Ежегодно в конце января отмечается Международный день защиты персональных данных. Этот праздник был учрежден, для того чтобы пользователи сети не забывали о соблюдении правил поведения в интернете, которые помогают обезопасить их виртуальную и реальную жизнь. В некоторых странах этот праздник называется Днем конфиденциальности.
На прошлой неделе мессенджер Telegram сообщил, что число его пользователей превысило 500 миллионов. Только за 72 часа в нем зарегистрировалось более 25 миллионов человек со всего мира. Миграция пользователей в Telegram, Signal и другие началась после смены политики WhatsApp в отношении условий конфиденциальности.
– Прежде чем устанавливать какое-либо приложение, пользователь должен внимательно прочитать лицензионное соглашение, – рассказывает ассистент-профессор Международного университета информационных технологий (МУИТ) Сауле Аманжолова. – Любое приложение, будь то Instagram, Facebook, WhatsApp, имеет собственное соглашение по разным пунктам, где расписано у кого какие обязанности. Только пользователь может решить для себя необходимо ли ему данное приложение. При этом изменение политики конфиденциальности, что сейчас делает WhatsApp, – это решение компании-владельца данного мессенджера, и пользователь не имеет права на него воздействовать.
В случае если вас не устраивают условия приложения, вы можете просто его удалить и начать пользоваться другим. Однако, по наблюдениям экспертов, практически никто не читает условия пользования перед тем, как скачать какое-либо приложение.
WhatsApp нарушает конфиденциальность также, как это делает Facebook, – считают специалисты ТОО SoftCom. Многие эксперты в области информационной безопасности считают, что единственный способ защититься от уязвимостей Whatsapp – не пользоваться им. Бесконечные уязвимости мессенджера, часто попадающие в новостные заголовки, скорее всего, вытекают из политики самого Facebook, в связи с тем, что компания предоставляет информацию со своих платформ для правоохранителей.
По мнению ассистент-профессора АО «МУИТ» Талгата Нурлыбаева, WhatsApp действительно нарушает приватность своих пользователей из-за передачи данных в Facebook.
– Поэтому сейчас идет отток этих пользователей на другие мессенджеры. Лично я перехожу на Signal. В любом случае Signal и Telegram – с открытым кодом и их безопасность можно проверить в отличие от WhatsApp, – добавляет Талгат Нурлыбаев.
Тем не менее специалисты считают, что на 100 процентов доверять нельзя никому. Слежка может быть в любой социальной сети и в любом мессенджере. И когда пользователь куда-то загружает какую-либо информацию, он должен оценивать ее критичность.
Новинки от цифровых моженников
Также специалисты отмечают возросшую с начала года активность различного рода мошенников. Новые способы атаки пользователей появились в соцсети «ВКонтакте».
Атака происходит следующим образом: пользователю, у которого есть аккаунт, например, в «ВКонтакте», приходит сообщение вида «архив на все ваши переписки будет создан через 24 часа и отправлен на почту XXX». В качестве почты указывается, очевидно, не принадлежащий пользователю ящик. Далее происходит классическая фишинговая схема: пользователю предлагают войти в аккаунт, чтобы отменить создание и передачу архива, а также сменить пароль по ссылке на фишинговый ресурс.
Специалисты объясняют, что злоумышленник, похитивший профиль в соцсети, действительно сможет заказать выгрузку архива, и это потенциально опасно. В архиве содержится не только открытая информация профиля, но и, к примеру, загружавшиеся пользователем документы, привязки телефонных номеров, история платежей и список использованных банковских карт. Все это может быть использовано злоумышленником в своих интересах и, конечно, дорого обойтись пользователю.
В этом случае люди сами неумышленно отдают свои профили мошенникам, доверчиво переходя по непроверенным ссылкам.
По информации специалистов ТОО SoftCom, фишинг – самый распространенный метод информационных атак на сегодня. В связи с чем как ежегодно, так и ежедневно сами схемы и алгоритмы проведения фишинговых процессов и операций модернизируются и обновляются.
Чтобы не попасться на уловку мошенников, эксперты советуют:
1. Всегда проверяйте легитимность отправителя. Является ли отправитель вам известным или официальным представителем сообщества/сервиса. При появлении сомнений для минимизации любых рисков компрометации уточняйте все у службы поддержки в реальном времени.
2. Текст письма, отправленного вам, содержит навязчивые призывы к каким-либо действиям, вынуждает вас что-либо делать. Запомните: никогда и никто у вас не будет требовать ввести пароль на сторонний сервис или ресурс.
3. Доменный URL-адрес. Всегда проверяйте на легитимность адреса и ссылки, по которым вы переходите. Даже один несовпадающий символ может влиять на кражу всей вашей конфиденциальной информации.
Общие рекомендации по защите от фишинга:
– не кликайте на вложения в электронных письмах/сообщениях и не открывайте их, если письмо пришло неожиданно или из неизвестного источника;
– с особым подозрением относитесь к любому письму, в котором запрашивают ваши персональные или финансовые данные либо просят перейти по ссылке или нажать на кнопку. Такие сообщения часто используют мошенники для получения доступа к конфиденциальной информации или распространения вредоносного ПО.
Ловушки в сети
Об активизации финансовых мошенников сообщают и казахстанские организации. С началом нового года аферисты вновь стали активно рассылать электронные письма с заманчивыми предложениями и сомнительными ссылками, расставлять виртуальные ловушки, а также звонить гражданам, представляясь сотрудниками служб безопасности банков и иных финансовых организаций. По информации Fingramota.kz совместно с Ассоциацией финансистов Казахстана, в социальных сетях сейчас распространяется новая форма мошенничества, связанного с быстрым получением электронно-цифровой подписи (ЭЦП) в режиме онлайн.
Мошенники предлагают сделать подпись быстро и за определенную плату, и при этом обязательно запрашивают персональные данные гражданина. Делать этого ни в коем случае нельзя, а получать ЭЦП и вводить свои данные можно только на официальном портале egov.kz.
В интернете, предупреждают специалисты, можно столкнуться и с другими финансовыми аферами, особенно в популярных социальных сетях. К примеру, мошенники создают фейковые боты, в том числе от имени известных банков, которые предлагают консультации по получению различных финансовых услуг или подать заявку на получение льготного кредита, соцвыплат, пенсионных средств, удаление негативной кредитной истории и другие якобы финансовые услуги. Такого рода псевдоботы просят пользователей ввести личные данные и данные банковских карт, могут даже запросить код из SMS, получив который мошенники могут снять все деньги с карты доверчивых граждан.
Не дремлют финансовые мошенники и на просторах остального интернет-пространства – они активно совершают фишинг-атаки, как рыбаки, пытаясь поймать на крючок свою жертву, рассылая электронные письма, к примеру, от сотрудников банков, или высылают SMS-сообщения со ссылками, которые ведут на сайт-двойник. Все их уловки направлены на то, чтобы пользователь перешел по ссылке, указанной в письме или SMS, ввел личные данные (ИИН, номер документа, удостоверяющего личность), реквизиты платежной карты, а также логины и пароли от мобильного банкинга. Либо же при переходе по ссылке в устройство пользователя загружается вирус, который ворует все необходимые для мошенников данные.
Помимо этого, аферисты обзванивают клиентов банков, зачастую представляясь сотрудниками служб безопасности или карточного отдела, предлагая участие в различных розыгрышах и лотереях, запугивая атаками на карт-счета или сообщая о возможности предоставления кредитных «каникул» и так далее. Телефонные мошенники обычно не дают гражданам времени на раздумья, действуют уверенно, четко и профессионально.
Помните, что банковские менеджеры не звонят клиенту первыми, поэтому если вам позвонили и запросили код из SMS, чтобы заблокировать непонятные транзакции на вашем счете, завершите телефонный разговор и обратитесь в обслуживающий банк.
Предоставляя свои персональные данные неизвестным лицам, в том числе ИИН, ЭЦП, CVV-код с обратной стороны карты, существует риск того, что все средства на карте или счете могут быть обналичены. Также на ваше имя могут быть оформлены сомнительные сделки, подставной кредит или переоформлен, к примеру, автомобиль.
Чтобы уберечь себя и свои деньги от финансовых мошенников, специалисты Fingramota.kz и Ассоциации финансистов Казахстана советуют помнить простые правила безопасности:
никогда ни при каких обстоятельствах не сообщайте никому пароли, коды или иные конфиденциальные данные, используемые для подтверждения платежей;
никому не передавайте свое удостоверение личности или паспорт, не публикуйте в социальных сетях фотографии идентификационного документа и не рассылайте их третьим лицам посредством мессенджеров (WhatsApp, Telegram и других);
не стоит проходить регистрацию на подозрительных интернет-ресурсах и передавать таким образом неизвестным лицам свои личные данные;
не переходите по сомнительным ссылкам в письмах по электронной почте и SMS-сообщениях. Лучше их сразу удалите и заблокируйте отправителя;
также нужно быть осторожными на сайтах частных объявлений, где мошенники могут выступать не только в роли продавцов, но и покупателей. Необходимо обязательно обратить внимание на домен сайта. Адрес должен начинаться с https://, а не с http://;
если вы сомневаетесь, является ли сайт или страница организации фейковой, свяжитесь с этой организацией и уточните информацию, особенно если вы собираетесь совершить платежи в системе интернет-банкинга. Позвоните в банк и уточните информацию;
не принимайте участия в сомнительных интернет-конкурсах и лотереях, в которых требуется дать персональную информацию;
если вы собираетесь совершить онлайн-покупку, убедитесь, что сайт действительно принадлежит интернет-магазину и заведите отдельную карту, предназначенную только для покупок в интернете;
подключите сервис SMS-уведомлений или Push-уведомлений к своим платежным картам, чтобы видеть все свои транзакции;
никогда не отключайте функцию 3D-Secure на своей платежной карте.