як відбувається копіювання вмісту картки?

Експерти виділяють 2 способи копіювання вмісту картки:

1.Злочинці крадуть інформацію з магнітної стрічки на картці, а також її ПІН код, для того, щоби зробити дублікат картки. Вони встановлюють на банкоматі спеціальне технічне обладнання – скімінговий пристрій на кардридері, а також сам пристрій для запису ПІНу.

2.Скімери встановлюють на банкоматі спеціальне програмне забезпечення, завдяки якому й отримують інформацію з магнітної смуги та ПІН картки.

Як це виглядає?

На банкомат встановлюють додаткові накладки — на клавіатуру де вводиться ПІН код,  і на отвір для прийому картки — слот для карт (місце де вставляється картка).

Як не стати жертвою скімерів?

Перед тим, як користуватися банкоматом перегляньте, чи немає накладок на клавіатурі та слоті для карток (подивіться на слот та клавіатуру чи не гойдаються вони)?

1.Якщо помітили такі «накладки в банкоматі» — телефонуйте в банк.

Детальніше про те, як виглядають банкомати зі скімерами, та як не стати жертвою скімінгу дивіться тут.

 

 

Кеш-трапінг — викрадення готівки з банкомату через встановлення на шатер банкомату спеціальної утримуючої накладки

Як не стати жертвою кеш-трапінгу?

Перевірте отвір для видачі готівки, якщо він наглухо закритий металевою або пластиковою накладкою не знімайте кошти з картки й повідомте банк.

Якщо є підозри, що гроші застрягли в банкоматі, не можна відходити від пристрою. Насамперед потрібно зателефонувати в банк за номером телефону, який вказаний на екрані банкомату. Також можна спробувати самостійно позбавитися від накладки.

Більше інформації про кеш-трапінг тут.

 

Кардинг (carding) — незаконні фінансові операції з використанням платіжної картки або її реквізитів, що не ініційовані або не підтверджені її володільцем

Реквізити платіжних карт злочинці знаходять на зламаних серверах інтернет-магазинів, платіжних та розрахункових систем, а також  — персональних комп’ютерів (або безпосередньо, або через програми віддаленого доступу, «троянці», «боти».

Як убезпечитися від кардингу?

Дотримуйтесь елементарних правил безпеки:

робіть покупки тільки в перевірених інтернет-магазинах;

ніколи не розголошуйте інформацію про дані картки;

якщо до вас звернувся «співробітник» банку, обов’язково зателефонуйте у фінансову організацію для уточнення інформації;

стабільно оновлюйте бази антивірусів на комп’ютері;

використовуйте підтвердження транзакцій по SMS (двохфакторка);

 

 

Фішинг — це сукупність методів виманювання в користувачів Інтернету логінів та паролів, номерів кредитних карток та іншої конфіденційної інформації.

Найчастіше зловмисники видають себе за представників відомих організацій в електронних листах або телефонних дзвінках.

Більше інформації про фішинг тут.

Як вберегтися від фішингу?

Не відкривайте електронні листи від незнайомих відправників.

Натискайте на посилання всередині електронного листа тільки коли Ви точно знаєте, куди воно веде.

Отримали листа від сумнівного відправника — перевірте додане посилання: введіть адресу законного веб-сайту в адресний рядок браузера за допомогою клавіатури, у такий спосіб ви забезпечите для себе ще один рівень безпеки.

Перевіряйте цифрові сертифікати веб-сайтів.

Якщо Вас просять розкрити конфіденційні дані, переконайтеся, що URL-адреса веб-сторінки починається з «HTTPS», а не просто з «HTTP». Буква «S» означає «secure» (безпечно), тобто підключення з такою адресою є захищеним. Разом із тим, це не дає гарантії, що веб-сайт є законним, проте більшість законних веб-сайтів використовують саме протокол HTTPS в силу його більшої безпеки. При цьому навіть законні веб-сайти, які використовують протокол HTTP, уразливі перед атаками хакерів.

Якщо Ви підозрюєте, що електронний лист відправлен шахраєм, введіть ім’я відправника або уривок тексту листа в пошукову систему — Ви побачите, чи пов’язані з цим листом будь-які фішингові атаки.

 

 

Онлайн-шахрайство — заволодіння коштами громадян через інтернет-аукціони, інтернет-магазини, сайти та телекомунікаційні засоби зв’язку. Розглянемо типові приклади.

Небезпечні інтернет-покупки

Вважається, що на сайтах оголошень із шахрайством стикаються зазвичай покупці товарів. Але, як показує практика, під загрозою опиняються і продавці. Наприклад, зловмисник дзвонить продавцю доволі недорогого  товару, погоджується на покупку і просить номер карти, на яку потрібно перевести гроші. Потім злодій повідомляє жертву про складнощі під час оплати. Наприклад, він намагається оплатити покупку від імені юрособи, а продавець — фізособа.

Щоби пропустити оплату, банк вимагає підтвердити особу одержувача за допомогою перевірчого коду в SMS. Диктуючи псевдо-покупцям код перевірки, продавець «дає добро» на зняття власних коштів.

Робота оператором в інтернеті

Зловмисники розміщують на онлайн-ресурсі з пошуку роботи вакансію на зразок «Оператор з обробки платежів в електронній платіжній системі» або «Оператор грошових переказів». Основні вимоги до співробітника: вік 18+ та наявність картки певного банку. Робота у віддаленому режимі, заробітна плата — 500 грн на день. Людина запрошує вас стати посередником у банківських перерахунках, апелюючи до того, що роботодавець не має права на відкриття карти в банку. Від вас вимагається лише приймати платежі на карту і 90 % від суми переводити на інший рахунок. Наче все просто. Але в жертви додатково вилучать усі дані (паспорт і код, інформацію про народження та інше), а потім відкриють на її ім’я всі можливі кредити.

Позбавлення від боргів

Шахрай створює сторінку в соцмережі, де повідомляє, що має доступи до бази даних багатьох фінансових установ, що займаються кредитуванням в Україні. Він пропонує боржникам за винагороду знищити інформацію про них у базах даних цих організацій та зробити так, щоби їх ніколи не турбували колектори. Людина, що займається шахрайством, збирає «аванси» за свою роботу, а потім зникає… Спочатку, щоб ви їй повірили та відправили гроші на карту, ця особа сплатить певну суму боргу (10–20 грн), «доводячи», що має доступ до бази.

Насправді дізнатися номер договору за вашим кредитом і суму боргу може будь-хто. Для цього вистачить вашого повного прізвища імя та по-батькові або номеру телефону. Про дані можна дізнатися в найближчому терміналі поповнення, завдяки натисканню кнопки «Сплатити кредит»: на екрані відобразиться ваш актуальний номер договору. Щойно жертва сплатить «завдаток», особа-зловмисник перестане виходити на контакт із нею. Тобто, не кредит зникне, а відправлені гроші. А поскаржитися на шахрая жертва не зможе, бо сама хотіла вчинити неправомірно.

 

Як не стати жертвою онлайн шахрайства?

1.У жодному випадку не сплачуйте за товари або послуги, підключаючись до стороннього Wi-Fi. Наприклад, ви завітали до кав’ярні та щоби не сумувати, вирішили купити певну річ в онлайн-режимі. Ви під’єдналися до мережі і ввели дані своєї картки (номер, ССV-код, дату дії)? Вітаємо — ви відкрили всі ці дані власникам кафе.

2.Ніколи й нікому не називайте по телефону дані своєї карти, серію й номер паспорта, ІПН, прописку та, навіть У цьому не повинно бути необхідності. У вашому банку всі останні дані відомі. А ССV-код і термін дії карти не потрібно знати, навіть, вашому банкіру.

3.Не беріть участь у підозрілих пропозиціях про підробіток. Якщо вас просять зареєструватися десь і підв’язати туди вашу карту або змінити телефон в особистому онлайн-банкінгу — будьте впевнені, що це шахрайська схема.

 

[1] Кіберзлочин –(комп’ютерний злочин) – суспільно небезпечне винне діяння у кіберпросторі та/або з його використанням, відповідальність за яке передбачена законом України про кримінальну відповідальність та/або яке визнано злочином міжнародними договорами України. Зашити силку у слово кіберзлочин-  (https://zakon.rada.gov.ua/laws/show/2163-19/ed20171005#n14)

[2] https://niss.gov.ua/doslidzhennya/informaciyna-politika/covid-19-klyuchovi-kiberbezpekovi-trendi?fbclid=IwAR3zKcok3HNjQZFuZSZ23heLK9p7L87vizSrTU_Ytp2iPBhndUbZfT8N1RU

Авторка: Анастасія Апетик, експертка з інформаційного права

 

#інформаційніправа #dataprotection #cybersafety

Анастасія Апетик, Експертка програми "Безпека громад", юристка