Коли кіберзлочинці мають на меті отримати гроші користувачів, вони можуть використовувати безліч схем, серед яких найпопулярнішою є вимагання. Відповідно до останнього звіту ФБР про злочини в Інтернет-мережі за минулий рік, жертви вимагання втратили близько 107,5 мільйонів доларів США.
Як правило, зловмисники не використовують одну схему, а навпаки поєднують різні способи вимагання в Інтернеті, щоб змусити своїх жертв дотримуватись їх вимог, наприклад, виплатити пристойну суму або навіть виконати завдання від їх імені. Про це пише ESET.
Програми-вимагачі
Безперечно програми-вимагачі є найбільш відомим прикладом вимагання в Інтернеті. Цілями хакерів стають як компанії та урядові структури, так і приватні особи. Як правило, зловмисники інфікують пристрій програмою-вимагачем, використовуючи різні тактики, наприклад, обманом змушують вас натиснути на шкідливе посилання в електронному листі, в соціальних мережах або в миттєвих повідомленнях.
Після проникнення на пристрій шкідлива програма шифрує ваші файли та не дозволяє отримати доступ до них або повністю блокує комп’ютер з вимогою заплатити викуп. Також варто згадати, що деякі групи програм-вимагачів додали нові функції. Зокрема “доксинг”, який передбачає збір конфіденційної інформації з метою подальшого шантажування жертви та отримання виплати за нерозголошення цих даних. Це можна розглядати як форму подвійного вимагання.
У випадку інфікування спеціалісти рекомендують перевірити наявність інструменту дешифрування для виду програми-вимагача, яка проникла на ваш пристрій, та в жодному разі не платити викуп.
Злам та вимагання в Інтернеті
Ця тактика передбачає проникнення програми-вимагача на ваш пристрій або в онлайн-акаунти з метою пошуку будь-яких конфіденційних або важливих даних та їх викрадення. Як правило, це і є функціонал програми-вимагача, але в цьому випадку злам та проникнення у ваш пристрій виконується вручну. Однак у разі великомасштабного витоку даних отримати ваш пароль стає набагато легше. Після цього обрана жертва отримує електронний лист, в якому зловмисники намагаються змусити користувача заплатити викуп, погрожуючи публічно розкрити її особисті дані.
Для забезпечення захисту конфіденційної інформації від такого виду загроз варто використовувати шифрування даних та двофакторну аутентифікацію, а також створювати надійні паролі для облікових записів.
Вимагання з використанням інтимного контенту
Так званий “sextortion” є ще одним способом вимагання в Інтернеті з використанням погроз зловмисників опублікувати матеріали інтимного характеру жертви. Спочатку це може бути романтична розвага через платформу знайомств, поки злочинець не завоює довіру своєї жертви та переконає її перейти на інший додаток для спілкування. Оскільки програми для знайомств зазвичай використовують механізми з безпеки для виявлення потенційних шахраїв.
Після цього зловмисник переконує користувача поділитися деякими інтимними фотографіями або навіть відео, які потім буде використовувати для шантажування. Як варіант, хакери можуть зламати комп’ютер користувача та захопити веб-камеру, щоб слідкувати за ним та навіть робити непристойні знімки або відео. Зокрема жертвою подібного шахрайства стала американська модель Кессіді Вульф.
Саме тому нікому не відправляйте будь-які непристойні фотографії. Це стосується навіть людей, яким ви довіряєте, оскільки їх пристрої та акаунти можуть бути скомпрометовані і в такому випадку ваші особисті фотографії опиняться в руках зловмисників. Тому для зниження ризиків зламу акаунтів оновлюйте свої пристрої, а також використовуйте надійне рішення з безпеки.
Шахрайство з використанням інтимного контенту
Таке шахрайство відоме як “sextortion scams” і зазвичай передбачає використання матеріалів інтимного характеру, щоб залякати жертву та змусити заплатити викуп. Зокрема зловмисники надсилають користувачу електронний лист, в якому повідомляють про наявність в них відео жертви під час перегляду інтимного контенту. Після цього кіберзлочинці вимагають виплатити певну суму, щоб уникнути публікування делікатних відео.
Для захисту від різних шахрайських та спам-повідомлень увімкніть спам-фільтр. Детальніше про подібні схеми шахрайства та поради щодо захисту від них читайте за посиланням.
DDoS-вимагання
Кіберзлочинці часто здійснюють DDoS-атаки на підприємства, щоб обмежити їх здатність надавати послуги. Часто для збільшення свого нелегального доходу хакери пропонують свої послуги на торгових майданчиках DDoS. Під час цих атак кіберзлочинці використовують велику кількість пристроїв, які організовані в ботнет. Це дозволяє спрямувати велику кількість запитів на ціль атаки, що в результаті призводить до збоїв, повільної роботи та відключення систем жертви.
Атака може тривати декілька днів, що для деяких компаній означає втрату доходів в сотні тисяч доларів. Нещодавно група кіберзлочинців погрожувала різним організаціям DDoS-атаками, якщо вони не заплатять викуп у розмірі від 57 000 до 227 000 доларів США в біткоїнах.
Базовими кроками для захисту від схем вимагання з використанням DDoS-атак є налаштування брандмауера, який блокує доступ до всіх неавторизованих IP-адрес, а також реєстрація в службі захисту від DDoS-атак.
Для зниження ризиків стати жертвою вимагання в Інтернеті дотримуйтесь основних порад з безпеки:
- Використовуйте двофакторну аутентифікацію.
- Регулярно оновлюйте програми та операційну систему до актуальних версій.
- Уникайте повторного використання паролів, оскільки зламавши один обліковий запис, кіберзлочинці можуть отримати доступ і до всіх інших екаунтів з такими ж обліковими даними.
- Використовуйте надійні паролі, які містять складні маловідомі фрази.
- Уникайте поширення інформації, яка може бути використана проти вас.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як обмежити перегляд небажаного контенту для дітей у TikTok? Поради для батьків
Як заблокувати небажаний контакт у Facebook? – ІНСТРУКЦІЯ
Як зупинити відстеження небажаними програмами Вашої точної геолокації? ІНСТРУКЦІЯ
Як скопіювати файли на USB-накопичувач на Chromebook? – ІНСТРУКЦІЯ
Нагадаємо, виявили нову шпигунську кампанію проти користувачів Android, в рамках якої зловмисники поширюють “Pro-версію” TikTok. Шкідливе ПЗ здатне захоплювати контроль над базовими функціями пристрою – робити фотографії, читати і відправляти SMS-повідомлення, здійснювати телефонні дзвінки і запускати додатки.
Також співробітники компанії Facebook вручну переглядають запити на розкриття інформації користувачів, не перевіряючи електронні адреси тих, хто запитує доступ до порталів, призначених виключно для співробітників правоохоронних органів. Іншими словами, будь-хто, у кого є електронна адреса, може отримати доступ до порталів, де правоохоронні органи запитують дані про користувачів Facebook і WhatsApp.
З’явилася офіційно ОС Android 11, яка розповсюджується серед компаній-виробників смартфонів та розробників Android. Остання версія мобільної ОС Google фокусується на трьох ключових темах – людське життя, елементи керування та конфіденційність – і робить їх більш помітними на Вашому смартфоні.
Фахівці Колумбійського університету провели дослідження на предмет безпеки Android-додатків, і 306 додатків містили серйозні криптографічні уразливості. Найпоширенішими проблемами опинилися використання небезпечного генератора псевдовипадкових чисел, непрацюючі хеш-функції, використання режиму роботи CBC, повторне використання паролів (в тому числі ненадійних) тощо.
Уразливість BLURtooth можуть використовувати хакери для перезапису ключів аутентифікації Bluetooth. За допомогою уразливості BLURtooth зловмисник може маніпулювати компонентом CTKD для перезапису ключів аутентифікації Bluetooth і таким чином отримати доступ до підтримуючих Bluetooth сервісів і додатків на тому ж пристрої.
