Menurut statistik Bank Sentral Rusia, pada 2017, 317,7 ribu pengguna kehilangan 961 juta rubel di Internet karena tindakan penipu. Pada saat yang sama, dalam 97% kasus, korban penipuan tidak menghubungi lembaga penegak hukum. Dan kita berbicara tentang insiden yang dilaporkan ke bank.
Mari kita lihat cara umum yang digunakan penyerang untuk mencuri uang di jejaring sosial. Dan agar Anda tidak jatuh ke dalam jaringan scammers, kami akan memberikan saran tentang cara melindungi diri dari penjahat dunia maya.
1. Retas akun
Memperoleh informasi login akun memungkinkan penipu mendapatkan informasi rahasia dan menipu teman pengguna. Untuk melakukan ini, scammers menggunakan seluruh gudang trik:
- menginfeksi komputer atau gadget seluler dengan virus;
- meretas basis data situs lain dan kata sandi yang cocok;
- brute force kata sandi umum.
Infeksi virus paling sering terjadi saat menerima email dengan lampiran daripenerima yang tidak dikenal atau mengunduh file dari hosting file gratis. Virus ditujukan untuk memindai folder browser untuk kata sandi yang tidak terenkripsi, serta memantau apa yang dimasukkan pengguna dari keyboard. Misalnya, Android. BankBot.358.origin ditujukan untuk klien Sberbank dan mencuri data login untuk aplikasi seluler. Trojan TrickBot juga mencari data login untuk rekening bank, serta pertukaran mata uang kripto. Keylogger Fauxpersky menyamar sebagai produk Kaspersky Lab dan mengumpulkan semua yang diketik pengguna di keyboard.
Informasi yang dikumpulkan oleh virus dikirim ke penyerang. Biasanya, virus membentuk file teks dan terhubung ke layanan email yang ditentukan dalam pengaturan. Kemudian dia melampirkan file ke email dan mengirimkannya ke alamat scammers.
Pengguna menggunakan kata sandi yang sama untuk semua situs (toko online, jejaring sosial, server email), agar tidak diingat dan tidak menyimpan kata sandi unik untuk setiap akun di komputer. Penjahat menyerang situs yang kurang terlindungi: direktori, toko online, forum. Seluruh tim profesional TI yang bertanggung jawab atas keamanan siber bekerja di jejaring sosial. Dan toko online dan forum dijalankan di CMS, di mana penipu secara berkala menemukan kerentanan untuk mencuri data.
Peretas menyalin basis data pengguna, yang biasanya berisi nama panggilan, alamat email, dan kata sandi login. Meskipunbahwa kata sandi disimpan dalam bentuk terenkripsi, kata sandi dapat didekripsi, karena sebagian besar situs menggunakan algoritma hashing MD5 128-bit. Itu didekripsi menggunakan perangkat lunak desktop atau layanan online. Misalnya, layanan MD5 Decrypt berisi database 6 miliar kata yang didekripsi. Setelah dekripsi, kata sandi diperiksa untuk kemungkinan mengakses layanan email dan jejaring sosial. Menggunakan email, Anda dapat memulihkan kata sandi di jejaring sosial jika Anda tidak dapat menebaknya.
Password brute force menjadi semakin tidak relevan setiap tahun. Esensinya terletak pada verifikasi metodis dari kombinasi umum huruf dan angka dalam kata sandi untuk memasuki akun jejaring sosial. Penipu menggunakan server proxy dan VPN yang menyembunyikan alamat IP komputer agar tidak terdeteksi oleh jejaring sosial. Namun, jejaring sosial sendiri melindungi pengguna, misalnya dengan memperkenalkan captcha.
Cara melindungi diri
Untuk melawan virus, Anda harus mengikuti aturan dasar keamanan komputer:
- jangan mengunduh file dari sumber yang tidak dikenal, karena virus dapat menyamar, misalnya, sebagai file presentasi;
- jangan buka lampiran dalam email dari pengirim yang tidak dikenal;
- instal antivirus (Avast, NOD32, Kaspersky atau Dr. Web);
- set autentikasi dua faktor di situs yang memiliki opsi ini;
- saat mengakses layanan dari perangkat orang lain, centang kotak yang sesuai di bidang otorisasi;
- jangan gunakan kemampuan browser untuk mengingat kata sandi.
Pengguna tidak bolehgunakan kata sandi yang sama untuk jejaring sosial, layanan surat, toko online, dan rekening bank. Anda dapat mendiversifikasi kata sandi dengan menambahkan penunjukan layanan di akhir kata sandi. Misalnya, 12345mail cocok untuk surat, 12345shop untuk belanja, dan 12345socialnet untuk jejaring sosial.
2. Pemerasan dan pemerasan
Penyerang sengaja meretas akun media sosial untuk mendapatkan data rahasia, kemudian memeras korban dan memeras uang. Misalnya, ketika datang ke foto mesra yang dikirim ke pasangan.
Tidak ada kriminal dalam foto itu sendiri. Penyerang memeras pengguna dengan mengirimkan gambar yang diterima ke kerabat dan teman. Selama komunikasi, tekanan psikologis dan upaya untuk menciptakan perasaan bersalah digunakan dengan harapan bahwa korban akan mengirim uang.
Bahkan jika korban mengirim uang, tidak ada jaminan bahwa pelaku tidak akan memutuskan untuk "menebus" foto lagi atau hanya memposting gambar untuk bersenang-senang.
Cara melindungi diri
Gunakan layanan yang memungkinkan Anda mengirim pesan yang merusak diri sendiri atau terenkripsi ke Telegram atau Snapchat. Atau setuju dengan pasangan Anda untuk tidak menyimpan gambar, tetapi menghapusnya segera setelah melihat.
Anda tidak boleh membuka email dan jejaring sosial dari perangkat orang lain. Jika Anda lupa meninggalkannya, maka ada risiko korespondensi Anda jatuh ke tangan yang salah.
Bagi yang suka menyimpan data rahasia, disarankan untuk mengenkripsi folder menggunakan software khusus, misalnya menggunakan teknologi EncryptingSistem File (EFS).
3. Hadiah, warisan, dan item gratis
Penipu menawarkan untuk mendapatkan barang mahal secara gratis, asalkan Anda membayar pengiriman ke alamat Anda atau asuransi pengiriman. Anda mungkin menemukan tawaran serupa, misalnya, di grup "Gratis" di kota Anda. Sebagai alasan, mereka mungkin menunjukkan langkah mendesak atau menerima hal yang sama sebagai hadiah. Tak jarang barang mahal dijadikan “umpan”: iPhone, iPad, Xbox, dan sejenisnya. Untuk membayar biaya pengiriman, scammers meminta jumlah yang nyaman bagi pengguna - hingga 10.000 rubel.
Penipu tidak hanya dapat menawarkan barang gratis, tetapi juga barang dengan label harga yang jauh lebih murah, seperti iPhone X seharga 5.000 rubel. Dengan demikian, mereka ingin mencuri uang atau data kartu menggunakan formulir gateway pembayaran palsu. Penipu menyamarkan halaman pembayaran kartu sebagai halaman gateway pembayaran populer.
Penyerang dapat berpura-pura menjadi karyawan bank atau agen notaris, meminta bantuan untuk mencairkan dana dari rekening atau uang yang diterima melalui warisan. Untuk melakukan ini, mereka akan diminta untuk mentransfer sejumlah kecil uang untuk membuat rekening giro.
Juga, tautan yang mengarah ke situs phishing dapat dikirim untuk mengklaim hadiah.
Cara melindungi diri
Jangan percaya keju gratis. Abaikan saja permintaan tersebut atau komplain menggunakan alat media sosial bawaan. Untuk melakukan ini, buka halaman akun, klik tombol "Keluhkan tentang pengguna" dan tulis alasan banding. Layanan Moderatorjejaring sosial akan meninjau informasi.
Jangan klik tautan yang tidak dikenal, terutama jika dibuat menggunakan goo.gl, bit.ly, dan layanan pemendek tautan lainnya. Namun, Anda dapat mendekripsi tautan menggunakan layanan UnTinyURL.
Misalnya Anda menerima pesan di jejaring sosial tentang penjualan ponsel atau tablet yang menguntungkan. Jangan percaya pada keberuntungan dan segera bayar pembeliannya. Jika Anda membuka halaman dengan formulir gateway pembayaran, periksa dengan cermat apakah domain sudah benar dan standar PCI DSS disebutkan. Anda dapat memeriksa kebenaran formulir pembayaran di dukungan teknis gateway pembayaran. Untuk melakukan ini, cukup hubungi dia melalui email. Misalnya, di situs web penyedia pembayaran PayOnline dan Fondy, alamat email layanan dukungan pelanggan terdaftar.
4. "Lempar seratus"
Penipu menggunakan halaman yang diretas untuk meminta kenalan dan teman korban untuk mentransfer uang ke akun. Sekarang tidak hanya permintaan transfer yang dikirim, tetapi juga foto-foto kartu bank, di mana, menggunakan editor grafis, nama dan nama belakang pemilik akun yang diretas diterapkan.
Sebagai aturan, penyerang meminta untuk segera mentransfer uang, karena mereka takut kehilangan kendali atas akun. Seringkali permintaan mengandung unsur tekanan psikologis dan pengingat terus-menerus bahwa segala sesuatu perlu dilakukan segera. Penipu dapat mempelajari riwayat komunikasi terlebih dahulu dan bahkan menggunakan alamat yang hanya diketahui oleh Anda dengan nama atau nama panggilan.
Cara melindungi diri
Telepon teman dan tanyakan langsung apakah mereka membutuhkan uang. Jadi kamu pastikankebenaran permintaan dan Anda dapat segera memperingatkan tentang peretasan halaman.
Jika Anda tahu betul orang yang akunnya diretas, perhatikan cara bicaranya. Penyerang, kemungkinan besar, tidak akan punya waktu untuk sepenuhnya meniru gaya komunikasinya dan akan menggunakan kiasan yang tidak biasa baginya.
Perhatikan foto kartu bank. Anda dapat menghitung palsu dengan pemrosesan berkualitas buruk di editor grafis: huruf akan "melompat", inisial tidak akan berada di baris yang sama dengan tanggal validitas kartu, dan kadang-kadang bahkan akan tumpang tindih dengan validitas kartu.
Bertahan di media sosial
Dari Desember 2014 hingga Desember 2016, jumlah serangan terhadap pengguna yang menggunakan rekayasa sosial meningkat 11 kali lipat. 37,6% serangan ditujukan untuk mencuri data pribadi, termasuk informasi kartu bank.
Menurut penelitian ZeroFOX, Facebook menyumbang 41,2% serangan, Google+ 21,6%, dan Twitter 19,7%. Jejaring sosial VKontakte tidak termasuk dalam penelitian ini.
Para ahli mengidentifikasi 7 taktik penipuan media sosial yang populer:
- Verifikasi halaman palsu. Penipu atas nama jejaring sosial menawarkan untuk mendapatkan tanda centang yang didambakan dari halaman "terverifikasi". Korban dikirimi alamat halaman yang disiapkan khusus untuk pencurian data.
- Menyebarkan link palsu menggunakan iklan bertarget. Penyerang membuat iklan untuk menarik pengguna ke halaman dengan harga murah dan menjual barang palsu.
- Imitasi layanan pelanggan merek terkenal. Penyerang menyamar sebagai layanan dukungan teknis merek besar dan menerima informasi rahasia dari pelanggan mereka.
- Menggunakan akun lama. Penyerang dapat menggunakan akun lama dengan mengubah pengaturannya untuk melewati kontrol media sosial.
- Halaman palsu dari toko dan merek online. Penyerang memalsukan halaman komunitas toko online dan mengarahkan pengguna ke halaman phishing untuk otorisasi, mencuri data login, atau menjual barang palsu.
- Promosi palsu. Untuk berpartisipasi dalam aksi tersebut, penyerang dapat meminta email atau foto yang diduga berpartisipasi, yang nantinya dapat digunakan dalam tindakan ilegal.
- Penipuan keuangan. Penyerang menawarkan pendapatan yang meningkat dalam waktu singkat hanya dengan mencuri uang dari pengguna yang mudah tertipu.
- Halaman palsu dari perusahaan HR. Beberapa scammer meniru gaya resmi perusahaan besar dan meminta pembayaran untuk mempertimbangkan lamaran pekerjaan.
Hanya ada satu cara untuk melindungi diri Anda dari rekayasa sosial - pengetahuan. Oleh karena itu, Anda perlu mempelajari aturan keamanan komputer dengan baik dan tidak terlalu percaya dengan tawaran yang murah hati.