Не дай себя хакнуть: как защититься от пранкера Джокера
Хайп вокруг пранкера Джокера не утихает уже несколько недель. Монобольшинство в Верховной Раде бьет в набат и срочно собирает своих депутатов на повторную школу в Трускавце, чтобы научить их цифровой грамотности. Дело ведь государственной важности!
Несмотря на то, что о пранкере знает уже вся страна, в его Telegram-канале по-прежнему появляются переписки с чиновниками. Как оказалось, предупрежден - не значит защищен.
Почему так происходит и что сегодня собой представляет рынок киберпреступлений?
Говоря о защите данных, мы привыкли учитывать, прежде всего, технологическую составляющую вопроса. Компании тратят огромные средства на последние разработки в области систем безопасности, новейшие облачные решения и средства защиты вайфая.
Но, как показывает опыт Джокера, сегодня киберпреступления совершаются в первую очередь благодаря знаниям о психологии человека. Эту сферу, или даже науку, называют социальной инженерией - метод получения доступа к данным, основанного на поведенческих алгоритмах.
Мошенники создают условия, при которых человек добровольно передает информацию третьему лицу. Для этого достаточно уметь пользоваться Google, купить несколько сим-карт и хорошо понимать, как устроена психика. Например, сегодня популярна так называемая техника фишинга (ловушка). Вы получаете письмо от благонадежной и, главное, знакомой вам компании или частного лица с просьбой срочно посмотреть документ по ссылке. При переходе происходит сбой системы, и в появившемся окне ваш почтовый сервис запрашивает повторно пароль. Таким образом, злоумышленники получают ваш пароль.
Существует ряд мифов, которые мешают здраво оценивать опасность со стороны кибермошенников. Вот они.
Миф №1 - "Мой номер телефона известен только моим друзьям и родственникам"
Номер телефона давно стал способом идентификации. Вы привязываете его к месседжерам, оформляете на него банковские счета и регистрируете в сервисах заказа такси. Благодаря этому ваш номер доступен широкой группе лиц, а при желании получить его можно практически в два клика.
Миф №2 - "Только близкие люди посвящены в подробности моей личной жизни"
Получить информацию о том, на каком авто вы передвигаетесь, какую должность занимает ваша вторая половина и дату рождения вашей любимой тети не составляет особого труда. Вы добровольно отдаете огромный массив данных о себе в социальных сетях. Даже при поверхностном анализе можно узнать о человеке достаточно для того, чтобы построить правдоподобную легенду будущего пранка. Вас “осыпают” деталями, о которых никто кроме близких знать не может, тем самым усыпляя любые сомнения.
Миф №3 - "Я не отвечаю на звонки с незнакомых номеров"
Сегодня любой технический специалист средней руки способен осуществить подмену номера. Как это работает? Вам поступает звонок от бизнес-партнера. Его номер есть в телефонной книге, поэтому ничего не вызывает сомнений. На том конце провода его помощница уточняет, что Иван Иванович сейчас в Швейцарии и выйдет с вами на связь со своего швейцарского номера. А дальше в месседжере вы будете общаться с Иваном Ивановичем, не подозревая, что за его маской может скрываться кто угодно.
На сегодняшний день пранк - один из самых популярных способов получить конфиденциальную информацию от известного лица.
Как же все-таки отличить настоящий запрос от "развода"?
1. В пранке всегда существует параметр скрытности. Не встреча, а звонок. Не скайп, а переписка. Если абонент отказывается выходить на голосовую связь, это первый повод насторожиться.
2. Обычно злоумышленники общаются от имени чиновника уровнем выше. Это извечная игра на принципе благоговейного чинопочитания. Так, Джокер связывался с мэром Чернигова от имени главы Офиса президента, а с депутатом Тищенко - от имени генпрокурора.
3. Предмет разговора часто посвящен вопросу личной безопасности, Например, пранк с Богданом Яременко основывался на страхе за свое кресло.
4. Еще одна распространенная практика - апелляция к большим возможностям. В кейсе с Александрой Клитиной доверительные отношения строились на потенциальных возможностях от "первого".
Подводя итоги, хочется еще раз напомнить, что хакнуть человека намного проще, чем технологии. И социальные инженеры это отлично понимают. Поэтому я бы рекомендовал депутатам посвятить на Трускавецкой школе большую лекцию не техническим аспектам, а поведенческой психологии.