Кибербезопасность

12 марта 2025 года

Ваше руководство по выявлению мошенничества с социальной инженерией и киберугроз

Фишинг, вишинг, смишинг, квишинг, зишинг? Виды кибермошенничества растут. Вот что вам нужно знать.

Dianna Delling

Contributor

Технологии значительно упростили повседневную жизнь, от общения до покупок и онлайн-банкинга. Достижения в области безопасности также делают нашу цифровую жизнь безопаснее, чем когда-либо прежде. Однако преступники всегда ищут способ проникнуть внутрь, и есть одна уязвимость, которую очень трудно предотвратить: человеческие эмоции.

Только в США потребители потеряли более 12,5 миллиарда долларов из-за мошенничества в 2024 году — на 25% больше, чем в 2023 году, согласно отчету Федеральной торговой комиссии, опубликованному на этой неделе. Потребители сообщили о наибольших потерях из-за мошенничества инвесторов — 5,7 миллиона долларов, в то время как мошенничество с самозванцем оставалось самым зарегистрированным. Электронная почта оставалась самым распространённым способом мошенников связаться с жертвами, за ней следуют телефонные звонки и текстовые сообщения.

«Киберпреступники часто полагаются на человеческие эмоции, такие как страх, любопытство, сочувствие или гордость, чтобы обмануть своих жертв и заставить их попасть на аферу», — говорит Донна Мэттингли, руководитель отдела корпоративного образования и повышения осведомлённости по безопасности в Mastercard. Мошенничество с социальной инженерией может использоваться для кражи денег, установки вредоносного ПО (вредоносного ПО), доступа к бизнес-сетям для получения инсайдерской информации или вывода из строя целых компьютерных сетей. Трудно понять, чего хотят мошенники, ведь их схемы стали невероятно сложными.

Они также стали более убедительными. Кибермошенники создают фальшивые сайты и создают сложные ложные личности, чтобы обмануть своих жертв. И теперь они используют генеративные технологии ИИ для создания вводящих в заблуждение писем, телефонных звонков (генерационный ИИ может имитировать голоса ваших близких), изображений и видео (известных как дипфейки), настолько сложных, что их почти невозможно распознать как поддельные.

Даже тех, кого учили быть осторожными, можно обмануть, о чем свидетельствует недавний инцидент в Гонконге. Там транснациональная финансовая компания потеряла 25,6 миллиона долларов, когда сотрудника обманом заставили перевести корпоративные средства на преступный счет. Его обманули с помощью видеоконференции, созданной с использованием технологии Deepfake, с людьми, которые выглядели и говорили как коллеги, включая финансового директора компании, но на самом деле были созданными компьютером самозванцами.

Чтобы защититься от киберпреступлений, полезно знать, какие мошенничества существуют, чтобы их избегать.

Что такое социальная инженерия?

Социальная инженерия — это использование обмана и эмоциональной манипуляции для влияния на поведение другого человека. В цифровом мире киберпреступники используют тактики социальной инженерии, чтобы обмануть людей и заставить их раскрыть конфиденциальную информацию или предпринять действия, которые могут навредить им или их работодателям финансово.

Такие кибермошенничества могут включать убеждение людей передавать деньги или отправлять их в электронном виде. Мошенники также используют их для получения личной информации, такой как номера социального страхования, номера кредитных карт или учетные данные, чтобы впоследствии украсть деньги, совершить мошенничество или продать их другим преступникам.

Мошенничество с социальной инженерией может заключаться в попытках получить доступ к вашему персональному компьютеру или корпоративной сети для кражи данных или интеллектуальной собственности, установки вирусов или программ-вымогателей (вредоносного программного обеспечения, которое блокирует файлы до тех пор, пока пользователи не заплатят выкуп) или вызывать системные сбои, которые останавливают бизнес.

Их цели могут даже включать влияние на выборы или манипуляцию финансовыми рынками. Киберпреступники могут отправлять по электронной почте или публиковать фейковые новости, пресс-релизы или графику акций, которые обманывают людей и заставляют инвестировать.

Почему существует так много форм мошенничества с социальной инженерией?

Существует множество форм мошенничества с использованием методов социальной инженерии, поскольку преступники всегда будут действовать там, где находятся жертвы. По мере того, как мы находим новые способы общения и взаимодействия, злоумышленники придумывают новые, подходящие для конкретных каналов схемы, чтобы воспользоваться нашей эмоциональной уязвимостью.

Что такое фишинг?

Фишинг — это тактика социальной инженерии, основанная на мошеннических письмах, чтобы заманить получателей отправить деньги или раскрыть конфиденциальную информацию.

Помните письма с «нигерийским принцем» 1990-х, где человек, утверждающий, что является африканской королевой, просил срочно финансовую помощь? Сейчас мы можем смеяться над этой предпосылкой, но это массовое мошенничество было одним из первых и самых базовых примеров фишинга. С тех пор фишинговые мошенничества росли по количеству и сложности.

Каковы предупреждающие признаки фишингового письма?

Предупреждающими признаками фишингового письма являются сообщения, вызывающие страх, панику или другие сильные реакции. Они звучат угрожающе или требуют немедленных действий, представляя срочные ситуации, такие как финансовые чрезвычайные ситуации, обнаружение «необычной активности» на вашем счете или неоплаченные счета.

Цель — напугать людей, заставив их ответить до того, как они успеют ясно мыслить. Многие фишинговые письма просят получателей перейти по ссылке или скачать вложение, но это может привести к непредвиденным последствиям, таким как ссылка на злонамеренный сайт, запуск компьютерного вируса или загрузка опасного программного обеспечения.

Что делать, если вы кликнули по фишинговой ссылке?

Если вы нашли фишинговую ссылку, отключите компьютер или устройство от интернета. Это может прервать вредоносные загрузки или заблокировать их запуск. Сканируйте систему с помощью проверенного программного обеспечения и следуйте инструкциям, если обнаружен вирус или вредоносное ПО.

Если вы ввели имя пользователя и пароль от одной из своих учетных записей при посещении поддельного веб-сайта, немедленно перейдите на легитимный сайт и измените их. Если есть хоть малейшая вероятность того, что вы раскрыли информацию, которая может нанести вам финансовый ущерб, свяжитесь со своим банком, чтобы получить инструкции о дальнейших действиях.

Если вы живёте в стране с кредитными бюро, стоит связаться с ними. В США три крупнейших кредитных бюро могут отслеживать ваше дело на предмет подозрительной активности. Они также позволяют бесплатно «заморозить» и «разморозить» ваш кредитный файл. Наконец, сообщите о кибермошенничестве в соответствующие органы и сообщите друзьям и коллегам о мошенничестве, чтобы они не поддались повторению вашей ошибки.

Что такое spear phishing?

Spear-фишинг — это целенаправленная, более персонализированная форма фишинга. Мошенники проводят исследование перед началом контакта, чтобы обращаться к вам по имени или утверждать, что представляют компанию или знакомого человека.

Часто они могут извлечь много деталей из социальных сетей, поэтому рассмотрите возможность использования фиксаторов конфиденциальности на сайтах социальных сетей, чтобы ограничить видимость ваших публикаций.

Что такое китобойная атака?

Китобойный промысел — это целенаправленная фишинговая атака, направленная непосредственно против корпоративных руководителей или других высокопоставленных лиц. Другими словами, крупная рыба («киты») в организации.

Что такое вишинг?

Вишинг — это разновидность фишинга, при которой вместо электронной почты используются телефонные звонки или голосовые сообщения.

Что такое смишинг?

Смишинг — это ещё один вид фишинга, направленный на потенциальных жертв через SMS (текстовые сообщения).

Что такое квишинг?

Квишинг — это вид фишинга, при котором мошенники убеждают людей отсканировать поддельный QR-код, который приводит их на вредоносный сайт, где их могут убедить раскрыть конфиденциальную информацию или скачать вредоносное программное обеспечение.

Что такое зишинг?

Зишинг — это фишинговая атака, которая осуществляется во время видеоконференций и использует технологию дипфейков, чтобы обмануть жертв. Буква «z» означает Zoom, но это может произойти на любой платформе.

Что такое фишинговая атака типа «рыбак»?

Фишинговая атака типа «рыболов» нацелена на пользователей социальных сетей, которые разместили жалобы на компанию или услугу. Мошенники создают поддельные профили в социальных сетях, а затем связываются с автором оригинального сообщения, выдавая себя за представителя службы поддержки клиентов, который хочет помочь. Они будут запрашивать личную информацию и использовать её для преступной деятельности.

Что такое подделка электронной почты?

Подделка электронной почты — это когда мошенники скрывают свою личность, скрывая адрес электронной почты или имя, чтобы письма казались узнаваемыми получателем. Иногда мошенники используют почтовые аккаунты настолько близко — возможно, отличающиеся всего одной буквой — что получатели не замечают расхождения.

Как работает механизм компрометации корпоративной электронной почты?

Компрометация бизнес-электронной почты — это когда киберпреступники взламывают корпоративную почтовую систему, чтобы создать письма, которые, кажется, исходят от кого-то на руководящей должности. Письма созданы, чтобы убедить других сотрудников раскрыть привилегированную финансовую информацию или разрешить платежные переводы, отправляющие деньги на мошеннические счета.

Что такое атака пугалом?

Атака Scareware пугает пользователей компьютеров, заставляя их устанавливать вредоносное ПО или открывать файлы, заражённые вирусами. Пользователь может получить всплывающее уведомление с ложным предупреждением о том, что его компьютер был заражен опасным вирусом. Затем им предлагают купить поддельное программное обеспечение или отправить деньги для разблокировки компьютера.

Что такое мошенничество с романтическими отношениями или с медовым котлом?

Мошенничество с романтическими отношениями или honeypot — это когда преступники создают реалистичные профили в приложениях для знакомств, сайтах или социальных сетях и делают вид, что испытывают романтический интерес к потенциальным жертвам. Обещая отношения, они просят деньги, продвигают мошеннические инвестиционные или криптовалютные схемы или просят личные данные для доступа к финансовым счетам.

Мошенники часто обходят меры защиты сайтов знакомств, предлагая перейти на переписку или электронную почту сразу после начала переписки.

Что мне делать после мошенничества?

Если вас обманули, свяжитесь с вашим банком и другими компаниями, которые ведут ваши финансовые счета, и расскажите им, что произошло. Измените имена пользователей и пароли и включите многофакторную аутентификацию для цифровых взаимодействий. Помогайте будущим жертвам, сообщив о преступлении.

В большинстве стран есть центральный орган, который занимается кибермошенничеством и мошенничеством. В США свяжитесь с Федеральной торговой комиссией через её сайт или позвонив по номеру 877-IDTHEFT (438-4338). Европол имеет список государств-членов с индивидуальными сайтами для отчётов.

Эта статья была первоначально опубликована 7 марта 2024 года и обновлена с учетом новых статистических данных от Федеральной торговой комиссии (FTC).

Предотвращение мошенничества

Защитите себя, свою семью и свой бизнес

Существуют простые шаги для защиты наших цифровых взаимодействий и предотвращения мошенничества. Ознакомьтесь с этими советами от Агентства по кибербезопасности и инфраструктуре США.

Подробнее

Связанные статьи

Волк в одежде возлюбленной: как мошенники в романтических отношениях манипулируют своими жертвами — и как мы можем остаться в безопасности

Кристин Гибсон

A person holds a smartphone with a dating app open on it.

Что вы ищете?

Рекомендуемый контент

Персонализация, созданная для того, что будет дальше

Mastercard запускает Merchant Cloud для упрощения и поддержки роста коммерции в глобальной экосистеме принятия

Mastercard Economics Institute представляет свой отчет «Экономический прогноз 2026»