Строго конфиденциально

Ежегодно в конце января отмечается Международный день защиты персональных данных. Этот праздник был учрежден, для того чтобы пользователи сети не забывали о соблюдении правил поведения в интернете, которые помогают обезопасить их виртуальную и реальную жизнь. В некоторых странах этот праздник называется Днем конфиденциальности.

На прошлой неделе мессенджер Telegram сообщил, что число его пользователей превысило 500 миллионов. Только за 72 часа в нем зарегистрировалось более 25 миллионов человек со всего мира. Миграция пользователей в Telegram, Signal и другие началась после смены политики WhatsApp в отношении условий конфиденциальности. 

– Прежде чем устанавливать какое-либо приложение, пользователь должен внимательно прочитать лицензионное соглашение, – рассказывает ассистент-профессор Международного университета информационных технологий (МУИТ) Сауле Аманжолова. – Любое приложение, будь то Instagram, Facebook, WhatsApp, имеет собственное соглашение по разным пунктам, где расписано у кого какие обязанности. Только пользователь может решить для себя необходимо ли ему данное приложение. При этом изменение политики конфиденциальности, что сейчас делает WhatsApp, – это решение компании-владельца данного мессенджера, и пользователь не имеет права на него воздействовать.

В случае если вас не устраивают условия приложения, вы можете просто его удалить и начать пользоваться другим. Однако, по наблюдениям экспертов, практически никто не читает условия пользования перед тем, как скачать какое-либо приложение. 
WhatsApp нарушает конфиденциальность также, как это делает Facebook, – считают специалисты ТОО SoftCom. Многие эксперты в области информационной безопасности считают, что единственный способ защититься от уязвимостей Whatsapp – не пользоваться им. Бесконечные уязвимости мессенджера, часто попадающие в новостные заголовки, скорее всего, вытекают из политики самого Facebook, в связи с тем, что компания предоставляет информацию со своих платформ для правоохранителей.
 
По мнению ассистент-профессора АО «МУИТ» Талгата Нурлыбаева, WhatsApp действительно нарушает приватность своих пользователей из-за передачи данных в Facebook. 

– Поэтому сейчас идет отток этих пользователей на другие мессенджеры. Лично я перехожу на Signal. В любом случае Signal и Telegram – с открытым кодом и их безопасность можно проверить в отличие от WhatsApp, – добавляет Талгат Нурлыбаев. 

Тем не менее специалисты считают, что на 100 процентов доверять нельзя никому. Слежка может быть в любой социальной сети и в любом мессенджере. И когда пользователь куда-то загружает какую-либо информацию, он должен оценивать ее критичность. 

Новинки от цифровых моженников

Также специалисты отмечают возросшую с начала года активность различного рода мошенников. Новые способы атаки пользователей появились в соцсети «ВКонтакте». 

Атака происходит следующим образом: пользователю, у которого есть аккаунт, например, в «ВКонтакте», приходит сообщение вида «архив на все ваши переписки будет создан через 24 часа и отправлен на почту XXX». В качестве почты указывается, очевидно, не принадлежащий пользователю ящик. Далее происходит классическая фишинговая схема: пользователю предлагают войти в аккаунт, чтобы отменить создание и передачу архива, а также сменить пароль по ссылке на фишинговый ресурс.

Специалисты объясняют, что злоумышленник, похитивший профиль в соцсети, действительно сможет заказать выгрузку архива, и это потенциально опасно. В архиве содержится не только открытая информация профиля, но и, к примеру, загружавшие­ся пользователем документы, привязки телефонных номеров, история платежей и список использованных банковских карт. Все это может быть использовано злоумышленником в своих интересах и, конечно, дорого обойтись пользователю.

В этом случае люди сами неумышленно отдают свои профили мошенникам, доверчиво переходя по непроверенным ссылкам.
По информации специалистов ТОО SoftCom, фишинг – самый распространенный метод информационных атак на сегодня. В связи с чем как ежегодно, так и ежедневно сами схемы и алгоритмы проведения фишинговых процессов и операций модернизируются и обновляются.

Чтобы не попасться на уловку мошенников, эксперты советуют:

1. Всегда проверяйте легитимность отправителя. Является ли отправитель вам известным или официальным представителем сообщества/сервиса. При появлении сомнений для минимизации любых рисков компрометации уточняйте все у службы поддержки в реальном времени.

2. Текст письма, отправленного вам, содержит навязчивые призывы к каким-либо действиям, вынуждает вас что-либо делать. Запомните: никогда и никто у вас не будет требовать ввести пароль на сторонний сервис или ресурс. 

3. Доменный URL-адрес. Всегда проверяйте на легитимность адреса и ссылки, по которым вы переходите. Даже один несовпадающий символ может влиять на кражу всей вашей конфиденциальной информации.

Общие рекомендации по защите от фишинга:

– не кликайте на вложения в электронных письмах/сообщениях и не открывайте их, если письмо пришло неожиданно или из неизвестного источника;

– с особым подозрением относитесь к любому письму, в котором запрашивают ваши персональные или финансовые данные либо просят перейти по ссылке или нажать на кнопку. Такие сообщения часто используют мошенники для получения доступа к конфиденциальной информации или распространения вредоносного ПО.

Ловушки в сети

Об активизации финансовых мо­шенников сообщают и казахстанские организации. С началом нового года аферисты вновь стали активно рассылать электронные письма с заманчивыми предложениями и сомнительными ссылками, расставлять виртуальные ловушки, а также звонить гражданам, представляясь сотрудниками служб безопас­ности банков и иных финансовых организаций. По информации Fingramota.kz совместно с Ассоциацией финансистов Казахстана, в социальных сетях сейчас распространяется новая форма мошенничества, связанного с быстрым получением электронно-цифровой подписи (ЭЦП) в режиме онлайн.

Мошенники предлагают сделать подпись быстро и за определенную плату, и при этом обязательно запрашивают персональные данные гражданина. Делать этого ни в коем случае нельзя, а получать ЭЦП и вводить свои данные можно только на официальном портале egov.kz.

В интернете, предупреждают специалисты, можно столкнуться и с другими финансовыми аферами, особенно в популярных социальных сетях. К примеру, мошенники создают фейковые боты, в том числе от имени известных банков, которые предлагают консультации по получению различных финансовых услуг или подать заявку на получение льготного кредита, соцвыплат, пенсионных средств, удаление негативной кредитной истории и другие якобы финансовые услуги. Такого рода псевдоботы просят пользователей ввести личные данные и данные банковских карт, могут даже запросить код из SMS, получив который мошенники могут снять все деньги с карты доверчивых граждан. 

Не дремлют финансовые мошенники и на просторах остального интернет-пространства – они активно совершают фишинг-атаки, как рыбаки, пытаясь поймать на крючок свою жертву, рассылая электронные письма, к примеру, от сотрудников банков, или высылают SMS-сообщения со ссылками, которые ведут на сайт-двойник. Все их уловки направлены на то, чтобы пользователь перешел по ссылке, указанной в письме или SMS, ввел личные данные (ИИН, номер документа, удостоверяющего личность), реквизиты платежной карты, а также логины и пароли от мобильного банкинга. Либо же при переходе по ссылке в устройство пользователя загружается вирус, который ворует все необходимые для мошенников данные. 

Помимо этого, аферисты обзванивают клиентов банков, зачастую представляясь сотрудниками служб безопасности или карточного отдела, предлагая участие в различных розыгрышах и лотереях, запугивая атаками на карт-счета или сообщая о возможности предоставления кредитных «каникул» и так далее. Телефонные мошенники обычно не дают гражданам времени на раздумья, действуют уверенно, четко и профессионально. 

Помните, что банковские менеджеры не звонят клиенту первыми, поэтому если вам позвонили и запросили код из SMS, чтобы заблокировать непонятные транзакции на вашем счете, завершите телефонный разговор и обратитесь в обслуживающий банк.
Предоставляя свои персональные данные неизвестным лицам, в том числе ИИН, ЭЦП, CVV-код с обратной стороны карты, существует риск того, что все средства на карте или счете могут быть обналичены. Также на ваше имя могут быть оформлены сомнительные сделки, подставной кредит или переоформлен, к примеру, автомобиль. 

Чтобы уберечь себя и свои деньги от финансовых мошенников, специалисты Fingramota.kz и Ассоциации финансистов Казахстана советуют помнить простые правила безопасности:

 никогда ни при каких обстоятельствах не сообщайте никому пароли, коды или иные конфиденциальные данные, используемые для подтверждения платежей;

 никому не передавайте свое удостоверение личности или паспорт, не публикуйте в социальных сетях фотографии идентификационного документа и не рассылайте их третьим лицам посредством мессенджеров (WhatsApp, Telegram и других);

 не стоит проходить регистрацию на подозрительных интернет-ресурсах и передавать таким образом неизвестным лицам свои личные данные;

 не переходите по сомнительным ссылкам в письмах по электронной почте и SMS-сообщениях. Лучше их сразу удалите и заблокируйте отправителя;

 также нужно быть осторожными на сайтах частных объявлений, где мошенники могут выступать не только в роли продавцов, но и покупателей. Необходимо обязательно обратить внимание на домен сайта. Адрес должен начинаться с https://, а не с http://;

 если вы сомневаетесь, является ли сайт или страница организации фейковой, свяжитесь с этой организацией и уточните информацию, особенно если вы собираетесь совершить платежи в системе интернет-банкинга. Позвоните в банк и уточните информацию;

 не принимайте участия в сомнительных интернет-конкурсах и лотереях, в которых требуется дать персональную информацию;

 если вы собираетесь совершить онлайн-покупку, убедитесь, что сайт действительно принадлежит интернет-магазину и заведите отдельную карту, предназначенную только для покупок в интернете;

 подключите сервис SMS-уведомлений или Push-уведомлений к своим платежным картам, чтобы видеть все свои транзакции;
 никогда не отключайте функцию 3D-Secure на своей платежной карте.