Смартфон вибрирует и светится от нового оповещения. "Перевод №84323093 поступил на ваш счет в сумме 17 944 руб.", — написано в описании мероприятия, которое кто-то добавил в ваше приложение с календарем. Место проведения — "Экстренное сообщение от отдела контроля выплат". Мероприятие проводится каждый день в течение месяца. В трех местах указана одна и та же ссылка. Как легко догадаться, переходить по ней нельзя: мошенники попросят ввести какую-нибудь деликатную информацию, автоматически установят вредоносный код или подстроят еще какую-нибудь гадость.
Вряд ли кто-то клюнет на такую бесхитростную наживку: неужели отдел контроля выплат не нашел другого способа связаться, кроме календаря? Но чтобы выудить личные данные, злоумышленники могут придумать и более правдоподобное событие, например концерт интересной группы (предпочтения человека можно узнать на страницах в социальных сетях) или премьеру фильма, который все обсуждают вот уже месяц.
Эта мошенническая схема осуществима из-за настроек онлайн-календарей, установленных по умолчанию. Так, "Календарь" Google добавляет мероприятия, даже когда вы не приняли приглашение. А если приглашение отклонить, оно все равно будет видно, то есть опасная ссылка останется под рукой.
Чтобы изменить настройки:
- Откройте браузерную версию "Календаря" (в мобильном приложении нет нужных пунктов);
- Нажмите шестеренку, чтобы зайти в настройки;
- В "Мероприятиях" вызовите меню в пункте "Автоматически добавлять приглашения" и выберите "Нет, показывать только приглашения, на которые уже отправлен ответ";
- В "Режиме просмотра" уберите галочку у "Показывать отклоненные мероприятия";
- В "Мероприятиях из Gmail" уберите галочку у "Автоматически добавлять мероприятия из Gmail в мой календарь";
- Откройте мобильное приложение "Календарь", в настройках выберите раздел "Общие" и нажмите тумблер рядом с пунктом "Показывать отклоненные мероприятия", чтобы он стал серым.
После этого спам больше не будет приходить.
Чем пользуются мошенники
Чаще всего преступники пользуются не уязвимостями программ и оборудования, а человеческими слабостями: страхом, рассеянностью, жадностью. Наиболее распространенный метод мошенничества — фишинг (англ. phishing, то есть fishing — "рыбалка"), когда жертв заманивают на страницу, похожую на сайт банка, магазина, социальной сети, через электронное письмо, sms или другим способом.
Человек как ни в чем не бывало переходит по ссылке и указывает свои логины, пароли, PIN- и CVV/CVC-коды банковских карт, которыми потом пользуются злоумышленники. На смартфоне с Android иногда даже не надо вводить никакой информации — скрипт на странице сам установит вредоносную программу. Случай с календарем — это тоже разновидность фишинга.
Теми же слабостями пользуются телефонные мошенники. Одни представляются сотрудниками банков и сообщают о подозрительных денежных операциях, чтобы выведать информацию для доступа к счету. Другие якобы работают в компании — операторе связи и предлагают какую-нибудь услугу или подарок, которые можно получить, предоставив личные данные.
Преступники бывают очень убедительными: говорят грамотным языком, со знанием дела, упоминают подробности, случайному человеку вроде бы неизвестные (на самом деле, многое можно выведать на страницах в соцсетях и в продающихся на черном рынке базах данных). Если человек на том конце спрашивает логин и пароль, это явно мошенничество. При малейших подозрениях следует закончить разговор и проверить информацию на сайте компании, где предположительно работает собеседник, по телефону, указанному на этом сайте, или лично в офисе.
Некоторые рекомендации насчет того, как обезопаситься от мошенников, собраны в инфографике ТАСС.
Также:
- Установите антивирус на компьютер и смартфон; не игнорируйте предупреждения браузера, когда говорится об опасности на открывающейся странице;
- Придумайте длинные (от 12 знаков) пароли, где есть буквы, цифры и другие символы. Пароли везде должны быть разными. Мало кто следует этому совету, но на самых важных сайтах и сервисах (Google, если у вас смартфон на Android, "Госуслугах") все-таки стоит постараться. Для регистрации на важных сайтах вообще лучше использовать отдельный почтовый ящик, который используется только для этого;
- Где это возможно, включите двухфакторную авторизацию — это когда вместе с паролем нужно ввести одноразовый код из sms, ответить на заранее придуманный вопрос и т.п. Ответ на вопрос должны знать только вы, то есть столица Непала или самый крупный вид кошачьих не подойдут;
- Пользуйтесь менеджером паролей: не придется держать их в уме, а если на знакомом сайте программа не предложит автоматически осуществить вход в аккаунт, то с большой вероятность этот сайт — подделка, созданная мошенниками;
- Проверьте настройки приватности в социальных сетях. По умолчанию почти все на вашей странице обычно видно всему интернету. Эту информацию можно использоваться, чтобы вас обмануть;
- Обращайте внимание на URL сайтов, адреса электронной почты, названия Wi-Fi-сетей. Чтобы ввести в заблуждение, мошенники пропускают, добавляют или меняют символы, например, вместо "О" пишут "0" (R0STELEK0M_FREE), а вместо заглавной "I" — строчную "l" и наоборот (beeIine.com), регистрируют страницу в другой доменной зоне (не .com, а .ru). Также подозрительно, когда официальные письма приходят с адресов на бесплатных сервисах (Gmail, "Яндекс.Почта"), а sms-рассылка — с обычного десятизначного номера (но короткий номер сам по себе не гарантирует безопасность!);
- Не храните деликатную информацию в облачных хранилищах или хотя бы предварительно зашифровывайте ее;
- Если вам предлагают что-то сделать по телефону, то лучше не спешить и сначала проверить информацию на сайте компании. Когда позвонивший торопит с решением, это должно насторожить. Если же вам сообщают, что близкий человек попал в беду, следует сначала с ним связаться и выяснить, правда ли что-то стряслось;
- Будьте осмотрительны при использовании публичных Wi-Fi-сетей: трафик в них редко шифруется, а перехватить его проще. Если вы сидите в забегаловке и хотите отправить другу свою часть платы по счету, переключитесь на мобильный интернет.
Марат Кузаев