Різні обличчя загроз електронної пошти

Шахрайства з електронною поштою бувають різних форм і розмірів. Деякі з них настільки очевидні, що викликають сміх - жодних зусиль не докладено, щоб замаскувати шахрайство.

Але не думайте, що всі вони такі. Шахрайства з електронною поштою стають все більш хитрими та креативними. Це ті види, на які навіть найкомп'ютерніший представник покоління Z, який виріс, сплячи на iPad, подивиться двічі, перш ніж зрозуміти. Де, якби вони не були такими підступними, ви могли б навіть зробити крок назад і захопитися підходом. Ми покажемо вам, як розпізнати фішинг та інші поширені шахрайства з електронною поштою та захиститися від них.

Швидкий спалах з минулого

Багато хто з нас пам'ятає дуже ранні дні шахрайських електронних листів — безтурботні дні, коли ми були і наївнішими, і менш довірливими до електронних листів. Коли ми отримували шахрайство, ми читали його з плутаним інтересом, намагаючись зрозуміти, чому відправник вважає, що ми — це правильна людина, до якої можна звернутися за допомогою. 

Хто пам'ятає Іспанського в'язня? Нещасна душа з великим багатством, яка відчайдушно потребувала нашої допомоги, щоб заплатити викуп, щоб його звільнили з в'язниці. Забавно, але ця афера насправді передує електронній пошті, виникнувши на початку 19 століття. Десь якийсь відчайдушний Інтернет-серфер вирішив її оцифрувати.

Сьогодні шахрайства з електронною поштою більше грають на сильні сторони свого цифрового формату. На відміну від деяких оригінальних шахрайств, вони використовують переваги, які Інтернет пропонував протягом багатьох років — такі як можливість легко обробляти платежі онлайн, зростаюча залежність від електронної пошти для наших найважливіших комунікацій і еволюція соціальних медіа, щоб назвати лише кілька.

Ознаки шахрайства з самого початку

Перш ніж ми детальніше розглянемо різні типи шахрайства з електронною поштою, ми поділимося деякими загальними правилами, які ви можете використовувати, щоб допомогти вам ідентифікувати шахрайство/спам — оскільки всі вони мають спільні елементи — відправника, тему, текст тіла і, можливо, найважливіше, необхідність читати і вірити.

Назва компанії/відправника

Зверніть увагу на:

1. Помилки або неправильна стилізація — Paypal vs. PayPal. 
2. Щось, що здається надмірно описовим або малоймовірним — AA Car Emergency vs. AA.
3. Компанії, з якими ви не купуєте/не маєте справ — Повідомлення від Barclays, коли ви користуєтеся Lloyds.
4. Щось, що здається дивним — Від символів і дивно названих компаній до дивного розташування — іноді є щось, що просто здається неправильним щодо відправника.

Адреса електронної пошти відправника

Зверніть увагу на:

1. Невідповідна адреса електронної пошти — Щось, що суперечить назві компанії.
2. Двійники — Адреса, яка розроблена, щоб виглядати як справжня компанія. Це може бути домен (@paypalcare.com) або TLD (@paypal.club). 
3. Помилки — Орфографічні помилки або інші нерегулярності в адресі.

Теми листів

Зверніть увагу на:

1. Фрази, призначені для провокації терміновості — «Попередження: Останнє повідомлення про оплату».
2. Мова, що обіцяє занадто багато — «Заробіть £1000 за п'ять хвилин».
3. Мова, що викликає сильну емоційну реакцію — «Ви найняті! Починайте завтра!»
4. Помилки — Шахраї не відомі своєю гарною граматикою.
5. Надмірне використання пунктуації або емодзі — Мало які справжні компанії використовують це.
6. Наявність «Re» — Може використовуватися, щоб натякнути, що ви вже відповідали, хоча це не так.
7. Кнопки та вкладення — Завжди утримуйтесь від натискання кнопок або завантаження вкладень у підозрілих електронних листах.

Текст повідомлення

Зверніть увагу на:

1. Неймовірні обіцянки — Подібно до версії в темі листа, але в тексті повідомлення є місце для розширення, що дає можливість зробити брехню більш переконливою.
2. Заклики до дії, що вимагають особистої інформації — Особливо адреси або даних картки.
3. Посилання на те, чого ви не пам'ятаєте — Від подій до послуг, які ви ніколи не отримували
4. Імітація — Хтось стверджує, що є другом або родичем, але вони не звучать як вони самі.

Тепер, коли у вас є деяка інформація про те, як шахраї можуть маніпулювати різними частинами електронного листа, давайте розглянемо конкретні приклади. 

Шкідливе програмне забезпечення

Для багатьох атаки шкідливого програмного забезпечення, ймовірно, були першим видом шахрайських електронних листів, яких ми дійсно боялися. Тоді ми, ймовірно, просто називали їх вірусами електронної пошти. Відкрийте його, ваш екран стає чорним. Гра закінчена. Щось на зразок цього.

Насправді, шкідливе програмне забезпечення охоплює широкий спектр зловмисних атак — і деякі з них, відверто кажучи, значно страшніші, ніж швидка смерть комп'ютера. 

Моніторинг натискань клавіш? Виснаження вашого процесора без вашого відома? Шпигунство за вами? Примус до появи підозрілих оголошень кожні п'ять хвилин? Так, шкідливе програмне забезпечення охоплює широкий спектр невеликих програм, які вбудовуються у ваш комп'ютер без вашого відома, і їхні функції варіюються від тих, що асоціюються з підступними жартівниками, до повноцінних злочинців. Вони ухильні і часто важко позбутися — якщо ви знаєте, що вони там є.

Як виявити шкідливе програмне забезпечення

Якщо ви відчуваєте будь-які з перерахованих вище симптомів, є велика ймовірність, що це шкідливе програмне забезпечення. Це могло прийти з електронного листа — але не обов'язково. Існують інші способи, якими ці програми можуть вбудовуватися у ваш комп'ютер — завантаження, підозрілі веб-сайти та навіть шахрайські апаратні пристрої. Якщо ви коли-небудь знайдете USB-накопичувач на вулиці, не дивіться, що на ньому.

Захистіть себе від шкідливого програмного забезпечення

Ризикуючи сказати очевидне, спробуйте програмне забезпечення для виявлення шкідливих програм. Але виберіть щось авторитетне. 

Якщо ви загуглите, як запобігти шкідливому програмному забезпеченню, найкраща порада — встановити антивірусне програмне забезпечення. Особисто я не знаю нікого, хто робив би це з кінця 2010-х, але хто я такий, щоб суперечити всьому людському знанню та масовому досвіду, зведеному до однорядкової відповіді від Gemini, поданої за частку частки секунди?

Зважаючи на це, захист від загроз, який пропонують операційні системи, загалом кращий, ніж у перші дні, особливо Windows оновлюється для захисту від загроз, але, що важливіше, багато програм для електронної пошти роблять роботу за нас, фільтруючи підозрілі електронні листи, перш ніж вони досягнуть нас. 

Добре знайти постачальника електронної пошти, який забезпечує хороший захист від шкідливого програмного забезпечення та сканує ваші електронні листи, перш ніж вони досягнуть вас. Це особливо добре, коли йдеться про уникнення психологічних атак (і ми перейдемо до них за мить).

Якщо ми говоримо про захист, а не про запобігання, добре робити регулярні резервні копії на випадок, якщо вас вразить одна з цих атак. Я особисто рекомендую щось на кшталт Mega Sync, яке оновлюється щоразу, коли ви натискаєте зберегти файл.

Фішинг

Сьогодні ви, ймовірно, найчастіше зіткнетеся з фішинговим шахрайством електронної пошти. Чому? Тому що, як і приємна мелодія або запах весни, ми всі піддаємося їхнім чарам. Але як розпізнати фішинг?

Фішингові атаки ефективні завдяки своїй універсальності. Іноді не важко виявити фішинг. Вони можуть бути чим завгодно: буквально будь-чим, що змушує когось вводити свої особисті дані. Подумайте про будь-яку причину, через яку ви можете відчути потребу поділитися своїми особистими даними або надіслати комусь гроші, і це може стати фішинговим електронним листом.

Ось лише кілька прикладів, і пам’ятайте, ключ до фішингу полягає в тому, що всі ці електронні листи виглядають реальними, але є фальшивими:

1. Повідомлення про скидання пароля.
2. Заповніть відсутні банківські реквізити.
3. Заповніть свою поштову адресу, щоб увімкнути доставку.
4. Поновіть свою підписку.
5. Ви переможець конкурсу!
6. Друг у біді просить про допомогу.
7. Повідомлення про повернення податку.
8. Прохання про благодійні пожертви.

Якщо ви не бачили фішингового шахрайства, ви навіть не риба? Вони настільки поширені, що важко уявити електронну пошту без них. Але є більше ніж один спосіб фішингу…

Цільове фішингування та вейлінг

Цільове фішингування та вейлінг націлені на конкретних осіб, часто з більш агресивними тактиками.

Цільове фішингування використовує особисті знання, зазвичай отримані з кількох джерел, щоб створити більш переконливі електронні листи. Оскільки вони написані з використанням особистої інформації, вони можуть посилатися на реальних друзів, ситуації або навіть переконливіше імітувати банк (тощо). Якщо ви думаєте, що це малоймовірно для вас, пам'ятайте, що більшість людей мають більше публічно доступної інформації в Інтернеті, ніж вони усвідомлюють.

Якщо хтось видає себе за вашого друга і згадує дуже конкретну подію, на якій ви обидва були присутні десять років тому, чому б вам не повірити? Може знадобитися деякий час, щоб згадати, що ви детально писали про це на Facebook, і що цей пост доступний для перегляду публічно. Коли вони просять позичити гроші, можливо, ви б допомогли. 

Ми всі вразливі до цільового фішингування, що робить його більш небезпечним, ніж більш очевидні шахрайства. Одним з вдалих застережень є те, що рівень досліджень, необхідний для успішного здійснення цільового фішингування, відлякує більшість шахраїв. Легше зробити ставку на масову розсилку, на яку менше людей відреагує. Але чи це те, де в майбутньому з'явиться штучний інтелект? Ми повинні залишатися пильними.

Вейлінг

Отже, що таке вейлінг? Ну, в багатьох відношеннях атака вейлінгу майже така ж, як цільове фішингування, але вона специфічно націлена на заможних осіб, таких як генеральні директори. 

Сумна реальність полягає в тому, що їхній статус робить їх кращими цілями для інвестування часу, а інші фактори (такі як їхнє багатство, відповідальність, брак часу та велика база контактів) означають, що існує кілька потенційних слабких місць для експлуатації. Наприклад, можливо, їм потрібно лише переконати помічника або секретаря, що вони мають схвалення генерального директора. Отже, здається, що комерційний вейлінг завжди є поганою річчю.

Як захиститися від цільового фішингування та вейлінгу 

Окрім того, що зазначено в нашому загальному посібнику вище, ви також повинні налаштувати сильну фільтрацію спаму. Людський фактор — це те, де фішингові електронні листи сяють. Якщо шкідливе програмне забезпечення — це проста хитрість, то на якомусь рівні фішинг вимагає нашої співучасті. Адже ми повинні віддати свою інформацію. Як ми вже обговорювали, це робиться шляхом звернення до нашої емоційної реакції.

Отже, забезпечення того, щоб ми ніколи не стикалися з цим у першу чергу, є найсильнішим способом боротьби з цим. Фільтри спаму шукають кілька елементів, коли розглядають електронний лист, які ми, як люди, не можемо. Вони перехресно перевіряють чорні списки, відомі поведінкові шаблони та навіть метод, відомий як байєсівська фільтрація. Це порівнює вміст електронного листа з відомим спамом проти легітимних електронних листів, щоб обчислити ймовірність того, що це спам. Крім того, хороші фільтри спаму враховують те, що інші користувачі позначають як спам, створюючи так званий зворотний зв'язок користувачів.

Компрометована бізнес-електронна пошта

Трохи відрізняється від усього, що ми розглядали досі, це походить з протилежного боку — ідея, що легітимний обліковий запис електронної пошти був скомпрометований. Це не обов'язково має бути бізнес-акаунт, але для цієї статті є кілька більш цікавих факторів, про які можна поговорити, якщо уявити, що це так.

Якщо шахрай може незаконно отримати доступ до бізнес-акаунту електронної пошти, він може видавати себе за працівників, щоб вимагати кошти або навіть доступ до інших внутрішніх систем, які можуть містити конфіденційні дані.

Компрометація бізнес-акаунту також використовує іншу соціальну особливість, властиву багатьом компаніям, особливо великим: малоймовірно, що кожен співробітник знає всіх інших. Це, у поєднанні з тим фактом, що люди очікують бути ввічливими в робочому середовищі, означає, що ці електронні листи мають додаткові переваги в порівнянні з приватними акаунтами.

Як захиститися від цього

Забезпечення використання всіма співробітниками двофакторної аутентифікації (2FA) та вибір надійних паролів значно зменшує ризик викрадення/зламу акаунтів. 2FA гарантує, що власник акаунту завжди знатиме, якщо хтось намагається зламати його, а надійний пароль ускладнює атаки методом перебору. 

Ви також можете зменшити ймовірність майбутніх проблем, негайно деактивуючи акаунти співробітників, які залишають компанію. Кладовище невикористовуваних акаунтів, що збирають пил, — це просто аварія, яка чекає на те, щоб статися.

Фальшиві рахунки 

Одна з тем, яку ви можете помітити, — це експлуатація різних емоційних крайнощів. Досі ми розглядали страх або недбалість генерального директора та передбачувану апатію одного співробітника до іншого. Тепер спробуємо гнів.

Хтось стверджує, що ви винні йому гроші, і вимагає негайного повернення. Вони злі, кажуть речі, які змушують вас сумніватися у власних спогадах, або створюють обставини, в яких ви не можете бути впевнені, що вони не реальні. Вітріол і гнів тривають, поки не здається, що легше заплатити їм.

Це може не здаватися ймовірним для багатьох з нас, але, можливо, це найгірше в цьому: шанси, що «ми» не є їхніми цілями. Їхній успіх буде уразливими. Ті, хто, можливо, дійсно не пам'ятає, або більше довіряє незнайомцям. 

Запобігання

Якщо ми припустимо, що ми не будемо платити випадкові рахунки, які отримуємо електронною поштою, можливо, варто скористатися цією можливістю, щоб запропонувати поговорити з тими у вашому житті, хто менш досвідчений в Інтернеті. Запитайте їх, чи потрібна їм допомога в ідентифікації шахрайства, і поясніть, що лише тому, що хтось вимагає гроші, це не робить їхню вимогу законною. Зрештою, ми повинні піклуватися один про одного, і ніхто не хоче бачити, як хтось потрапляє в очевидне шахрайство. 

Існують ресурси, які ви можете направити людям, які можуть провести їх через це у зручний для користувача спосіб.

Шахрайства з пропозиціями роботи

На відміну від деяких інших, ці можуть бути важкими для виявлення навіть для найдосвідченіших з нас. Одна з причин цього полягає в тому, що вони не існують у вакуумі електронної пошти. Якщо хтось із нас отримав електронний лист з нізвідки, в якому говориться, що ми отримали роботу, ми б відразу зрозуміли, що це спам. Але що, якщо це не так сталося?

Що, якщо шахрайство почалося як реальне оголошення на справжньому сайті з вакансіями? Ви подали заявку на нього разом з купою інших реальних вакансій, і воно здавалося таким же ймовірним, як і всі інші. Ну, тоді це електронний лист, якого ви очікуєте — навіть сподіваєтеся на нього. І, подібно до фішингу, це створює більш складну можливість для шахрайства. Тому що ви тепер є добровільним учасником — принаймні, спочатку.

Але в чому саме? Ці шахрайства можуть мати безліч форм, але, по суті, як і стародавні пірамідальні схеми минулого, вони вимагають гроші наперед під виглядом покриття витрат, придбання обладнання або навіть навчання для посади — і нічого з цього не є реальним. Іноді в системі можуть бути навіть інші, які вірять, що це реально, і це може створити враження легітимності, якої насправді немає.

Як розпізнати шахрайство з пропозицією роботи

Є певні підказки, на які ви можете звернути увагу, коли подаєте заявки на роботу, які можуть вказувати на те, що робота не є легітимною:

1. Нереалістичні зарплати — Якщо щось здається занадто хорошим, щоб бути правдою, ймовірно, так і є.
2. Нечіткі або неймовірні вакансії — Чи дійсно комусь потрібно або хочеться, щоб хтось виконував цю роль?
3. Не потрібні співбесіди — Або поспішна пропозиція роботи без належної перевірки.
4. Непрофесійні комунікації — Запитують більше даних, ніж потрібно.
5. Відсутність онлайн-присутності компанії — Або компанія, чий вебсайт виглядає трохи підозріло. Стокові зображення, неправдоподібні відгуки, відсутність реального контенту — щось на зразок цього.

Так само, ви не хочете виключати легітимні вакансії лише через погано складений список. Тому головне, на що слід звернути увагу, це будь-хто, хто просить гроші до початку роботи. Майже немає випадків, коли робота повинна вимагати від вас платити за щось наперед, тим більше виконувати будь-які обов'язки безкоштовно.

Як би ви не були впевнені в процесі до цього моменту, як тільки мова заходить про переказ грошей, будьте впевнені — це шахрайство.

Шахрайства з романтичними стосунками

Мабуть, найсильніша емоційна маніпуляція з усіх: Як ми почуваємося, коли закохані. 

У мене є особистий досвід, коли хтось у додатку для знайомств просив позичити гроші (саме тут цей вид шахрайства найімовірніше трапляється в наші дні). Це не так рідко, як ви могли б подумати — і в деяких випадках ми можемо навіть не думати про це як про шахрайство… 

Лінії швидко розмиваються, коли наші серця починають керувати нашими головами. Можливо, частина нас навіть думає "можливо, мене вважають дурнем, але що таке десять фунтів, коли йдеться про кохання?". Але ця людина може проводити весь день у додатку для знайомств. Якщо вони отримають десять людей на день, щоб пожертвувати десятку, то це насправді не погана зарплата. І це, безумовно, буде класифіковано як шахрайство.

Як не закохатися в шахрайство з романтичними стосунками

Ризикнувши перетворитися на тітку-агонію, не піддавайтеся на свої почуття. Якщо ваша голова каже, що це шахрайство, то, ймовірно, так і є. Ніколи не давайте гроші комусь, кого ви не знаєте добре, якими б сильними не були їхні заяви про любов до вас. Це сумний факт життя, що люди використовують крайнощі емоцій для маніпуляцій. 

Шахрайства з призами

Більшість з нас, напевно, пам'ятає, як отримували флаєр поштою, в якому говорилося, що ми виграли лотерею, і нам потрібно було зателефонувати, щоб отримати свій приз. Я припускаю, що це було неминуче, що це також стане електронною поштою. 

Тут не так багато чого сказати, чого не було сказано в інших записах. Можливо, ми можемо просто створити мантру для життя. Якщо в електронному листі сказано, що ви виграли приз, ви не виграли приз*.

*Якщо тільки ви не виграли приз. Але ви точно не виграли приз. Перестаньте думати про приз.

Запобігання

Послухайте, ви дійсно, дійсно не виграли приз. Купіть лотерейний квиток, якщо потрібно — але натисніть цю кнопку спаму.

Захист себе та інших

На серйозній ноті, чи то спам, чи шахрайство, це дійсно не смішно. Люди дійсно страждають, втрачають гроші або відчувають себе дурнями після цього. 

Ми запропонували кілька способів захистити себе, але все зводиться до трьох речей:

• Увімкніть якомога більше безпеки

Що б не пропонував ваш провайдер, чи то 2FA, автоматично згенеровані паролі або навіть шифрування — ви називаєте це. Налаштуйте їх. Вони просто роблять ваш обліковий запис трохи важчим для викрадення. 

• Виберіть провайдера, орієнтованого на безпеку

Провайдер з потужним програмним забезпеченням для управління спамом та частими оновленнями безпеки ймовірно, є вашою найкращою формою постійного захисту. Більшість шахрайств, які ми описали, починаються і закінчуються управлінням спамом. Якщо ми їх ніколи не бачимо, вони ніколи не є проблемою. 

• Тримайте руку на пульсі

Фішингові шахрайства ніколи не перестають розвиватися. Вони націлені на вас, а не на вашу поштову скриньку, тому ви є своїм найкращим захистом.

Чи є у вас якісь практики, які ви використовуєте, щоб уникнути спаму та шахрайств? Ми б хотіли їх почути! Залиште будь-які думки або питання в розділі коментарів нижче