Текст книги "Цифровая гигиена"

На жадину не нужен нож,

ему покажешь медный грош —

и делай с ним что хошь.

На пользователей Сети лавиной валятся сообщения о деньгах с неба: социальных выплатах от вымышленных фондов, беспроигрышных лотереях от крупных компаний, конкурсах с большими призами.

Это большой бизнес. В Сети создаются и работают тысячи мошеннических сайтов с платными опросами и конкурсами. Компании, занимающиеся аналитическими исследованиями в области информационной безопасности, оценивают потери пользователей от фальшивых опросов в миллиарды рублей[11]11
  По данным «Лаборатории Касперского». https://www.kaspersky.ru/about/press-releases/2020_laboratoriya-kasperskogo-v-2020-godu-zloumishlenniki-aktivno-ispolzuyut-temu-oprosov-v-skam-shemah.


[Закрыть].

Мошенники зазывают пройти опрос сообщениями в соцсетях, мессенджерах, чатах и на форумах. Ссылки на опросы и конкурсы также активно рассылают спамом по электронной почте и SMS.

Злоумышленники обещают хорошее вознаграждение за прохождение опроса – десятки, а иногда и сотни тысяч рублей. Но сначала нужно заплатить небольшую «комиссию», как правило 200–300 рублей. Потом, конечно, никакого вознаграждения за опрос не платится, а деньги не возвращаются. Иногда при оплате похищаются данные кредитных карт пользователей, с которых они платили эту «комиссию».

Популярность именно мошеннических опросов объясняется сравнительно низкими затратами на создание, публикацию и рекламу страницы «опроса». Кроме того, при небольших суммах нанесённого ущерба (до 5000 рублей) это мошенничество квалифицируется как административное правонарушение, которое карается лишь штрафом, так что правоохранителям неинтересно заниматься такими делами. На то, чтобы по странице в Сети вычислить и поймать мошенника, укравшего у пользователя 300 рублей, у полиции часто нет ни времени, ни ресурсов, ни желания.

Это классический крючок – поманить большими деньгами, попросив скромную сумму ниже порога «импульсного платежа».

«Как это работает: пользователь получает сообщение, в котором обещают крупное вознаграждение за прохождение опроса, например о качестве предоставляемых известной компанией услуг. Но для получения денег есть условие: нужно заплатить комиссию или закрепительный платеж порядка 300 рублей. В итоге выплату человек не получает, а комиссия достается мошенникам.

Есть и более изощрённый вариант. В соцсетях якобы крупный производитель, например, косметики просит ответить на несколько вопросов. Взамен пользователю обещают либо ценный приз, либо деньги – довольно крупные, до 200 тысяч рублей. Как правило, рекламирует акцию якобы известная медийная личность, и многие доверчивые граждане этому верят. После опроса пользователя также просят заплатить комиссию.

После перечисления денег предлагают сделать ещё один, последний платёж (причину задержки, как правило, приводят убедительную). Затем история повторяется снова и снова – до тех пор, пока человек не остановится»[12]12
  За спрос деньги берут: число мошеннических опросов выросло в 2,6 раза // Известия, 2020. – 18 октября [Электронный ресурс]. – Режим доступа: https://https://iz.ru/1074245/anastasiia-gavriliuk/za-spros-dengi-berut-chislo-moshennicheskikh-oprosov-vyroslo-v-26-raza.


[Закрыть].

Кроме различных вариантов социотехники, втягивающей пользователя в сложные сценарии, основанные на его желании получить много денег, существуют разнообразные схемы вымогательства с запугиванием, где крючком служит страх.

Наиболее показательный пример последних лет – письмо от «хакера», который якобы взломал ваш компьютер.

Я видел, как ты скачивал порно!

Довольно известный современный пример вымогательства – электронное письмо от «хакера» примерно следующего содержания:

«Это твой пароль – XXXXXXX, верно? Откуда я его знаю? Я установил на твой компьютер шпионскую программу и знаю и вижу через камеру всё, что ты делаешь. Я записал, как ты просматривал очень нехорошее порно! Если не хочешь, чтобы я опубликовал видео с этим порно и твоим лицом (хе-хе-хе) во время его просмотра, перечисли столько-то биткоинов/долларов/рублей на такой-то кошелёк».

Никакого видео у «хакера» нет, а пароль, которым он щеголяет, скорее всего, какой-нибудь временный вариант, который вас попросили придумать и ввести для скачивания чего-то с сетевого диска или пиратского сайта несколько месяцев назад. И который владельцы этой файлопомойки «слили», то есть передали (продали) мошенникам.

Этот пароль ни на что не влияет, не имеет никакого отношения к угрозам вымогателя и к выдуманному «взлому» вашего компьютера. Но письмо кажется достаточно убедительным: пароль-то действительно ваш, вы его вроде бы даже помните.

В 2019 году вымогатели усложнили схему: они предлагают получателю письма убедиться в наличии у «хакера» этого «стыдного» видео, для чего нужно перейти по ссылке в письме.

Никакого ролика по ссылке не будет: там предложат скачать запакованный архив с видео; если его распаковать и открыть содержимое, то на вашем устройстве запустится вирус-шифровальщик, который зашифрует все ваши файлы и потребует выкуп за восстановление данных.

Письмо вымогателей, естественно, нужно игнорировать. Лучше всего сразу удалить его, чтобы нечаянно не перейти по содержащимся в нём ссылкам.

Телефонные мошенники

Вокруг телефонов, которые сейчас есть в кармане у каждого, давно уже разрослась огромная мошенническая индустрия.

Сегодня мошенники часто работают прямо из тюрем, где у заключённых есть мобильные телефоны, масса свободного времени и тщательно проработанные схемы мошенничества.

Ниже перечислено несколько примеров типовых ситуаций, несущих риск телефонного мошенничества.

■ «Нет времени объяснять». Звонок с просьбой о помощи, часто как бы от родственника или знакомого. Обычно просят срочно перевести денег на телефон или карточку, а объяснить, в чём дело, мошенник обещает потом, потому что он попал в ДТП, в отдел полиции и т. п. «Попросил тут телефон, мой изъяли/разряжен/разбился».

■ Звонок из банка. Довольно частый вид мошенничества – звонок якобы из банка. Цель мошенников – украсть деньги владельца карты, для чего достаточно получить её полные данные (номер, дату окончания срока действия и CVV/CVC-код).

Дальше мошенник должен своими средствами сделать перевод как бы с этой карты, а потом подтвердить его банку кодом из SMS. Это сообщение приходит на телефон владельца карты, так что только он сможет подтвердить платёж. Чтобы заставить его это сделать, мошенник использует различные приёмы социотехники.

Самый популярный способ – представиться сотрудником банка. Выдуманный повод для звонка при этом может быть любым, с использованием разных крючков.

■ Сотрудничество. Разные формальности, деловые отношения с банком, эксплуатация склонности к сотрудничеству: «обновляем базы данных», «нужно уточнить персональные данные», «подтвердить перевод с карты».

■ Запугивание. «Это звонит менеджер вашего банка. Была попытка снять у вас деньги с карты, зафиксированная в Чехии! Карта заблокирована, могут украсть деньги, нужно срочно что-то сделать, а что – я сейчас вам скажу».

■ Жадность. Вам пришёл перевод на карту или вы выиграли приз, а чтобы получить деньги, нужно сообщить данные карты и подтвердить код из SMS.

Есть и другие сценарии и приёмы социотехники: мошенники постоянно их меняют. И только запрос ваших данных и попытка получить код из SMS или голосовое согласие для подтверждения трансакции остаются неизменны.

Откуда у них ваши личные данные? Конечно, когда вам звонит сотрудник банка, называет вас по имени-отчеству, сообщает номер карты, это вызывает доверие. А откуда мошенники знают всё это? На самом деле такие данные получить очень легко, в том числе от вас же.

Многие оставляют свои Ф.И. О. и номера телефонов в социальных сетях или в WhatsApp, часто пересылают и номер карты по SMS или в каком-нибудь чате. Если в чате находится множество малознакомых людей, через них легко может произойти утечка. А данные из социальных сетей выкачивают и анализируют специальные программы – парсеры.

Сервисы «Клиент-банк» многих банков (например, Сбербанка, Альфа-Банка) по номеру телефона показывают имя-отчество и первую букву фамилии. Есть много сервисов в Сети для «пробивания» фамилии и имени по номеру телефона. И так далее. Люди с хорошими навыками «разведки» в Интернете могут легко получить эти данные.

Так что знание персональных данных (Ф. И.О., номера телефона и кредитной карты) вовсе не означает, что звонит обязательно сотрудник банка. Если это звонок с неизвестного номера, то с большой долей вероятности это финансовый мошенник.

■ Навязчивые расспросы по телефону. Один из распространённых видов мошенничества – попытка записи голоса абонента, с тем чтобы потом попытаться с её помощью пройти процедуру идентификации в банке. Для этого при звонке задаются вопросы, имеющие целью заставить владельца телефона ответить «да» или назвать свои имя, отчество и фамилию. Потом мошенники попытаются зайти в банковский аккаунт, пройти авторизацию с помощью записанных ответов владельца счёта и снять деньги.

■ Просьба перезвонить на платный номер. Распространённый вид мошенничества – попытка заставить абонента перезвонить на платный номер (консультации, секс по телефону и т. п.), где с него без его ведома будут списываться большие деньги за каждую минуту разговора. Основное правило здесь – никогда не перезванивать ни на какие незнакомые номера: ни на пропущенные звонки, ни по просьбе незнакомцев.

■ Звонок незнакомца со знакомого номера. Сейчас у мошенников распространены как «серые» сим-карты, купленные в метро с рук для анонимных звонков, так и виртуальные. Виртуальная карта позволяет не просто звонить анонимно, а подставлять любой обратный номер.

Это значит, что мошенник может позвонить с выбранного номера, в том числе с номера вашего знакомого. У вас высветится имя звонящего, и даже голос может быть похож (или по крайней мере с ходу вы не заподозрите подмену). Средства «порчи» связи и голоса, а также синтезаторы, которые могут подделывать голоса (если у них есть образец голосов знакомых), позволяют достаточно долго вести разговоры без разоблачения. Здесь для проверки звонящего могут помочь семейные «пароли» или детали биографии, которые могут знать только настоящие знакомые.

Подробнее о гигиене звонков говорится в конце главы, в подразделе «Гигиена связи: опасные звонки и SMS».

Платные подписки операторов

Часто люди жалуются, что с их телефона неожиданно списали деньги за платные услуги мобильного оператора или какой-то организации.

Платные подписки есть у всех крупных операторов. Пользователи часто обнаруживают их случайно. Нечаянно «подписаться» на услуги можно не только при посещении сайтов с порнографией или пиратским контентом, но и при просмотре внешне законного и безопасного сайта, нечистоплотный веб-мастер которого решил подзаработать переадресацией пользователей мобильных телефонов на мошеннический ресурс.

Иногда такие вещи делают даже благотворительные фонды! Например, после перевода 1000 рублей на спасение какого-то больного ребёнка вы можете через пару месяцев обнаружить, что теперь эта сумма списывается с вашего счёта каждый месяц. Так произошло потому, что при переводе вы не заметили проставленную галочку о постоянной подписке на сайте благотворителей, которая могла быть специально сделана незаметной или вообще находилась за нижней границей экрана.

Да, конечно, от этого каким-то способом можно отказаться (по SMS, электронной почте или на сайте фонда), но вы-то даже не подозревали о платежах.

Такие подписки на контент и услуги со списанием денег с мобильного счёта делятся условно на «белые» и «чёрные».

«Белые», то есть открытые и легальные подписки от оператора или его контентных партнёров, дают пользователю возможность решить самостоятельно, хочет ли он потратить деньги на предлагаемую услугу или контент.

Другой вопрос, что человек, увлечённый, например, игрой, может потратить деньги импульсивно. Да и сами программы, предлагающие по подписке решение каких-нибудь проблем, зачастую не делают обещанного, хотя деньги списывают исправно.

А вот о «чёрных» подписках вы можете узнать только по факту неожиданного и регулярного списания денег.

В основном они включаются при попытке пользователя скачать что-то бесплатно на сайтах, которые находятся в партнёрстве с сотовыми операторами. В момент подтверждения скачивания вас могут подписать на ненужную услугу.

Советы по обнаружению или недопущению непрошеных платных подписок на смартфоне мы даём в конце главы.

Слежка

Как мы писали выше (и подробно объясним в главе 2, посвящённой цифровому следу), смартфон – идеальное средство для слежки со стороны как спецслужб, так и множества технологических платформ, установленных на него или на каналы связи (самой операционной системы Android или iOS, рекламной системы, приложений, систем мобильного оператора и пр.).

Надо помнить, что всякий раз, когда у вас под рукой смартфон, очень многие внешние наблюдатели точно знают, где вы находитесь, с кем предположительно общаетесь, что приблизительно говорите и что примерно делаете.

Многие из этих наблюдателей не только не являются вашими официальными партнёрами, как мобильный оператор или государственные службы, но и могут быть прямо враждебными или жадными до ваших денег.

Что делать и чего не делать? Простые правила кибергигиены

Вот несколько хороших правил, которым стоит следовать.

■ Проверять свой счёт на платные подписки и услуги. Вас могут подписать на ненужные вам (и притом платные) сервисы без вашего ведома: это делают как связанные с вашим мобильным оператором частные компании, так и сами мобильные операторы.

Если вы заметили странную активность на смартфоне или регулярный «уход» денег со счёта, стоит проверить свой аккаунт: вдруг там появились платные подписки? Впрочем, это вообще стоит делать регулярно, как минимум 1–2 раза в год, даже если вы ничего пока не замечаете. У большинства операторов есть сервис по проверке подписок как на сайте, так и по SMS.

■ Проверять список услуг на своём мобильном тарифе. В целях финансовой гигиены вам также стоит проверять, за что вы платите мобильному оператору. Кроме незаконных и непрошеных подписок у вас могут появиться ненужные платные услуги в рамках вашего мобильного тарифа.

■ Не подключать автопополнение при снижении баланса. Пополняйте счёт телефона только вручную. Тогда при столкновении с мошенничеством или незапланированными списаниями в роуминге вы сохраните свои деньги.

■ Использовать «контентный счёт». Чтобы ограничить финансовые потери в случае появления непрошеных подписок, можно подключить так называемый контентный счёт, на который, если уж понадобится, вы переведёте деньги для заказа платных услуг у оператора. При отсутствии денег на контентном счету с обычного телефонного счёта деньги списать не смогут.

■ Отключать 4G в роуминге. Если вы не планируете пользоваться Интернетом в роуминге, отключите 4G/LTE в принципе, а не только передачу данных со смартфона, иначе с вас всё равно будут списывать деньги не за ваш, а за служебныйтрафик в LTE-сети.

■ Выбрать тариф с фиксированной стоимостью. С распространением пакетных тарифов в последнее время появилась возможность выбрать тариф с фиксированной стоимостью, в который включены нужные вам минуты, гигабайты и SMS. Если вы настроите фиксированный автоплатёж для списания абонентской платы, то 29 дней в месяц из 30 у вас на счету даже не будет денег, которые мошенники смогли бы украсть.

■ Сменить оператора. На мобильном рынке сейчас есть операторы, которые в принципе не дают возможности оформить хоть какую-то подписку на платный контент (Yota, «Тинькофф», «СберМобайл» и др.): выбирайте их, если не хотите разбираться с проблемой подписок.

В отношении мобильного телефона ребёнка соблюдайте такие правила.

■ Не привязывать телефон к кредитным картам, банковскому счёту, платёжным системам. Все платежи за ребёнка нужно делать самостоятельно. Если на смартфоне нет доступа к деньгам, их нельзя похитить.

■ Установить на смартфоне надёжный пароль. Это позволит защитить телефон от доступа к нему чужих людей при потере устройства или при попадании в руки одноклассников либо, например, товарищей по спортивной секции. В подразделе «Управление паролями» далее подробно описано, какой пароль можно считать надёжным.

■ Иметь доступ к смартфону ребёнка. Естественно, родители должны знать пароль ребёнка. Мы категорически не рекомендуем разрешать ребёнку устанавливать собственный пароль (неизвестный родителям) или использовать биометрические средства входа по отпечатку пальца или изображению лица. Кроме того, дети часто ставят очень простые пароли, регулярно забывают их, а биометрическое распознавание не всегда работает надёжно и иногда блокирует доступ к телефону в самый нужный момент.

■ Ограничить установку приложений. Это позволит закрыть ребёнку доступ к нежелательному контенту. Стоит также установить антивирус и определитель звонков от российского производителя – просто потому, что аналогичный продукт иностранного производства может (и, как показывает практика, обязательно будет) пытаться слить на свои серверы все, до чего способен дотянуться в памяти телефона, включая списки контактов и файлы. Это защитит телефон от спама и вредоносных программ.

■ Установить ограничения и контроль на мобильном счёте. В личном кабинете мобильного оператора нужно установить лимит расходов на мобильном счёте, подключить пересылку уведомлений и подтверждений о совершаемых операциях на телефон взрослого, а также отключить возможность подписок на платный контент и изменение тарифа.

Естественно, нужно прочесть ребёнку лекцию о возможных рисках, проблемах и неприятностях с непрошеными подписками, мошенническими звонками, опасными приложениями и сайтами. Причём эту лекцию с проверкой телефона лучше проводить регулярно, раз в 2–3 месяца.

Чаще всего телефонные мошенники атакуют «старых» абонентов, которые используют один и тот же номер телефона в течение нескольких лет, так как их номер успевает попасть в базы ворованных или слитых персональных данных. Правила здесь такие.

■ Опасаться звонков с неизвестных номеров. Нужно уяснить (и объяснить подростку), что к любому звонку с неизвестного номера надо относиться настороженно. Не следует вступать в длинные разговоры с незнакомцами, особенно если они начинают задавать вопросы.

■ Не перезванивать на неизвестные номера. Если вы видите пропущенный вызов с неизвестного номера, проигнорируйте его. Это с большой вероятностью ненужные вам соцопросы, спамеры или мошенники.

Поскольку факт вашего звонка можно использовать, например брать деньги за каждую минуту разговора или ещё как-то, то перезванивать на пропущенные неизвестные номера не следует никогда.

Если это звонил ваш знакомый или знакомый знакомых, учитель, начальник или подчинённый, чиновник или сосед, которому обязательно нужно с вами связаться, – он сам рано или поздно перезвонит.

И самому не стоит звонить «анонимно» со своего номера с целью розыгрышей, с угрозами и т. п.: определители номеров и запись звонков сейчас очень популярны.

■ Не отвечать на странные вопросы. Не следует отвечать незнакомцам на вопросы о фамилии и имени, сообщать личные обстоятельства, адрес, говорить «да» и т. д.; не нужно общаться с сетевыми сервисами или персонажами, отправителями электронных писем.

Не стоит участвовать ни в каких опросах по телефону («Смотрите ли вы сейчас телевизор?», «За кого вы планируете голосовать?») – это рискованно.

■ Иметь семейные «пароли». Таким паролем может служить известное и часто используемое в семье особое слово, которое нельзя узнать в соцсетях или при подслушивании. Например, кличка вашей кошки (не собаки, потому что собаку хозяева часто громко окликают на улице), какие-то семейные прозвища и т. п.

Это может пригодиться не только для проверки звонящих под видом знакомых, но и для рискованных ситуаций общения с незнакомцами на улице или в общественных местах наподобие «Мальчик, там твоя мама просит помощи, пойдём со мной». В этом случае мальчик должен знать, что мама сообщила бы незнакомцу их внутренний семейный пароль, и попросить незнакомца назвать его. Если мама в самом деле посылает кого-то за ребёнком или просит позвонить ему, пусть она сообщит этому помощнику заранее оговорённый семейный пароль.

■ Не переходить по ссылкам в SMS и не загружать файлы MMS, присланные с неизвестных номеров. Загрузка ссылки или файла может без вашего ведома установить вирус, в том числе ворующий пароли и данные, блокирующий устройство и т. д.

■ Использовать специальные функции телефона для фильтрации звонков. В смартфонах с операционными системами Android и iOS есть встроенные инструменты для защиты от опасных и нежелательных вызовов. Например, на iPhone есть функция безусловного перевода звонков с неизвестных номеров сразу на автоответчик. Нужно поискать такую функцию в своём смартфоне и активировать её. Если её нет – установить приложение-определитель от стороннего производителя.

■ Использовать приложения – определители номера. Такие приложения есть, например, у российских компаний «Лаборатория Касперского», «2ГИС», «Яндекс». Они требуют разрешения на доступ к телефонной книге, поэтому лучше не использовать определители номера от малоизвестных или совсем неизвестных производителей. У разработчиков таких приложений есть большие собственные базы спамеров и мошенников, оперирующих в России, так что приложение начинает распознавать «нехорошие» номера сразу после установки.

■ Подписаться на сервис определения звонков от мобильного оператора. Определять и блокировать нежелательные вызовы, конечно, умеют и мобильные операторы («Билайн», МТС, «МегаФон» и «Теле2»). У них большие базы данных «плохих» и «нормальных» номеров, и они могут блокировать звонки с нежелательного номера прямо на уровне своих серверов. Чаще всего такая услуга не входит в базовый тариф, на неё нужно подписываться отдельно в личном кабинете на сайте оператора.