Що таке претекстинг і як від нього захиститися?
Ця стаття – ваш особистий посібник з претекстингу, його різновидів, реальних прикладів шахрайства та, що найважливіше, методів уникнення пасток.
На нашій планеті не було б бідних, якби існував легкий спосіб розбагатіти.
Однак реальність інша. Саме тому деякі люди вдаються до обману, виманюючи у інших чесно зароблені кошти. Ці схеми можуть набувати різних форм: від романтичних знайомств та видавання себе за іншу особу до криптовалютних маніпуляцій та навіть використання USB-накопичувачів.
Хоча для кожного виду обману є своя назва, існує загальний термін, який їх об’єднує – це претекстинг.
Що ж таке претекстинг?
Простими словами, претекстинг – це створення штучної ситуації, часто нагнітаючи терміновість, щоб змусити вас надати конфіденційну інформацію, яку ви б зазвичай не розголошували.
Це складніший процес, ніж просто випадкові SMS-повідомлення. В залежності від способу дії, претекстинг має кілька поширених технік, які ми розглянемо далі.
#1. Фішинг
Фішинг – це найпоширеніший вид обману, з яким стикається багато хто з нас. Його суть полягає в отриманні електронних листів, повідомлень SMS тощо з проханням перейти за посиланням, яке або завантажує шкідливе програмне забезпечення, або перенаправляє вас на підроблений вебсайт.
Перший варіант може призвести до будь-чого: від крадіжки особистої інформації до блокування вашого комп’ютера з вимогою викупу за відновлення доступу.
Підроблений вебсайт, з іншого боку, може бути точною копією оригінального ресурсу, який краде введені вами дані, зокрема логіни та паролі.
#2. Вішинг
Вішинг є різновидом фішингу, що використовує голосові дзвінки. Замість електронних листів ви можете отримувати телефонні дзвінки від нібито представників служби підтримки тих сервісів, якими ви користуєтесь, або від вашого банку.
У цьому випадку жертву можуть залякувати або створювати відчуття терміновості, щоб змусити її виконати певні дії для продовження користування послугами. Також шахраї можуть обіцяти великі виграші, які можна отримати лише після сплати “комісії за обробку”.
#3. Scareware (Програмне забезпечення-залякувач)
Програмне забезпечення-залякувач атакує користувачів інтернету, які відвідують підозрілі вебсайти або переходять за посиланнями у фальшивих електронних листах чи SMS. Після цього з’являється спливаюче вікно, яке повідомляє про зараження вашої системи вірусами та пропонує завантажити безкоштовну програму для очищення.
Ніхто не любить віруси, правда? Завантаження такого “антивірусу” з цього спливаючого вікна може завдати шкоди вашому пристрою, зокрема встановити шпигунське програмне забезпечення, програми-вимагачі тощо.
#4. Baiting (Цькування)
В цьому виді шахрайства використовуються цікавість та бажання отримати щось “просто так” як основний інструмент для досягнення злочинної мети.
Наприклад, USB-накопичувач, залишений на видному місці в офісі, приверне увагу працівників. Далі хтось підключить накопичувач до комп’ютера, скомпрометувавши окремий пристрій або навіть цілу мережу.
Також, можна зустріти дуже вигідну пропозицію на онлайн-платформі, термін дії якої скоро закінчується. Невинний клік може знову поставити під загрозу не лише ваш комп’ютер, але й цілу організацію.
Отже, це деякі з методів претекстингу, які використовуються в онлайн-атаках. Тепер розглянемо, як ці механізми вбудовуються в реальні життєві ситуації та використовуються для обману.
Романтичне шахрайство
Це один з найскладніших видів шахрайства, який важко розпізнати. Адже, хто захоче втратити кохання свого життя через дрібні підозри, чи не так?
Романтичне шахрайство розпочинається зі знайомства з незнайомцем у додатку для знайомств. Це може бути підроблений сайт знайомств, створений для збору особистої інформації від вразливих та самотніх людей. Проте, це може бути і справжній сайт знайомств, де шахрай видає себе за ідеальну пару.
У будь-якому випадку, все розвиватиметься дуже швидко (але не завжди), і ви будете раді зустріти свою другу половинку.
Однак, вам можуть відмовляти у відеозустрічах, а особиста зустріч буде здаватися неможливою через “непереборні обставини”. Крім того, ваш співрозмовник може попросити вас перейти для спілкування з сайту знайомств на іншу платформу.
Далі, шахраї можуть попросити гроші на фінансування поїздки для зустрічі з вами. Або, запропонувати інвестиційну можливість з неймовірно високим прибутком.
Хоча романтичне шахрайство має багато варіацій, його типові жертви – довірливі жінки, які шукають серйозних стосунків. Також часто жертвами стають військовослужбовці, які потрапили в пастку онлайн-стосунків та розголошують секретну інформацію.
Простіше кажучи, якщо вашого онлайн-партнера цікавить щось, крім вас, чи то гроші, чи важлива інформація, це, швидше за все, шахрайство.
Шахрайство з видаванням себе за іншу особу
Уособлення – це пряма соціальна інженерія в дії. Цей вид шахрайства обдурив багатьох, включно з керівниками відомих компаній та університетів.
Наприклад, як ви поясните той факт, що генеральний директор Bitpay віддав шахраям 5000 біткойнів (на той час 1,8 мільйона доларів) за допомогою лише одного електронного листа?
Хакер проник до облікового запису електронної пошти одного з керівників Bitpay. Згодом він надіслав електронного листа генеральному директору Bitpay з вимогою оплатити рахунок бізнес-клієнту SecondMarket. Шахрайство виявили лише тоді, коли про транзакцію дізнався один зі співробітників SecondMarket.
Bitpay не зміг вимагати відшкодування збитків, оскільки це був не злам, а класичний випадок фішингу.
Видавання себе за іншу особу також може використовуватись шляхом залякування.
У таких випадках людям телефонують з погрозами “офіцери правоохоронних органів” та вимагають негайної оплати, інакше вони зіткнуться з судовими проблемами.
Лише в Бостоні (штат Массачусетс, США) шахрайство з видаванням себе за іншу особу у 2020 році завдало збитків на суму 3 789 407 доларів США, постраждало понад 405 осіб.
Видавання себе за іншу особу може бути також фізичним. Наприклад, до вас може несподівано завітати “технік” вашого інтернет-провайдера, щоб “провести перевірку”. Ви соромитеся або занадто зайняті, щоб запитувати деталі, і впускаєте його. Він може скомпрометувати ваші системи або спробувати пограбувати вас.
Іншою поширеною атакою є шахрайство з електронною поштою генерального директора. Це виглядає як лист від вашого керівника, з проханням виконати “завдання”, яке зазвичай передбачає фінансову транзакцію на користь “постачальника”.
Щоб не стати жертвою таких атак, не поспішайте та намагайтесь перевірити усі деталі телефонного дзвінка, електронного листа або візиту, перш ніж робити будь-які дії.
Шахрайство з криптовалютою
Це не зовсім нова категорія, а радше новий вид шахрайства, пов’язаний з криптовалютами.
Оскільки рівень обізнаності у світі криптовалют ще низький, багато людей знову і знову потрапляють у ці пастки. Найпоширеніший сценарій такого шахрайства – пропозиція інвестиційних можливостей з неймовірним прибутком.
Криптошахраї можуть довго готувати свої схеми, перш ніж завдати остаточного удару. Ці змови можуть бути організовані злочинними групами, які заманюють інвесторів вкладати свої кошти у фінансові піраміди.
І врешті-решт, коли “монета” досягає значної вартості, шахраї просто зникають з грошима людей, організовуючи так званий “rug pull”. Інвестори залишаються з мільйонами непотрібної криптовалюти з мізерною ринковою вартістю.
Інший тип криптошахрайства полягає в тому, що людей, які не розбираються в технологіях, обманом змушують розкрити свої приватні ключі. Після цього шахрай переказує кошти на інший гаманець. Через анонімність криптовалют, відстежити викрадені кошти часто дуже важко, а їх повернення стає майже неможливим.
Тут вам допоможе лише ретельне дослідження.
Обов’язково перевіряйте легітимність команди, яка стоїть за криптовалютними проектами. Зазвичай не варто інвестувати в нові монети, поки вони не завоюють ринкової репутації та вартості. Пам’ятайте, що криптовалюта нестабільна та вразлива до шахрайства. Не вкладайте гроші, якщо не готові до їх повної втрати.
Бажаєте дізнатися більше? Ознайомтесь з цим посібником з криптошахрайства від Bybit.
Як боротися з претекстингом?
Виявлення претекстингу – непросте завдання, і навчитися захищатися від нього неможливо за один день. Шахраї постійно вдосконалюють свої методи.
Однак суть цих методів залишається незмінною, і ви можете використовувати наступні поради як відправну точку.
#1. Навчіться казати “НІ”!
Більшість людей стають жертвами шахрайства, тому що вони хочуть співпрацювати, навіть коли відчувають, що щось не так.
Довіряйте своїй інтуїції. Завжди можете порадитися з колегами, перш ніж робити щось конфіденційне, наприклад, ділитися реквізитами банківського рахунку, переказувати гроші чи переходити за підозрілими посиланнями.
#2. Навчіть своїх співробітників
Люди схильні забувати. Тому одного попередження під час прийняття на роботу недостатньо.
Замість цього, ви можете проводити щомісячні тренінги з кібербезпеки, щоб ваша команда була в курсі нових тактик шахрайства. Навіть щотижневий електронний лист із попередженням про останні атаки претекстингу буде дуже корисним.
#3. Інвестуйте в хороший антивірус
У більшості випадків претекстинг передбачає використання хитрих посилань. Тому, наявність якісного антивірусу полегшить боротьбу з такими атаками.
Преміум антивіруси мають центральні бази даних, які обмінюються інформацією, а їхні складні алгоритми виконують важку роботу за вас.
Крім того, якщо ви сумніваєтесь у безпечності посилання, краще введіть його у пошукову систему.
#4. Підручники та курси
Хоча в Інтернеті є багато корисних порад (а також шкідливих) щодо того, як уникнути шахрайства, деякі люди віддають перевагу традиційним способам навчання. У цьому випадку вам знадобляться такі матеріали:
| Книги | Курси |
| “Мистецтво обману” Кевіна Мітніка | Онлайн курс соціальної інженерії на Udemy |
| “Соціальна інженерія” Крістофера Гаджеса |
Такі джерела особливо корисні для поглибленого самостійного навчання, яке не збільшить ваш час перед екраном.
Іншим варіантом, особливо підходящим для ваших співробітників, є онлайн курс соціальної інженерії на Udemy. Головною перевагою цього курсу є безперервний доступ та можливість переглядати його на мобільних пристроях та телевізорах.
Курс охоплює цифрові та фізичні види претекстингу, включаючи психологічні маніпуляції, техніки нападу, невербальну комунікацію тощо. Він чудово підійде для новачків.
Знання – ваш щит!
Як вже зазначалося, шахраї постійно вигадують нові способи обману. Проте, вони можуть націлюватися навіть на дуже досвідчених користувачів.
Єдиний шлях вперед – це освіта та поширення інформації про подібні випадки серед знайомих у соціальних мережах.
І ви будете здивовані, дізнавшись, що шахрайство поширюється також і на метавсесвіт. Дізнайтеся, як уникнути шахрайства у метавсесвіті, і ознайомтесь з цим посібником, щоб почати використовувати метавсесвіт, якщо ви новачок у цих дивних комп’ютерних світах.