Привет, Хабр!

У нашего начбезопасности Алексея Дрозда (aka @labyrinth) есть традиция — делиться советами по ИБ-обучению сотрудников. Ранее на Хабре уже выходили его материалы о том, как натренировать рядовых пользователей распознавать мошеннические письма, сайты, создавать стойкие пароли. В честь профессионального праздника (с Днем безопасника, коллеги!) мы попросили Алексея поделиться еще советами — на этот раз по личной безопасности в соцсетях.

Под катом все об угрозах ИБ в соцсетях и мессенджерах: самые распространенные уловки, техники, «обманки и заманухи», которые используют мошенники. И, конечно, инструкции, как защититься, в формате простых советов.

Поделитесь с сотрудниками, чтобы следующий «кружок от начальника» главбуху не обернулся компрометацией всей компании.

А откуда ноги растут?

Перед началом пару слов, почему именно соцсети и мессенджеры, а главное: причем тут вообще корпоративный инфобез? Сотрудники используют мессенджеры и соцсети для внутрикорпоративного общения. В том числе для пересылки конфиденциальных данных. Это небезопасно, но многие продолжают так делать. Даже работники банков, которым нельзя.

Взломанный аккаунт в соцсети или мессенджере сотрудника может привести к проблемам у работодателя. Например, с конца 2023 года СМИ массово начали писать про атаки по методу FakeBoss. Это когда злоумышленник создает аккаунт в соцсети, стилизует его под руководителя конкретной организации, а потом пишет его подчиненным с разными просьбами. Нередко в ход идут дипфейки.

По данным коллег из Innostage, каждая пятая атака по этой схеме в 2024 году была успешной. Сейчас процент снизился, люди привыкли к тому, что им могут писать фейковые руководители. Но злоумышленники на то и злоумышленники. Они не будут сидеть сложа руки и рано или поздно модернизируют схему.

Теперь к самой памятке.

В начале была цель

Все атаки на соцсети и мессенджеры можно разделить на три группы, в зависимости от цели, которую преследует злоумышленник.

1. Угнать аккаунт;

2. Украсть деньги;

3. Заполучить фейковую активность.

Все атаки работают примерно одинаково и состоят из двух элементов: предлога и инструмента. Предлог — это ситуация, которую создает или под которую мимикрирует злоумышленник. Например, представляется работником банка и сообщает, что ваши деньги в опасности. Инструмент — это то, при помощи чего мошенник получает нужное. При помощи фишинга, компьютерных вирусов и т. д.

Сочетание предлога и инструмента обычно называют мошеннической схемой. Приведу пример. Вам в мессенджере пишет друг, сообщает, что попал в аварию, и просит перевести деньги на присланный номер карты. Предлог здесь — ваше доверие к аккаунту друга и переживания за него из‑за аварии. Инструмент — просьба перевести деньги. Все вместе — мошенническая схема.

Каждая группа атак имеет свойственные для себя предлоги и инструменты. Дальше про них.

Угон аккаунта

Для угона аккаунтов мошенники чаще всего используют фишинг. Это способ выманить личные данные, сымитировав страницу входа в мессенджер, притворившись службой поддержки, представителями банка и т. д. Будущая жертва перейдет по ссылке, введет данные для входа, и они улетят злоумышленнику. То же самое произойдет, если просто отправить логин/пароль и код из СМС липовому сотруднику Telegram.

Приведу пример. Классический метод угона аккаунтов — фейковые голосования. Вам приходит сообщение с просьбой проголосовать в конкурсе детских рисунков от близкого человека или от того, кто случайно оказался в записной книжке. В сообщении всегда будет ссылка. Если перейти по ней, попадете на сайт якобы конкурса. Чтобы проголосовать, нужно авторизоваться в аккаунте, введя специальный код. После этого мошенник окажется в вашей учетке.

Кража денег

Злоумышленники крадут деньги при помощи мессенджеров двумя путями. Распространяют вирусы — и тогда все происходит автоматически, либо обманом заставляют перевести деньги. Приведу примеры.

В случае с вирусами все относительно просто. Мошенник отправляет файл в формате APK — установщик программ под ОС Android. Сопровождает это надписью, которая должна заинтересовать. Например, «Это ты на фото?» или «Смотри, это твоя жена». Если скачать и установить файл, то злоумышленник, в зависимости от типа вируса, сможет даже получить полный контроль над вашим устройством.

Схема не пользуется спросом уже лет десять, но после шуточного поста в одном ТГ-канале некоторые СМИ написали, что начался всплеск таких атак. Интересно, что появилось раньше: яйцо или курица? В любом случае, будьте осторожнее — фотографии, сканы и документы не требуют установки.

Предлог здесь — простое человеческое любопытство. Инструмент — вирусное ПО.

Второй вариант с выуживанием денег интереснее. Например, мошенники могут стилизовать аккаунт в мессенджере под известную компанию. Сообщить будущей жертве, что она выиграла смартфон в рандомизированном розыгрыше среди клиентов условного маркетплейса. Чтобы получить выигрыш, нужно всего лишь оплатить небольшую сумму за доставку — от 500 до 1000 рублей.

Предлог здесь — ваше психологическое нежелание упустить выгоду. Инструмент — просьба перевести деньги.

Фейковая активность

Для создания фейковой активности мошенники обещают награду за лайки, репосты и комментарии. Это распространенно, например, в формате розыгрышей внутриигровых предметов из популярных игр. Для участия нужно просто сделать репост или поставить лайк.

Благодаря этому злоумышленники получают бесплатную рекламу всего того, что им нужно. Например, сайтов-казино, которые замаскированы под онлайн-игры, и прочего в таком духе. Такие безобидные на первый взгляд лайки и комменты могут косвенно привести к игровой зависимости и, как следствие, проблемам на работе и в личной жизни.

Предлог в данном случае — желание бесплатно получить внутриигровой предмет. Инструмент — возможности соцсетей.

Комбо

Бывают атаки с несколькими целями. Например, сначала мошенники обещают вам деньги за лайки товаров на маркетплейсе. И даже выплачивают небольшие суммы, чтобы втереться в доверие и подсадить на крючок. Это выглядит как классический пример «заманухи» для создания фейковой активности. Но затем вскрывается истинная цель злоумышленников — заполучить ваши деньги.

Типичная схема выглядит следующим образом.

Мошенник пишет будущей жертве в мессенджере и предлагает легкий заработок — нужно всего лишь поставить лайк или написать коммент в определенном месте. Если это сделать и подтвердить скриншотом, то злоумышленник попросит номер карты и отправит небольшую сумму в качестве награды.

Далее человека добавляют в чат с другими такими «трудягами» и администратором/куратором. Он выдает задания, проверяет их выполнение и выплачивает награды. Поначалу задания очень простые, а другие участники чата — общительные и отзывчивые. Постоянно обсуждают, как здорово и легко получать деньги таким способом и т.д. На самом деле это боты, которые имитируют активность.

Картинка рушится, когда вместо простых лайков или комментов под товарами на маркетплейсе вдруг оказывается, что нужно товар выкупить — перевести небольшую сумму на указанный номер карты. Под разными выдуманными предлогами количество денег для перевода будет расти и расти, пока не дойдет до критической точки. Предположим, в 30 тыс. рублей. В таком случае после перевода средств жертва не получит их с процентами, как обычно, а останется у разбитого корыта.

Предлог в данном случае — жажда легких денег и социальное одобрение (боты в чате). Инструмент — задания по переводу денег.

Хит-парад

Все названные схемы так или иначе реализуются почти в любом мессенджере или соцсети. Но есть и уникальные схемы, которые привязаны к возможностям платформы. Дальше про них. Начнем с Telegram.

Мошенничество в Telegram

1. Боты-зазывалы. Все те странные люди, что пишут околесицу в комментариях каналов, иногда вовсе и не люди, а боты. Они привлекают к себе внимание едкими фразами, обещанием легких денег, бесплатных прогнозов, 18+ контентом и т.д.

В профиле бота всегда будет ссылка на канал/сайт. Дальше атака развивается по-разному. Иногда это просто реклама, а иногда и якобы «слив договорных матчей в закрытом канале». Вход, конечно, стоит денег, а никаких договорных матчей нет. По крайней мере, в этом канале.

2. Telegram Premium в подарок. Вам приходит сообщение с приятным содержанием: кто-то из друзей подарил Telegram Premium. Чтобы активировать подписку, нужно подтвердить номер телефона по ссылке или в боте. 

После ввода данных учетной записи и специального кода, мошенник попадет в ваш аккаунт.

3. Бесплатный сыр. Некоторые телеграм боты предлагают бесплатно воспользоваться ChatGPT, сгенерировать изображение или сделать что-то еще, за что обычно требуется оплата. Иногда «первая порция» действительно дается бесплатно, а чтобы продолжить пользоваться ботом нужно сделать определенное действие. Например, подписаться на канал, сделать репост в историю и т. д.

VK

1. Проданные/взломанные группы. Группы VK принадлежат людям, а значит продаются и взламываются. Злоумышленникам это интересно, потому что у групп есть подписчики, которые могут не ждать подвоха — значит, их можно «разводить». Форматы мошенничества при этом любые: платные несуществующие курсы и товары, розыгрыши, конкурсы и т.д. Но цели одинаковые – получить ваш аккаунт или деньги.

Схожая история была в запрещенной соцсети с картинками. В канун 8 марта мошенники взломали аккаунты двух популярных блогеров. Разместили дипфейки, в которых звезды якобы призывали участвовать в конкурсе, «в котором всем повезет». Стоит ли говорить, что все участники остались ни с чем.

2. Брачные мошенничества. Аферисты находят одиноких людей по статусам и содержимому страниц VK, а потом пишут примерно следующее: «Увидел тебя и сразу влюбился. Приеду и заберу на Мальдивы». Хэппи-энду предшествует пару недель переписки, но конец всегда один: нужно скинуть денег на билет на самолет.

Человек любит не только человека, но и, например, футбол. Так что вариации «займи денег на самолет» бывают разные. Вспоминается, как фейковый аккаунт Хаби Алонсо просил у фаната 300 батт (760 рублей) на билет из Германии в Англию.

Как защищаться?

Можно выучить самые популярные мошеннические схемы, как «у Лукоморья дуб зеленый», чтобы сразу класть трубку или блокировать чат при упоминании безопасного счета. Это точно будет полезно, но если сменится предлог, который используют в схеме, то все пойдет коту-ученому под хвост.

Самый трудозатратный, но и самый эффективный вариант — смотреть «внутрь» схем и понимать, чего от вас хочет возможный злоумышленник. Для этого нужно различать предлоги и инструменты, про которые шла речь в начале статьи. Напомню, что предлоги — это ситуации, которые имитируют мошенники, чтобы эмоционально воздействовать на жертву: войти в доверие, запугать и т.д. Инструменты — методы получения логинов и паролей, денег и прочего.

Главный лайфхак — оставаться спокойным. Предлоги, как правило, состоят из психологических триггеров, которые должны вывести вас из зоны комфорта. Заставить переживать, нервничать, паниковать или спешить. Метод противодействия таким манипуляторам давно известен психологии. Нужно разорвать сценарий, по которому хочет идти мошенник. Как, например, это сделал робот Олег Т-Банка. Он подшутил над мошенницей, которая представилась сотрудницей МВД, и она в итоге раскололась, забыла о своей «роли» и перешла к чистой ругани.

Если предлог получился слишком правдоподобным или был придуман специально под вас (да, такое тоже бывает), то обращайте внимание на конец сценария. Мошенники рано или поздно перейдут к инструментам – попросят авторизоваться в аккаунте, скачать и установить файл, перевести деньги и т. д.

Для более эффективной защиты еще стоит поменять настройки аккаунтов в мессенджерах и соцсетях.

VK

1. Подключите двухфакторную аутентификацию. Это пароль или код, без которого злоумышленник не сможет войти в аккаунт.

2. Критически относитесь к информации в ленте. Особенно если требуется перейти по ссылке, передать данные и т.д.

3. Настройте приватность профиля. Лучше всего сделать профиль закрытым, чтобы никто не мог писать/звонить извне списка друзей.

Telegram

1. Поставьте «облачный» пароль. Это пароль, который Telegram попросит помимо специального кода для входа в аккаунт. Он обезопасит почти от всего, если не вводить его на фишинговых сайтах.

2. Не передавайте никому логин, пароль и коды для входа в аккаунт.

3. Telegram пришлет уведомление, если кто-то войдет в аккаунт. Не игнорируйте его. Если попались, жмите на «Нет, не я!», чтобы выкинуть незваного гостя. У вас будет на это примерно 24 часа.

   

4. Если сразу устранить чужака не удалось, перейдите в «Настройки», «Устройства», «Завершить все другие сеансы». Если вас выкинули первым и поменяли логины-пароли, остается только писать в поддержку.

5. Помните про дипфейки. Определить их по качеству может быть сложно, поэтому всегда обращайте внимание на предлоги. Кто пишет и зачем, часто ли он просит подобное и по какой причине? Если просят что-то сделать, всегда лучше связаться с просящим в другом мессенджере, по почте, телефону или — лучше всего — лично.

6. Поставьте настройки конфиденциальности. Кто может видеть ваш номер, фото профиля, может звонить и т. д. Все это и даже больше находится в одноименном разделе в настройках.

WhatsApp*:

1. Включите двухфакторную аутентификацию. Перейдите в «Настройки», «Аккаунт», «Двухшаговая проверка» и задайте ПИН-код. 

2. Привяжите электронную почту. Зайдите в «Настройки», «Аккаунт», «Электронный адрес». 

3. Настройте конфиденциальность. Это одноименная графа в настройках, которая работает почти так же, как и в Telegram. Можно настроить, кто и что видит о вашем аккаунте.

Что еще важно знать?

Предлоги и инструменты перетекают из одного канала в другой, но суть остается одинаковой. Важно смотреть не на изменяющийся контекст, а на постоянные признаки. Неважно, под каким предлогом и в каком мессенджере вас просят проголосовать в конкурсе или перевести денег, потому что «очень надо и вообще верну завтра, мы знакомы 10 лет». Важно, что для мошеннического действия нужно перейти по ссылке и ввести номер банковской карты, логин и пароль от аккаунта и т.д.

На этом все, пишите в комментариях, если что-то забыл.

* принадлежит компании Meta, признанной экстремистской организацией и запрещенной в РФ.