Цифровая революция набирает обороты. Искусственный интеллект, нейросети и прочие аналогичные технологии стремительно входят в нашу повседневную жизнь. А продукт фирмы Open AI пресловутый chatGPT, чуть ли не поставил всех на уши. И сложно представить, каким будет наше ближайшее будущее. Точно это не может предсказать никто. Но бесспорно, что каким бы оно не было, мошенники в нём наверняка останутся. А значит, аферы в сети по-прежнему будут популярны. Поэтому мы хотим вам ещё немного рассказать о таком явлении, как кэтфишинг, одну из крайне распространённых схем обмана в интернете.
Я уже писал о том, как человек стал жертвой сетевых жуликов. Цена доверчивости оказалась действительно высока реально большая сумма денег и, в конечном итоге, сама жизнь фигуранта статьи. Ознакомиться можно здесь. Но тема далеко не исчерпана, ведь кэтфишинг в сети это настолько обширное явление, что ни одна, ни две, ни даже три статьи ее и близко не раскроют. Впрочем, следует помнить, что в большинстве сетевых схем преступники используют все те же принципы обмана, что и в реале, только автоматизировав и масштабировав их с помощью IT технологий.
Если посмотреть на сетевую архитектуру с точки зрения web-security, то отчетливо видится два компонента: человеческий и машинный. Машинный компонент, в свою очередь, подразделяется на железо и софт (А сейчас видимо добавятся еще и нейросети. По сути, это тоже софт, но принципиально иной и настолько продвинутый, что его придется ранжировать по отдельным категориям). Теперь возникает вопрос: какой из них наиболее подвержен атакам?
На заре развития интернета, машинный компонент был крайне несовершенен и предельно уязвим для всего, начиная от простого технического сбоя и заканчивая умышленными действиями. Неудивительно, что тогда ему и не доверяли хранение денег или конфиденциальной информации. Но сейчас надежность машин достигла такого высокого уровня, что хакнуть так просто их уже не получится (принципиально это возможно, но крайне сложно и требует продвинутого = дорогостоящего оборудования). Вот и выясняется, что самым слабым звеном системы по-прежнему остается человек. Нужно лишь правильно подобрать к нему ключик для этого и нужен кэтфишинг.
Единого мнения на этот счет нет, и вряд ли появится в ближайшем будущем в связи с широкими вариациями самого явления. Исходя из вышеизложенной теории сетевой архитектуры, я бы определил фишинг как атаку преимущественно на человеческий компонент, а хакерство на машинный. Хотя понятно, что это условное деление, ведь преступные действия обычно состоят из связки фишинг/хак, но всегда один из них превалирует.
Сущность нашего мышления дуальна. Мы эмоционально-логические существа. Аферисты это знают и с успехом пользуются этим свойством человеческого сознания. Чтобы рыбалка была успешной, они обратятся к вашим эмоциям. Таким как: сочувствие, сострадание, жадность, гнев, страх. Если у них это получилось считайте, что вы у них на крючке.
Кратко разберем, как мошенники практикуют кэтфишинг и что используют в своей работе.
Судя по публичным заявлениям руководителей спецслужб, во второй половине ХХ века разведка государств на 70 90% черпала информацию из открытых источников. И это еще интернета не было только TV, радио и печатные СМИ.
Вот в этом и состоит суть технологии OSINT. Open Source INTelligence (OSINT) технология поиска, сбора и анализа информации из открытых источников.
Подсказка: не только спецура может разрабатывать вероятного противника, но и мошенники свои охотничьи угодья.
Разные манипулятивные техники со все той же задачей пробить вас на эмоции. Цель побудить/заставить объект манипуляции совершить некие действия, например, перевести деньги или выдать конфиденциальную информацию.
Коммуникация, коммуникация и еще раз коммуникация. Чистый пиар в изначальном смысле этого слова (PR, public relations связи с общественностью). Сюда входят: e-mail и sms-рассылки (в том числе спам, но это не обязательно), статьи, форумы, разные порталы до новостных включительно. Все это с обратной связью. Ну и, конечно же, их величества соцсети, список которых мне откровенно лень катать.
Теперь перейдем к конкретным схемам рыбаков:
Это один из самых простых вариантов: создается предельно жалостливая история, красиво упаковывается и постится по всем соцсетям. С просьбой о вспомоществовании и платежными реквизитами.
Как реагировать на такое с учетом того, что как минимум часть историй действительно правда? Честно не знаю, у меня нет ответа.
Человеку предлагают пройти опрос, тест или квест. Канал связи разный. Телефонный звонок давно устарел, а вот разные мессенджеры очень даже в тренде. Через пару дней с ним связываются и сообщают, что он победил в розыгрыше (набрал нужное количество баллов, у него удачная карма, звезды так сошлись, организаторы были в шоке от его эрудиции нужное подчеркнуть). Но чтобы получить свой выигрыш надо оплатить 5 10 долларов за его пересылку. После этого о своих деньгах вы можете честно забыть (о призе и организаторах тоже).
Не знаю, сколько так можно заработать, но давайте попробуем прикинуть. Допустим, в сеть попалось 10 000 рыб (для соцсетей это не так уж много). Предположим, конверсия составила 5%, тогда выхлоп будет 2.5 5 тыс. долларов. Неплохо так за 3 4 дня. Даже если я и ошибся, пусть в десять раз, все равно 250 500 баксов хорошая сумма. Ведь если бы кэтфишинг не приносил дохода, кто бы его практиковал, не так ли?
Во втором случае с вас стребуют данные карты, куда перевести выигрыш. Причем не только номер, но и дату, до которой она действительна, и CVV (это три цифры на обороте). Все это якобы нужно для верификации карты. А на самом деле, что бы спи снять с неё деньги.
Граждане, запомните: кроме НОМЕРА(!!!) карты, никакие другие ее реквизиты никому передавать нельзя! По уму, даже родным и близким. У них тоже могут выдурить информацию. Какие потом у вас с ними будут отношения?
Тоже просто. Я об эту схему постоянно запинаюсь в соцсетях, в основном на фейсбуке. Что интересно, ФБ этих явных мошенников не банит, а вот я недавно словил бан непонятно за что от Марка Цукерберга. В общем, читаешь заметку, где автор со щенячьим восторгом описывает некий кошелек, куда закидываешь сумму, а она через некое короткое время удваивается (утраивается удесятеряется от совести человека зависит).
Т-с-с-с! Только между нами: В таких кошельках работает система ниппель: Туда дуй, а обратно ху Ничего, в общем.
Видал я такое. В моей розовой юности. АО МММ называлось. И прочие трасты. Просто детище Сергея Мавроди было первое и самое раскрученное. Сколько так можно наловить? Не знаю. Подозреваю, что улов стартует от нескольких сот долларов.
Еще один популярный разводняк. Основная локация тот же ФБ. И тоже вольготно себя чувствуют. В объявлении рекламируется работа на дому. Причем простая (Из серии: справится любой. Коробочки там делать, ручные подарки, финтифлюшки). Требует 2 3 часа времени в день, и на диво хорошо оплачивается, примерно 20 30 долл/день. Нужен первоначальный взнос в размере тех же 20 30 у.е. На материалы. Ну, дальше вы поняли
Технически более сложная схема. Но не намного. Поскольку ни одна толковая биржа не будет сотрудничать с мошенниками, необходимо создать ее клон. Впрочем, весь движ и функционал конечно не копируют это ахрененно сложно, долго и дорого. Да и вряд ли вообще возможно. Чаще всего просто создают страницу оплаты с реквизитами исходной биржи. Там всего-то и надо: примерно тот же URL, с заменой пары букв/символов, и тот же визуал, с чем проблем нет от слова совсем. Потом связываются с фрилансером, сообщают, что он прошел кастинг, клиент согласен на условия (как правило, весьма хорошие). Далее заказчик пишет, что внес полную предоплату, она заморожена на депозите биржи до выполнения и приема задания. И предлагает внести страховый платеж, якобы затем, чтобы точно знать, что исполнитель будет работать. Типа, вернут после выполнения задания. Обычно требуют 15 20% от полной суммы и подсовывают сачок, пардон страницу оплаты.
Подсказка: метод очень популярен на известных и раскрученных биржах. Настолько, что на многих из них есть статьи предупреждения. Вот и рекомендую их читать.
В связи со всем этим вспоминается крылатая фраза Остапа Бендера:
Попрошу делать взносы!
Есть ресурсы, где можно словить трояна вредоносную прогу. Распространенная схема: где-то (чаще в соцсетях или в рассылке) расписывают дивный сайт, который, что золотая рыбка, такой хороший, такой полезный Переходите туда и получаете подарок. Смысл действий в получении конфиденциальной информации. Это, например, могут быть коды доступа к вашим платежным документам (кошелькам, картам и прочее). Или те же коды к вашим связным аккаунтам. Которые, кстати, отлично торгуются или используются самими злоумышленниками, ниже расскажу как именно.
Следует отметить, что большинство таких атак комп отобьет все-таки антивирусы у нас довольно хорошие, но фишеры не унимаются. Заодно, дам уже порядком избитый совет: не ходите по подозрительным ссылкам.
То же, что и выше, но атаки ведутся на акки соцсетей, что по ряду причин намного проще сделать. Похоже, с ФБ я попал именно под такую раздачу по какой-то причине bot-security принял меня за взломщика. Кстати, реальные взломщики имеют софт, позволяющий обмануть этого бота. Один из таких способов подставить под бан левый акк. Ну или вариант 2 это был вообще не бан, просто мой аккаунт был взломан и его похитили.
Возникает резонный вопрос: зачем оно кому надо? Есть варианты:
Эта тема настолько обширна, что в рамках этой статьи раскрывать ее не буду, только обозначу. Также скажу, что есть гении (и немалым числом), которые ломают гос-депозитории и качают БД (базы данных) жителей целых стран! А сами потом, зачастую, отправляются парить нары государство таких шуток почему-то не понимает.
Смотри главу Вредоносные сайты закинуть трояна.
Такой вариант: ваш хороший знакомый сообщает, что попал в сложную ситуацию (Заодно может ее и расписать в красках, мошенники прекрасно знают, как это делать так, чтобы проняло) и просит энную сумму, причем как можно скорее. Обычно эквивалент 100 500 в капусте. Конкретная сумма зависит от доходов и статуса (вас и друга), что тоже мониторится из тех же соцсетей. Конечно, будут заверения, что непременно отдаст (Вот как только так и сразу, после дождичка в четверг). На самом деле, денег вы не получите, поскольку это был не ваш приятель, а рыбак с его взломанного акка. Как вам потом с другом общаться я не знаю.
Мораль: прежде чем выполнять такие просьбы, свяжитесь с просителем по альтернативным каналам, к примеру, электронной почтой или другим мессенджером, если есть телефон позвоните. Скорее всего, реальный обладатель аккуаунта будет сильно удивлен.
Смотри: Депозит за работу (Развод на фриланс биржах). Вариант этой схемы. Создается фальшивый интернет-магазин, все как положено: товары, страница оплаты, служба поддержки, вежливый женский голос чат-бота. Но как только вы сделали покупку, денежки тю-тю Товара вам тоже не будет.
Смотри: Депозит за работу (Развод на фриланс биржах). Очень похожая схема, причем терпилой оказывается уже продавец. Кратко: Создается страница оплаты с визуалом маркетплейса и сильно похожим URL. Потом кидают продавцу сообщение (вайбер, вацап), что уже купили товар, деньги на депозите маркетплейса, а продавцу следует сообщить данные карты на которую они поступят. Причем, требуют дату актуализации и все тот же CVV. Якобы для верификации. Все, этого достаточно, чтобы выжать ее досуха.
К сожалению, вынужден вам признаться, что такие советы легче раздавать, чем следовать самому. И моя история тому подтверждение. Да, кэтфишинг сработал, и я сам пару раз попадал на удочку ловкачей. Оба раза дело закончилось благополучно (для меня), но сам факт
Развод на бирже по описанной выше схеме: заказчик написал, что готов работать, деньги перевел на депозит биржи (а это стандартная схема безопасной сделки на большинстве платформ), и предложил мне внести страховый платеж (а вот такого на биржах нет, не было и не будет). Я чуть было не купился, но в последний момент одумался.
Второй раз продавал на маркетплейсе. Клиент кинул сообщение в вайбер, что присмотрел мой товар. Как я обрадовался (и расслабился!). Деньги реально были нужны. После еще пары месседжей он сообщил, что оплатил товар, а мне надо верифицировать карту выплаты. И кинул мне ту самую страницу оплаты очень похожую на страницу ресурса. Там были поля, куда надо ввести номер карты, срок действия и CVV. И чат-бот. И я как дурак все заполнил. Но в мозгах все же что-то клацнуло, я ведь понимал, что могут снять. У меня несколько карт, поэтому я сунул им пустую на тот момент там был эквивалент 0,5 долларов. Чат-бот мне ответил, что для верификации недостаточно средств. Я спросил сколько надо. Он назвал эквивалент 30 долларов. Деньги у меня были на другой карте. И было горячее желание перекинуть на указанную, чтобы пройти верификацию. Но я удержался. После этого клиент на связь не выходил, и я его искать не стал. А паленую карту мне пришлось деактивировать.
Еще признак тех, кто активно использует кэтфишинг: сами они звонить вам не будут и на звонок не ответят, связь только в мессенджере.
Постарался сделать вам наиболее полный обзор приёмов, с помощью которых осуществляется кэтфишинг. Но вместо рыбы мы с вами, господа. Поэтому есть большой смысл внимательно ознакомится с предложенным материалом и поделиться им с друзьями и знакомыми. Попасться на удочку мошенников реально неприятно (я после той истории на маркетплейсе минут пять изъяснялся про себя словами, которых в словарях не пишут). Вместе с тем помните, что это далеко не полный перечень, плюс, к тому, регулярно появляются новые связки. Поэтому сохраняйте бдительность, граждане.
Я высказал личную точку зрения, которая может не совпадать с мнением администрации сайта. Всех, кому есть что сказать по этой теме, с удовольствием выслушаю в комментариях
PS: Все приведенные в статье суммы для удобства указаны в долларовом эквиваленте. Понятно, что рыбаки работают в основном с национальной валютой. Описаны наши реалии. В Европе и Америке кэтфишинг тоже имеет место быть, что следует даже из предыдущей статьи, но там чек надо умножать раз в пять минимум. Всем удачи и осознанности.
|
|
|
|
|
|
