Кирилл Лавров: Почему мы до сих пор верим мошенникам и как избежать обмана в интернете
Не технологии, а психология
Большинство распространенных схем обмана онлайн основаны не на сложных технических уловках мошенников, а на доверчивости пользователей. Последние самостоятельно и добровольно передают злоумышленникам нужные для совершения кражи личные данные, переводят предоплату, в спешке отказываются от проверки приобретенного товара на соответствие описанию. В этом смысле мошенникам в большей степени помогает знание человеческой психологии, чем технические навыки. В системе кибербезопасности самое слабое звено — человек.
Считать, что обмануть удается только пожилых, технически неподкованных людей — большая ошибка. При помощи элементарных схем мошенникам с равным успехом удается обводить вокруг пальца и миллениалов, и бумеров, и богатых, и бедных.
По данным Федеральной торговой комиссии США, в последние годы пользователи в возрасте от 20 до 30 лет расставались со своими деньгами в пользу мошенников даже чаще, чем люди старше 40 лет. Центральный банк России назвал одним из пяти основных типов жертв финансовых мошенничеств «индивидуалистов» — благополучных в финансовом плане людей, которые легко тратят деньги на себя и излишне доверяют новым технологиям.
Парадоксальная ситуация: взрослые учат своих детей не доверять незнакомцам и не идти за ними куда-либо, но сами по сути делают именно это. Например, переходят по неизвестным ссылкам от мошенников и оставляют там свои личные данные. Или диктуют незнакомцам коды из СМС-сообщений от банка. Именно в этих сообщениях пишут: «Никому не сообщайте код», — но люди все равно его сообщают.
Почему мы готовы так легко довериться незнакомцам? Потому что они умеют находить подход к каждому и знают, на что нас поймать. И еще потому что мы привыкли доверять технологиям и полагаем, что если платим кому-то деньги, то ничего плохого не произойдет.
Социальная инженерия
Многие помнят популярную схему с электронными письмами от вымышленного «нигерийского принца», который просил пользователей перевести ему немного денег, чтобы он смог оплатить налоги и вступить в наследство. «Принц» обещал вернуть все вложения и добавить к сумме вознаграждение за помощь. Сейчас эта схема кажется нелепой, но долгое время она была вполне эффективной. Залогом успеха была массовая обезличенная рассылка: одинаковые письма попадали в ящики тысяч адресатов, и если десятки или сотни из них помогали «принцу», мошенники уже получали куш.
Это — пример социальной инженерии. Под этим термином понимают комплекс действий, нацеленных на то, чтобы выманить у пользователя личные данные или вынудить его сделать что-то еще, чего он делать не собирается. Методы социальной инженерии прогрессируют и становятся все более персонализированными и изощренными. Сегодня вы уже вряд ли получите письмо от «нигерийского принца», но есть много других способов вас зацепить.
Например, если человек решил продать на популярном сайте объявлений детский велосипед, «потенциальный покупатель» напишет ему поздно вечером, когда хочется провести время с семьей, или в разгар рабочего дня, когда дедлайны следуют один за другим. «Покупатель» будет торопить со сделкой, объясняя это тем, что велосипед ему зачем-то очень срочно нужен именно сейчас, и убедит продавца перейти по ссылке на поддельную страницу оформления заказа, созданную только для того, чтобы собирать платежные данные. Эта страница будет выглядеть совсем как настоящая. И на аватарке лже-покупателя для достоверности образа вполне может стоять фотография с ребенком. Это и есть современная социальная инженерия в действии.
Распространенные схемы мошенничества
Подмена страницы платежа (фишинг)
Вы хотите что-то купить или продать на известном сайте. Другой пользователь, с которым вы ведете диалог (ваш потенциальный покупатель или продавец), присылает ссылку, якобы ведущую на страницу оформления заказа. Он может утверждать, что на самом сайте, на котором вы с ним друг друга нашли, не работают кнопки оформления заказа, доставки или оплаты. Это всегда ложь, и ее цель — увести вас с настоящего сайта на поддельную версию и выманить ваши платежные данные.
Ни в коем случае не переходите по ссылке и тем более не вводите там свои данные, даже если ее адрес похож на оригинальный.
Если вы приобретаете или продаете что-то на «Авито», то и ссылка может быть только на сайт Авито — www.avito.ru. Если адрес похож, но не тот (например, avitopayments.ru, avito-dostavka.ru, avitto.ru) — это мошенничество. Поддельный сайт может копировать интерфейс «Авито», на нем даже может быть кнопка для связи с техподдержкой.
Вводить свои платежные данные можно только на оригинальном сайте или в приложении, где вы что-то покупаете или продаете — через встроенную форму оплаты. Это же правило касается оформления доставки или любых других дополнительных услуг. И никакой оплаты по ссылкам от продавца или покупателя.
Выманивание платежных данных
Вы покупаете или продаете что-то на сайте объявлений. Для совершения сделки другой пользователь просит вас продиктовать ему или прислать CVV/CVC-код вашей банковской карты или же код из СМС-сообщения от банка. Объяснять, почему эти данные ему необходимы, мошенник может самыми разными причинами. Например, он может сказать, что согласно правилам безопасности банка это необходимо для верификации вашей карты, или убеждать, что без этих данных невозможно оформить доставку.
Давать такие данные кому-либо ни в коем случае нельзя. Нет ни одной причины когда-либо это делать: эти данные не нужны ни покупателям, ни продавцам на сайтах объявлений, ни кому-либо еще. Их не могут запрашивать даже сотрудники вашего банка. Единственное, для чего они могут использоваться, — получение доступа к вашему онлайн-банку.
Если у вас просят такие данные, немедленно прекратите общение с тем, кто это делает. И если эта ситуация возникла, когда вы пытались что-то продать или купить в интернете, обратитесь в службу поддержки сайта — сотрудники заблокируют пользователя, который пытается совершить мошеннические действия, и так вы обезопасите других.
Требование предоплаты
На продажу выставляется востребованный товар — он может быть редким или по заманчивой цене. Когда покупатель проявляет интерес, продавец начинает торопить с решением, намекает, что желающих приобрести товар много, и просит перевести полную или частичную предоплату. Получив деньги, мошенник пропадает из поля зрения и добавляет покупателя в черный список.
Обезопасить себя просто: передавайте деньги лично при получении товара или пользуйтесь встроенной функцией безопасной сделки с постоплатой, которая есть на многих популярных сайтах объявлений. Сервис «безопасная сделка» позволяет заморозить на карте покупателя сумму, равную цене товара. Продавец получит деньги только после того, как покупатель подтвердит в системе, что он получил товар и убедился, что с ним все в порядке. Если при доставке в пункте выдачи оказывается, что с товаром что-то не так, от покупки можно отказаться. В этом случае деньги возвращаются покупателю.
Как распознать и не попасться
Поскольку схемы обмана, которые применяют онлайн-мошенники, на самом деле достаточно элементарны и основаны на доверии, обезопасить себя тоже просто. Достаточно неукоснительно соблюдать несколько правил:
- Никогда никому не передавать персональные платежные данные (CVV/CVC-код банковской карты или коды из СМС-сообщений от банка). Настаивать на личной передаче или на «безопасной сделке».
- Не переходить по ссылкам, которые присылают другие пользователи, и ни в коем случае не вводить свои данные на таких сайтах, даже если они как две капли похожи на сайт, где вы что-то продаете или покупаете. Будьте внимательны: адрес в ссылке всегда будет отличаться от адреса сайта.
- Никогда не вносить предоплату за товар — ни полную, ни частичную. И здесь настаивать на личной встрече или «безопасной сделке».
- Если на сайте или в приложении онлайн-магазина, которым вы пользуетесь для продажи или покупки онлайн, есть встроенный мессенджер, нужно вести все общение с другими пользователями внутри этого мессенджера, а не по телефону или WhatsApp. Службы безопасности популярных сайтов контролируют только то, что происходит на их платформах. Если вы уходите куда-то еще, сотрудники не смогут отследить действия мошенников и предупредить вас.