Мошенники забрались в онлайн-магазины: новые способы украсть ваши деньги

Дарить подарки другим — большое удовольствие. Так что впереди у нас много поводов почувствовать себя счастливыми. Ведь многие интернет-магазины настойчиво зазывают на свои большие предновогодние распродажи. Однако ловкачи, охочие до чужого добра, тоже не дремлют. Они пользуются праздничным ажиотажем и расставляют потенциальным покупателям ловушки. Увы, в них умудряются попасть даже искушенные, опытные люди с несколькими высшими образованиями и приличным уровнем IQ. Предаваясь тайной страсти — шопингу, человек настолько увлекается и теряет голову, что в упор не видит характерные признаки мошенничества.

Как удается злоумышленникам облапошивать доверчивых граждан, серфингующих по веб-страницам интернет-магазинов в поисках заветных скидок уходящего года? Все просто: за последние несколько лет мошенники повсеместно используют «идеальные» способы развода на новый лад — фишинг и электронный скимминг. Что же скрывается за этими модными словечками? Есть ли простые решения, чтобы дать отпор злодеям?

Мошенники забрались в онлайн-магазины: новые способы украсть ваши деньги

Фото: unsplash.COM

— Фишинг — процесс выманивания конфиденциальной информации у человека, чтобы украсть деньги или совершить мошеннические действия. Обманщики совершают подделки под какие-то известные сайты. Например, делают клон страницы платежа банка, где надо вводить данные кредитной карты. Затем жертвам делается рассылка со специальной ссылкой на него под каким-нибудь благовидным предлогом. Например, пишут «обнаружен новый штраф ГИБДД, оплатить можно здесь», а следом размещается та самая ссылка, — говорит эксперт в области IT-технологий Олег Артамонов. — Не так давно и меня пытались развести. В одном известном строительном интернет-магазине я сделал заказ на 15 тысяч рублей. Спустя две минуты с левого номера мне приходит SMS с сообщением об отмене заказа и предложением пройти по ссылке для возврата денег. Ссылка ведет на некий клон страницы платежа того банка, который я использовал для расчета за товар. Подозрительными мне показались два момента. Откуда клон уже знает сумму моего заказа и почему предлагает ввести все данные кредитки, включая ее текущий баланс? Я начал свое собственное расследование, и в итоге выяснилось, кто оказался злоумышленником. Это был оператор обработки заказов того самого интернет-магазина. Обращаю внимание, что это очень известная торговая сеть по продаже стройматериалов и сопутствующих товаров для ремонта. Так вот этот нечистоплотный сотрудник банально сливал данные клиентов мошенникам. Он наказан.

Согласно исследованиям Роскачества, ни один браузер не дает 100% защиты от кражи личных данных. Эксперты Центра цифровой экспертизы и компании-разработчика антивирусных программ проверили мобильные браузеры на способность к распознаванию фишинговых ссылок (более 1800 свежих ссылок!). В проверке участвовало 5 браузеров для двух платформ: Android: Chrome, Opera, Mozilla Firefox и Яндекс-браузер IOS: Safari, Chrome, Opera, Mozilla Firefox и Яндекс-браузер. Эксперты пробовали открывать фишинговые ссылки в упомянутых браузерах и фиксировали факты открытия фишингового контента либо, наоборот, предотвращения его открытия силами браузера с уведомлением пользователя. Таким образом удалось выявить степень защищенности обычных мобильных браузеров без установки дополнительного антивирусного программного обеспечения (ПО). Базовая защита от фишинга в браузерах составила в среднем 90%. Показатели на iOS чуть выше. Это объясняется тем, что платформа более закрыта и менее уязвима в вопросах безопасности. Лучшие результаты на Android у Chrome и Яндекс-браузера. На iOS — у Safari.

— Базовая защита от фишинга в браузерах оказалась на достаточно хорошем уровне, но все же не 100%. Поэтому для повышения уровня защищенности пользователям лучше всего подстраховаться и поставить антивирусные программы, — считает старший специалист Центра цифровой экспертизы по тестированию цифровых продуктов Сергей Кузьменко. — Рекомендую также постоянно повышать уровень своей цифровой грамотности.

Чтобы не попасться на удочку злоумышленников, будьте предельно внимательны. Не переходите по сомнительным ссылкам в почте, соцсетях, мессенджерах или СМС. Не кликайте по подозрительным рекламным баннерам. Должны насторожить крайне щедрые или чересчур тревожные сообщения, особенно если вас торопят, не дают времени подумать или запугивают, — комментирует ведущий аналитик компании-разработчика антивирусных программ Михаил Сытник. — Перед тем как вводить личные или платежные данные, обратите внимание на название сайта в адресной строке. В нем не должно быть опечаток или лишних букв. Для онлайн-покупок лучше всего завести отдельную карту, например виртуальную, и держать на ней небольшие суммы. Можно установить суточные лимиты на снятие. Нелишним будет установить защитное решение, которое заблокирует попытку перейти на фишинговый ресурс.

Не верь e-mail, «дары» приносящей

В любом случае, когда вы собираетесь в интернет-магазин за подарками к празднику, именно знание слабых мест виртуального шопинга станет вашим оружием против киберворишек. Кстати, исследования показали, что после периода пандемии привычка заказывать товары в Сети у людей не только сохранилась, но и превратилась в культ потребления. Количество интернет-покупок порой достигает космических масштабов особенно в предпраздничный период. А значит, и у махинаторов работы — вал! Многие люди делают столько заказов, что в какой-то момент у них отключаются мозг и способность анализировать, и они перестают замечать, что с их заказом что-то неладно.

— Злоумышленники очень любят подделывать официальные электронные письма от розничных продавцов известных торговых площадок. В письме, например, сообщается, что человеку нужно ввести свои учетные данные или платежную информацию для выполнения заказа. Либо письмо информирует клиента о необходимости войти в систему, чтобы обновить платежную информацию и адрес для оформления покупки. Ссылки в таком письме ведут вас на специальную страницу. Она очень похожа на настоящую, где вам нужно ввести конфиденциальную информацию. 

Если вы увидели похожее письмо у себя на почте, в первую очередь вспомните главные приметы фальшивки:

Во-первых, если оно выглядит подлинным, но кажется совершенно неожиданным, насторожитесь.

Во-вторых, наличие ошибок, корявых стилистических оборотов — причина к недоверию.

В-третьих, наличие признаков психологического давления, например необходимость срочного принятия решения, выглядит очень подозрительно. 

В-четвертых, наличие ссылки на неизвестное вложение, на которую переходить, скорее всего, небезопасно.

В-пятых, вам делают «невероятное эксклюзивное предложение», что очень похоже на ловушку.

— Задача фишинг-злодеев, — говорит разработчик интернет-сервисов Алексей Щербаков, — выглядеть как можно более убедительно. У каждого из этих махинаторов общее образование может быть разного уровня. Поэтому ваша задача — заранее настроиться на недоверие. Ведь если человек живет за счет обмана других, он обязательно проколется на «косвенных» деталях. И таких деятелей, и их подозрительные письма  всегда можно расколоть по 9 контрольным признакам, которые лучше всего записать и держать под рукой: использование известного бренда, cрочность, обезличенность, любые ошибки, наличие вредоносной ссылки во всплывающем окне, тактика запугивания, в конце письма вымышленный отдел или подразделение, неверные копирайт и адрес, наличие zip-файла.

Владеешь банковской картой — будь на стреме

Угрозе скомпрометировать свою финансовую информацию подвержены все держатели кредитных и дебетовых карт. То есть фактически каждый из нас. Отовариваясь на маркетплейсах и сайтах частных объявлений, важно понимать механизм работы злоумышленников, которые охотятся за данными вашей карты в интернет-пространстве.

— Скимминг вообще — это перехват данных клиента на оригинальном сайте или устройстве. Например, в картоприемник настоящего банкомата ставят устройство, которое считывает данные всех вставляемых в него карт и передает их злоумышленнику. Но сейчас карточки все бесконтактные, так что этот вариант ушел в прошлое. А вот электронный скимминг, он же веб-скимминг или Magecart, — это распространенный класс атак, обычно нацеленных на посетителей интернет-магазинов, — говорит Олег Артамонов. — Это свеженький вид мошенничества с картами на цифровых рынках. Киберпреступник взламывает сервер магазина, но сам сайт не ломает. Он лишь добавляет туда код, который, например, перехватывает данные каждого сделанного заказа и отправляет злодею. То есть вредоносный код прячется на странице оформления заказа. А потом, например, он может рассылать по е-мейлам из этих заказов письма. Их содержание примерно такое: «Оплатить ваш заказ можно здесь» со ссылкой уже на свой фишинговый сайт. Мошенники используют такое ПО для сбора финансовых данных о покупателях. Украденная информация обычно включает в себя имя и адрес жертвы, номер карты и код безопасности (CVV). Хакеры могут продать украденные данные и в даркнете, и всем заинтересованным для совершения покупок по картам жертв.

Важный момент состоит и в готовности онлайн-магазинов обеспечивать информационную безопасность своих площадок. Ведь это и вопрос репутации!

— Один из самых верных способов избежать мошенничества — тратить деньги в обычных магазинах. Но онлайн-рынок заманчив, и мы привыкли покупать не выходя из дома, — комментирует Сергей Кузьменко. — Первое, на что стоит обращать внимание, заходя на сайт, — буква S на конце расширения. Вы должны увидеть HTTPS. Это будет означать, что соединение защищено. Однако на данный момент получить сертификат безопасности на сайт несложно. Поэтому внимательно смотрите на контент. И если какое-то предложение кажется вам слишком заманчивым, чтобы быть правдой, то, скорее всего, это вам не кажется.

Увы, простому пользователю сложно обнаружить мошенничество с электронным скиммингом на платежной странице сайта. Даже если на сайте шифрование и все остальное выглядит идеально. В большинстве случаев скрытое устройство электронного скимминга будет жизнеспособно всего несколько дней, и если его не обнаружат раньше — то недель. Так что же делать и как заподозрить неладное?

Опытные эксперты советуют покупателям, желающим прошвырнуться по онлайн-магазинам, заранее обезопасить свою финансовую информацию несколькими способами:

1. Надежно защитить свою учетную запись на разных сайтах: включить двух- или даже трехфакторную аутентификацию подтверждения личности (как минимум это одноразовый код и пароль).

2. Завести в своем банке виртуальную карту. Она предназначена специально для онлайн-расчетов в Интернете. Уровень безопасности проведенных операций с ней выше, так как не придется раскрывать реквизиты основной карты. Кроме того, изначально на ней лимит трат человек устанавливает сам (неплохо такой лимит установить и на основной карте).

3. Покупать у надежных продавцов, принимающих меры предосторожности для защиты своих сайтов от онлайн-атак. В открытом доступе сегодня можно проверить благонадежность продавца в специальном реестре доверенных онлайн-площадок.

ВАЖНО! Эксперты в области психологии обращают внимание на большую зависимость от покупок в Интернете у людей с повышенной социальной тревожностью. Ведь приобретения на цифровых площадках не требуют личного контакта. Подобным шопоголикам специалисты советуют больше времени проводить с близкими и любимыми людьми. Такое время бесценно и никогда не заменит кратковременную одноразовую радость от приобретения вещи. Так что на предстоящих новогодних праздниках предпочтительнее всего дарить своим людям светлого себя, то есть упакованного в Нежность, Заботу и Любовь к ближнему. Вложите в это всю свою страсть.

Понравилась статья? Поделиться с друзьями: