Доверяете кажущемуся подлинным электронному письму с просьбой нажать для подтверждения банковских реквизитов и кодов? Теперь в него попадают лишь несколько неизлечимых балбесов. Но технология фишинга (отлова более или менее невинных жертв интернет-мошенничества) развивается. Новый рубеж телематического мошенничества называется «подделка идентификатора вызывающего абонента». Мошенник отправляет нам текст, сообщение WhatsApp или просто звонит нам по телефону. На нашем дисплее появляется номер банка, нашего финансового учреждения, благотворительной организации или компании, которую мы очень хорошо знаем и с которой у нас сложились прочные отношения. Мы отвечаем, мы доверяем, мы выполняем. Это может быть мошенничество. Это происходит с помощью действительно изощренной процедуры, которая иногда сочетается с другим технологическим приемом самого последнего поколения: клонированием нашего номера мобильного телефона (или, точнее, его передачей, возможно, мгновенной и только на время, необходимое для обмана) на симе. в руках мошенника, который, таким образом, сможет заменить нас даже при окончательном подтверждении банковской транзакции, имитируя широко распространенные в настоящее время процедуры безопасности, предусматривающие генерацию одноразовая булавка. Но как в деталях работает новая мошенническая техника? Как это распознать? Как защитить себя?
Спуфинг и подмена симки
Чтобы изменить номер вызывающего абонента, который появляется на нашем дисплее, выдавая себя за наш банк, который нуждается в проверке, или, возможно, благотворительную организацию, которая просит нас о пожертвовании, мошенники прибегают к процедурам, разрешенным системами коммутатора IP-VoIP (те, кто использует только Интернет, а не старые телефонные системы также для голосовых вызовов) управляется обычными приложениями доступны и для непрофессионалов: любой может убедиться в этом, выполнив обычный поиск в интернет-магазинах. Процедура относительно несложная, настолько, что ею начинают пользоваться даже мошенники, не особо владеющие техникой, да еще и немного сумбурные.
Пример: компания, торгующая бытовой техникой для очистки воды, в последние недели маскировалась телефонным номером ресторана-пиццерии в провинции Неаполь. Какая связь была между ними, неизвестно. Более тревожными являются два других примера мошеннических действий, осуществленных в последние месяцы. Первый касается кража учетных данных для подключения к сайтам Почты Италии, в частности к тем, которые связаны с PostePay (банковские услуги). В SMS-сообщении дежурные мошенники информируют пользователей о проблеме с личными данными их аккаунта, предлагая им повторить их или исправить, нажав на ссылку, которая показывает, вероятно, экран. Чтобы успеть действовать, преступники предлагают вам не заходить в аккаунт, который останется заблокированным на несколько часов, пока ошибка не будет исправлена. Очень похоже по своей динамике на мошенничество, осуществляемое под видом Агентства по доходам через неуловимая "контора по взысканию долгов", который предлагает (снова маскируя себя за более чем вероятным номером телефона, который появляется на дисплее) погасить просроченную налоговую задолженность упрощенным способом, сообщив наши конфиденциальные финансовые данные или нажав на конкретную ссылку, которая будет отправлена нам в электронном почтовом адресе, который мы неосторожно указали нашему собеседнику.
Во всех этих случаях есть еще и второй прием, «подмена сима», то есть, возможно, временная замена нашего сима, позволяющая мошеннику напрямую подтверждать наши платежи в его пользу. Практика, которая, к счастью, возможна только в том случае, если мошенник владеет серийным кодом клонируемой SIM-карты, которую теоретически должен ревностно охранять наш оператор связи. Теоретически, потому что за последние месяцы в заголовки попала не одна утечка этих списков, которые потом попали в руки преступников. В некоторых случаях наиболее щепетильные операторы телефонной связи немедленно информировали клиентов, удаленно восстанавливая серийный код SIM-карты или заменяя его физически. Но никто не исключает, что какие-то списки могут быть еще в обращении, доступны мошенникам.
Как узнать подвох и что делать
Первое правило: никогда не предоставлять наши личные данные отвечая непосредственно на запрос, будь то телефонный звонок, электронное письмо, текстовое сообщение, сообщение WhatsApp. Зная о мошеннических схемах, ни один серьезный банк ни в малейшей степени не стал бы запрашивать подтверждение личных данных по телефону. Ответный ход в этом случае тривиален и эффективен: перезвоните в свой банк, чтобы получить подтверждения, пояснения и указания в случае доказанной попытки мошенничества. Такая же осторожность требуется и в отношении шквала телефонных звонков, которые каждый из нас получает, чтобы убедить нас сменить поставщика телекоммуникационных или энергетических услуг.
Второе правило: в любом случае мы с уверенностью проверяем личность тех, кто связывается с нами, просеивая адрес, с которого нам отправляется электронное письмо, или, тем более, номер телефона, который мы видим на дисплее. Для проверить подлинность полученного электронного письма, смс или сообщения WhatsApp, содержащего подозрительную ссылку, эксперты в области информационных технологий имеют в своем распоряжении много оружия, начиная с проверки цифровых сертификатов, которые сопровождают сложные сообщения. Простым смертным, которым посвящен этот учебник, приходится обходиться менее сложными процедурами. Как?
Во-первых, они могут провести грубую проверку, определив мышью адрес электронной почты, который появляется с помощью мыши, а затем скопировав его в файл word с режимом «оставить только текст»: если адрес, который появляется после операции отличается, он скажет, что это одно замаскированный адрес электронной почты и поэтому вводящие в заблуждение. Но даже если это выглядит так, как есть, мы не можем быть уверены. В этом случае мы отправляем электронное письмо на тот же адрес, которое мы тщательно заполняем полностью (без «вырезания и вставки», особенно в этом случае) в нашей почтовой программе, запрашивая подтверждение полученного контакта.
Чтобы проверить подлинность телефонного номера, который появляется на дисплее, процедура проста и немедленна: мы перезваниваем по тому же номеру, возможно, с мобильного телефона (чтобы избежать каких-либо очень удаленных манипуляций с нашей стационарной линией со стороны районного коммутатора). Ответ сразу покажет, как обстоят дела.
В случае, если наша первая линия защиты не сразу выявила мошенничество, хотим ли мы изучить предложение, которое они хотят нам сделать? Мы все еще просим вас прийти сформулировано в письменной форме по электронной или обычной почте, однако без указания какой-либо ссылки: если они звонили нам, у них также должен быть наш адрес или наш адрес электронной почты, в противном случае вполне вероятно, что они мошенники или в любом случае множество дилеров, которые работают на комиссии, используя слишком часто недобросовестные методы.
Хорошее правило даже налагало бы внимание на произнесение некоторых терминов во время разговора с нашим неопознанным собеседником: простой слово «да» можно экстраполировать (такое тоже бывает) подготовить голосовое согласие на предложение договора на отгрузку товара или на смену управляющего. А пока серьезно подумайте, подписываться ли на реестр оппозиций к любому коммерческому звонку, который через несколько дней, наконец, должен быть распространен и на мобильные телефоны, как это установлено законодательной нормой, принятой в январе прошлого года.
Последняя рекомендация: если у вас есть достаточные доказательства мошенничества или попытки телематического мошенничества, сообщите об этом непосредственно в полицию. Ты можешь также через веб.
