Как не стать жертвой злоумышленников в интернете?

Зарегистрированный ущерб, нанесенный интернет-мошенниками российским гражданам в 2024 году, составил примерно 170 млрд руб. Это сопоставимо с бюджетом крупного региона.

И это не удивительно: обманывали россиян в цифровом пространстве буквально на каждом шагу. О том, как не попадаться на уловки мошенников и совершенствовать личную кибербезопасность, рассказал эксперт Лаборатории Kaspersky Елисей Вишнёв в рамках мастер-класса Клуба предпринимателей ФКН НИУ ВШЭ.

***

Спецпроект «Энциклопедия мошенников» – как распознать афериста. Все материалы>>

Елисей Вишнёв

Эксперт Лаборатории Kaspersky

Содержание статьи:

Информационная безопасность обеспечивается техническими системами защиты, но они могут не сработать против социальной инженерии — психологических приемов, когда пользователей убеждают выполнять опасные действия, уверен Елисей Вишнёв. Так, через скачивание вредоносных программ или передачу конфиденциальной информации люди становятся жертвой фишинга — вида мошенничества, когда злоумышленник вынуждает пользователя совершить действие, позволяющее получить доступ к устройству жертвы, ее учетным записям или персональным данным.

«Где может быть фишинг? — грустно улыбается эксперт. — Везде!» В зоне риска, и вправду, находятся все элементы цифрового пространства — от веб-сайтов, почты, QR-кодов и мессенджеров до уведомлений, звонков по телефону, социальных сетей и программного обеспечения. Однако обычно пользователей обманывают через электронную почту, веб-ссылки, веб-сайты и нейросети.

Электронная почта

Фишинг по почте реализуется с помощью входящих писем. Злоумышленника можно опознать по манипулятивным формулировками, запросу не нужных в текущей ситуации данных (логина и пароля от учетной записи, реквизитов банковских карт и т.п.), принуждению к переходу по ссылке или подозрительному адресу, с которого отправлено письмо и т.д. Но, как отмечает Елисей Вишнёв, сделать это порой нелегко.

Фишинговый аналог письма от Google. Источник: материалы Елисея Вишнёва

Мошенники могут, например, повторить письмо от Google, замаскировав вредоносную ссылку под pdf-файл. «Основную обложку письма можно подделать как угодно. Злоумышленники могут сделать точную копию настоящего, легитимного сообщения, — предупреждает эксперт. — Действительно, Google отправляет письма со ссылкой "Click Here". Но доменное имя (все, что после @) в почтовом адресе — грубо говоря, официальное название ресурса, которому принадлежит почта — указывает на подозрительного отправителя. Если это письмо отправлено из источника Google, то и доменное имя, уникальное название ресурса в сети, будет "google.com". В нашем случае оно пришло от непонятного "protected-download.com". Поэтому это фишинг».

Фишинг через уведомления платформы GitHub. Источник: материалы Елисея Вишнёва

Однако стратегия анализа шапки письма может работать далеко не всегда. К примеру, мошенники нашли способ «заставить» одну из крупнейших платформ совместной разработки IT-проектов GitHub отправлять пользователям вредоносные ссылки через сервис уведомлений.

«На GitHub у репозитория — ресурса для публикации кода — можно оставлять комментарии, которые дублируются пользователю на почту, — поясняет Елисей Вишнёв. — Так вот, злоумышленники стали оставлять комментарии в виде предложения о работе, которые, красиво отображаясь, начали приходить на почту разработчикам». Только комплексный анализ происходящего может помочь избежать подобной мошеннической схемы, уверен эксперт: «Пользователю имеет смысл задуматься, почему информация о приеме на работу направлена не с официального адреса HR-отдела организации, а от некоего "notifications", а также почему в теме письма нет ни единого намека на его дальнейшее содержание».

Веб-ссылки

Отдельное внимание при этом стоит уделить вредоносным веб-ссылкам, которые являются обязательной частью фишингового письма. Обычно ссылки не должны содержать опечатки, их доменное имя должно соответствовать содержанию, а используемый протокол передачи данных в начале ссылке должен быть HTTPS, его альтернатива HTTP куда менее безопасна.

Последний пункт, касающийся протоколов передачи данных, важно иметь в виду, хотя полагаться на него слишком сильно не стоит: веб-ссылка может нередко начинаться с заветных букв, но все еще быть вредоносной. Причина тому — недобросовестные центры сертификации, за незначительные суммы присваивающие стандарты «https». В качестве одной из таких организаций Елисей Вишнёв назвал центр Let’s Encrypt.

Фишинговые веб-ссылки, созданные путем смешения латиницы и кириллицы. Зеленая — подлинная ссылка. Источник: материалы Елисея Вишнёва

Итак, механизмов обмана пользователей существует множество. Злоумышленники могут писать похожие сочетания букв («https://disk.yanclex.ru/…»), включать в веб-ссылку строчки кода («.../?page=news&id=<iframe>example.com</iframe>» вместо «.../?page=news&id=12&dl=true&display=all»), заменять английские буквы похожими русскими (см. аналоги веб-ссылок на веб-страницу международной торговой площадки «ebay.com») и т.д. «Если вы не уверены в подлинности ссылки, потратьте время и проверьте ее через сервисы Kaspersky (https://opentip.kaspersky.com/), 2ip (https://2ip.ru/site-virus-scaner/) или Whois (https://whois.ru), — советует Елисей Вишнёв. — Это лучше, чем потом браться за голову».

Веб-сайты

Фишинговый веб-сайт можно распознать опять-таки по подозрительным ссылкам, предупреждениям браузера или антивируса, неработающим элементам интерфейса, большому количеству рекламы и — главное — отсутствию информации о странице в надежных источниках, уверен Елисей Вишнёв. «Если есть сомнения, всегда можно скопировать название сайта или ссылку на него и вставить в поисковую строку; если ни одна система ничего не выдает, то здесь явно что-то не так», — поясняет эксперт.

Фишинговый аналог сайта платежной системы PayPal. Источник: материалы Елисея Вишнёва

В качестве примера мошеннического сайта Елисей Вишнёв приводит аналог домена «paypal.com». Вместо оригинальной ссылки преступники поставили строку «paypal.com.security.alert.confirmation…», изменив тем самым веб-адрес перехода. «Действительно, paypal.com — это поддомен, — комментирует махинацию спикер. — Есть классический протокол построения ссылки: "//доменное имя/путь к веб-странице". В нашем случае до первого слэша идет много непонятных вещей, на которые стоит обратить внимание».

Фишинговый аналог сайта программного обеспечения Homebrew. Источник: материалы Елисея Вишнёва

С похожей проблемой столкнулись пользователи утилиты Homebrew, которая позволяет устанавливать пакеты и приложения для операционной системы Mac OS. Можно заметить, что вверху страницы написано «hornebnew.com» вместо «homebrew.com», что стало причиной крупной кибератаки.

Елисей Вишнёв отмечает в этом контексте, что взаимная замена схожих буквосочетаний, к сожалению, может очень часто ввести людей в заблуждение и затрагивает даже продвинутых пользователей сети.

«Оригинальный» фишинговый сайт Afishaconnect.ru. Источник: материалы Елисея Вишнёва

Однако есть и менее очевидные ловушки. Представьте, что вы хотите пойти в театр или кино — приятно провести вечер после рабочей недели. В поисках билетов вы заходите на несколько первых сайтов в браузере и попадаете на “Afishaconnect.ru”. Сайт выглядит вполне прилично, есть фотографии с показов, чат со службой поддержки, возрастные ограничения — одним словом, все атрибуты благополучия. Проблема одна: сайт — мошеннический. «Любой клик может стать проблемой, как и простое нахождение на сайте», — предупреждает Елисей Вишнёв. Спикер также подчеркивает, что в этом случае можно полагаться только на собственную внимательность: проверить адресную строку, заметив название зауральского городка Верхняя Пышма («Verhnya+Pishma»), когда настоящее местоположение пользователя определяется, скажем, районом Москвы, обратить внимание на неоднородность дизайна (соотношение больших–маленьких букв в англоязычных названиях) и т.д.

«Опять-таки, можно проверить этот сайт в надежных источниках, включая карты или попробовать найти разделы "контакты", "о нас" и т.п. (спойлер: их здесь нет)», — добавляет эксперт.

Нейросети

Сложности могут возникнуть и при работе с нейронными сетями, моделями искусственного интеллекта по типу ChatGPT, DeepSeek и др. К обычному разговору о мошеннических схемах, здесь добавляется личная информационная гигиена. «Основная работа злоумышленников — это те конфиденциальные, персональные данные, которые люди сами не нарочно отправляют в нейросети. Нужно понимать, что ваше сообщение оказывается непонятно где: не ясно, как устроены хранение, обработка этих данных, — предостерегает спикер, — поэтому показывать нейросети свои пароли, важные базы данных и пр. точно не стоит». После отправки с данными может случиться все, что угодно — скажем, их могут украсть и использовать против пользователя, его информационной безопасности.

Пароли

Наряду со здравым смыслом, ключевым способом защиты от действий мошенников является надежный пароль. «Его длина должна быть не менее 12 символов, пароль должен содержать заглавные и строчные буквы, цифры и специальные символы, причем очевидные подстановки таковых — "1" вместо "i" к примеру — вас не спасут», — объясняет Елисей Вишнёв.

Другим традиционным требованием является запоминаемость пароля. Разумеется, ключ можно хранить в соответствующей программе, но лучше придумать, например, кодовую фразу. Таковой, уверен эксперт, может стать цитата известного человека, строчка из песни или стиха и т.д. Применение этой идеи Елисей Вишнёв продемонстрировал наглядно, попросив составить и запомнить пароль на основе строфы стихотворения поэта Федора Тютчева «Люблю грозу в начале мая…» Победителем стал ключ «Gr0_N3b_G0I_3_4», на взлом которого, по подсчетам инструмента Kaspersky Password Checker, понадобилось бы 3261 столетий. Такая вот личная кибербезопасность — на века!

Авторы: Михаил Галкин и Ксения Клинк, стажеры-исследователи Проектно-учебной лаборатории экономической журналистики НИУ ВШЭ