Петр Кузнецов: Впереди рубрика «Личное мнение», вот о чем предлагаем поговорить. Фейковые компенсации, предоплаты за маски и якобы штрафы за самоизоляцию – на карантине Интернет-мошенники стали только активнее. Новые схемы, какие-то новые инструменты запугивания, страдают даже прожженные богачи. Например, сегодня стало известно, что Уоррена Баффетта обманули на сотни миллионов евро с помощью фотошоп. Как им это удается? Ольга Арсланова: Что происходит? Почему коронавирус помогает мошенникам? Поговорим прямо сейчас с президентом Консорциума «Инфорус», специалистом по кибербезопасности Андреем Масаловичем, это его «Личное мнение». Андрей Игоревич, здравствуйте. Андрей Масалович: Здравствуйте. Петр Кузнецов: Здравствуйте. Может быть, на самом деле все просто, потому что самое опасное, что сейчас все больше и больше людей, да все мы ушли в онлайн в связи с этими событиями, вся работа онлайн, а онлайн – это что? Это непаханое, бесправное поле, где просто одним неверным кликом можно потерять деньги. Андрей Масалович: Ну, это так и есть. Но я бы обратил внимание на другое обстоятельство. Мы не просто ушли в онлайн, мы ушли туда с, скажем так, непокоем на душе. То есть мы сейчас вынуты из естественной среды обитания, и в таких случаях человек делает больше ошибок, то есть когда он попадает в непривычную среду, начинает волноваться, то есть вообще, как говорили в школе Кекусинкай, в каратэ ты проявил эмоцию и проиграл. Вот этим пользуются мошенники всех мастей, поэтому сейчас количество преступлений выросло, количество попыток преступлений выросло вдвое сразу с начала коронавируса, а количество успешных преступлений против личности в 4 раза, так что... Петр Кузнецов: «Мошенники всех мастей», вы сказали. А если говорить о масти пострадавших, кто это все-таки в большей степени? Это обанкротившиеся бизнесмены или обычные граждане? Андрей Масалович: Смотрите, я бы сейчас... Во-первых, это самые простые граждане, не как бизнесмены, а именно как личности, причем... Петр Кузнецов: ...причем тоже обанкротившиеся. Андрей Масалович: ...что обидно, самые незащищенные, пенсионеры и люди, потерявшие работу. Петр Кузнецов: Ага. Андрей Масалович: Я бы выделил несмотря на то, что сейчас целый веер таких новых атак, я бы выделил 3 направления. Первое – попытка дотянуться до наших данных под какими-нибудь очень «вкусными» предлогами, дать нам какую-нибудь льготу или оформить что-то, оформить на работу. То есть первое – злоумышленнику нужны наши данные, в первую очередь паспортные, личные. Второе: ему нужны наши финансовые данные, то есть он хочет дотянуться до нашей кредитной карты. Например, он объявляет, что собирается нам перевести 10 тысяч на ребенка, но для этого укажите данные своей карты, а сейчас еще пройдет тестовый платеж, а вы продиктуете SMS, ну и в этот момент вы попали. Наконец, третья схема, о которой только сегодня писали спецы по безопасности, – это вас приглашают на работу удаленно, обещают сразу хорошо заплатить, но для этого нужно поставить специальную программу типа Zoom, то есть что-то поставить на свой компьютер, и так утратить данные, раз, утратить деньги, два, и отдать свой компьютер на заражение, три, вот то, что сейчас проделывают... Петр Кузнецов: То есть это якобы Zoom, это фейковый Zoom? Андрей Масалович: Да-да-да, это фейковый Zoom. Петр Кузнецов: Который качает потом... ? Андрей Масалович: Кстати, это еще одна проблема современности – это фейки. То есть, видите, даже Баффетта обманули, то есть это так называемые фишинговые сайты, они очень похожи на настоящие, это фишинговые сервисы, они очень похожи на настоящие, это письма, которые вроде бы как письма от госструктур, но все-таки это те вещи, которые... Петр Кузнецов: Ага... Ольга Арсланова: Андрей Игоревич... Петр Кузнецов: У нас, видимо, кибермошенники и до нас добрались, сейчас мы попробуем... Андрей Масалович: ...что-то личное. Ольга Арсланова: О. У нас не фейковый Zoom, видите, все восстановилось. Андрей Игоревич, а правда ли, что обмануть можно любого человека, даже того, кто работает в финансовой системе? Мы помним эти новости о том, как мошенники смогли обмануть сотрудника Центробанка или экономистов из Высшей школы экономики. Петр Кузнецов: Да, максимально финансово грамотных в этом случае людей. Ольга Арсланова: Казалось бы. Петр Кузнецов: Профессионалов. Андрей Масалович: Ну, не одного сотрудника, была целая волна атак, когда обманывали админов банков, там счет шел на сотни миллионов долларов, так что мы все... У нас одни и те же уязвимости: леность, алчность, зависть, гнев, гордыня. Но что я могу подсказать? Два приема защиты эффективных. Первый, как ни странно, это молитва. Запишите себе молитву на листочек из двух фраз... Ольга Арсланова: Ага. Андрей Масалович: Первая: «Меня хотят развести», вторая: «Я готов потратить...» Ольга Арсланова: Что? Петр Кузнецов: Ай-яй-яй, сколько... Ольга Арсланова: А, как интересно, и главное, на что. Петр Кузнецов: Сейчас нам придется нашим режиссерам подключать свою молитву, чтобы вы вернулись. Ольга Арсланова: И мы продолжим наш разговор с молитвы. Петр Кузнецов: Обязательно. Конкретные вопросы, что вас интересует, что нельзя особенно в этот период делать, рассказывайте, как вам не дай бог пришлось попасться на удочку, что это за новый инструмент. Вернули мы снова связь. Ольга Арсланова: Итак, «Вас хотят развести»... Петр Кузнецов: Итак, давайте еще раз молитву проговорим. Первый пункт? Андрей Масалович: Вот, я хотел рассказать два простых приема самообороны. Первый – это молитва. Напишите на листочке молитву из двух фраз: первая «меня хотят развести», вторая «я сейчас потрачу 5 минут на то, чтобы это проверить». Если вы ее будете зачитывать и исполнять и никогда сразу никуда не тыкать, а сначала чуть-чуть думать головой, половина мошенников отвалятся сами, это раз. Второе – сделайте такой маленький пробник своей цифровой личности, то есть не поленитесь, сходите, заведите еще одну карточку в банке, такую «игровую», и на нее положите 3 тысячи рублей, и для любых текущих расходов предъявляйте координаты только этой карточки. Ольга Арсланова: Ага. Андрей Масалович: Ну если надо больше, положите на нее больше. Но основную карту с основными сбережениями держите где-нибудь дома, никому нигде не показывайте, нигде не используйте. Петр Кузнецов: Да. Андрей Игоревич, вы... Да, Андрей Игоревич, у нас что-то со связью, сейчас еще раз попробуем. Да, Андрей Игоревич, смотрите, ну вот вы сейчас такую провели крохотную, емкую, но очень эффективную информпрограмму, которая на самом деле существует на государственном уровне в Канаде. Они составили список мошеннических схем, которые появились именно в связи с коронавирусом, составил его некий Центр по борьбе с мошенничеством, и вот он предлагает всем гражданам с ним ознакомиться, с этим списком. По поводу контроля у нас: мошенники активничают, контролирующие службы что должны, где? Они активничают? Как и на чем должны быть сконцентрированы? Андрей Масалович: Вы правильно говорите. К сожалению, у нас контролирующие службы занимаются контролем, хотя должны заниматься сейчас ликбезом... Петр Кузнецов: Да, вот в чем дело. Андрей Масалович: ...и предотвращением. Увы. Это, кстати, не только в Канаде, допустим, сейчас правоохранители в Великобритании выпустили такие памятки, причем не только для взрослых, но и отдельно для школьников и отдельно для родителей школьников, то есть там конкретные виды схем и нарушений, чтобы им препятствовать. Действительно, это надо делать на уровне страны, не знаю, кто должен быть главным, может, Минобразования, может, Миннауки, может, Минсвязи, но делать что-то надо. То есть вот отсутствие элементарного ликбеза, отсутствие цифровой гигиены – это сейчас бич нашего десятилетия. Ольга Арсланова: Что вы можете сказать о привязке карты к номеру телефона и о приложениях онлайн-банкинга, которые сейчас все используют? Это очень удобно и это кажется на первый взгляд безопасным. Андрей Масалович: Не все, я не использую, у меня нет ни приложения, ни привязки к телефону. Ольга Арсланова: Серьезно? Андрей Масалович: Да. Ольга Арсланова: Почему? Андрей Масалович: Потому что это... Понимаете, потеряли, злоумышленник захватил управление смартфоном, захватил управление всем, что есть на смартфоне, поэтому хоть какие-то вещи надо разделять. Ну и всегда помните, аутентификация по логике состоит из трех частей: что-то знать, что-то иметь и иметь неснимаемую личную характеристику, например, знать какой-нибудь пароль и никому не говорить, иметь какой-нибудь токен или устройство, которое всегда при вас, и еще иногда подставлять лицо или голос для аутентификации. Вот тогда через вот эти 3 барьера одновременно никто не пробьется. Но если вы все соединили на одном, допустим, все загрузили на смартфон, ну потеряли смартфон, потеряли цифровую личность, это будет такой платный ликбез, дорогой. Ольга Арсланова: Да, спасибо. Петр Кузнецов: Да. Пензенская советует всем сберкнижку заводить, «надежность на порядок выше», пишут наши телезрители. Давайте послушаем Елену из Московской области, она с нами на прямой связи по телефону. Здравствуйте, Елена. Ольга Арсланова: Здравствуйте. Зритель: Добрый день. Я живу в подмосковном городе Одинцово и, вы знаете, хочу поделиться, может быть, это немножко юмористично, но вместе с тем помогает. Я редко беру телефон, когда незнакомый номер определяется, но иногда есть необходимость. И у меня выработался такой как бы вот совет для людей, я пользуюсь. Когда я беру трубку, я говорю, причем стараюсь таким очень серьезным голосом: «Шестое главное управление, майор Смирнова». При этом какое управление и как ваша фамилия, не имеет никакого значения. Ольга Арсланова: Зачем? Зритель: Как правило, в 95% случаев люди говорят: «Ой, извините, я не туда попал», – причем это касается не только «развода», что было тоже неоднократно, но и просто надоевшая реклама, так скажем. Ольга Арсланова: Да, занятно и весело. Петр Кузнецов: Спасибо вам за вашу «молитву». Дмитрий Анатольевич нам пишет через сайт: «Приложения использую минимально вообще и, конечно, не использую приложение банка». И Тверская вот пишет, об этом давайте сейчас поговорим: «Кто-то дал мошенникам удочку, а значит, и Уголовный кодекс могут изменить в пользу «рыбачков». По поводу неотвратимости наказания, что ли, то есть столько похищено было, такие суммы называются по итогам года, в миллиардах измеряется, а посадок мы не видим именно киберпреступников. Андрей Масалович: Смотрите, к сожалению, вы, что называется, ковырнули по больному. То есть оперативники, которые занимаются делами, так называемое управление касс, связанное с компьютерными преступлениями против личности, они, во-первых, реально перегружены работой. Я помню период, когда на одном оперативнике могло быть и 100, и 150, и 200 дел, то есть они просто не успевают. С другой стороны, чем пользуются мошенники? – штучный ущерб минимальный. То есть понятно, что, если угроза основам государства, это одно большое дело, будет работать большая команда суперспецов из ФСБ, всех найдут. Если была кража в особо крупном размере, ее тоже расковыряют. Но если тысячу человек обманули по тысяче рублей, то потерялся миллион рублей, а тысяча дел доведена до суда точно не будет, этим мошенники пользуются. Поэтому, к сожалению, сейчас большая часть нагрузки приходится именно на нас самих, никто не защитит, это надо четко понимать. То есть правоохранители делают что могут, но в силу вот такой дисперсной распыленности атак вот это трудно. Ольга Арсланова: Ага. И все равно очень интересно, как устроены эти преступные сообщества. Там есть какой-то центр, или каждый мошенник на себя только работает? Андрей Масалович: Нет, сейчас есть такое более модное... Раньше было модное слово «инфраструктура», сейчас более модное слово «экосистема», то есть у мошенников есть экосистема. Он знает, где раздобыть «левые» карточки или так называемых «дропов», кому можно на карты сбросить неправедные деньги, они их по чуть-чуть поснимают в банкоматах и принесут наличными. Он знает, где и как можно завести кошельки на биткоин и вывести туда деньги. У него под руками огромное количество всяких неправедных баз с утечками паролей, он может купить базы адресов, он может купить базы телефонов. Кстати, даже самые простые регистрации сейчас не безобидны, то есть если вы где-нибудь зарегистрировались, в какой-нибудь сети, не знаю, лояльных покупателей, чтобы карточку получить на бонусы, знайте, что вы попадете в базу, которую завтра же сольют, послезавтра уже вам начнут звонить. То есть вот эта экосистема поддерживает как организованные группировки, так и таких мошенников-одиночек. К сожалению, нижний барьер вхождения сейчас невысокий, даже старшеклассник может начать пытаться на этом зарабатывать. Петр Кузнецов: Ага. Уважаемые телезрители, дозвонитесь, расскажите нам, делитесь своими какими-то методами, как вы избегаете мошенников или вычисляете их в первых же предложениях, по звонку или по странному номеру. Рассказывайте о примерах, «увы, пришлось столкнуться, перечислил», просто чтобы уже другие знали. Ну и задавайте какие-то свои вопросы, пользуйтесь присутствием нашего эксперта в прямом эфире, еще 10 минут у вас на это есть. Ольга Арсланова: Скажите, пожалуйста, сейчас очень популярны средства видеосвязи и различные мессенджеры, люди не могут общаться зачастую напрямую, пользуются вот таким способом. Есть ли какие-то уязвимости у таких ресурсов? О чем нужно помнить, когда мы ими пользуемся? Андрей Масалович: Если речь идет о мессенджерах, как правило, задают один и тот же вопрос, и он неправильный, начинают спрашивать: «А хорошо ли защищены переговоры в Skype?», «А правда ли, что уязвим Zoom?», «А правда ли, что нельзя расшифровать WhatsApp?» Я вас уверяю, и оперативникам, если вы кого-то заинтересовали, и злоумышленникам не столько интересны ваши переговоры, сколько ваша адресная книга, с кем вы общаетесь, с кем вы входите в какую-то группу, кто ваши основные друзья. Так вот адресная книга везде защищена плохо, это вы должны помнить. Даже если у вас хорошо зашифрованный трафик, все равно любой мессенджер очень сильно как бы деанонимизирует ваши контакты. Второе. В любых новых мессенджерах есть большая беда, они очень быстро растут и обновляются, безопасность не успевает за ними. Вот мы были все свидетелями такого взрывного интереса к Zoom, хотя он просто чуть-чуть удобнее... На самом деле инструментов типа Zoom около 15, бо́льшая часть бесплатная и открытая, просто у Zoom оказались более удобные и понятные для учителей и учеников кнопочки, и Zoom быстро взлетел. Но выяснилось, что у него есть дырка в безопасности, которая позволяет просто злоумышленнику вклиниться уже в идущий урок и там насвинячить, либо начать материться, либо выложить какое-то порно, что мы наблюдали. Поэтому любая такая программа, особенно мессенджеры, она, во-первых, уязвима, во-вторых, раскрывает ваш список контактов. Ну а кроме этого, все программы для общения, поймите, они очень опасны с точки зрения систем безопасности. Это шпионы, которым вы сами все разрешили. То есть даже если у вас есть грамотный антивирус, он не понимает, эта программа сейчас за вами шпионит или вы ей разрешили пользоваться микрофоном, камерой и копией экрана. Поэтому будьте аккуратны, включайте голову. Петр Кузнецов: Правовой вопрос такой, не знаю, в вашей ли компетенции, но давайте попробуем. Ленинградская область: «Мы попытались подать заявление в Госуслуги в Санкт-Петербурге (для получения тех самых 10 тысяч рублей на ребенка, о которых президент говорил), у нас требуют номер счета в банке или данные карты. Это законно и стоит ли предоставлять в таком случае?» Андрей Масалович: Смотрите, номер счета карты вполне законно и достаточно безобидно, номер счета в банке не знаю, я сам этой услугой не пользовался, я не знаю, что там работает, что нет... Петр Кузнецов: Ну вот данные карты, тут надо уточнить, данные карты чем ограничиваются? Если это... Андрей Масалович: Смотрите, я могу подсказать очень простую подсказку. Зайдите на «Avito», если не ошибаюсь, и попытайтесь там набрать номер карты по какому-нибудь поводу, там поля будут раскрашены, некоторые зеленые, некоторые красные. Вы сразу увидите, какие поля можно сообщать наружу, какие нельзя. В любом случае никогда нельзя сообщать expiration date, то есть дату погашения, и никогда нельзя сообщать CVC, то есть данные с оборотной стороны карты, 3 цифры, которые на обратной стороне карты. Никому их показывать не надо. Петр Кузнецов: Ни в коем случае, особенно эти 3 последние цифры на обороте, да. Вот вы вспомнили, кстати, о сайте «Avito», я недавно видел такой пример нового фишингового сайта, он сделан под «Avito». Конкретный пример: человек пытался продать там какую-то вещь, ему человек, который у него ее покупал, скинул ссылку, которая говорит о том, что оплата за этот товар произведена. И он говорит, что, если бы он не посмотрел на адрес сайта, а там, условно говоря, не «Avito», а «Avitoo», с двумя «о», как будто бы оплата была произведена, как будто бы он этот товар купил. Вот тоже обращайте внимание на названия этих сайтов, прямо вот вплоть до буквы. Андрей Масалович: Вы правильно сказали... Петр Кузнецов: Точная копия. Андрей Масалович: ...надо действительно включать голову и обращать внимание. Могу еще подсказать, смотрите всегда на замочек слева от адреса, у настоящих сайтов он всегда закрыт, это https. Если замочек открыт, примерно половина злоумышленников, у них руки не доходят, они на этом спалятся, то есть примерно в половине сайтов вы сразу увидите, что это фишинговые, пиратские сайты. Ольга Арсланова: Андрей Игоревич, давайте тогда подводить итоги. На какие уязвимости наши собственные сейчас нужно обращать внимание, для того чтобы не стать жертвой мошенника? Андрей Масалович: Ну, еще раз повторюсь, первое – мошенники сейчас очень активизировались, поэтому к любому внешнему обращению по телефону, по электронной почте, через любые мессенджеры всегда относитесь с опаской и всегда перепроверяйте, что перед вами, раз. Второе: не поленитесь, если надо, перепроверить и погуглить в Интернете, нет ли уже упоминаний о том, что это такая схема. Дальше не оставляйте своих личных данных без нужды, а если речь идет о том, чтобы продиктовать SMS или продиктовать данные с оборота кредитки, этого точно никогда делать не надо. Обязательно проглядывайте глазами адреса, действительно, сейчас фишинговые сайты – это страшно, они очень качественно сделаны, они очень-очень похожи на настоящие. Ну и последнее: помните, никто не спасет, кроме нас самих, то есть банк деньги не вернет, суд ваше дело даже не возьмет и не рассмотрит. Поэтому любая потеря данных – это просто платный урок цифровой гигиены, сейчас, к сожалению, это так. Петр Кузнецов: Да... Ну и подводит итог нашему разговору Краснодарский край: все то, что мы сегодня обсуждали, – это, к сожалению, расплата за удобство. Тут уж придется выбирать, или менее удобно и более безопасно, либо смотрите сами. Ольга Арсланова: Спасибо. Петр Кузнецов: Спасибо огромное, спасибо. Это был Андрей Масалович, президент Консорциума «Инфорус», специалист по кибербезопасности, и его «Личное мнение». Оставайтесь на ОТР, оставайтесь с «ОТРажением», мы вернемся совсем скоро.