Социалочка на сообщения
Последнее время сильно повысилась интенсивность разводов, когда звонят:
– товарищи майоры с просьбой помочь в расследовании,
– сотрудники операторов связи с просьбой продлить договор,
– сотрудники [центро]банка с информацией, что со счетов воруют деньги
– ...
Часто цель – вынудить перевести деньги злоумышленникам, или получить доступ куда-то, обычно, в онлайн-банк, или в Госуслуги. Как правило, такие операции защищаются вторым фактором, поэтому злоумышленник просит сообщить ему код из SMS. При этом, факт того, что злоумышленник знает, что сейчас должно прийти сообщение, сам по себе является немаловажным фактором убедительности просьбы злоумышленника и легитимизации всей ситуации. Не смотря на многообразие объяснений и обоснований мошенника, финальная фраза просьбы обычно звучит примерно так: «Вам сейчас придет код в SMS, сообщите мне его, пожалуйста».
Казалось бы для защиты от подобных сценариев развода достаточно выработать простое правило: «Никогда никому не сообщайте свои коды из SMS», что, в целом, выглядело бы логично, так как SMS – это наш одноразовый пароль, а понимать то, что сообщать пароли никому не надо, мы уже давно, вроде бы, научились.
Но, к сожалению, полно легальных ситуаций, когда нам придется сообщать пароль из SMS. Вот лишь несколько. При списании баллов лояльности сотрудник АЗС просит назвать код из SMS. Некоторое время назад в отделении Сбербанка я оформлял ипотеку, и там мне снова приходили сообщения и сотрудник банка спрашивала у меня коды из SMS, причем это повторялось несколько раз, с разными работниками банка. И ребята на заправке, и ребята в банке использовали уже известную нам фразу: «Вам сейчас придет код в SMS, сообщите мне его, пожалуйста». Триггерясь на фразу, перешагивая через собственные опасения, я сообщал эти коды сотрудникам. Разница только в том, что на момент операции я лично видел сотрудника перед собой. Но, во-первых, не велика проблема, так как я не исключаю возможность существования схем развода, когда кто-то представится сотрудником\работником и попросит назвать код из SMS, да хоть даже и в отделении Сбербанка (они огромные, там куча людей, а сотрудники ходят с планшетами, почему бы кому-то не подойти с планшетом и, представившись сотрудником, не спросить код из SMS?)..., а, во-вторых, у меня был опыт ипотечной сделки, когда я покупал квартиру в Кисловодске, физически находясь в Москве, и в этом случае, увидеть физически сотрудника кисловодского отделения Сбера у меня не было возможности. А с учетом современного развития машинного обучения, даже увидев кого-то по телесвязи, не стоит доверять, что это реальный персонаж, а не продукт нейросети.
В общем, каких-то однозначных способов отличия легитимной просьбы «Вам сейчас придет код в SMS, сообщите мне его, пожалуйста» от мошеннической, найти не так-то просто, что и создает почву для роста числа и результативности таких атак.
Что можно предложить:
– Анализировать ситуацию, точно понимать необходимость и точно понимать последствия сообщения SMS. Не будет ничего зазорного, если вы уточните зачем код из SMS и оцените фактическую адекватность объяснения и то, как это было сказано
– Всегда внимательно читайте само SMS. Коды подтверждения входа никогда не надо никому сообщать и фраза «никому не сообщайте этот код» явно присутствует в сообщении. Для тех же кодов, которые надо сообщать сотруднику, обычно, явно указано в SMS «сообщите сотруднику». Если кто-то из уважаемых поставщиков еще не ввел в свои сообщения такую элементарную защиту, указав, нужно ли код кому-то сообщать, то пожалуйста, реализуйте!
Если есть еще идеи как отличить легальную просьбу сообщить код из SMS от нелегальной, пишите в комментариях. Всем хороших выходных!
#socialengineering #финансы #пятница
Последнее время сильно повысилась интенсивность разводов, когда звонят:
– товарищи майоры с просьбой помочь в расследовании,
– сотрудники операторов связи с просьбой продлить договор,
– сотрудники [центро]банка с информацией, что со счетов воруют деньги
– ...
Часто цель – вынудить перевести деньги злоумышленникам, или получить доступ куда-то, обычно, в онлайн-банк, или в Госуслуги. Как правило, такие операции защищаются вторым фактором, поэтому злоумышленник просит сообщить ему код из SMS. При этом, факт того, что злоумышленник знает, что сейчас должно прийти сообщение, сам по себе является немаловажным фактором убедительности просьбы злоумышленника и легитимизации всей ситуации. Не смотря на многообразие объяснений и обоснований мошенника, финальная фраза просьбы обычно звучит примерно так: «Вам сейчас придет код в SMS, сообщите мне его, пожалуйста».
Казалось бы для защиты от подобных сценариев развода достаточно выработать простое правило: «Никогда никому не сообщайте свои коды из SMS», что, в целом, выглядело бы логично, так как SMS – это наш одноразовый пароль, а понимать то, что сообщать пароли никому не надо, мы уже давно, вроде бы, научились.
Но, к сожалению, полно легальных ситуаций, когда нам придется сообщать пароль из SMS. Вот лишь несколько. При списании баллов лояльности сотрудник АЗС просит назвать код из SMS. Некоторое время назад в отделении Сбербанка я оформлял ипотеку, и там мне снова приходили сообщения и сотрудник банка спрашивала у меня коды из SMS, причем это повторялось несколько раз, с разными работниками банка. И ребята на заправке, и ребята в банке использовали уже известную нам фразу: «Вам сейчас придет код в SMS, сообщите мне его, пожалуйста». Триггерясь на фразу, перешагивая через собственные опасения, я сообщал эти коды сотрудникам. Разница только в том, что на момент операции я лично видел сотрудника перед собой. Но, во-первых, не велика проблема, так как я не исключаю возможность существования схем развода, когда кто-то представится сотрудником\работником и попросит назвать код из SMS, да хоть даже и в отделении Сбербанка (они огромные, там куча людей, а сотрудники ходят с планшетами, почему бы кому-то не подойти с планшетом и, представившись сотрудником, не спросить код из SMS?)..., а, во-вторых, у меня был опыт ипотечной сделки, когда я покупал квартиру в Кисловодске, физически находясь в Москве, и в этом случае, увидеть физически сотрудника кисловодского отделения Сбера у меня не было возможности. А с учетом современного развития машинного обучения, даже увидев кого-то по телесвязи, не стоит доверять, что это реальный персонаж, а не продукт нейросети.
В общем, каких-то однозначных способов отличия легитимной просьбы «Вам сейчас придет код в SMS, сообщите мне его, пожалуйста» от мошеннической, найти не так-то просто, что и создает почву для роста числа и результативности таких атак.
Что можно предложить:
– Анализировать ситуацию, точно понимать необходимость и точно понимать последствия сообщения SMS. Не будет ничего зазорного, если вы уточните зачем код из SMS и оцените фактическую адекватность объяснения и то, как это было сказано
– Всегда внимательно читайте само SMS. Коды подтверждения входа никогда не надо никому сообщать и фраза «никому не сообщайте этот код» явно присутствует в сообщении. Для тех же кодов, которые надо сообщать сотруднику, обычно, явно указано в SMS «сообщите сотруднику». Если кто-то из уважаемых поставщиков еще не ввел в свои сообщения такую элементарную защиту, указав, нужно ли код кому-то сообщать, то пожалуйста, реализуйте!
Если есть еще идеи как отличить легальную просьбу сообщить код из SMS от нелегальной, пишите в комментариях. Всем хороших выходных!
#socialengineering #финансы #пятница
❤12
SE-v0.pdf
2.2 MB
Масштабы мошенничества в соцсетях и по телефону ужасают. Есть масса случаев, которые я слышал непосредственно от пострадавших, а работу множества схем я испытал на себе.
Не стоит думать, что схемы эти настолько нелепы и подобное никогда нас не коснется, это не так. Супер адекватные люди попадаются на кажущиеся фантастическими сценарии мошенничества, а со временем методы злоумышленников только совершенствуются, вместе с нашими семимильными шагами в тотальную цифровизацию.
Понятно, что все наши попытки что-то с этим поделать не будут иметь желаемую эффективность, но это не повод опустить руки и ничего не делать. Поэтому я подготовил довольно длинную презентацию по схемам мошенничества, известным мне, а то, как я ее рассказывал своим домашним - записал и вот делюсь видео.
Я уже получил обратную связь, что видео длинное и неконкретное, поэтому, вероятнее всего, я запишу еще ряд коротких роликов по конкретным схемам. Но данное базовое видео, в любом случае, не будет лишним для ознакомления. Также выкладываю слайды. Надеюсь, эта презентация будет полезна вам и вашим домашним, как для молодежи, так и для пожилых. Мои мне передали, что это было полезно. Осведомленность - основной инструмент противостояния мошенничеству.
#socialengineering
Не стоит думать, что схемы эти настолько нелепы и подобное никогда нас не коснется, это не так. Супер адекватные люди попадаются на кажущиеся фантастическими сценарии мошенничества, а со временем методы злоумышленников только совершенствуются, вместе с нашими семимильными шагами в тотальную цифровизацию.
Понятно, что все наши попытки что-то с этим поделать не будут иметь желаемую эффективность, но это не повод опустить руки и ничего не делать. Поэтому я подготовил довольно длинную презентацию по схемам мошенничества, известным мне, а то, как я ее рассказывал своим домашним - записал и вот делюсь видео.
Я уже получил обратную связь, что видео длинное и неконкретное, поэтому, вероятнее всего, я запишу еще ряд коротких роликов по конкретным схемам. Но данное базовое видео, в любом случае, не будет лишним для ознакомления. Также выкладываю слайды. Надеюсь, эта презентация будет полезна вам и вашим домашним, как для молодежи, так и для пожилых. Мои мне передали, что это было полезно. Осведомленность - основной инструмент противостояния мошенничеству.
#socialengineering
👍5🔥4
После вчерашней публикации вебинара по социальной инженерии было много обратной связи (правда, почему-то не в комментариях, а в личных сообщениях), что, видимо послужит почвой для множества новых заметок, с уточнениями и дополнениями.
Многих возмутил сценарий с установкой на устройство ВПО, поскольку все приложения, например, на iPhone, устанавливаются из доверенного источника и вероятность проставить из App Store ВПО невелика. Да, так и есть! Но приложения для удаленного управления не являются "вредоносными" в классическом понимании, однако, представляют собой тот же бэкдор, которым может воспользоваться злоумышленник. На картинках как раз приведены такие приложения из Huawei AppGalary, но в App Store их иконки выглядят аналогично.
Сценарий такой.
Звонит сотрудник банка с благовидным поводом, например, уточнить подозрительную транзакцию (в моей практике так действительно делали Сбер и Тинькофф). Далее различными манипулятивными механизмами, о которых мы говорили - цыганский гипноз, инерция доверия, правдопдобная ложь: из-за санкций приложение банка удалено и теперь называется так... - просит установить из доверенного источника приложение, например, QuickSupport, уточняет код подключения и получает удаленный доступ к устройству....
Скорее всего, нам никогда в жизни не потребуется кому-то, на другом конце телефонного провода, личность которого никак не подтверждена, кроме как с его слов, предоставлять удаленный доступ на наше личное устройство, поэтому давайте будем внимательны к устанавливаемым приложениям, и будем ставить только те приложения, функциональность которых нам понятна и понятен дальнейший сценарий использования.
Вот неполный список:
- QuickSupport
- TeamViewer
- AnyDesk
- Ammyy Admin
- поддержка [название банка]
- AirDroid/AirMore
- Kast
- ... предлагаю в комментариях к этой заметке собирать еще приложения для удаленного доступа, замеченные в мошеннических схемах...
#socialengineering
Многих возмутил сценарий с установкой на устройство ВПО, поскольку все приложения, например, на iPhone, устанавливаются из доверенного источника и вероятность проставить из App Store ВПО невелика. Да, так и есть! Но приложения для удаленного управления не являются "вредоносными" в классическом понимании, однако, представляют собой тот же бэкдор, которым может воспользоваться злоумышленник. На картинках как раз приведены такие приложения из Huawei AppGalary, но в App Store их иконки выглядят аналогично.
Сценарий такой.
Звонит сотрудник банка с благовидным поводом, например, уточнить подозрительную транзакцию (в моей практике так действительно делали Сбер и Тинькофф). Далее различными манипулятивными механизмами, о которых мы говорили - цыганский гипноз, инерция доверия, правдопдобная ложь: из-за санкций приложение банка удалено и теперь называется так... - просит установить из доверенного источника приложение, например, QuickSupport, уточняет код подключения и получает удаленный доступ к устройству....
Скорее всего, нам никогда в жизни не потребуется кому-то, на другом конце телефонного провода, личность которого никак не подтверждена, кроме как с его слов, предоставлять удаленный доступ на наше личное устройство, поэтому давайте будем внимательны к устанавливаемым приложениям, и будем ставить только те приложения, функциональность которых нам понятна и понятен дальнейший сценарий использования.
Вот неполный список:
- QuickSupport
- TeamViewer
- AnyDesk
- Ammyy Admin
- поддержка [название банка]
- AirDroid/AirMore
- Kast
- ... предлагаю в комментариях к этой заметке собирать еще приложения для удаленного доступа, замеченные в мошеннических схемах...
#socialengineering
👍9🔥1