Дмитрий Артимович – Искусство цифровой самозащиты (страница 12)
Для убедительности в письмах обязательно наличествуют красивые цветистые печати и скрины официальных бланков документов, адреса и номера телефонов, имена нотариусов, занимающихся наследством, и прочие уловки, заставляющие жертву поверить в серьезность происходящего.
Как несложно догадаться, мошенничество, как и всегда, начинается в ту минуту, когда собеседник впервые просит перевести ему деньги. Обычно речь идет о небольших тратах: оформление документов, заверение документов нотариусом, перевод документов на другой язык. Ослепленная манящими миллионами и открывшимися перспективами жертва начинает переводить эти небольшие суммы, которые в будущем могут вырасти в довольно солидный денежный куш для аферистов. Известны случаи, когда с одной жертвы мошенники таким образом «стрясали» несколько тысяч долларов.
Расходы на оформление документов преподносятся как сущие копейки по сравнению с обещанным наследством. При этом мошенники постоянно подбрасывают всё новые факты и очень торопят: нужно срочно заплатить за оформление документов, открыть счет в банкe или дать взятку чиновнику. Это необходимо, чтобы жертва не опомнилась и свято верила липовым адвокатам.
Правила
Никогда не верьте подобным письма. Помните, что собеседник на том конце – изощренный психолог, и он будет тянуть за ниточку жажды наживы.
Техническая поддержка
Это тип мошенничества, при котором мошенник утверждает, что предлагает настоящую службу технической поддержки. Жертвы связываются с мошенниками различными способами: часто через поддельные всплывающие окна, напоминающие сообщения об ошибках, или через поддельные «линии помощи», рекламируемые на веб-сайтах, принадлежащих мошенникам. «Липовые» службы технической поддержки используют социальную инженерию и различные уловки, чтобы убедить свою жертву в наличии проблем на их компьютере или мобильном устройстве, таких как заражение вредоносным ПО, хотя с устройством жертвы проблем нет. Затем мошенник старается убедить жертву заплатить за устранение фиктивных «проблем», которые, как он утверждает, он обнаружил.
О мошенничестве с технической поддержкой стало известно еще в 2008 году. Исследования показывают, что миллениалы[37] и представители поколения Z[38] больше ему подвержены, однако пожилые люди с большей вероятностью отдадут деньги мошенникам. Мошенничество с технической поддержкой было названо компанией Norton главной фишинговой угрозой для потребителей в октябре 2021 года. Также компания Microsoft обнаружила, что 60 % потребителей, принявших участие в их опросе, подвергались мошенничеству с технической поддержкой в течение предыдущих двенадцати месяцев.
Происхождение и распространение
Первые случаи мошенничества с техподдержкой, как уже сказано выше, были зафиксированы в 2008 году. Такое мошенничество было замечено в различных странах, включая США, Канаду, Великобританию, Ирландию, Австралию, Новую Зеландию, Индию и Южную Африку. Исследование, опубликованное в 2017 году на симпозиуме NDSS, показало, что по задействованным IP-адресам мошенников можно определить, из каких стран совершаются эти действия: 85 % IP-адресов оказалось в Индии, 7 % – в США и 3 % – в Коста-Рике.
В Индии миллионы людей, говорящих по-английски, борются за относительно небольшое количество рабочих мест. Например, в одном муниципалитете было 114 рабочих мест – и 19 000 претендентов на них. Такой высокий уровень безработицы служит стимулом для работы в сфере мошенничествa с техподдержкой, которое часто хорошо оплачиваeтся. Люди часто даже не осознают, что подают заявки и проходят обучение для вакансий в сфере мошенничества с технической поддержкой, но многие решают остаться, после того как узнают характер деятельности, поскольку считают, что уже слишком поздно отказываться. Претенденты вынуждены выбирать между сохранением работы или безработицей. Некоторые мошенники убеждают себя, что нацелены на богатых людей, у которых есть лишние деньги, что оправдывает их кражи, в то время как других привлекает получение «легких денег».
Как это начинается
Мошенничество с технической поддержкой может начинаться по-разному:
• С всплывающих окон на зараженных веб-сайтах. Жертве показываются всплывающие окна, которые напоминают стандартные сообщения об ошибках, такие как синий «экран смерти» (BSOD), и блокируют веб-браузер жертвы. Всплывающее окно предлагает позвонить мошенникам по номеру телефона, чтобы исправить «ошибку».
• С холодных звонков. Обычно это автоматические звонки, которые утверждают, что они – официальный представитель третьей стороны, например, Microsoft или Apple.
• Мошенники могут также покупать рекламу по ключевым словам в основных поисковых системах для таких фраз, как «поддержка Microsoft». Жертвы, которые нажимают на эти объявления, попадают на веб-страницы, содержащие номера телефонов мошенников.
Как мошенник убеждает
Как только жертва связывается с мошенником, он обычно дает указание загрузить и установить программу удаленного доступа, такую как TeamViewer, AnyDesk, LogMeIn или GoToAssist. Дальше мошенник убеждает жертву предоставить учетные данные, необходимые для удаленного доступа, что дает полный контроль над рабочим столом жертвы.
Получив доступ, мошенник пытается убедить жертву, что компьютер страдает от проблем, которые необходимо устранить, чаще всего – от злонамеренной хакерской деятельности. Мошенники используют несколько методов, чтобы предоставить содержимое и значение общих инструментов Windows и системных каталогов в ложном свете как свидетельство вредоносной деятельности, такой как вирусы и другие опасные программы. Эти уловки предназначены для неопытныx пользователей и пожилых людей, которые не знакомы с реальным использованием инструментов ОС Windows. Затем мошенник уговаривает жертву заплатить за услуги или программное обеспечение, которое, как он утверждаeт, предназначено для «ремонта» или «очистки» компьютера, но на самом деле представляет собой вредоносное ПО, заражающее компьютер, или просто пустышку.
Уловки бывают следующие:
Мошенник может продемонстрировать пользователю средство просмотра событий Windows (Event Viewer), отображающее журнал различных событий, который системные администраторы используют для устранения неполадок. Хотя многие записи журнала представляют собой относительно безобидные уведомления, мошенник может заявить, что записи журнала, помеченные как предупреждения и ошибки, являются свидетельством активности вредоносного ПО или того, что компьютер поврежден и должен быть незамедлительно «вылечен».
• Мошенник может показать жертве системные папки, содержащие файлы с необычными именами – например, папки Windows Prefetch и Temp – и заявить, что эти файлы являются свидетельством наличия вредоносного ПО на компьютере жертвы. Мошенник может открыть некоторые из этих файлов в «Блокноте», где содержимое файла отображается как беспорядочный набор служебных символов. Мошенник утверждает, что вредоносное ПО повредило эти файлы, что привело к абракадабре. На самом деле файлы в Prefetch обычно представляют собой безвредные, неповрежденные двоичные файлы, используемые для ускорения определенных операций.
• Мошенник может заявить, что некоторые отключенные службы не должны быть отключены.
• Мошенник может неправильно использовать инструменты командной строки для создания подозрительного вывода – например, с помощью команды tree или dir /s, которая отображает расширенный список файлов и каталогов. Мошенник может заявить, что утилита является сканером вредоносных программ, и во время работы команды ввести текст, якобы являющийся сообщением об ошибке (например, «нарушение безопасности… обнаружены трояны»), который появится после завершения выполнения команды.
• Мошенник может представить значения и ключи, хранящиеся в реестре Windows, как вредоносные.
• Мошенник может заявить, что предполагаемые «проблемы» являются результатом истекших лицензий на оборудование или программное обеспечение, например ключей ОС Windows, и уговорить жертву заплатить за «продление».
• Мошенник может заблокировать экран на компьютере жертвы, утверждая, что это результат действий вредоносного ПО или запущенного сканирования, и использовать время для поиска конфиденциальной информации на компьютере жертвы.
• Мошенник может запустить команду netstat в терминале/командном окне, которая показывает локальные и внешние IP-адреса соединений. Затем мошенник сообщает жертве, что эти адреса принадлежат хакерам, получившим доступ к его компьютеру.
• Мошенник может заявить, что нормальный процесс Windows, такой как rundll32.exe, является вирусом. Часто мошенник ищет в интернете статью о процессе Windows и переходит к разделу, в котором говорится, что имя процесса также может быть частью вредоносного ПО, даже если компьютер жертвы не содержит этого вредоносного ПО.
Согласно веб-сайту Microsoft, если кто-то свяжется с вами, представившись Microsoft: