Fingramota.kz  продолжает серию публикаций про основные методы интернет-мошенничества с использованием цифровых технологий. Сегодня рассмотрим распространенный вид мошенничества под названием спуфинг и как от него можно защититься.

Спуфинг (от англ. spoofing – подмена, обман, пародия) – современный вид кибератаки, при которой мошенник выдает себя за доверенную сторону, чтобы получить доступ к важным данным или информации. Действие может происходить через web-сайты, электронную почту, телефонные звонки, текстовые сообщения, коммуникационные сети. Другими словами, спуфинг – это злонамеренные действия злоумышленника с целью маскировки под другим именем, человеком, организацией, сетью.

Это общее название нескольких видов мошеннических действий, целью которых является получение доступа к личной информации, кража денег, распространение вредоносного программного обеспечения и т.д.

Разберем распространенные виды спуфинг-атак :

Пример 1. Звонки и SMS-сообщения

Мошенники звонят или отправляют SMS-сообщения, используя номер телефона другого человека (подмена идентификатора caller-id). Он может выдавать себя за сотрудника реальной компании, чтобы вызвать доверие. Самое главное для преступника – добиться действий в процессе телефонного разговора.

Например, мошенники сообщают о подозрительной операции и просят продиктовать личные данные для перевода денег со счёта, настаивают на смене пароля и отправке им секретного кода из SMS-сообщения банка. С помощью этой информации злоумышленники переводят деньги со счёта, и могут оформить на клиента онлайн-займ на крупную сумму.

Ключевое правило здесь – никогда и никому не сообщать пароли и какую-либо идентификационную информацию от ваших мобильных, финансовых и иных сервисов.

Если вы получаете ответы на звонки или сообщения, которые вы никогда не делали, это может быть одним из признаков того, что ваш номер был использован для организации таких атак.

Пример 2. Подмена сайта 

Мошенники создают вредоносный сайт похожий на надежный (например, известного банка, известный онлайн-магазин), используя его шрифты, цвета и логотипы и общую узнаваемую стилистику оформления.

Создается ложный интернет-магазин либо аналог известных сайтов, в котором указывают способы оплаты за товар либо услугу. На первый взгляд достаточно сложно определить, является ли сайт достоверным. При покупке товаров через интернет часто предполагается полная или частичная предоплата. В итоге все перечисленные деньги попадают на счет владельца магазина, который получив предоплату, может попросту не выслать товар, или выслать товар ненадлежащего качества, поддельный товар или товар не соответствующий описанию.

Кроме того, интернет-ресурсы могут быть зарегистрированы с помощью зарубежных сайтов, предоставляющих услуги анонимизации, что в ряде случаев затрудняет получение достоверных сведений о мошенниках.

Пример 3. Подмена почты 

Мошенники массово рассылают электронные письма с поддельными адресами отправителей (поле «от кого») с намерением заразить ваш компьютер вредоносными программами, заполучить деньги или украсть информацию. В качестве адресов электронной почты отправителей, зачастую подставляются те адреса, которым вы можете доверять.

Это делается путем регистрации действующего аккаунта электронной почты с другим адресом электронной почты, но с тем же именем, что и у контакта, за которого хотят выдать себя. Так же используются технические механизмы подмены служебной информации в почтовом сообщении с целью ввести в заблуждение получателя такого e-mail. Таким образом, получатель будет думать, что получает письмо от доверенного лица из списка контактов, но это не он.

Например, мошенник может выдавать себя за знакомого человека, используя точно отображаемое имя, которое есть в вашей адресной книге программы электронной почты. Поскольку большинство современных приложений электронной почты просто отображают имя отправителя письма (вместо фактического адреса электронной почты отправителя), мошенники используют эту функцию для обмана граждан.

Подробнее читайте в разделе "Осторожно, мошенники"