Государственный комитет судебных экспертиз
Республики Беларусь

Объективность. Честь. Отечество.

Официальный сайт
Правілы абароны ад фішынгу 11 января 2019

Слова «фішынг» увайшло ў лексікон не так і даўно — прыкладна два дзесяцігоддзі таму. Прыйшло яно з англійскай мовы і азначае бяскрыўдны, на першы погляд, тэрмін «рыбалка». Вось толькі «рыбак» тут — хакер, які імкнецца падсадзіць на кручок даверу звычайных карыстальнікаў інтэрнэту, каб выманіць у іх персанальныя даныя для асабістых мэтаў, якія ідуць насуперак закону. Разам з тым змагацца з такімі «рыбакамі» па сілах кожнаму. Як жа? На канкрэтных прыкладах гэта разбірае начальнік аддзела праграмных і сеткавых экспертыз Цэнтральнага апарату судовых экспертыз Андрэй Малашкевіч.

Са спробамі фішынгу сутыкаліся ўсе карыстальнікі электроннай пошты. Хто не чытаў дасланую і перакладзеную праз Google слязлівую гісторыю пра тое, як у нейкага выхадца з Афрыкі, Паўднёвай Амерыкі ці Акіяніі засталося ў спадчыну некалькі мільёнаў долараў? Але каб іх займець, трэба пералічыць пэўную суму на ўказаны рахунак. А пасля за гэта вам абяцаюць аддзячыць. Узрадаваны карыстальнік сеціва праводзіць плацеж (часта на суму, выражаную ў чатырохзначных лічбах амерыканскай валюты), а наўзамен атрымлівае... нічога. Гэты спосаб выманьвання грошай з'явіўся яшчэ ў 1990-я і атрымаў назву «нігерыйскія лісты», бо большасць гэтых паведамленняў так ці інакш была звязана з афрыканскай Нігерыяй.

Але цяпер электронная пошта сыходзіць на другі план. Усё больш мы карыстаемся ў інтэрнэт-зносінах месенджарамі — УКантакце, Facebook, Telegram, WhatsApp... Зразумела, што махляры рана ці позна прыйшлі б і сюды. У адрозненне ад «нігерыйскіх лістоў», тут гутарка ўжо персаналізавана — хакер звяртаецца да канкрэтнага карыстальніка. Прычым робіць гэта ад імя сапраўднага знаёмага. Усё, што для гэтага трэба — узламаць профіль у месенджары або сацыяльнай сетцы. Асаблівасцю такіх размоў становіцца «ўзяцце быка за рогі». Без доўгіх уступаў хакер пад маскай знаёмага пачынае выманьваць грошы або персанальныя даныя.

— Легенда простая, — кажа Андрэй Малашкевіч. — Сябар аказаўся за мяжой без грошай, скончыўся тэрмін дзеяння банкаўскай карты ці нешта яшчэ. І ў асабістыя паведамленні ляціць слёзная просьба аб дапамозе. Зламыснікі імкнуцца згуляць на псіхалогіі: хто з нас не трапляў за сваё жыццё хоць раз у складаную сітуацыю? І атрымаць на гэтым жывыя долары-еўра-рублі. Для пераводу грошай махляры прапаноўваюць або віртуальныя карты міжнародных плацежных сэрвісаў, або банкаўскі пластык, эмітаваны ў замежжы. Гэта робіцца для таго, каб максімальна заблытаць сляды. Да таго часу, пакуль вы не зробіце перавод, вам будуць усё падрабязна тлумачыць, куды пераходзіць і на які раздзел націскаць. «Кліента» на гэтым этапе адпускаць вельмі нявыгадна — на пошук акаўнта і яго ўзлом быў затрачаны час. Але як толькі грошы былі адпраўлены — сувязь вокамгненна абрываецца. Назаўсёды. Маўр зрабіў сваю справу, маўр можа сыходзіць.

Адзіны паратунак у такой сітуацыі — як мага хутчэй тэлефанаваць у банк, які выпусціў карту, з якой вы перавялі грошы, з просьбай вельмі аператыўна заблакаваць плацеж. А таксама даведацца па пакінутых махляром рэквізітах, які банк выпусціў картку, на якую грошы былі адпраўлены, і тэлефанаваць з аналагічнай просьбай і туды. Праўда, тут можа згуляць не на карысць моўны бар'ер — ці здолееце вы растлумачыць сваю просьбу, напрыклад, па-англійску, калі ваш суразмоўнік знаходзіцца па-за акіянам?

Але гэта адзін з магчымых варыянтаў развіцця падзей. Шырокае распаўсюджанне атрымаў варыянт накшталт «я скіну на тваю карту грошы, а ты аддасі мне іх наяўнымі». І вось тут пачынаецца самае цікавае. «Сябар» рознымі шляхамі просіць назваць код CVV ад карткі, каб перавесці туды грошы. А вось на гэтым этапе ўсё пачынае залежаць ад абачлівасці ахвяры. Калі вы хоць бы раз клалі грошы на картку, скажам, у банкамаце, то ўспомніце: трэба запоўніць усяго два полі звестак, якія датычацца самой карткі. Гэта яе нумар і тэрмін дзеяння. Ні пра якія іншыя коды гаворка не ідзе. І калі пра тое, што PІN-код, які мы ўводзім пры любой аперацыі з выкарыстаннем карткі ў банкамаце або тэрмінале, нельга перадаваць іншым асобам, гаворана-перагаворана ўжо больш за два дзясяткі гадоў, то пра код CVV чула ўжо менш людзей. Ён выкарыстоўваецца для правядзення аплаты ў інтэрнэце.

— Літаральна напярэдадні гэтай сустрэчы наш супрацоўнік добра патроліў такога хакера. Вось, калі ласка, — працягвае эксперт аркуш паперы з раздрукаваным скрынам з экрана смартфона.

Кароткі змест перапіскі: праз акаўнт аднаго з сяброў звярнуліся з пытаннем, якім банкам эмітавана картка. Пасля гэтага прыйшло паведамленне, што, маўляў, трэба вывесці грошы з адной з віртуальных плацежных сістэм, але там скончыўся тэрмін прыдатнасці. Для гэтага падыдзе картка суразмоўніка. І нават абяцалі заплаціць за дапамогу! Але хакер не чакаў прапановы прыехаць да сябра, каб ён паказаў, як гэта рабіць. І літаральна праз хвіліну прыляцеў допіс: «Прашу прабачэння! Гэта мяне ўзламалі!» Сам дыялог заняў усяго шэсць хвілін...

Таму лепш за ўсё пры такой сітуацыі патэлефанаваць сябру і спытаць, ці сапраўды ён пісаў гэтае паведамленне. Гэта той выпадак, калі галасавая сувязь дае сто ачкоў наперад перапісцы ў месенджарах.

— Даверлівасць нашых людзей проста ўражвае, — канстатуе Андрэй Малашкевіч. — Хакер можа выведваць нават нумар тэлефона. Ён патрэбны для афармлення віртуальнага электроннага кашалька. здавалася б, што можна зрабіць, ведаючы адзін толькі нумар? На яго прыйдзе SMS-паведамленне, у якім папросяць пацвердзіць сапраўднасць аперацыі, увёўшы дасланы код. Дык мы сутыкаліся з тым, што ахвяры спакойна паведамляюць коды з гэтых SMS. Усё, хакер атрымаў доступ да вашага рахунку і падключыць вам які-небудзь платны сэрвіс. А даведаецеся вы пра гэта толькі тады, калі грошы на балансе скончацца значна раней, чым звычайна. Толькі вось пошукі зламысніка ў такім выпадку рызыкуюць істотна зацягнуцца — хакеры, як правіла, дзейнічаюць з-за мяжы.

Калі ж хакеры дзейнічаюць «па-буйному», то яны атакуюць кампаніі. На электронную пошту дасылаецца на першы погляд бяскрыўдны ліст. Але да яго далучана праграмка-вірус, якая маскіруецца, напрыклад, пад акт выкананых работ.

Бухгалтар без задняй думкі адкрывае ліст, пампуе файл, запускае яго і... атрымлівае паведамленне аб тым, што ўсе даныя зашыфраваны. А каб усё вярнуць назад, трэба заплаціць. Пасля атрымання грошай хакер абяцае даслаць праграму-дэшыфратар, якая нібыта верне ўсё назад.

Менавіта таму атрымлівайце пацвярджэнне па звычайнай тэлефоннай сувязі ад таго, хто адправіў вам дакумент. Калі ж ліст ад невядомага адпраўніка, то лепш яго выдаліць, не адкрываючы. Яшчэ адзін дагэтуль актуальны метад фішынгу — прыцягненне карыстальніка замест патрэбнага сайта на падробны, дзе трэба ўвесці лагін і пароль, або нумар плацежнай карткі ці нешта яшчэ. Тым самым вы аддаяце свае даныя ў рукі зламыснікаў самі. Пры гэтым адрознівацца назвы сайтаў могуць усяго толькі адной непрыкметнай літарай. Таму рэкамендую карыстацца закладкамі ў браўзеры.

Як жа засцерагчыся ад гэтай навалы?

— Як ужо казалася вышэй, кожную аперацыю, якая датычыцца грошай або адпраўкі лістоў па электроннай пошце, лепш прагаворваць і па тэлефоне, — раіць эксперт. — І не паддавацца на просьбы паведаміць які-небудзь код. Для плацяжоў у інтэрнэце лепш завесці спецыяльную картку, дзе грошы будуць знаходзіцца лічаныя хвіліны, а ўвесь астатні час на рахунку будзе нулявая сума. А для сацыяльных сетак лепш карыстацца двухфактарнай аўтарызацыяй, калі на ваш мабільны нумар прыходзіць SMS з кодам пацвярджэння. Такім чынам, гэта той выпадак, калі наша бяспека — сапраўды ў нашых руках.


http://zviazda.by/be/news/20190109/1547054722-pravily-abaronu-ad-fishyngu?fbclid=IwAR1Er8iO6jhQbNK9CTAWOKeQLaivmwLazilWDAN1ooTpSwzHF6EjgX0drko