Rossiya Markaziy bankining statistik maʼlumotlariga koʻra, 2017-yilda firibgarlarning harakatlari tufayli 317,7 ming foydalanuvchi internetda 961 million rubl yoʻqotgan. Shu bilan birga, 97 foiz hollarda firibgarlik qurbonlari huquqni muhofaza qiluvchi organlarga murojaat qilmagan. Gap bankka xabar qilingan voqealar haqida bormoqda.
Keling, tajovuzkorlar ijtimoiy tarmoqlarda pul oʻgʻirlashning umumiy usullarini koʻrib chiqaylik. Firibgarlar tarmog‘iga tushib qolmaslik uchun o‘zingizni kiberjinoyatchilardan qanday himoya qilish bo‘yicha maslahatlar beramiz.
1. Hisobni buzish
Hisobga kirish ma'lumotlarini olish firibgarlarga maxfiy ma'lumotlarni qo'lga kiritish va foydalanuvchining do'stlarini aldash imkonini beradi. Buning uchun firibgarlar hiyla-nayranglarning butun arsenalidan foydalanadilar:
- kompyuter yoki mobil gadjetga virus yuqtirish;
- boshqa saytlarning ma'lumotlar bazalarini buzish va mos parollar;
- qo'pol kuchning umumiy parollari.
Virus infektsiyasi ko'pincha elektron pochtadan biriktirilgan xatlarni olayotganda sodir bo'ladinoma'lum qabul qiluvchilar yoki fayllarni bepul hostingdan yuklab olish. Viruslar brauzer papkalarini shifrlanmagan parollar uchun skanerlash, shuningdek, foydalanuvchi klaviaturadan nima kiritayotganini kuzatishga qaratilgan. Masalan, Android. BankBot.358.origin Sberbank mijozlariga mo'ljallangan va mobil ilova uchun kirish ma'lumotlarini o'g'irlaydi. TrickBot troyan, shuningdek, bank hisoblari, shuningdek, kriptovalyuta almashinuvi uchun kirish ma'lumotlarini qidiradi. Fauxpersky keylogger oʻzini Kasperskiy laboratoriyasi mahsuloti sifatida yashiradi va foydalanuvchi klaviaturada yozgan hamma narsani toʻplaydi.
Viruslar tomonidan toʻplangan maʼlumotlar tajovuzkorlarga yuboriladi. Odatda, virus matnli faylni hosil qiladi va sozlamalarda ko'rsatilgan pochta xizmatiga ulanadi. Keyin u faylni elektron pochtaga biriktiradi va uni firibgarlar manziliga yuboradi.
Foydalanuvchilar kompyuterda har bir hisob uchun noyob parollarni yodda tutmaslik va saqlamaslik uchun barcha saytlar (onlayn doʻkonlar, ijtimoiy tarmoqlar, pochta serverlari) uchun bir xil paroldan foydalanadilar. Malefactors kamroq himoyalangan saytlarga hujum qiladi: kataloglar, onlayn-do'konlar, forumlar. Ijtimoiy tarmoqlarda kiberxavfsizlik uchun mas'ul bo'lgan IT-mutaxassislarining butun jamoasi ishlamoqda. Onlayn doʻkonlar va forumlar CMS tizimida ishlaydi, ularda firibgarlar vaqti-vaqti bilan maʼlumotlarni oʻgʻirlashda zaifliklarni topadilar.
Hackerlar odatda taxalluslar, elektron pochta manzillari va login parollarini o'z ichiga olgan foydalanuvchi ma'lumotlar bazasini nusxalashadi. Shunga qaramayparollar shifrlangan shaklda saqlanganligi sababli, ularni shifrlash mumkin, chunki ko'pchilik saytlar 128 bitli MD5 xesh algoritmidan foydalanadi. U ish stoli dasturlari yoki onlayn xizmatlar yordamida shifrlangan. Misol uchun, MD5 Decrypt xizmati 6 milliard shifrlangan so'zlardan iborat ma'lumotlar bazasini o'z ichiga oladi. Shifrni hal qilgandan so'ng, parollar pochta xizmatlari va ijtimoiy tarmoqlarga kirish imkoniyati tekshiriladi. Agar taxmin qila olmasangiz, pochta orqali parolingizni ijtimoiy tarmoqda tiklashingiz mumkin.
Parolning shafqatsiz kuchi har yili kamroq va ahamiyatsiz boʻlib bormoqda. Uning mohiyati ijtimoiy tarmoq hisobiga kirish uchun parollardagi harflar va raqamlarning umumiy birikmalarini uslubiy tekshirishda yotadi. Firibgarlar ijtimoiy tarmoq tomonidan aniqlanmasligi uchun kompyuterning IP-manzilini yashiradigan proksi-serverlar va VPN-lardan foydalanadilar. Biroq, ijtimoiy tarmoqlar foydalanuvchilarni, masalan, captcha-ni joriy qilish orqali himoya qiladi.
O'zingizni qanday himoya qilish kerak
Viruslarga qarshi kurashish uchun siz kompyuter xavfsizligining asosiy qoidalariga amal qilishingiz kerak:
- noma'lum manbalardan fayllarni yuklab olmang, chunki viruslar, masalan, taqdimot fayli sifatida yashirinishi mumkin;
- noma'lum jo'natuvchilardan kelgan xatlardagi biriktirmalarni ochmang;
- antivirusni oʻrnatish (Avast, NOD32, Kaspersky yoki Dr. Web);
- ushbu imkoniyatga ega saytlarda ikki faktorli autentifikatsiyani oʻrnating;
- xizmatga boshqa birovning qurilmasidan kirayotganda avtorizatsiya maydonidagi tegishli katakchani belgilang;
- brauzerning parollarni eslab qolish qobiliyatidan foydalanmang.
Foydalanuvchi qilmasligi kerakijtimoiy tarmoqlar, pochta xizmatlari, onlayn-do'konlar va bank hisoblari uchun bir xil paroldan foydalaning. Siz ularning oxiriga xizmat belgilarini qo'shish orqali parollarni diversifikatsiya qilishingiz mumkin. Masalan, 12345mail pochta uchun, 12345shop xarid qilish uchun va 12345socialnet ijtimoiy tarmoqlar uchun mos keladi.
2. Tovlamachilik va shantaj
Hujumchilar maxfiy ma'lumotlarni olish uchun ataylab ijtimoiy media akkauntlariga buzib kirishadi, so'ngra jabrlanuvchini shantaj qilib pul undiradilar. Masalan, sherigiga yuborilgan samimiy suratlar haqida gap ketganda.
Suratlarning oʻzida jinoiy narsa yoʻq. Hujumchilar olingan suratlarni qarindoshlari va do‘stlariga yuborish orqali foydalanuvchini shantaj qilishadi. Muloqot paytida jabrlanuvchining pul jo'natishini kutishda psixologik bosim va aybdorlik tuyg'usini yaratishga urinishlar qo'llaniladi.
Jabrlanuvchi pulni yuborgan taqdirda ham, jinoyatchilar suratlarni qaytadan "to'lov" qilishga yoki shunchaki o'yin-kulgi uchun suratlarni joylashtirishga qaror qilmasligiga kafolat yo'q.
O'zingizni qanday himoya qilish kerak
Telegram yoki Snapchat-ga oʻz-oʻzini yoʻq qiladigan yoki shifrlangan xabarlarni yuborish imkonini beruvchi xizmatlardan foydalaning. Yoki sherigingiz bilan rasmlarni saqlamaslikka, balki ularni ko‘rgandan so‘ng darhol o‘chirishga rozi bo‘ling.
Siz boshqa odamlarning qurilmalaridan pochta va ijtimoiy tarmoqlarga kirmasligingiz kerak. Agar siz ularni tark etishni unutib qo'ysangiz, yozishmalaringiz noto'g'ri qo'llarga tushishi xavfi bor.
Maxfiy ma'lumotlarni saqlashni yaxshi ko'radiganlar uchun maxsus dasturiy ta'minot yordamida papkalarni shifrlash tavsiya etiladi, masalan, Shifrlash texnologiyasidan foydalangan holdaFayl tizimi (EFS).
3. Sovrinlar, meros va bepul mahsulotlar
Firibgarlar qimmat buyumni oʻz manzilingizga yetkazib berish yoki yetkazib berish uchun sugʻurta qilish sharti bilan bepul olishni taklif qilishadi. Siz xuddi shunday taklifga duch kelishingiz mumkin, masalan, shahringizning "Bepul" guruhida. Buning sababi sifatida ular shoshilinch ko'chirishni yoki xuddi shu narsani sovg'a sifatida olishni ko'rsatishi mumkin. Ko'pincha qimmatbaho narsalar "o'lja" sifatida ishlatiladi: iPhone, iPad, Xbox va boshqalar. Yuk tashish xarajatlarini to'lash uchun firibgarlar foydalanuvchiga qulay bo'lgan miqdorni so'rashadi - 10 000 rublgacha.
Firibgarlar nafaqat bepul narsalarni, balki narxi ancha arzonlashtirilgan tovarlarni ham taklif qilishlari mumkin, masalan, iPhone X 5000 rublga. Shunday qilib, ular soxta to'lov shlyuzi shakli yordamida pul yoki karta ma'lumotlarini o'g'irlamoqchi. Firibgarlar karta toʻlov sahifasini mashhur toʻlov shlyuzi sahifasi sifatida yashiradi.
Buzgʻunchilar oʻzini bank yoki notarial idora xodimlaridek koʻrsatib, hisobdan yoki meros orqali olingan puldan naqd pul olishda yordam soʻrashi mumkin. Buning uchun ulardan joriy hisob ochish uchun kichik miqdorni oʻtkazish soʻraladi.
Shuningdek, sovrinni daʼvo qilish uchun fishing saytiga havola ham yuborilishi mumkin.
O'zingizni qanday himoya qilish kerak
Bepul pishloqga ishonmang. Bunday so'rovlarga e'tibor bermang yoki o'rnatilgan ijtimoiy media vositalaridan foydalanib shikoyat qiling. Buning uchun hisob sahifasiga o'ting, "Foydalanuvchi haqida shikoyat qilish" tugmasini bosing va apellyatsiya sababini yozing. Moderator xizmatiijtimoiy tarmoq ma'lumotni ko'rib chiqadi.
Notanish havolalarni bosmang, ayniqsa ular goo.gl, bit.ly va boshqa havolalarni qisqartirish xizmatlaridan foydalangan holda yaratilgan boʻlsa. Biroq, siz UnTinyURL xizmati yordamida havolaning shifrini ochishingiz mumkin.
Deylik, sizga ijtimoiy tarmoqda telefon yoki planshetning foydali savdosi haqida xabar keldi. Omadga ishonmang va darhol xarid uchun to'lang. Agar siz toʻlov shlyuzi shakliga ega sahifaga kirgan boʻlsangiz, domen toʻgʻri ekanligini va PCI DSS standarti eslatib oʻtilganligini diqqat bilan tekshiring. Toʻlov shaklining toʻgʻriligini toʻlov shlyuzining texnik yordami boʻlimida tekshirishingiz mumkin. Buning uchun u bilan elektron pochta orqali bog'lanish kifoya. Masalan, PayOnline va Fondy toʻlov provayderlarining veb-saytlarida mijozlarni qoʻllab-quvvatlash xizmatlarining elektron pochta manzillari koʻrsatilgan.
4. "Yuz tashla"
Firibgarlar buzilgan sahifadan foydalanib, jabrlanuvchining tanishlari va doʻstlaridan hisob raqamiga pul oʻtkazishni soʻrashadi. Endilikda nafaqat pul oʻtkazmalari uchun soʻrovlar, balki grafik muharrir yordamida buzilgan hisob egasining ismi va familiyasi qoʻllaniladigan bank kartalarining fotosuratlari ham yuboriladi.
Qoidaga koʻra, tajovuzkorlar zudlik bilan pul oʻtkazishni soʻrashadi, chunki ular hisob ustidan nazoratni yoʻqotishdan qoʻrqishadi. Ko'pincha so'rovlar psixologik bosim elementlarini va hamma narsani zudlik bilan qilish kerakligini doimiy eslatib turadi. Firibgarlar aloqa tarixini oldindan oʻrganishi va hatto ismingiz yoki taxallusingiz bilan faqat sizga maʼlum boʻlgan manzillardan foydalanishi mumkin.
O'zingizni qanday himoya qilish kerak
Doʻstingizga qoʻngʻiroq qiling va ularga pul kerakmi yoki yoʻqligini toʻgʻridan-toʻgʻri soʻrang. Shunday qilib, ishonch hosil qilingsoʻrovning toʻgʻriligi va siz sahifani buzish haqida darhol ogohlantirishingiz mumkin.
Agar siz akkaunti buzilgan odamni yaxshi bilsangiz, nutq uslubiga e'tibor bering. Hujumchi, katta ehtimol bilan, muloqot uslubini to'liq nusxalashga ulgurmaydi va u uchun g'ayrioddiy nutq figuralaridan foydalanadi.
Bank kartasi suratiga e'tibor bering. Grafik muharrirda sifatsiz ishlov berish orqali qalbakilikni hisoblashingiz mumkin: harflar “sakrab o‘tadi”, bosh harflar kartaning amal qilish muddati bilan bir qatorda bo‘lmaydi va ba’zida ular hatto kartaning amal qilish muddatini ham qoplaydi.
Ijtimoiy tarmoqlarda omon qoling
2014-yilning dekabridan 2016-yilning dekabrigacha ijtimoiy injeneriyadan foydalanuvchilarga qilingan hujumlar soni 11 barobarga oshdi. Hujumlarning 37,6% shaxsiy maʼlumotlarni, jumladan, bank kartasi maʼlumotlarini oʻgʻirlashga qaratilgan.
ZeroFOX tadqiqotiga ko'ra, hujumlarning 41,2 foizi Facebook, 21,6 foizi Google+ va 19,7 foizi Twitter hisobiga to'g'ri kelgan. VKontakte ijtimoiy tarmog'i tadqiqotga kiritilmagan.
Mutaxassislar 7 ta mashhur ijtimoiy tarmoq firibgarlik taktikasini aniqladilar:
- Soxta sahifa tekshiruvi. Ijtimoiy tarmoq nomidan firibgarlar "tasdiqlangan" sahifaning nishon belgisini olishni taklif qilishadi. Jabrlanuvchilarga maʼlumotlarni oʻgʻirlash uchun maxsus tayyorlangan sahifa manzili yuboriladi.
- Maqsadli reklamalar yordamida soxta havola tarqatish. Hujumchilar past narxlardagi sahifalarga foydalanuvchilarni jalb qilish va qalbaki mahsulotlarni sotish uchun reklama yaratadilar.
- Mashhur brend mijozlarga xizmat koʻrsatishga taqlid qilish. Hujumchilar oʻzlarini yirik brendlarning texnik qoʻllab-quvvatlash xizmatlari sifatida yashiradilar va mijozlaridan maxfiy maʼlumotlarni oladilar.
- Eski hisoblardan foydalanish. Buzg‘unchilar ijtimoiy media boshqaruvlarini chetlab o‘tish uchun sozlamalarni o‘zgartirish orqali eski hisoblardan foydalanishi mumkin.
- Onlayn doʻkonlar va brendlarning soxta sahifalari. Buzg'unchilar onlayn-do'konlarning hamjamiyat sahifalarini aldaydilar va foydalanuvchilarni avtorizatsiya qilish, login ma'lumotlarini o'g'irlash yoki qalbaki mahsulotlar sotish uchun fishing sahifalariga olib boradilar.
- Soxta aksiyalar. Aksiyada ishtirok etish uchun tajovuzkorlar ishtirok etish uchun e-pochta yoki surat so‘rashi mumkin, keyinchalik ular noqonuniy harakatlarda ishlatilishi mumkin.
- Moliyaviy firibgarlik. Hujumchilar oddiy foydalanuvchilarning pullarini oʻgʻirlash orqali qisqa vaqt ichida koʻpaytirilgan daromad taklif qiladilar.
- HR kompaniyalarining soxta sahifalari. Ayrim firibgarlar yirik kompaniyalarning rasmiy uslubiga taqlid qilishadi va ishga arizani ko‘rib chiqish uchun to‘lov talab qilishadi.
O'zingizni ijtimoiy muhandislikdan himoya qilishning yagona yo'li bor - bilim. Shuning uchun siz kompyuter xavfsizligi qoidalarini yaxshi o'rganishingiz va juda saxiy takliflarga ishonmasligingiz kerak.