В последнее десятилетие участились случаи атак с использованием самозванцев, причем на линии огня оказались корпоративные гиганты и государственные учреждения. Сайт Федеральная торговая комиссия'Consumer Sentinel Network' постоянно следит за тысячами сообщений о мошенничествах с использованием самозванцев, направленных на эти компании и государственные органы.
Проблема этих атак заключается в том, что они играют на человеческой психологии, поэтому их очень сложно обнаружить и остановить. Более того, мошенники становятся все более технологически изощренными в своих методах самозванства. Это, в конечном счете, увеличивает процент успеха мошенничества.
Плохие методы обеспечения безопасности в организациях и недостаточная осведомленность сотрудников являются распространенными причинами, способствующими успешному распространению мошенничества, выдающего себя за человека. Настолько, что только в 2023 году, по данным FTC, им будет сообщено о 330 000 случаев мошенничества с выдачей себя за бизнесмена и 160 000 случаев мошенничества с выдачей себя за правительство! В их Исследование данных о защите потребителейFTC сообщила, что общая сумма расходов, связанных с этими атаками, в прошлом году превысила 1 миллиард долларов.
Что такое мошенничество с выдачей себя за человека?
Аферы с выдачей себя за другого человека - это киберугрозы, в которых злоумышленник выдает себя за организацию, учреждение или частное лицо, чтобы обманом заставить жертву раскрыть конфиденциальную информацию. Мошенничество с выдачей себя за другого человека обычно преследует финансовые цели или получение доступа к внутренним системам и информации организации.
Кому адресовано?
На самом деле в Интернете можно выдать себя за любого человека. Однако, руководствуясь соображениями выгоды, киберзлоумышленники обычно выдают себя за следующие популярные цели мошенничества:
- Известные частные компании
- Государственные учреждения
- Банки и финансовые учреждения
- Колледжи, университеты и другие учебные заведения
- Высокопоставленные руководители компаний (генеральный директор, технический директор, финансовый директор)
- Друзья и семья
Какие методы используются?
Для осуществления мошенничества с выдачей себя за другого злоумышленники могут использовать следующие методы:
1. Фишинг электронной почты: Фишинговые электронные письма обычно отправляются с поддельных или подмененных доменных имен, выдавая себя за реальные организации, чтобы обмануть их существующих или потенциальных клиентов.
2. Вишинг/шмишинг: Похож на фишинг, но осуществляется через телефонные звонки или SMS, злоумышленники выдают себя за законные источники, чтобы получить конфиденциальную информацию.
3. Социальные сети: В социальных сетях очень распространено самозванство: мошенники создают поддельные профили существующих пользователей, чтобы распространять дезинформацию или обманывать друзей и родственников. Захват учетной записи - еще один способ мошенничества с выдачей себя за другого в социальных сетях.
Каковы цели?
Конечной целью мошенников, выдающих себя за людей, является:
- Кража конфиденциальной информации, такой как учетные данные, пароли к счетам, данные кредитных и дебетовых карт и т.д.
- Кража или перевод денег у жертв и организаций
- Манипулируйте жертвами, заставляя их загружать в свои системы программы-вымогатели и вредоносные программы.
- Кража личных данных
Топ-5 мошенничеств с выдачей себя за человека, о которых потребители сообщили в ФТК в 2023 году
FTC в своем отчете Data Spotlight перечислила следующие виды мошенничества, о которых чаще всего сообщали потребители в 2023 году:
1. Поддельные предупреждения о безопасности аккаунта
Предположим, вы получили сообщение от своего банка о том, что вы перевели Х сумму денег, и попросили подтвердить, совершили ли вы эту операцию. Это вполне стандартное сообщение, отправляемое банками при совершении транзакции в целях безопасности. Только сообщение на самом деле не от вашего банка. На этот раз от злоумышленника, который выдает себя за ваш банк, чтобы обманом заставить вас перевести деньги.
2. Поддельные оповещения о продлении срока действия учетной записи
У вас был аккаунт Netflix, который вы давно не продлевали, и тут вы получаете неожиданное уведомление от Netflix о том, что с вашего счета будут списаны деньги за автопродление. Это пугает и сразу же побуждает вас принять меры. Это фальшивое оповещение от мошенника, выдающего себя за Netflix, вдохновлено аналогичными мошенничествами, о которых потребители сообщали в FTC.
3. Невероятные скидочные предложения, распродажи и подарочные купоны
Если вы не живете под камнем, эта афера для вас не в новинку. Мы часто получаем сообщения и электронные письма от компаний электронной коммерции о последних распродажах и скидках. Хотя некоторые из них подлинные, большинство таких сообщений - мошенничество! Важно сохранять осторожность и обращать внимание на такие предупреждающие знаки, как подозрительные ссылки и вложения. Другими признаками мошенничества могут быть плохо написанные сообщения, грамматические ошибки и предложения, которые могут показаться слишком хорошими, чтобы быть правдой!
4. Проблемы с доставкой посылок
В период с 2023 по 2024 год наблюдался огромный всплеск мошенничеств, связанных с доставкой посылок. Эта афера выглядит вполне безобидно. Посылка, доставленная на ваше имя, не дошла до адресата, и вам сообщают, чтобы вы забрали ее вручную из местного почтового отделения. К сообщению обычно прилагается ссылка с более подробной информацией о посылке. Но на самом деле никакой посылки нет, а ссылка может привести вас на фишинговый сайт, где украдут ваши учетные данные или начнут загружать вредоносное ПО в вашу систему!
5. Неприятности с законом пугают
Стресс и напряжение часто приводят к плохому или недостаточному рассудку. Именно это и является причиной появления мошенников, выдающих себя за людей. Мошенники, выдающие себя за представителей правоохранительных органов, обвиняют невинных людей в том, что они каким-то образом связаны с законом. Сбитые с толку жертвы делают все, что говорят мошенники, чтобы не попасть в беду и защитить себя.
FTC представила новое правило о выдаче себя за представителей власти и бизнеса
На сайте 1 апреля 2024 годаFTC наконец-то ввела в действие новое правило о выдаче себя за представителей власти и бизнеса. Они ввели строгие меры по предотвращению мошенничества с выдачей себя за других людей и минимизации финансовых потерь потребителей. Вот основные выводы, которые можно сделать с первого взгляда:
- ФТК может возбудить судебное дело против преступников, чтобы добиться возврата денег, украденных у обманутых потребителей
- FTC постоянно пытается защитить и просветить потребителей о различных видах мошенничества, выдающего себя за человека, чтобы они были лучше информированы и оснащены
- До 30 апреля ФТК также принимает публичные комментарии по поводу своего правило регулирования торговли о самозванстве для получения дополнительной информации о потребителях
Электронная почта: Основная среда для мошенничества с использованием самозванцев
FTC выделяет электронную почту и текстовые сообщения как два основных способа мошенничества, выдающего себя за человека, после 2020 года. Если раньше были популярны мошенничества с телефонными звонками, то теперь их частота неуклонно снижается, а число мошенничеств с использованием электронной почты и SMS растет!
Но почему злоумышленники выбирают электронную почту? Электронная почта - мощное средство для кибератак, поскольку она слишком часто используется в личной и профессиональной среде. Ежедневно отправляется более 300 миллиардов электронных писем, а число активных пользователей электронной почты во всем мире превышает 4 миллиарда! Это делает электронную почту популярным средством для мошенников, чтобы проверить потенциальных жертв. Другие факторы, которые делают электронную почту популярным выбором, таковы:
- Недостаточная осведомленность о мошенничестве с использованием электронной почты
- Плохие методы обеспечения безопасности электронной почты в организациях и государственных учреждениях
- Отсутствие поддержки расширенных протоколов аутентификации домена
Как предотвратить мошенничество с выдачей себя за человека по электронной почте?
Существует два основных подхода к предотвращению подделки электронной почты: быть осторожным в отношении получаемых вами писем и усложнить мошенникам задачу по выдаче себя за законных отправителей (это в большей степени относится к организациям).
Для отдельных людей есть несколько советов:
- Будьте бдительны к красным флажкам: Мошенники часто создают ощущение срочности или давления, чтобы обмануть вас и заставить действовать быстро и не задумываясь. Остерегайтесь писем с плохой грамматикой, опечатками, неожиданными просьбами о деньгах или личной информации.
- Проверяйте адреса отправителей: Не полагайтесь только на имя отправителя. Внимательно изучите полный адрес электронной почты. Мошенники могут легко подделать имя отправителя, чтобы придать ему законный вид.
- Не нажимайте на подозрительные ссылки или вложения: Наведите курсор на ссылку, чтобы увидеть реальный URL-адрес. Никогда не загружайте вложения от неизвестных отправителей.
- Опасайтесь непрошеных писем: Если вы получили письмо от незнакомого человека, будьте особенно осторожны.
В связи со стремительным ростом числа мошенничеств, выдающих себя за других людей, внедрение облачных решений для защиты электронной почты приобрело решающее значение. Такой комплексный подход к защите почтовых сообщений играет ключевую роль в предотвращении мошенничества с использованием самозванцев, защите конфиденциальной информации и сохранении целостности бизнес-операций в условиях растущих киберугроз.
Для организаций существуют дополнительные технические меры, которые могут быть реализованы:
- Проверка подлинности SPF: SPF помогает проверить, что письма, заявляющие о принадлежности к вашему домену, отправлены с ваших авторизованных серверов.
- DKIM-аутентификация: DKIM помогает убедиться в том, что электронная почта не была подделана во время транзакций и что содержимое сообщения осталось нетронутым
- DMARC: DMARC основывается на SPF и/или DKIM и позволяет указать, как получатели электронной почты должны обрабатывать неаутентифицированные письма от вашего домена.
- Обучите сотрудников: Обучите сотрудников, чтобы они знали о мошенничествах, выдающих себя за пользователей электронной почты, и о том, как их распознать.
Хотя технические протоколы могут потребовать времени, усилий и ресурсов для настройки, а также знаний и опыта, организации упрощают процесс с помощью DMARC-анализатор. Этот инструмент поможет вам легко настроить, контролировать и управлять аутентификацией электронной почты для одного или нескольких доменов. Более того, это более быстрое, экономичное и безопасное решение для перехода от политик без применения к политикам с применением. Это в определенной степени защищает вас от мошенничества, выдающего себя за пользователя электронной почты.
Заключительные слова
FTC постоянно пытается помочь жертвам мошенничества, выдающего себя за человека, и распространяет информацию о киберугрозах. Важно помнить, что комиссия никогда не будет требовать денег, шантажировать вас, применять силу или предлагать вознаграждение. Поэтому, если вы получили SMS, электронное письмо или телефонный звонок от человека, выдающего себя за представителя FTC и ведущего себя подозрительно, остерегайтесь! Вы можете немедленно обратиться за помощью по телефонам горячей линии FTC, указанным на их официальном сайте.
Наконец, помните, что всегда нужно проповедовать и практиковать безопасное цифровое общение, оставаться осведомленным и инвестировать в хорошие инструменты кибербезопасности. Профилактика всегда лучше лечения, а правильные шаги, предпринятые сейчас, помогут вам сэкономить средства на устранение последствий в будущем!
- Как настроить DMARC в Office 365? Пошаговое руководство - 6 мая 2024 г.
- Объяснение кодов ошибок SMTP Yahoo - 1 мая 2024 г.
- SPF Softfail и Hardfail: В чем разница? - 26 апреля 2024 г.