Источник: bezmaly.wordpress.com, Underdog.
Такие гиганты как, например, Facebook, YouTube и Instagram уже вышли за первоначальные рамки совместного использования, развлечений, общения. Сегодня компании рассматривают их как действительно рекламные инструменты, пользователи создают карьеры на основе совместного использования контента. Кроме того, в некоторых других приложениях используются основные учетные записи социальных сетей для проверки подлинности пользователя. Вы можете подписаться на различные приложения и игры, используя свою учетную запись Facebook или Twitter. И теперь работодатели регулярно проверяют потенциальных сотрудников в социальных сетях.
Сегодня соцсети становятся ценными инструментами, на использование которых средний человек тратит примерно 116 минут ежедневно. Поскольку они связаны с увеличением числа приложений на телефонах и других устройствах, защищать их становится еще более необходимо.
— Дешевле, больше, быстрее.
Гораздо проще выманить у пользователя социальной сети его логин и пароль, предложив ему повторно авторизоваться на поддельном сайте, чем взламывать защищенную базу данных с персональными данными.
— Любопытство, жадность, самоуверенность.
Играя на человеческих слабостях, злоумышленники вынуждают пользователя действовать по собственному сценарию: открывать зараженные файлы (документ, Flash-ролик), переходить по сомнительным ссылкам и устанавливать на компьютер вирусное ПО под видом легальных приложений, вводить данные своих учетных записей или кредитных карт на поддельных сайтах.
Например, для того чтобы заманить пользователя на зараженный сайт или заставить его установить вредоносное приложение, используются кричащие заголовки типа «Майкл Джексон жив, доказательства по ссылке». Для любителей легкой наживы существуют специальные предложения, например, «Сосчитай сколько iPhone’ов на картинке и получили один из них бесплатно». Так же известны случаи, когда мошенникии создавали форумы, например, для обсуждения товаров и услуг. Пользователь, чтобы принять в нем участие, должен был войти на этот форум, используя аккаунт от одной из социальных сетей. В тот же момент открывалось поддельное окно регистрации и вводимые пользователем данные уходили злоумышленникам.
— Доверие к брендам.
Самой нашумевшей в третьем квартале 2011 г. стала история с фишинговой атакой на любителей McDonald’s. Нестандартная многоступенчатая схема была создана так, что сначала пользователь получал письмо, где ему предлагалось якобы принять участие в онлайн-опросе о качестве питания в ресторанах McDonald’s, а затем получить вознаграждение за ответы на свой банковский счет. Форма опроса выглядела весьма убедительно. Ответив на все вопросы, пользователь попадал на следующую страницу, где ему предлагалось ввести номер карты и CCV-код. Разумеется, данные переадресовывались злоумышленникам, и к ним же «утекали» все деньги со счета.
— Откровенность в Сети.
Очень часто злоумышленникам даже не приходится прибегать к каким-либо специальным методам получения информации, поскольку нужные сведения о пользователе легко найти на его странице в соцсети. Интересы, увлечение музыкой, любимые фильмы, текущее местонахождение – все это может сыграть на руку преступникам. Известны случаи, когда с помощью соцсетей реальные, а не компьютерные преступники находили жертв для похищения и требования выкупа.
А в Англии, например, существовала до недавнего времени «социальная сеть» для квартирных воров. В ней размещалась информация о том, кто, когда и куда уезжает из дома. Все эти сведения были найдены в статусах пользователей социальных сетей. Для успешного ограбления квартиры преступникам оставалось лишь дождаться обещанного времени и найти адрес владельца квартиры, который он мог опрометчиво указать в своем профиле соцсети или в других материалах в Интернете.
Советы от «Лаборатории Касперского»
Дарья Гудкова, руководитель отдела контентных аналитиков «Лаборатории Касперского»:
• Отправляя кому-либо свои персональные данные или конфиденциальную информацию, убедись, что адресатом действительно является тот, кому она и направляется.
• Трезво относитесь к спам-предложениям: не верь в неожиданные выигрыши.
• Не доверяйте сообщениям «Проголосуй за меня SMS в конкурсе» или «Помоги мне — у меня проблемы».
• Проверяй информацию об SMS-акциях на сайтах их заявителей.
• Проверяй подлинность адреса в строке браузера при вводе персональных данных на сайте.
• Отвечая на письма, присланные от имени администрации того или иного сервера, удостоверься, что они подлинные.
Советы от G Data SecurityLabs
Эдди Уильямс, евангелист по безопасности G Data SecurityLabs: