Искусство цифровой самозащиты - Дмитрий Александрович Артимович
• Мошенники могут также покупать рекламу по ключевым словам в основных поисковых системах для таких фраз, как «поддержка Microsoft». Жертвы, которые нажимают на эти объявления, попадают на веб-страницы, содержащие номера телефонов мошенников.
Как мошенник убеждает
Как только жертва связывается с мошенником, он обычно дает указание загрузить и установить программу удаленного доступа, такую как TeamViewer, AnyDesk, LogMeIn или GoToAssist. Дальше мошенник убеждает жертву предоставить учетные данные, необходимые для удаленного доступа, что дает полный контроль над рабочим столом жертвы.
Получив доступ, мошенник пытается убедить жертву, что компьютер страдает от проблем, которые необходимо устранить, чаще всего – от злонамеренной хакерской деятельности. Мошенники используют несколько методов, чтобы предоставить содержимое и значение общих инструментов Windows и системных каталогов в ложном свете как свидетельство вредоносной деятельности, такой как вирусы и другие опасные программы. Эти уловки предназначены для неопытныx пользователей и пожилых людей, которые не знакомы с реальным использованием инструментов ОС Windows. Затем мошенник уговаривает жертву заплатить за услуги или программное обеспечение, которое, как он утверждаeт, предназначено для «ремонта» или «очистки» компьютера, но на самом деле представляет собой вредоносное ПО, заражающее компьютер, или просто пустышку.
Уловки бывают следующие:
Мошенник может продемонстрировать пользователю средство просмотра событий Windows (Event Viewer), отображающее журнал различных событий, который системные администраторы используют для устранения неполадок. Хотя многие записи журнала представляют собой относительно безобидные уведомления, мошенник может заявить, что записи журнала, помеченные как предупреждения и ошибки, являются свидетельством активности вредоносного ПО или того, что компьютер поврежден и должен быть незамедлительно «вылечен».
• Мошенник может показать жертве системные папки, содержащие файлы с необычными именами – например, папки Windows Prefetch и Temp – и заявить, что эти файлы являются свидетельством наличия вредоносного ПО на компьютере жертвы. Мошенник может открыть некоторые из этих файлов в «Блокноте», где содержимое файла отображается как беспорядочный набор служебных символов. Мошенник утверждает, что вредоносное ПО повредило эти файлы, что привело к абракадабре. На самом деле файлы в Prefetch обычно представляют собой безвредные, неповрежденные двоичные файлы, используемые для ускорения определенных операций.
• Мошенник может заявить, что некоторые отключенные службы не должны быть отключены.
• Мошенник может неправильно использовать инструменты командной строки для создания подозрительного вывода – например, с помощью команды tree или dir /s, которая отображает расширенный список файлов и каталогов. Мошенник может заявить, что утилита является сканером вредоносных программ, и во время работы команды ввести текст, якобы являющийся сообщением об ошибке (например, «нарушение безопасности… обнаружены трояны»), который появится после завершения выполнения команды.
• Мошенник может представить значения и ключи, хранящиеся в реестре Windows, как вредоносные.
• Мошенник может заявить, что предполагаемые «проблемы» являются результатом истекших лицензий на оборудование или программное обеспечение, например ключей ОС Windows, и уговорить жертву заплатить за «продление».
• Мошенник может заблокировать экран на компьютере жертвы, утверждая, что это результат действий вредоносного ПО или запущенного сканирования, и использовать время для поиска конфиденциальной информации на компьютере жертвы.
• Мошенник может запустить команду netstat в терминале/командном окне, которая показывает локальные и внешние IP-адреса соединений. Затем мошенник сообщает жертве, что эти адреса принадлежат хакерам, получившим доступ к его компьютеру.
• Мошенник может заявить, что нормальный процесс Windows, такой как rundll32.exe, является вирусом. Часто мошенник ищет в интернете статью о процессе Windows и переходит к разделу, в котором говорится, что имя процесса также может быть частью вредоносного ПО, даже если компьютер жертвы не содержит этого вредоносного ПО.
Согласно веб-сайту Microsoft, если кто-то свяжется с вами, представившись Microsoft:
1. Не покупайте никакое программное обеспечение или услуги.
2. Спросите, есть ли оплата или подписка, связанные с этой «услугой», – если есть, повесьте трубку.
3. Никогда не давайте контроль над своим компьютером третьему лицу, если вы не можете подтвердить, что это законный представитель компьютерной поддержки компании, клиентом которой вы уже являетесь.
4. Никогда не предоставляйте информацию о своей кредитной карте или финансовую информацию кому-либо, выдающему себя за сотрудника службы технической поддержки Microsoft.
Мошенничество с техподдержкой
Фишинг
Фишинг (англ. Phishing, от fishing – «рыбная ловля, выуживание») – вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей – логинам и паролям. Это достигается путем проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приемами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определенному сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.
Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая, соответственно, именуется «антифишинг».
История
Техника фишинга была подробно описана в 1987 году, а сам термин появился 2 января 1996 года в новостной группе alt.online-service.America-Online сети Usenet[39], хотя возможно его более раннее упоминание в хакерском журнале 2600.
Ранний фишинг на AOL
Фишинг на AOL тесно связан с варез-сообществом, занимавшимся распространением программного обеспечения с нарушением авторского права, мошенничеством с кредитными картами и другими сетевыми преступлениями. После того как в 1995 году AOL приняла меры по предотвращению использования поддельных номеров кредитных карт, злоумышленники занялись фишингом для получения доступа к чужим аккаунтам.
Фишеры представлялись сотрудниками AOL и через программы мгновенного обмена сообщениями обращались к потенциальной жертве, пытаясь узнать ее пароль. Для того чтобы убедить жертву, использовались такие фразы, как «подтверждение аккаунта», «подтверждение платежной информации». Когда жертва называла пароль, злоумышленник получал доступ к данным жертвы и использовал ее аккаунт в мошеннических целях и при рассылке спама. Фишинг достиг таких масштабов, что AOL добавила ко всем своим сообщениям фразу: «Никто из работников AOL не спросит Ваш пароль или платежную информацию».
После 1997 года AOL ужесточила свою политику в отношении фишинга и вареза и разработала систему оперативного отключения мошеннических аккаунтов. В то же время многие фишеры, по большей части подростки, уже переросли свою привычку, и фишинг на серверах