Як захистити себе від фішингу: жертва шахраїв на OLX покроково показала інструкцію обману (фото)

Неабиякого розмаху в Україні фішинг набув ще торік навесні під час локдауну через епідемію Covid-19. Багато людей відтоді почали працювати в дистанційному режимі і здійснювати покупки в інтернеті. Фішингові повідомлення стали частіше траплятися на очі, адже люди почали проводити більше часу у комп’ютерах та телефонах – пристроях, де зберігається доступ до електронних фінансових рахунків. Враховуючи масштаби явища, у МВС неодноразово застерігали користувачів зберігати обережність в поводженні із підозрілими повідомленнями від невідомих осіб на пошті, у месенджерах, соціальних мережах тощо.

До редакції "Надзвичайних новин" звернулась постійна читачка Валерія, яку за старою доброю схемою на сайті оголошень про продаж товарів та послуг намагався розвести шахрай. Жінка розповіла, що на таку схему потрапляє вже не вперше протягом останнього року, отже вона приносить очікуємий для інтернет-шахраїв результат.

Жінка розповідає, щойно виставила на продаж дитячі речі, як майже одразу їй написала "потенційний покупець". Замість спілкування через офіційний ресурс та оформлення безпечної покупки через OLX доставку, шахрайка розпочала розмову у месенджері. Туди ж вона надіслала і "ліве" посилання, що начебто сплатила за товар. А далі - найцікавіше. Шахрайка не намагалася хитрощами вивідати конфіденційні дані банківської картки продавця, а одразу зізналась, ким є насправді. Ба більше, заявила, що може використати будь-чий мобільний номер для своїх оборудок, навіть продавця, з яким зараз спілкується.

Як обманюють продавців і покупців у інтернеті за допомогою фішингових посилань

Це давня класична схема, але все одно ми вирішили показати детально на прикладі, що таке сайти-копії. Адже в більшості своїй люди не знають, що це таке.

Лінки, які зловмисники використовують для отримання конфіденційної інформації користувачів, називають фішинговими посиланнями. Таке посилання на шахрайський сайт маскують під стандартне, аби відвідувач вважав, що перейшов на відомий йому онлайн-ресурс. При цьому користувач самостійно заповнює необхідні форми, надаючи інтернет-шахраям особисті фінансові дані: логіни, паролі, номери банківських карток та іншу особисту інформацію. Неважко здогадатися, що потім всі гроші з вашої картки миттєво зникнуть.

У випадку з платформами купівлі та продажу товарів шахраї надсилають адресу, на яку начебто здійснюватиметься доставка, а також посилання. Далі схема виглядає так: аби продавець отримав гроші, потрібно перейти за посиланням, ввести номер своєї банківської картки, строк її дії та тризначний CVV-код, а також суму, еквівалентну вартості за товар.

І скільки не кажи людям, що за жодних обставин не можна повідомляти тризначний CVV-код на звороті картки та одноразові паролі, які несподівано приходять на телефон, люди все одно "клюють на гачок". Єдине, що можна вказувати при угоді, це 16-значний номер картки та ПІБ відправника.

Адреса сайту, як перевірити сайт-копію

У першу чергу має насторожити адреса сайту. У даному випадку це сайт-копія. Якщо виникли сумніви в безпеці ресурсу, на якому потрібно ввести особисту інформацію, скористайтеся онлайн-сервісами, які перевіряють сторінку на наявність шкідливих програм і фішингу. Приміром, чи безпечний перегляд можна перевірити через Google, ввівши URL у вказане поле (див. під фото).

Ось що показала перевірка сайту-копії і справжнього сайту за допомогою Google:

Інтернет-шахрайка, яка пишається своєю владою

Аби отримати бажане, шахраї використовують різні методи отримання конфіденційних даних при фішингу. Починаючи від нав’язування нереалістично вигідніх пропозицій і закінчуючи погрозами заблокувати банківські картки або телефонний номер, видаючи себе за співробітників фінансових установ чи мобільного оператора.

У випадку з Валерією було інакше. На її запитання у покупця, чому в профілі на OLX немає замовлення, отримала відповідь: "Так він з'являється після підтвердження".

Усвідомлюючи, що має справу з інтернет-шахраями, продавець вирішила зрозуміти, як відбувається обман. Ввівши нереалістичні дані, вона натисла кнопку "зарахувати" і миттєво отримала від "покупця" повідомлення, що введено невірний баланс.

У ході спілкування шайхрайка визнала свою протиправну діяльність. Зрозуміло, що жінку звати не Оля і фото не належить їй. У сервісі ідентифікації абонентів Getcontact номер телефону +380679043724 значиться за Оксаною Яценко. Інших тегів на цей номер немає.

Тепер ви знаєте, що таке фішингові веб-сторінки і будете більш обачними, адже намагаючись продати навіть якусь дрібничку за невеликі кошти, можна втратити десятки тисяч гривень. Судячи з тенденцій в розвинених країнах і тих, що розвиваються, ринок онлайн-продажів буде зростати. Способи шахрайства вдосконалюватимуться, а нам з вами залишається аналізувати та обмінюватися досвідом, аби знизити свої ризики і ризики близьких нам людей.

Також читайте:

У лютому у кіберполіції розповіли, що хакер з України розробив найбільший в світі фішинг-сервіс для атак на фінустанови та поштові сервіси, у результаті постраждали банки 11 країн світу, збитки сягають десятків мільйонів доларів. Встановлено, що від фішингових атак постраждали фінансові установи Австралії, Іспанії, США, Італії, Чілі, Нідерландів, Мексики, Франції, Швейцарії, Німеччини та Великобританії. За результатами аналізу іноземних правоохоронців, понад 50% усіх фішингових атак у 2019 році в Австралії було здійснено саме завдяки розробці українця. Хакер не лише збував свою продукцію клієнтам з усього світу, а й надавав технічну підтримку під час здійснення фішингових атак.

У березні у кіберполіції повідомляли про одесита, який зламав 15 мільйонів акаунтів. Він розробив шкідливе програмне забезпечення, зашифровуючи його у документи у форматі pdf. Надалі розсилав ШПЗ на е-скриньки користувачам поштових сервісів, видаючи себе за представника служби безпеки сервісів. У результаті хакер отримував персональні дані користувачів, банківські реквізити, дані для входу до інтернет-банкінгу, акаунтів соцмереж, електронних скриньок тощо. Свою розробку він продавав на хакерських форумах та у месенджері.