Спуфінг – це смішне слово, але його наслідки дуже серйозні. Ось як працює спуфінг, яких форм він може набувати і як від нього захиститися.
Щойно вам здається, що ви знаєте, як уникнути загроз безпеці в Інтернеті, як кіберзлочинці стають дедалі кмітливішими. Спуфінг – шахрайство, в якому злочинець видає себе за іншу особу, щоб вчинити шахрайство, розповсюдити шкідливе програмне забезпечення або здійснити інші кібератаки – є останнім у довгому списку онлайн-шахрайств, які слід тримати в полі зору.
Щоб допомогти вам залишатися в безпеці, ми попросили експертів з кібербезпеки пояснити, як працює спуфінг і що ви можете зробити, щоб не стати жертвою онлайн-шахраїв.
Що таке спуфінг?
Спуфінг – це електронний лист, текстове повідомлення або телефонний дзвінок, який здається, що він надійшов від надійного джерела, наприклад, від коханої людини або навіть від популярного бренду. Але насправді за фальшивою адресою електронної пошти або номером телефону ховається шахрай, який сподівається переконати вас завантажити шкідливе програмне забезпечення, надіслати гроші або поділитися з ним особистою інформацією чи даними.
Спуфінг-атаки можуть приймати різні форми. В одному з нещодавніх прикладів хакери створили фальшиві запрошення в Zoom на віртуальні зустрічі в громадських організаціях та шкільних радах. Жертви, які натиснули на документ, прикріплений до електронного листа, заразили свої пристрої шкідливим програмним забезпеченням. Інші приклади спуфінгу включають електронні листи, що видають себе за запит від Privat24 або Rozetka на отримання інформації для входу, або текстові повідомлення, які виглядають як грошові перекази з онлайн-гаманця або банку.
Чи є спуфінг злочином?
Підроблені електронні листи, телефонні дзвінки або текстові повідомлення, які призводять до злочинних дій, таких як спроба злому, шахрайство або фінансова крадіжка, є незаконними, стверджує Карім Хіджазі, генеральний директор компанії з кіберрозвідки Prevailion і колишній підрядник американської розвідки. Це також трапляється частіше, ніж ви думаєте. У нещодавньому звіті ФБР повідомляється, що у 2021 році люди втратили понад 82 мільйони доларів через шахрайство за допомогою спуфінга.
Якщо ви стали жертвою спуфінгу або іншого онлайн-шахрайства, ви можете подати скаргу до місцевого відділення поліції, якщо ви втратили гроші.
Спуфінг за допомогою тексту
Як це працює
У підроблених текстових повідомленнях шахраї маскують свій ідентифікатор відправника, щоб видавати себе за когось або щось, ким вони не є. Вони можуть назватися вашим начальником або членом сім’ї, або ж представитися знайомою вам компанією, наприклад, Розетка чи вашим банком. У будь-якому випадку, їхня мета – обманом змусити вас поділитися особистими даними або перейти за посиланням, яке інфікує ваш телефон вірусом.
На жаль, зараз створити підроблені текстові повідомлення простіше, ніж будь-коли. Більшість злочинців використовують програмне забезпечення, яке дозволяє їм створювати будь-який ідентифікатор відправника на свій розсуд. “Раніше для підробки ідентифікатора абонента була потрібна бізнес-телефонна система, але зараз будь-хто може завантажити додаток з App Store, що дозволяє здійснювати підроблені дзвінки або текстові повідомлення”, – говорить Аарон Хігбі, співзасновник і головний технічний директор компанії Cofense, що займається кібербезпекою.
Чому це небезпечно
Найбільша небезпека спуфінгу в текстових повідомленнях: Його надзвичайно складно, а іноді й неможливо розпізнати. “Підроблені текстові повідомлення іноді неможливо відрізнити від легітимних повідомлень, тому читач дійсно повинен бути уважним”, – каже Ендрю Барратт, віце-президент з технологій та підприємництва компанії Coalfire, що займається кібербезпекою.
Підроблені тексти не тільки важко виявити, але вони також можуть завдати серйозної шкоди жертвам. Наприклад, перейшовши за посиланням, прикріпленим до текстового повідомлення, ви можете випадково завантажити шкідливе програмне забезпечення, яке дозволяє комусь шпигувати за вашим телефоном. Якщо шахрай зможе переконати вас, що він представляє ваш банк, ви можете поділитися з ним фінансовою або іншою конфіденційною інформацією. Жертви також можуть бути обмануті і відправити гроші злочинцю, якщо вони вважають, що пишуть повідомлення коханій людині.
Як розпізнати підроблений текст
Остерігайтеся будь-якого текстового повідомлення з телефонного номера, який ви не знаєте. Якщо ви отримали повідомлення, яке виглядає як попередження про виявлення шахрайства або виставлення рахунку від компанії, з якою ви ведете бізнес, наприклад, від вашого банку, знайдіть публічний номер компанії і зателефонуйте їм безпосередньо, щоб підтвердити повідомлення. За словами Хігбі, ці сповіщення є одними з найпопулярніших трюків, які сьогодні використовують шахраї.
Спуфінг через телефонний дзвінок
Як це працює
Як і підроблені текстові повідомлення, підробка телефонних дзвінків спирається на технологію, яка дозволяє зловмисникам створювати фальшивий ідентифікатор абонента. Потім вони можуть телефонувати від імені Розетки, PayPal, вашого банку або будь-якої іншої знайомої компанії, щоб викрасти гроші або конфіденційну інформацію.
Наприклад, зловмисники можуть зателефонувати комусь, щоб попередити про шахрайство з їхнім акаунтом, а потім запропонувати допомогу. Виманюючи у жертви інформацію для входу в систему, шахраї можуть отримати доступ до облікового запису та будь-яких конфіденційних даних, що містяться в ньому, наприклад, номерів кредитних карток.
Чому це небезпечно
Люди часто стають жертвами підроблених телефонних дзвінків, оскільки мобільні оператори не в змозі заблокувати такі дзвінки або попередити людей про те, що дзвінок може бути шахрайським. Для одержувача дзвінка все виглядає законно. Коли назва вашого банку з’являється в ідентифікаторі абонента, його легко обдурити.
Хіджазі також зазначає, що злочинні кол-центри дуже добре навчилися імітувати реальні процедури обслуговування клієнтів легальних організацій, таких як банки, що ще більше ускладнює для жертви усвідомлення того, що її обманюють.
Як розпізнати несправжній дзвінок
Якщо ви отримали підозрілий дзвінок, зверніть увагу на якість звуку. Зловмисник, швидше за все, використовує низькоякісний інтернет-телефон, що призводить до низької якості дзвінка. Завжди перевіряйте легальність дзвінка, зв’язавшись безпосередньо з компанією, перш ніж передавати будь-яку конфіденційну інформацію, наприклад, дані для входу в систему або номери кредитних карток.
До термінових прохань поділитися інформацією, надіслати гроші, перейти за посиланням або завантажити вкладення слід ставитися з підозрою. Шахраї дуже добре вміють грати на наших тривогах, а також намагатимуться діяти швидко, щоб у людини не було часу на роздуми.
Спуфинг по електронній пошті
Як це працює
Історично склалося так, що електронну пошту дуже легко підробити. Все, що потрібно зробити шахраям – це створити підроблену адресу відправника, схожу на вашу, внісши невеликі зміни, які важко помітити, наприклад, додати крапку або замінити цифру на літеру. Потім вони використовують цю електронну адресу для надсилання “підроблених” повідомлень, що містять шкідливе програмне забезпечення або термінові прохання про гроші.
Пам’ятайте, що підробка – це не те саме, що хакерство. Коли електронну пошту людини підробляють, це не означає, що хакер зламав її. Її просто скопіювали (зімітували).
Ви теж можете отримувати підроблені електронні листи. За допомогою підроблених листів зловмисники сподіваються обдурити вас, видаючи себе за відому вам особу або організацію і просячи гроші, конфіденційну інформацію або інші послуги. Назва відправника імітує ім’я реальної людини або організації, але адреса електронної пошти дещо відрізняється від їхньої справжньої.
Чому це небезпечно
Підроблена адреса виглядає легітимною, тому підробка електронної пошти дозволяє шахраям обходити спам-фільтри більшості поштових скриньок. Як тільки підроблені листи потрапляють до поштової скриньки, жертви з набагато більшою ймовірністю відкривають їх і потрапляють на них. Люди вважають, що коли ім’я відправника з’являється в їхній поштовій скриньці, то це справжня людина. Але це дуже легко підробити.
Підробка електронної пошти – це найпоширеніший спосіб зламу людей та компаній. У вас можуть виманити гроші або особисту інформацію, втратити доступ до ваших рахунків або заразити ваш пристрій шкідливим програмним забезпеченням. Також зростає кількість шкідливих програм, які використовують фішингові електронні листи, наприклад, фішингові атаки на Apple ID.
Більше того, підроблені електронні листи можуть бути пов’язані зі схемами вимагання, які заманюють жертву в приватну розмову або надсилають свої чутливі зображення, які потім використовуються для шантажу. Хакери також можуть видавати себе за представників правоохоронних органів і стверджувати, що у них є докази того, що ви займалися незаконною діяльністю.
Як розпізнати підроблений лист
Отримання будь-якого електронного листа від контакту через нову адресу відправника має бути червоним прапором, що ви маєте справу зі спуфінговою атакою. Треба скептично ставитися до будь-яких пояснень, чому відправник використовує нову електронну адресу. Коли зловмисник підробляє дружнє ім’я, він, як правило, бреше, щоб пояснити, чому він використовує нову адресу електронної пошти. Замість цього зв’яжіться з вашим контактом особисто або зателефонуйте, щоб підтвердити, що повідомлення є справжнім.
Щодо підроблених листів від компаній чи брендів, рекомендуємо перевіряти адресу відправника, щоб переконатися, що вона збігається з ім’ям відправника та його справжньою електронною адресою. Він також радить шукати граматичні та орфографічні помилки, а також будь-які помилки у форматі листа, які можуть свідчити про те, що лист не є легітимним.
На щастя, багато інтернет-провайдерів вже відловлюють підроблені електронні листи за допомогою додаткового захисту, який вони надають користувачам, щоб допомогти їм боротися зі спамом. Тим не менш, ви завжди повинні бути уважними до підроблених листів та інших фішингових атак у вашій поштовій скриньці.
Інші види спуфінгу
Існує багато інших видів онлайн-шахрайства, яких варто остерігатися, і не всі вони пов’язані з фінансовим шахрайством, кажуть експерти. Наприклад, підробка імен – коли шахраї підробляють імена людей з великою аудиторією в Інтернеті для просування фінансових пірамід або криптовалют – є поширеним явищем у Twitter, YouTube та інших соціальних мережах.
Не варто також вважати, що скріншоти текстових повідомлень є законними. Люди можуть сфабрикувати розмову з кимось, підробивши номер телефону, зробивши скріншот і стверджуючи, що це справжня розмова. Це може завдати особистої та репутаційної шкоди обманутій людині.
