Эксплойты используют уязвимости в популярном программном обеспечении, включая пакет Windows 10, установленный по меньшей мере на 500 миллионах компьютерах по всему миру, и различные расширения для Google Chrome.
Все интернет-пользователи рано или поздно сталкиваются с киберугрозами, даже если они просто заходят проверять свой почтовый ящик раз в неделю. О завсегдатаях Сети и говорить нечего — сегодня мы совершаем в онлайне все больше действий: общаемся, звоним, бронируем, развлекаемся, покупаем, расплачиваемся, работаем, наконец. Вероятность стать объектом атаки хакеров при такой активности весьма высока.
Большинство из нас знает, как обезопасить себя, и использует регулярно обновляемый лицензионный антивирус, но и он не способен защитить от всех возможных угроз. Пользователю лучше знать врага в лицо, ведь нередко все начинается с безобидного сообщения во входящих. Итак, перед вами пять окон, при виде которых стоит насторожиться.
1. «Вы выиграли!»
Опасное сообщение обычно выглядит как всплывающее окно и содержит в себе информацию о выигрыше огромной суммы, автомобиля, дорогого гаджета и других нереальных призов. Если вы действительно получили от какой-либо организации определенный бонус, это будет нечто весьма скромное (500 рублей, скидка, купон на бесплатную процедуру). Информация придет на ваш почтовый ящик как обычное письмо без кричащей анимации.
Как реагировать: не нажимать ни «да», ни «нет», не пытаться закрыть окно. Любое действие приведет к перенаправлению на сторонний ресурс, который может быть заражен вредоносной программой или компьютерным вирусом-шпионом. Лучше закрыть браузер. Если вы действительно участвовали в каком-то розыгрыше, позвоните по телефону в организацию и уточните.
2. «Введите номер телефона»
Как правило, вас просят ввести номер телефона якобы для подтверждения того, что вы не бот. На самом деле, это совсем не обязательно. Чтобы отличить реального пользователя от программы, обычно используется капча (распознавание текста и знаков). Скорее всего, в данном случае вы имеете дело с мошенниками, которые собирают номера в базы данных с тем, чтобы перепродать их недобросовестным рекламодателям для рассылки SMS-спама.
Безусловно, что некоторые ресурсы требуют указать телефон по реальным причинам сохранения безопасности информации — например, банковским сервисам нужны ваши контактные данные для передачи вам одноразовых паролей; социальные сети практикуют привязку аккаунтов к мобильным номерам для более детальной идентификации пользователей и быстрого восстановления доступа в случае взлома.
Как реагировать: вводить номер телефона только на крупных известных ресурсах, где он действительно нужен — это соцсети, интернет-версии банков, онлайн-магазины. Если сайт малоизвестный, развлекательного характера, то лучше этого не делать.
Часто спамеры идут на уловки: например, навязывают вам прохождение длинного теста или обещают составление персонального гороскопа. Чтобы получить результат, нужно указать номер телефона. Не делайте этого — вас забросают спамом.
3. «Ваша страница взломана, нужно поменять пароль»
Примерно 60−70% входящей почты — это спам, и довольно весомая часть спама содержит в себе скрытую фишинговую атаку. Один из самых распространенных ее способов — это просьба о смене пароля в социальной сети или платежной системе.
Такое послание способно насторожить даже самого наивного пользователя, и в последнее время мошенники стали действовать хитрее: вместо пароля они просят указать, например, день рождения, якобы для розыгрыша или получения бонусов. Обладатель аккаунта проходит по ссылке на сайт, который выглядит точь-в-точь как оригинальный, только в адресе наверняка содержится «ошибка». Здесь пользователь вводит свой пароль и логин, которые затем благополучно используются злоумышленниками для своих интересов.
Как реагировать: не переходить по ссылкам при получении таких сообщений. Закрыть браузер со всеми вкладками, запустить антивирус, затем открыть новое окно и войти в свой аккаунт с главной страницы. В дальнейшем использовать двухуровневую идентификацию (не просто пару пароль-логин, но и одноразовый SMS-код, например). Не забывайте, что использовать нужно сложные пароли, хранить их удобно в специальных менеджерах, таких как LastPass и KeePass Password Safe, которые хранят информацию в зашифрованном виде.
4. «Привет! Пишу с чужого аккаунта…»
Письмо от якобы друга/родственника с просьбой помочь (материально, конечно). Человек якобы попал в трудную ситуацию, и счет идет на минуты. Его спасет только денежный перевод с вашей стороны.
Как реагировать: задавать уточняющие вопросы бессмысленно. Скорее всего, мошенник уже изучил ваш аккаунт, фотографии, комментарии и не растеряется, если вы спросите: «В какую школу мы с тобой ходили?», «Как зовут мою маму?»
5. «Смотреть видео?»
Навязчивые сообщения, предлагающие пользователю видео для просмотра, как правило, опасны. Они ведут на страницы, зараженные вирусами. Программы-шпионы способны украсть ваши пароли от личных кабинетов и электронных кошельков. Подхватить «заразу» можно даже на таких крупных хостингах, как YouTube.
C последним связан нашумевший случай заражения сотен тысяч компьютеров. Хакеры разместили на сайте рекламный ролик известного бренда, при просмотре которого пользователи совершали вынужденный переход на страницу с вредоносным кодом. В западном сегменте Интернета такие случаи давно не редкость, и явление даже получило название — malvertising, что является гибридом двух слов: malware (вирус) и advertising (реклама).
Как реагировать: большинство пользователей при получении такого сообщения совершат единственное разумное в такой ситуации действие — попытаются закрыть окно, нажав на значок в правом верхнем углу. Проблема в том, что в данном случае выбор пользователя не имеет значения. Куда бы вы не кликнули, результат будет один — вынужденный переход по ссылке на опасный сайт. Поэтому лучше закрыть браузер и запустить антивирусную программу, а еще лучше — позаботиться о защите заранее и использовать расширение типа Adblock Plus, которое блокирует нежелательную рекламу и не позволяет устанавливать опасные соединения.
Вредоносные сообщения часто можно вычислить с помощью обычной логики, для этого не нужно быть специалистом по контент-анализу. Однако это не всегда получается даже у продвинутых пользователей. Сообщения составлены таким образом, чтобы вызывать сильные чувства — радости (и немного жадности), тревоги, любопытства
Киберпреступники — хорошие психологи, и играют на эмоциях, рассчитывая при этом на скорость принятия решений. Так что пользователю важно знать типичные схемы мошенничества и не забывать при этом про элементарные правила информационной безопасности: использование антивируса, блокировщика рекламы и менеджера паролей.
Недавно я снова столкнулся с вариантом того же мошенничества, которое описал в своем комменте от 14 марта 2018. И снова меня спасла привычка "жать на тормоза".
По семейным обстоятельствам мне пришлось переехать в другой город - и, соответственно, сменить работу. Ищу работу, получаю предложение "удаленной" работы на дому. Для работы требуется достаточно мощный компьютер.
Интервью назначено через сервис Google Hangouts. Я говорю: у меня Мак, можно ли работать на нем? "Будущий работодатель" обещает купить новый MacBook на свои деньги.
В это время у меня "загорелся первый красный сигнал": вообще-то Маками обычно пользуются художники и музыканты, в мире Большого Бизнеса обычно предпочитают Мастдай, а Мак (в лучшем случае) может просто "подойти".
Мне прислали чек, после чего я должен был купить указанный комп в определенном магазине, который мне указали - будто бы этот магазин знает, какой софт на него установить.
На мой вопрос - почему они не переведут деньги непосредственно магазину - ответили невнятно. Сразу возникло предположение: имею дело с мошенниками, а магазин - в доле.
Кстати, сервисы по поиску работы предупреждали о мошенничестве при приеме.
Решил провести "проверку на вшивость". Небольшой поиск по Интернету показал: та модель компа оказалась сильно переоцененной (поведись я тогда на развод, мне бы продали залежалый товар по сильно завышенной цене), а чек, скорее всего, должен был вернуться неоплаченным - как говорится, со всеми вытекающими.
Я снова связался с "будущим работодателем" через тот же Google Hangouts и послал сообщение: я передумал, должен ли я вернуть чек или они удовлетворятся моим обещанием его (чек) уничтожить. Ответа так и не получил.
0 Ответить
Еще один "американский опыт".
После долгого поиска нашел один фильм, который давно искал. Попытался открыть - и получил сообщение: для просмотра данного видео моя Java требует обновления аж до ТРИНАДЦАТОЙ версии, тут же приводилась ссылка для обновления.
И тут я действовал согласно своей интуиции - поставил bookmark (закладку), закрыл браузер, переоткрыл его, вышел на официальный сайт Java - а последняя (на тот момент) версия была ВОСЬМАЯ! Игра окончена - совершенно ясно, что тринадцатая версия была не Джавой, а "чем-то другим".
Кстати, с тех пор прошло добрых несколько лет, а тот фильм я так и не нашел.
Вывод. Если какой-то неизвестный сайт предлагает Вам обновление Вашего софта - берите обновление только непосредственно с официального сайта.
0 Ответить
Поделюсь своим американским опытом. Лично меня спасло чудо. Точнее - твердое убеждение, что бесплатный сыр бывает только в мышеловках. И, соответственно, твердое правило: если какое-то предложение вызывает у меня определенные эмоции - немедленно "нажать на тормоз", как следует перевести дыхание и включить мозги. Чем сильнее эмоции, тем дольше следует переводить дыхание - пока эмоции не утихнут и мозги не заработают на полную мощность.
А потом меня просветили более опытные друзья из "местных".
Лохотрон называется "таинственный покупатель" ("mysterious customer")
Приходит такое "деловое предложение".
Вам пришлют чек - тысячи на три с половиной.
Из этих денег Вам для начала предлагают пообедать долларов на пятнадцать в каком-то конкретном кафе (обычно в МакДональдсе или что-то в этом роде) и написать отчет: как понравилась еда, насколько чисто в помещении, насколько дружелюбен персонал...
Потом купить что-то долларов на сто пятьдесят в каком-то конкретном супермаркете (купленное будет Вашим) и опять-таки написать отчет: насколько легко было найти нужный Вам товар, как Вам понравилась покупка, насколько грамотным и дружелюбным был продавец...
А потом надо будет перевести три тысячи через какую-то специализированную службу вроде Western Union - и, разумеется, снова написать отчет: как быстро нашли пункт пересылки, насколько легко было сделать перевод, насколько дружественным был оператор...
Какая-то мелочь от посланного Вам чека остается Вам (в дополнение к купленному товару и удовольствию от обеда) за работу. А если сделаете все достаточно быстро - предложат долговременные отношения.
Где ловушка? Дело в том, что банки оказывают нам медвежью услугу: положенный чек становится доступным раньше, чем он реально "обернется". Вы снимаете деньги, делаете все рекомендованные траты (включая перевод)... а потом, через пару недель, чек возвращается неоплаченным (то ли не обеспечен, то ли и вовсе окажется фальшивым), после чего банк законно требует вернуть деньги. А перевод по Western Union можно остановить только пока он не получен. Если мошенники успели его получить - ищи ветра в поле.
...Да, чуть не забыл. Тот чек пришел в Нью Йорк из европейского банка, так что времени вернуться неоплаченным у него было достаточно...
0 Ответить
Полезная статья, спасибо.
Оценка статьи: 5
0 Ответить