Социальные сети как широкое поле деятельности для кибер-мошенников

Интернет-сайты произвели революцию в сфере виртуального общения, самовыражения и взаимодействия между пользователями, однако хакеры, спамеры, скамеры и прочие мошенники все еще продолжают использовать социальные платформы в своих низких целях.

Существует два наиболее распространенных способа, которые применяются злоумышленниками в соцсетях. Довольно часто мошенники придерживаются комбинированной тактики.

1.Опытные хакеры специализируются в написании компьютерных кодов с целью получения доступа или установки вредоносного ПО на компьютеры или смартфоны пользователей.

2.Так называемые «социальные хакеры», могут использовать в своих преступных целях личные связи людей, у которых есть страницы в соцсети (посредством телефонных разговоров, переписки по электронной почте и во время личного общения). Иногда таких мошенников еще называют «социальными инженерами».

Пользователи являются «слабым звеном» в смысле кибер-безопасности, и хакеры, или социальные манипуляторы, которые осведомлены об этом, умеют мимикрировать и поначалу их действия кажутся вполне законными и не несущими никакой угрозы.

Если человек станет жертвой онлайн-мошенничества или же его компьютер будет взломан, от этого может пострадать не только он сам, но и организация, на которую он работает. Как только информация была размещена в соцсети, она уже не является личной. Чем больше информации вы размещаете, тем уязвимее вы становитесь. Даже если вы используете настройки безопасности, друзья или веб-сайты могут обращаться некорректно с вашей личной информацией.

Личные данные, которыми пользователи делятся с друзьями по соцсетям, часто используются не в их интересах. Объем размещенных сведений прямо пропорционален вероятности, что кто-то может, представившись вашим именем, попросить кого-то из друзей, чтобы они установили на своем компьютере определенное программное обеспечение, либо предоставили доступ к определенным сайтам.

Хакеры, конкуренты по бизнесу и даже агенты иностранных спецслужб могут заниматься троллингом в социальных сетях, выискивая определенную информацию и людей, которых можно было бы эксплуатировать. Некоторые сведения, полученные в соцсети, могут быть использованы не только с целью онлайн-мошенничества.

Тактика социальных хакеров:

Приманка. Кто-то может дать вам USB флеш-драйв, либо другой носитель, содержащий вредоносное ПО, надеясь, что вы установите его на свой лэптоп, вследствие чего ваш компьютер можно будет взломать. Не используйте электронные устройства для хранения данных в том случае, если вы не уверены, что эти девайсы безопасны. Сканируйте перед воспроизведением все мадиа-файлы с помощью антивирусного ПО.

На сайтах с легальным контентом часто размещаются скрытые гиперссылки, нажатие на которые может привести к непредвиденным последствиям: загрузке файлов с вирусами, либо считыванию ваших идентифицирующих данных. Мошенники, использующие такую стратегию, довольно часто размещают на страницах социальных сайтов кнопки «Like» и «Share». Отключите плавающие фрэймы и скриптинг в вашем браузере. Попробуйте найти другие способы, позволяющие повысить уровень безопасности.

Межсайтовый скриптинг (XSS). Вредоносный код может быть размещен на сайте, которому вы доверяете. Тактика пассивного XSS заключается в том, что скрипт не хранится на сервере уязвимого сайта, и для его активации браузер жертвы должен выполнить определенное действие (клик по определенной ссылке). Активный ХSS подразумевает, что вредоносный код хранится на сервере и активируется в браузере жертвы в момент открытия определенной страницы зараженного сайта.

Отключайте поддержку «HTTP TRACE» на всех серверах. Используйте дополнительные средства против XSS.

Способ мошенничества, во время которого имеет место публичное обнародование личных сведений о человеке: его имени, даты рождения, адреса, фотографии.

Сохраняйте бдительность, когда публикуете информацию о себе, вашей семье, друзьях и родственниках.

Выведывание. Стратегия использования частной беседы с целью получения важной информации о человеке, но при этом объект манипуляции об этом не подозревает.

Способ мошенничества, при котором пользователь получает перенаправление с легального сайта на сайт преступников, это делается с целью получения конфиденциальных сведений. К примеру, злоумышленники могут разработать дизайн сайта, идентичный официальному сайту банка.

Обращайте внимание на адреса сайтов, названия которых похожи на известные сайты или доменные имена, либо в которых используется «com» вместо «gov». Вписывайте название сайта в адресную строку, вместо нажатия на ссылку.

Пример:

По большей части вирусы попадают в компьютеры посредством сайтов. Лишь простое посещение сайта, а не только загрузка файла или программы, может стать причиной того, что в ваш компьютер попадет вредоносное ПО. Очень часто даже легальные сайты могут быть инфицированы. Злоумышленники часто создают сайты, содержащие информацию о знаменитых людях, либо заголовки сенсационных новостей, с целью привлечения большего числа жертв.

Фишинг. Наиболее распространенная форма фишинга – это когда пользователь получает электронное письмо от доверенной организации или человека, но в тексте письма содержится ссылка или прикрепленный файл с вирусом. Жертвами фишинга, как правило, становятся случайные люди, но порой мошенники избирают в качестве своих мишеней определенных пользователей или организации.

Не открывайте письма или прикрепленные файлы, адрес которых вам неизвестен. Если вы получили подозрительное письмо от знакомого вам человека, уточните, отправлял ли он его вам.

Пример:

В марте 2011 года хакеры отослали два письма служащим небольшой охранной фирмы RSA. Требовался лишь один человек, который откроет инфицированное письмо и запустит вредоносное ПО. По замыслу мошенников, вирусная программа должна была передать информацию о том, как обойти защитные механизмы компьютерной системы RSA. В мае и июне 2011-го по этой причине имели место утечки информации в ряде охранных организаций.

Фрикинг – получение несанкционированного доступа к телекоммуникационным системам.

Не давайте никому телефонные номера, предоставляющие непосредственный доступ к частным телефонным станциям.

Жульничество – сделки, посредством которых люди передают деньги, информацию или предоставляют услуги.

Если что-либо звучит слишком хорошо, чтобы быть правдой, тогда, скорее всего, это жульничество. Кибер-преступники используют различные события или новости в качестве приманки, провоцирующей пользователей открыть инфицированные имэйлы, посетить сайты, либо пожертвовать деньги на благотворительность.

Пример:

В преддверье начала Чемпионата мира по футболу 2010 года, сетевые мошенники рассылали предложения приобрести билеты и письма, сообщающие, что получатель письма выиграл поездку в Южную Африку на один из матчей.

После ликвидации Усамы бин-Ладена на «Фэйсбуке» был размещен видеосюжет о том, как в пригороде Исламабада происходил захват дома террориста № 1. Однако это был всего лишь трюк. Когда пользователи нажимали ссылку, им сообщалось о необходимости скопировать код JavaScript в строку браузера, после чего все друзьям жертвы также отправлялось это уведомление, в конечном итоге хакеры получали доступ к учетным записям пользователей.

В сети распространен способ мошенничества, когда компьютеры или злоумышленники обманывают пользователей, выдавая себя за других людей, скрывая настоящий IP-адрес.

Таким образом преступник может представляться вашим коллегой по работе, или же представителем интернет-провайдера для того, чтобы выведывать информацию личного характера.

Превентивные меры во время работы:

- Используйте многоуровневую защиту.
- Определите, каким образом вы теряли важные данные в прошлом и не допускайте повторения подобных ситуаций. Расскажите служащим об угрозах, и что необходимо делать, чтобы этого избежать.
- Осуществляйте беспрерывный мониторинг в сети.
- Установите определенные правила для работы систем, выявляющих несанкционированное вторжение в компьютерную сеть.
- Определите, какой информацией о компании следует делиться в блогах на личных страницах социальных сетей.
- Объясните служащим, что последствия того, как они ведут себя в сети, могут быть довольно серьезными.
- Ежегодно проводите образовательные тренинги.
- Попросите служащих как можно скорее сообщать обо всех подозрительных инцидентах.

Дополнительные меры:

- Не сохраняйте важную информацию на девайсах, подключенных к интернету.
- Всегда используйте настройки высокого уровня безопасности в соцсетях, и ограничивайте личную информацию, которой вы делитесь. Следите за тем, что другие пишут о вас во время онлайн-дискуссий.
- Используйте антивирусное ПО и брандмауэр. Регулярно обновляйте эти программы.
- Периодически проводите смену паролей и не используйте старые комбинации цифр, букв и символов. Используйте один и тот же пароль лишь только для одной системы и сервиса. К примеру, если кто-то узнает пароль от вашей электронной почты, он не сможет использовать его и для доступа к вашему интернет-банкингу.
- Не публикуйте то, о чем вы в дальнейшем можете пожалеть, либо то, что не должны знать люди, с которыми вы лично не знакомы.
Удостоверьтесь, что те люди, с которыми вы поддерживаете связь, не выдают себя за других, поскольку такое очень даже возможно.
- Не нажимайте сразу же на ссылки в письмах, которые якобы адресованы социальными сайтами, зайдите на этот сайт, вписав адрес в строку браузера, чтобы прояснить ситуацию.
- Устанавливайте лишь то ПО, которое было взято с доверенных сайтов. «Бесплатные» программы могут содержать вирусы.
- Отключите кодирование в Системе глобального позиционирования (GPS). Многие цифровые камеры кодируют местоположение во время съемки. Если фотография будет размещена на сайте, тогда пользователям будут видны и GPS-координаты.
- По возможности шифруйте вашу переписку. Некоторые социальные сети предоставляют такую возможность.
- Избегайте доступа к персональным учетным записям посредством компьютеров, установленных в местах общественного пользования, или в через общественные точки WiFi.
- Остерегайтесь случайных контактов с лицами, которые занимаются поиском личной или корпоративной информации.
- Контролируйте состояние текущего баланса банковского счета, кредитную историю и прочие сведения.