Skip to main content

Кібербезпека

12 березня 2025 року

 

Ваш посібник з виявлення шахрайства соціальної інженерії та кіберзагроз

Фішинг, вішинг, смишинг, квишинг, зишинг? Різновиди кібершахрайства зростають. Ось що вам потрібно знати.

Dianna Delling

Contributor

Технології зробили повсякденні справи, від спілкування до покупок та онлайн-банкінгу, незрівнянно простішим. Досягнення в галузі безпеки також роблять наше цифрове життя безпечнішим, ніж будь-коли раніше. Однак злочинці завжди шукають шлях всередину, і є одна вразливість, яку дуже важко захистити: людські емоції.

Згідно зі звітом Федеральної торгової комісії, опублікованим цього тижня, лише у США споживачі втратили понад 12,5 мільярда доларів через шахрайство у 2024 році, що на 25% більше, ніж у 2023 році. Споживачі повідомили про найбільші втрати грошей через шахрайство з боку інвесторів – 5,7 мільйона доларів, тоді як шахрайство з боку самозванців залишалося найчастіше зареєстрованим. Електронна пошта залишалася найпоширенішим способом, яким шахраї зв'язуються зі своїми жертвами, далі йдуть телефонні дзвінки та текстові повідомлення. 

шахрайство

/фрод/ • іменник

  1. обман, хитрість
  2. людина, яка не є тією, за яку себе видає

 

«Кіберзлочинці часто покладаються на людські емоції, такі як страх, цікавість, співчуття чи гордість, щоб обманом змусити своїх жертв повестися на шахрая», — каже Донна Меттінглі, директорка з корпоративної освіти та обізнаності з безпеки Mastercard. Шахрайство із застосуванням соціальної інженерії може бути використане для крадіжки грошей, встановлення шкідливого програмного забезпечення, доступу до бізнес-мереж для отримання інсайдерської інформації або виведення з ладу цілих комп'ютерних мереж. Важко зрозуміти, чого прагнуть шахраї, оскільки їхні схеми стали неймовірно складними.

Вони також стали переконливішими. Кібершахраї створюють фальшиві веб-сайти та вигадують складні фальшиві ідентифікаційні дані, щоб обдурити своїх жертв. І тепер вони використовують технології генеративного штучного інтелекту для створення оманливих електронних листів, телефонних дзвінків (покоління штучного інтелекту може імітувати голоси ваших близьких), зображень та відео (відомих як діпфейки), які настільки витончені, що їх майже неможливо розпізнати як підробку.

Навіть людей, яких навчили бути обережними, можна обдурити, як свідчить нещодавній інцидент у Гонконзі. Там багатонаціональна фінансова компанія втратила 25,6 мільйона доларів, коли співробітника обманом змусили переказати корпоративні кошти на злочинний рахунок. Його обдурили за допомогою фейкової відеоконференції з людьми, які виглядали та говорили як колеги, включаючи фінансового директора компанії, але насправді були самозванцями, створеними комп'ютером.

Щоб захистити себе від кіберзлочинів, корисно знати, які види шахрайства існують, щоб ви могли їх уникнути.

Що таке соціальна інженерія?

Соціальна інженерія — це використання обману та емоційних маніпуляцій для впливу на поведінку іншої людини. У цифровому світі кіберзлочинці використовують тактику соціальної інженерії, щоб обманом змусити людей розкрити конфіденційну інформацію або вжити заходів, які можуть завдати фінансової шкоди їм або їхнім роботодавцям.

Ці типи кібершахрайства можуть включати переконання людей передати готівку або надіслати гроші електронним способом. Шахраї також використовують їх для отримання особистої інформації, такої як номери соціального страхування, номери кредитних карток або облікові дані для входу, щоб пізніше красти гроші, здійснювати шахрайство або продавати іншим злочинцям.

Шахрайство із застосуванням соціальної інженерії може полягати у спробі отримати доступ до вашого персонального комп’ютера або корпоративної комп’ютерної мережі з метою крадіжки даних чи інтелектуальної власності, встановлення вірусів або програм-вимагачів (шкідливого програмного забезпечення, яке блокує файли, доки користувачі не сплатять викуп) або спричинення системних збоїв, які зупиняють бізнес.

Їхні цілі можуть навіть включати вплив на вибори або маніпулювання фінансовими ринками. Кіберзлочинці можуть надсилати електронною поштою або публікувати фейкові новини, прес-релізи чи графіки цін на акціях, які обманом спонукають людей робити інвестиції.

Чому існує так багато форм шахрайства із застосуванням соціальної інженерії?

Існує багато форм шахрайства із застосуванням соціальної інженерії, оскільки злочинці завжди йдуть туди, де є жертви. У міру того, як ми знаходимо нові способи спілкування та встановлення зв'язку, зловмисники винаходять нові схеми, що відповідають каналам зв'язку, щоб скористатися нашими емоційними вразливостями.

Що таке фішинг?

Фішинг — це тактика соціальної інженерії, яка використовує шахрайські електронні листи, щоб заманити одержувачів у надсилання грошей або розкриття конфіденційної інформації.

Пам'ятаєте електронні листи від "нігерійського принца" 1990-х років, де людина, яка називала себе африканською королівською особою, просила термінової фінансової допомоги? Ми можемо зараз сміятися з цієї передумови, але ця поширена афера була одним із найперших і найпростіших прикладів фішингу. З тих перших днів кількість та складність фішингових шахрайств зросла.

Які попереджувальні ознаки фішингового електронного листа?

Попереджувальними ознаками фішингового електронного листа є повідомлення, які викликають страх, паніку або інші сильні реакції. Вони звучать загрозливо або спонукають до негайних дій, описуючи термінові ситуації, такі як фінансові надзвичайні ситуації, виявлення «незвичайної активності» на вашому рахунку або неоплачені рахунки.

Мета полягає в тому, щоб залякати людей і змусити їх відреагувати, перш ніж вони встигнуть ясно подумати. Багато фішингових електронних листів просять одержувачів натиснути на посилання або завантажити вкладення, але будь-яке з цих дій може призвести до небажаних наслідків, таких як посилання на небезпечний веб-сайт, зараження комп’ютерним вірусом або завантаження небезпечного програмного забезпечення.

Що робити, якщо ви перейшли за фішинговим посиланням?

Якщо ви перейшли за фішинговим посиланням, від’єднайте свій комп’ютер або пристрій від Інтернету. Це може перервати шкідливі завантаження або заблокувати їх запуск. Перевірте свою систему за допомогою надійного програмного забезпечення безпеки та дотримуйтесь інструкцій, якщо виявлено вірус або шкідливе програмне забезпечення.

Якщо ви ввели ім’я користувача та пароль для одного зі своїх облікових записів під час відвідування фальшивого веб-сайту, перейдіть на легітимний сайт і негайно змініть їх. Якщо є ймовірність того, що ви розкрили інформацію, яка може бути використана для заподіяння вам фінансової шкоди, зверніться до свого банку, щоб отримати інструкції щодо подальших дій.

Якщо ви живете в країні, де є бюро кредитних історій, варто звернутися до них. У США три основні кредитні бюро можуть стежити за вашим файлом на предмет підозрілої активності. Вони також дозволять вам безкоштовно «заморозити» та «розморозити» вашу кредитну історію . Зрештою, повідомте про кібершахрайство або шахрайство відповідним органам і розкажіть друзям і колегам про аферу, щоб вони не були спонукані повторити вашу помилку.

Що таке фішинг з використанням спід-фашингових технологій?

Спірний фішинг – це цілеспрямована, більш персоналізована форма фішингу. Шахраї проводять дослідження, перш ніж розпочати контакт, тому вони можуть звертатися до вас на ім'я або стверджувати, що представляють компанію чи особу, яку ви знаєте.

Часто вони можуть зібрати багато деталей із соціальних мереж, тому подумайте про використання угод про конфіденційність на сайтах соціальних мереж, щоб обмежити поширення ваших публікацій.

Що таке напад китобійного промислу?

Китобійний вилов – це цілеспрямована фішингова атака, спрямована безпосередньо на керівників корпорацій або інших високопосадовців. Іншими словами, великі риби («кити») в організації.

Що таке вішинг?

Вішинг — це форма фішингу, яка використовує телефонні дзвінки або голосові повідомлення замість електронної пошти.

Що таке посміхатися?

Смішинг – це ще один вид фішингу, спрямований на потенційних жертв за допомогою SMS (текстових повідомлень).

Що таке кушінг?

Квішинг – це вид фішингу, коли шахраї переконують людей просканувати підроблений QR-код, який перенаправляє їх на шкідливий веб-сайт, де їх можуть переконати розкрити конфіденційну інформацію або завантажити шкідливе програмне забезпечення.

Що таке зішинг?

Зишинг — це техніка фішингу, яка застосовується під час відеоконференцій та використовує технологію діпфейків для обману жертв. «Z» означає Zoom, але це можливо на будь-якій платформі.

Що таке фішингова атака рибалки?

Фішинг-атака на рибалок спрямована на користувачів соціальних мереж, які публікували скарги на бізнес чи послугу. Шахраї створюють фальшиві профілі в соціальних мережах, а потім зв’язуються з оригінальним користувачем, видаючи себе за представника служби підтримки клієнтів, який хоче допомогти. Вони запитуватимуть особисту інформацію та використовуватимуть її для злочинної діяльності.

Що таке підробка електронної пошти?

Підробка електронної пошти – це коли шахраї приховують свою особу, маскуючи свою адресу електронної пошти або ім’я, щоб електронні листи виглядали так, ніби вони надходять від когось, кого одержувач впізнає. Іноді шахраї використовують настільки схожі облікові записи електронної пошти — можливо, відрізняються лише однією літерою — що одержувачі не помічають розбіжностей.

Як працює компрометація ділової електронної пошти?

Компрометація ділової електронної пошти відбувається, коли кіберзлочинці зламують корпоративну поштову систему, щоб створювати електронні листи, які виглядають так, ніби надходять від особи, яка обіймає керівну посаду. Ці електронні листи створені для того, щоб переконати інших співробітників розкрити конфіденційну фінансову інформацію або авторизувати платіжні перекази, які надсилають гроші на шахрайські рахунки.

Що таке атака scareware?

Атака програмного забезпечення-страшилки залякує користувачів комп'ютерів, змушуючи їх встановлювати шкідливе програмне забезпечення або відкривати заражені вірусом файли. Користувач може отримати спливаюче сповіщення з помилковим попередженням про те, що його комп’ютер заражений небезпечним вірусом. Потім їм пропонують придбати підроблене програмне забезпечення або надіслати гроші, щоб розблокувати комп'ютер.

Що таке романтична афера або шахрайство з використанням медового горщика?

Романтична або «honeypot» афера — це коли злочинці створюють реалістичні профілі в додатках та веб-сайтах знайомств або на платформах соціальних мереж та симулюють романтичний інтерес до потенційних жертв. Обіцяючи стосунки, вони просять гроші, просувають шахрайські інвестиційні чи криптовалютні схеми або запитують особисті дані для доступу до фінансових рахунків.

Шахраї, що займаються романтичними стосунками, часто обходять запобіжні заходи на сайтах знайомств, пропонуючи переїзд через текстові повідомлення або електронні листи невдовзі після початку розмови.

Що мені робити після того, як мене обдурили?

Якщо вас обдурили, зверніться до свого банку та будь-яких інших компаній, які керують вашими фінансовими рахунками, і повідомте їм, що сталося. Змініть імена користувачів та паролі й увімкніть багатофакторну автентифікацію для цифрової взаємодії. Допоможіть майбутнім жертвам, повідомивши про злочин.

У більшості країн є центральний орган, який займається кібершахрайством та шахрайством. У США зверніться до Федеральної торгової комісії через її вебсайт або зателефонувавши за номером 877-IDTHEFT (438-4338). Європол має список держав-членів з окремими веб-сайтами для звітності

Ця історія була вперше опублікована 7 березня 2024 року та оновлена новою статистикою від FTC.  

Запобігання шахрайству

Захистіть себе, свою родину та свій бізнес

 

 

Існують прості кроки для захисту наших цифрових взаємодій та уникнення шахрайства. Ознайомтеся з цими порадами від Агентства з кібербезпеки та інфраструктури США.

 

 

 

Дізнатися більше