Как защититься от мошенников и почему двухфакторная идентификация не панацея

Мошенники в интернете становятся все изобретательней. А из фильмов про «крутых хакеров» мы узнали, что они якобы подбирают пароли к банковским аккаунтом с помощью перебора символов или даже специальных устройств. На самом деле, все это ерунда. Никаких машинок для подбора паролей нет — зато есть «социальная инженерия», против которой не работает даже самый надежный метод двойного шифрования криптосчетов. А ведь он практически недоступен для взлома даже супермощными суперкомпьютерами. Итак, рассказываю, как на самом деле мошенники получают доступ к личным данным — и как от этого защититься.

Что такое двухфакторная идентификация

Двухфакторная идентификация (2FA) — это способ защиты учетной записи с помощью двух уровней проверки. Первый уровень — это ваш логин и пароль. Второй — одноразовый код (OTP), который вы получаете в момент входа. Этот код приходит на телефон, email или в виде уведомления.

Задача 2FA — убедиться, что доступ к аккаунту получает именно владелец. Даже если ваш пароль станет известен злоумышленникам, без кода они не смогут войти. Это добавляет еще один барьер для взлома.

Код действует ограниченное время, обычно несколько минут. Это делает атаку сложнее. Даже если кто-то попытается войти в ваш аккаунт, код быстро устареет.

Самый безопасный вариант 2FA — приложение-аутентификатор. Оно генерирует коды прямо на вашем устройстве. SMS или email менее надежны. Их можно перехватить, а мошенники используют OTP-ботов, чтобы выманить код под видом звонка от банка. Двухфакторная идентификация защищает от большинства угроз, но не от социальной инженерии. Если кто-то просит ваш код, не передавайте его. Это всегда мошенничество.

Примечание: в действительности сотрудники банка могут запросить код, но происходит это когда вы находитесь в офисе банка.

Почему двухфакторная идентификация не всегда защищает от мошенников

Главная уязвимость — человеческий фактор. Мошенники используют методы социальной инженерии, чтобы обманом получить одноразовые коды.

Один из таких методов — OTP-боты. Это программы, которые звонят вам под видом представителя банка или другого сервиса. Они требуют код, который вы только что получили. Обычно такие звонки выглядят убедительно. Например, бот может подделать номер банка, использовать заранее записанный голос и даже прислать SMS для создания иллюзии безопасности.

Мошенники применяют фишинговые сайты. Вы заходите на поддельный сайт, похожий на настоящий, и вводите логин, пароль, а затем и код. Все данные сразу попадают к злоумышленнику.

Двухфакторная идентификация работает, если вы никому не передаете код. Не сообщайте его даже тем, кто представляется сотрудником банка. Настройте приложение-аутентификатор, чтобы сделать защиту более надежной.

Как работают боты дозвона (OTP-боты)

OTP-боты помогают мошенникам обманом получить одноразовые пароли. Эти программы звонят жертве и представляются сотрудниками банка или другого сервиса. Главная цель — убедить вас назвать код, который поступил на телефон.

Сначала мошенники узнают ваши данные для входа в аккаунт. После этого они вводят их на настоящем сайте. Когда система запрашивает одноразовый пароль, бот звонит вам. Он может подделать номер, чтобы на экране отобразился телефон банка или сервиса.

Бот использует записанные голоса, которые звучат убедительно. Он говорит на нужном языке и даже с правильным акцентом. Иногда перед звонком жертве отправляют SMS с предупреждением о предстоящем звонке, чтобы вызвать доверие.

Во время звонка бот просит ввести код с SMS на телефоне. Если вы введете его, мошенники тут же получат доступ к вашему аккаунту. OTP-боты работают быстро, чтобы использовать код до истечения срока действия. Защититься можно, если не передавать коды никому. Настройте двухфакторную аутентификацию через приложение, а не через SMS.

Что обычно пытаются добыть мошенники

Мошенники охотятся за вашими личными данными. В первую очередь их интересуют логины, пароли и номера телефонов. Эти данные открывают доступ к вашим аккаунтам.

Часто злоумышленники стремятся получить информацию о банковских картах. Это номер карты, срок действия, CVV-код и даже PIN. Иногда они просят предоставить паспортные данные, адрес, дату рождения или другие сведения, которые можно использовать для обмана.

Если вы используете одинаковые пароли для разных сервисов, это только упрощает задачу. Получив один пароль, мошенники могут получить доступ к вашей почте, социальным сетям и другим аккаунтам.

Иногда целью становится сбор максимального количества данных. Например, мошенник может запросить подтверждение личности, чтобы узнать все ваши реквизиты. С этими данными он сможет совершать покупки, переводить деньги или менять пароли в ваших учетках.

Не сообщайте никому свои данные, особенно по телефону. Регулярно меняйте пароли и проверяйте, кто имеет доступ к вашим аккаунтам.

Откуда мошенники берут данные о своих жертвах

Мошенники используют несколько способов, чтобы добыть данные о вас. Один из основных — покупка утечек. В даркнете продаются базы данных, содержащие логины, пароли, номера телефонов и банковские реквизиты. Даже если информация устарела, многие люди не меняют пароли годами, что играет на руку злоумышленникам.

Иногда данные становятся доступны из открытых источников. Это происходит, когда базы попадают в интернет из-за утечек. Компании сбрасывают пароли, но другие данные, такие как номера телефонов или адреса, часто остаются актуальными.

Еще один способ — фишинг. Вам могут отправить письмо или сообщение с ссылкой на поддельный сайт. Например, сайт банка. Введенные там логин и пароль сразу попадают к мошенникам. Если включена двухфакторная аутентификация, мошенник может запросить одноразовый код через фейковую форму.

Мошенники также используют социальные сети. Там они находят личные данные, которые вы сами выкладываете: имя, адрес, дату рождения. Чем больше данных они соберут, тем проще им атаковать ваши аккаунты.

Как работает фишинг и как от него защититься

Фишинг — это метод обмана, когда мошенники заставляют вас передать им свои данные. Они создают поддельные сайты, похожие на официальные. Это может быть сайт банка, магазина или почты. Вам присылают сообщение с просьбой перейти по ссылке и подтвердить данные. Например, обновить пароль или проверить активность в аккаунте.

Вы переходите по ссылке, попадаете на копию сайта и вводите логин и пароль. Иногда вас могут попросить ввести одноразовый код из SMS. Все данные тут же попадают к мошенникам. С их помощью они получают доступ к вашим аккаунтам и деньгам. Чтобы защититься, не переходите по ссылкам из сообщений. Даже если ссылка выглядит как адрес официального сайта, она может быть поддельной. Лучше введите адрес вручную.

Проверьте, защищено ли соединение. На настоящем сайте адрес начинается с «https», рядом значок замка. На фишинговых сайтах этого может не быть.

Обратите внимание на текст сообщения. В фишинговых письмах часто встречаются ошибки, странные обращения или общие фразы. Например, «Уважаемый клиент» вместо вашего имени.

Не сообщайте одноразовые коды никому, даже если звонят якобы из банка. Сотрудники банка никогда не запрашивают такие данные.

Если для вас всё это — «дремучий лес», тогда советую использовать антивирус и обновлять его. Современные программы блокируют переходы на фишинговые сайты.

Установите двухфакторную аутентификацию через приложение, а не SMS. Это сложнее для мошенников.

Вот и все основные моменты, которые стоит знать о мошенниках и рисках потерять свои личные данные в интернете. Если сталкивались с чем-то подобным — пишите в комментариях!

Кто ищет подарок для близких, советую посмотреть одну из подборок:

• У кого есть авто — 10 видеорегистраторов-зеркал с второй камерой на 2025 год.
• Для быта — 5 недорогих роботов-пылесосов с базой или 7 автоматических зерновых кофемашин для дома.