Мошенники попытаются обманом заставить вас и пользователей вашей организации отказаться от учетных данных или другой конфиденциальной информации. Относитесь скептически, если увидите какой-либо из этих признаков.
Вместе фишинг и социальная инженерия, безусловно, являются основными причинами атак номер один, и они существуют почти с момента изобретения самих компьютеров.
В начале 1980-х, до того, как Интернет стал Интернетом, я наткнулся на текстовый файл с названием «HowtoGetAFreeHSTModem». Раньше, быстро кричащие, модемы US Robotic HST со скоростью 9600 бод (!!) были очень востребованы. Я быстро открыл текстовый файл. Он гласил: «Укради одну!». «Что за придурок», - подумал я. Затем я нажимаю клавишу ESC, чтобы закрыть текстовый файл.
Файл с открытым текстом содержал невидимые управляющие коды ANSI, которые переназначили мою клавиатуру, так что следующая клавиша, которую я нажимаю, отформатировала мой жесткий диск. С тех пор я узнал две вещи: во-первых, если хакеры могут использовать текстовые файлы для атаки на вас, можно использовать любой цифровой контент. Во-вторых, любого можно обмануть с помощью правильно размещенной социальной инженерии.
С учетом сказанного, вот 10 признаков социальной инженерии:
1. Запрос информации для входа в систему
Признак номер один социальной инженерии - это электронное письмо, веб-сайт или телефонный звонок с просьбой предоставить информацию для входа в систему. После того, как они отговорили вас от вашей информации для входа в систему, они используют ее против вас, войдя в вашу учетную запись, взяв на себя управление и предприняв какие-то действия против вас или вашей организации. Google и Microsoft каждый день борются с миллионами взломанных учетных записей электронной почты.
Один из способов снизить риск - использовать многофакторную аутентификацию (MFA) или менеджер паролей. Вы не можете быть обманутыми с помощью пароля, которого у вас нет или которого вы не знаете.
К сожалению, ни одно решение MFA не работает повсеместно, и пароли будут с нами надолго, не говоря уже о том, что каждое решение MFA можно взломать несколькими способами. Я знаю более 30 способов взломать MFA, и это тема моей следующей книги.
Мошенники все чаще зовут людей на свои мобильные телефоны для совершения атак социальной инженерии. Они звонят, утверждая, что они от Microsoft, обнаружив, что ваша компьютерная система заражена вирусом, и они хотят проактивно помочь, или что ваша кредитная карта / Paypal / банковский счет были взломаны. Если вы предоставите только свою текущую информацию для входа в систему, они будут рады помочь вам остановить взлом. Нет!!
Если кто-то, возможно, включая вашего ИТ-специалиста, захочет узнать ваши данные для входа в систему, будьте более чем подозрительными.
2. Просить вас выполнить контент
Просить вас выполнить контент - следующий наиболее частый признак того, что вы находитесь в социальной инженерии. Это может быть электронное письмо, посещение веб-сайта или сообщение в социальной сети. Письма отправляют вас на взломанные веб-сайты. Скомпрометированные веб-сайты отправляют вам всплывающее сообщение о том, что вам необходимо запустить такое-то обновление, чтобы продолжить работу на веб-сайте.
Сайты социальных сетей будут утверждать, что у них есть захватывающее или захватывающее видео, которое вам просто нужно посмотреть (см. Примеры ниже). Когда вы пытаетесь запустить видео, он говорит, что вам нужно установить какое-то специальное программное обеспечение (например, видеокодек) для просмотра видео.
С подозрением относитесь к запросам на ссылки на видео в социальных сетях
То, что вы выполняете или устанавливаете, - это вредоносный код, называемый «файлом-дроппером», который пытается захватить ваш компьютер, а затем «дозвониться домой», чтобы получить дополнительные вредоносные программы и инструкции по выполнению. Файл-дроппер имеет небольшой размер и предназначен для самообновления, чтобы избежать обнаружения вредоносных программ.
3. Неверный или подозрительный URL.
Следующим серьезным признаком фишингового мошенничества является злонамеренное, похожее или похожее на звук доменное имя в Интернете или унифицированный указатель ресурсов (URL), не имеющее ничего общего с предметом (см. примеры ниже).
Примеры подозрительных URL-адресов
Вы должны научить себя и всех в своей организации определять поддельные домены URL. Большинство интернет-браузеров выделяют реальное имя домена URL-адреса, выделяя его жирным шрифтом (см. пример ниже):
Реальный URL-адрес, выделенный жирным шрифтом
Доменное имя URL-адреса - www.amazon.com, и все, что идет дальше, указывает на контент или мультимедиа и не является частью имени домена DNS.
Крайне важно научить всех, кого вы знаете и любите, как отделить поддельные домены от URL-адресов реальных доменов. Например, на следующем рисунке показано письмо якобы от службы поддержки Apple. В адресе электронной почты для ответа есть слова «appleidicloudsupport», но прикрепленный к нему домен - «enterptingworkshop.com». Определенно не домен Apple.
Определенно не домен Apple
Научите людей, как наводить курсор на URL-адрес, чтобы раскрыть, что это на самом деле (помимо легко читаемого отображаемого имени). К сожалению, многие браузеры и SMS-клиенты на мобильных устройствах, с которых все больше и больше людей получают информацию, не всегда позволяют навести курсор мыши (хотя многие из них с самого начала просто показывают реальный URL-адрес).
4. Стрессорные события
Практически во всех сценариях социальной инженерии, в сети или по телефону, злоумышленник использует «стрессорное событие». Стрессорное событие - это некая неотложная ситуация, которая, если вы не действуете сразу и правильно (по их мнению), то случится что-то плохое. Примеры включают:
Пример стрессорного события
Идея в том, что они хотят дать вам меньше времени на размышления, отвечая на возможно подозрительный запрос. Звонивший по телефону однажды сказал моей жене, что меня похитили и пытали, и они притворились, что я кричу от боли от «пыток». Я был удивлен, когда вернулся из короткой поездки в магазин и увидел, что моя рыдающая жена обняла меня, как будто я избежал какого-то ужасного события. Это было страшно, потому что звонивший, должно быть, видел меня на выходе из дома и знал номер моего домашнего телефона (еще тогда, когда у нас были такие вещи). Подобные виды мошенничества все еще происходят регулярно.
Как только вы увидите событие, вызывающее стресс, притормозите, остановитесь и подумайте. В реальных стрессорных событиях редко используется взволнованная речь. Например, даже если IRS или полиция хотят, чтобы вы заплатили какую-то сумму, чтобы избежать худшего исхода, обычно предупреждения приходят на такой строгой лексике, что вас почти простят за то, что вы приняли их за рекламные листовки по электронной почте.
5. У отправителя два адреса электронной почты.
Хотя это не 100% гарантия, любое электронное письмо, полученное с другим отображаемым адресом (RFC 5322) и обратным адресом (RFC 5321), скорее всего, будет вредоносным (см. Пример ниже).
Совпадают ли домены отображаемого и обратного адресов электронной почты?
Наличие двух разных адресов электронной почты - это распространенный трюк фишеров, поэтому они могут предоставить один адрес электронной почты (который выглядит законным) и другой «настоящий» адрес электронной почты, которому действительно принадлежит электронное письмо. Иногда это делают законные маркетинговые письма и электронные письма поддержки, но в большинстве случаев два разных адреса электронной почты в строке отправителя указывают на злонамеренность.
Кроме того, обратите внимание на электронные письма от знакомых, когда они приходят с нового, странного или неожиданного адреса электронной почты. Фишеры иногда заявляют, что генеральный директор отправляет вам электронное письмо из своей домашней учетной записи, используя адрес электронной почты Gmail / Hotmail / Yahoo, у которого имя генерального директора указано в строке отправителя.
6. Изменение банковских или монтажных инструкций.
Мошенничество с компрометацией деловой электронной почты составляет проблему на 26 миллиардов долларов, и они превосходят программы-вымогатели в качестве основной афера социальной инженерии. Большинство из них поступают в виде поддельных счетов-фактур, часто с запросами на отправку денег на новый банковский счет или в виде электронного письма с просьбой обновить существующие инструкции по подключению банковских переводов. Некоторые из мошенников взламывают надежную третью сторону, которой вы регулярно платите, отправляют вам изменения в инструкциях по подключению, а затем просто ждут, пока вы оплатите регулярно запланированный платеж по счету.
Жертвы часто месяцами не знают об афере, пока одна из них не подтолкнет другую к неоплаченным, просроченным балансам. Любое электронное письмо, законное или нет, которое требует изменения платежных инструкций, должно сопровождаться телефонным звонком стороне, предположительно запрашивающей изменение.
7. Использует неправильный ник или полное имя.
Это небольшая подсказка, но она работает. Многие фишинговые мошенничества были обнаружены просто потому, что получатель заметил, что отправитель использовал свое полное официальное имя (например, Уильям Б. Монтегю), когда они обычно подписывали свое электронное письмо, используя псевдоним или более короткое имя (например, Билл). Или человек не закончил свое электронное письмо своим именем, как обычно, или наоборот. Или они не поставили имя человека в начале электронного письма, как обычно, или не использовали неофициальный ник получателя и т. д. Идея состоит в том, что злоумышленник часто не знает о мелких неформальных вещах, которые обычно сопровождают даже чисто деловая электронная почта. Обратите внимание на мелкие детали. Отклонение может однажды избавить вас от многих головных болей.
8. Не могу принимать телефонные звонки.
Мошенники, занимающиеся социальной инженерией, часто не могут принимать от вас телефонные звонки для подтверждения запроса. Обычно они заявляют, что не могут добраться до телефона, у них нет подходящего телефона, где они находятся, им не разрешено пользоваться телефонами там, где они есть, или по каким-то другим причинам. Причина в том, что они, как правило, иностранцы с другим акцентом, чем те, кем они себя называют.
Это особенно характерно для аферистов романов и свиданий (которые всегда ищут деньги). Они утверждают, что могут использовать только мгновенные сообщения по множеству причин. Например, это подготовленные элитой военные, внедренные «в стране» или выполняющие сверхсекретную миссию. Это довольно забавно, потому что, хотя они не могут отвечать на телефонные звонки, они могут болтать по несколько часов в день… и получать деньги, которые вы им отправляете, используя различные методы.
Помните о любом романтическом интересе, кто впервые приближается к вам, кажется, имеет идеальную для модели красоту, становится слишком интимным и влюбляется в вас в считанные дни. Если это предположительно военный из США, попросите его отправить вам электронное письмо на военный аккаунт .mil. У всех американских военных есть учетные записи электронной почты .mil, и их использование связано с высокозащищенными смарт-картами MFA (известными как карты CAC), поэтому мошенники не могут использовать или получить учетную запись .mil. Если кто-то утверждает, что является военнослужащим США, но не может отправить вам электронное письмо со своей учетной записи .mil (по любой причине), бегите.
Следующие два признака социальной инженерии конкретно связаны с продажей или покупкой товаров на интернет-сайте.
9. Покупатель слишком любезен.
Любой, кто плохо знаком с покупкой и продажей вещей в Интернете на сайтах, предназначенных для таких вещей (например, Craigslist или eBay), может не знать, что эти услуги являются рассадником мошенников. Как правило, они являются одними из первых, кто пытается купить ваш продукт или продать вам свой продукт. Они не пытаются договариваться о цене и более чем готовы платить за любые непредвиденные расходы, доставку, налоги и все остальное, что они придумывают. Если они продают или арендуют недвижимость, они предлагают цены намного ниже рыночных, но не могут встретиться лично (обычно они находятся за пределами штата или страны по делам).
Бесплатного обеда не существует, но есть такая вещь, как сделка, слишком выгодная, чтобы быть правдой. Если покупатель или продавец не только платит вам полную цену (или предлагает сделку по краже того, что они продают), но и отклоняется назад другими выгодными для вас способами, это, вероятно, грабеж.
10. Заставить вас уйти с работы.
Большинство сайтов онлайн-продаж и аукционов полностью осведомлены о мошенниках, которые нацелены на их сайты и услуги. По этой причине у них есть встроенные средства защиты для покупателей и продавцов.
Из-за того, что эти средства защиты работают, мошенники поощряют или вынуждают жертв уйти с работы. Обычно они утверждают, что это сэкономит жертве деньги. Они рекомендуют жертвам использовать их «надежную службу условного депонирования» или доверенного грузоотправителя. Они говорят, что вместо того, чтобы жертва использовала PayPal («который взимает комиссию»), просто позвольте им отправить вам чек, который вы можете обналичить в своем обычном банке без комиссии, и так далее. Как только жертва перестает работать, мошенник может относительно легко завершить оставшееся преступление.
Я читал о женщине, которая продавала свой грузовик. Вместо того, чтобы использовать онлайн-сервис для продажи грузовика, мошенники предложили явиться лично и заплатить наличными. Люди явились, дали ей (небольшой) залог наличными и оставили свои лицензии жертве. Они поехали на «тест-драйв» автомобиля, и больше их никто не видел. Они получили грузовик за 40000 долларов за 400 долларов. Конечно, лицензии были поддельными. Неплохой рабочий день, если получится.
Если кто-то попытается убрать вас с сервиса или сайта, где вы собирались что-то купить или продать, проявите подозрительность. Еще лучше не следовать инструкциям и не вмешиваться.
Эти 10 признаков социальной инженерии - одни из самых распространенных способов, которыми преступники пытаются вас обмануть. Общая проблема заключается в том, что электронная почта, SMS и телефоны по умолчанию не проходят проверку подлинности. Любой может претендовать на то, чтобы быть кем угодно в большинстве сервисов. Скоро появится более встроенная необходимая аутентификация. А до тех пор скептически относитесь к этим знакам и заставляйте любого «случайно» использовать один из этих знаков, чтобы доказать, что они являются законными.
Вместе фишинг и социальная инженерия, безусловно, являются основными причинами атак номер один, и они существуют почти с момента изобретения самих компьютеров.
В начале 1980-х, до того, как Интернет стал Интернетом, я наткнулся на текстовый файл с названием «HowtoGetAFreeHSTModem». Раньше, быстро кричащие, модемы US Robotic HST со скоростью 9600 бод (!!) были очень востребованы. Я быстро открыл текстовый файл. Он гласил: «Укради одну!». «Что за придурок», - подумал я. Затем я нажимаю клавишу ESC, чтобы закрыть текстовый файл.
Файл с открытым текстом содержал невидимые управляющие коды ANSI, которые переназначили мою клавиатуру, так что следующая клавиша, которую я нажимаю, отформатировала мой жесткий диск. С тех пор я узнал две вещи: во-первых, если хакеры могут использовать текстовые файлы для атаки на вас, можно использовать любой цифровой контент. Во-вторых, любого можно обмануть с помощью правильно размещенной социальной инженерии.
С учетом сказанного, вот 10 признаков социальной инженерии:
1. Запрос информации для входа в систему
Признак номер один социальной инженерии - это электронное письмо, веб-сайт или телефонный звонок с просьбой предоставить информацию для входа в систему. После того, как они отговорили вас от вашей информации для входа в систему, они используют ее против вас, войдя в вашу учетную запись, взяв на себя управление и предприняв какие-то действия против вас или вашей организации. Google и Microsoft каждый день борются с миллионами взломанных учетных записей электронной почты.
Один из способов снизить риск - использовать многофакторную аутентификацию (MFA) или менеджер паролей. Вы не можете быть обманутыми с помощью пароля, которого у вас нет или которого вы не знаете.
К сожалению, ни одно решение MFA не работает повсеместно, и пароли будут с нами надолго, не говоря уже о том, что каждое решение MFA можно взломать несколькими способами. Я знаю более 30 способов взломать MFA, и это тема моей следующей книги.
Мошенники все чаще зовут людей на свои мобильные телефоны для совершения атак социальной инженерии. Они звонят, утверждая, что они от Microsoft, обнаружив, что ваша компьютерная система заражена вирусом, и они хотят проактивно помочь, или что ваша кредитная карта / Paypal / банковский счет были взломаны. Если вы предоставите только свою текущую информацию для входа в систему, они будут рады помочь вам остановить взлом. Нет!!
Если кто-то, возможно, включая вашего ИТ-специалиста, захочет узнать ваши данные для входа в систему, будьте более чем подозрительными.
2. Просить вас выполнить контент
Просить вас выполнить контент - следующий наиболее частый признак того, что вы находитесь в социальной инженерии. Это может быть электронное письмо, посещение веб-сайта или сообщение в социальной сети. Письма отправляют вас на взломанные веб-сайты. Скомпрометированные веб-сайты отправляют вам всплывающее сообщение о том, что вам необходимо запустить такое-то обновление, чтобы продолжить работу на веб-сайте.
Сайты социальных сетей будут утверждать, что у них есть захватывающее или захватывающее видео, которое вам просто нужно посмотреть (см. Примеры ниже). Когда вы пытаетесь запустить видео, он говорит, что вам нужно установить какое-то специальное программное обеспечение (например, видеокодек) для просмотра видео.
С подозрением относитесь к запросам на ссылки на видео в социальных сетях
То, что вы выполняете или устанавливаете, - это вредоносный код, называемый «файлом-дроппером», который пытается захватить ваш компьютер, а затем «дозвониться домой», чтобы получить дополнительные вредоносные программы и инструкции по выполнению. Файл-дроппер имеет небольшой размер и предназначен для самообновления, чтобы избежать обнаружения вредоносных программ.
3. Неверный или подозрительный URL.
Следующим серьезным признаком фишингового мошенничества является злонамеренное, похожее или похожее на звук доменное имя в Интернете или унифицированный указатель ресурсов (URL), не имеющее ничего общего с предметом (см. примеры ниже).
Примеры подозрительных URL-адресов
Вы должны научить себя и всех в своей организации определять поддельные домены URL. Большинство интернет-браузеров выделяют реальное имя домена URL-адреса, выделяя его жирным шрифтом (см. пример ниже):
Реальный URL-адрес, выделенный жирным шрифтом
Доменное имя URL-адреса - www.amazon.com, и все, что идет дальше, указывает на контент или мультимедиа и не является частью имени домена DNS.
Крайне важно научить всех, кого вы знаете и любите, как отделить поддельные домены от URL-адресов реальных доменов. Например, на следующем рисунке показано письмо якобы от службы поддержки Apple. В адресе электронной почты для ответа есть слова «appleidicloudsupport», но прикрепленный к нему домен - «enterptingworkshop.com». Определенно не домен Apple.
Определенно не домен Apple
Научите людей, как наводить курсор на URL-адрес, чтобы раскрыть, что это на самом деле (помимо легко читаемого отображаемого имени). К сожалению, многие браузеры и SMS-клиенты на мобильных устройствах, с которых все больше и больше людей получают информацию, не всегда позволяют навести курсор мыши (хотя многие из них с самого начала просто показывают реальный URL-адрес).
4. Стрессорные события
Практически во всех сценариях социальной инженерии, в сети или по телефону, злоумышленник использует «стрессорное событие». Стрессорное событие - это некая неотложная ситуация, которая, если вы не действуете сразу и правильно (по их мнению), то случится что-то плохое. Примеры включают:
- Укажите свои учетные данные для входа в систему, иначе ваша учетная запись будет навсегда заблокирована.
- Запустите (поддельное) обновление программного обеспечения, иначе ваш сохраненный контент будет удален.
- Предоставьте подтверждение права собственности на ваш счет / кредитную карту / информацию о банковском счете, иначе он будет навсегда закрыт.
- Вас обнаружили и сняли на видео о серфинге, которое они покажут всему миру.
- Требуется немедленная оплата штрафа, иначе вас доставят в полицию и посадят в тюрьму. (Кто знал, что IRS принимает подарочные карты WalMart в качестве оплаты?)
- Платеж, который нужен немедленно, или сделка сорвется.
Пример стрессорного события
Идея в том, что они хотят дать вам меньше времени на размышления, отвечая на возможно подозрительный запрос. Звонивший по телефону однажды сказал моей жене, что меня похитили и пытали, и они притворились, что я кричу от боли от «пыток». Я был удивлен, когда вернулся из короткой поездки в магазин и увидел, что моя рыдающая жена обняла меня, как будто я избежал какого-то ужасного события. Это было страшно, потому что звонивший, должно быть, видел меня на выходе из дома и знал номер моего домашнего телефона (еще тогда, когда у нас были такие вещи). Подобные виды мошенничества все еще происходят регулярно.
Как только вы увидите событие, вызывающее стресс, притормозите, остановитесь и подумайте. В реальных стрессорных событиях редко используется взволнованная речь. Например, даже если IRS или полиция хотят, чтобы вы заплатили какую-то сумму, чтобы избежать худшего исхода, обычно предупреждения приходят на такой строгой лексике, что вас почти простят за то, что вы приняли их за рекламные листовки по электронной почте.
5. У отправителя два адреса электронной почты.
Хотя это не 100% гарантия, любое электронное письмо, полученное с другим отображаемым адресом (RFC 5322) и обратным адресом (RFC 5321), скорее всего, будет вредоносным (см. Пример ниже).
Совпадают ли домены отображаемого и обратного адресов электронной почты?
Наличие двух разных адресов электронной почты - это распространенный трюк фишеров, поэтому они могут предоставить один адрес электронной почты (который выглядит законным) и другой «настоящий» адрес электронной почты, которому действительно принадлежит электронное письмо. Иногда это делают законные маркетинговые письма и электронные письма поддержки, но в большинстве случаев два разных адреса электронной почты в строке отправителя указывают на злонамеренность.
Кроме того, обратите внимание на электронные письма от знакомых, когда они приходят с нового, странного или неожиданного адреса электронной почты. Фишеры иногда заявляют, что генеральный директор отправляет вам электронное письмо из своей домашней учетной записи, используя адрес электронной почты Gmail / Hotmail / Yahoo, у которого имя генерального директора указано в строке отправителя.
6. Изменение банковских или монтажных инструкций.
Мошенничество с компрометацией деловой электронной почты составляет проблему на 26 миллиардов долларов, и они превосходят программы-вымогатели в качестве основной афера социальной инженерии. Большинство из них поступают в виде поддельных счетов-фактур, часто с запросами на отправку денег на новый банковский счет или в виде электронного письма с просьбой обновить существующие инструкции по подключению банковских переводов. Некоторые из мошенников взламывают надежную третью сторону, которой вы регулярно платите, отправляют вам изменения в инструкциях по подключению, а затем просто ждут, пока вы оплатите регулярно запланированный платеж по счету.
Жертвы часто месяцами не знают об афере, пока одна из них не подтолкнет другую к неоплаченным, просроченным балансам. Любое электронное письмо, законное или нет, которое требует изменения платежных инструкций, должно сопровождаться телефонным звонком стороне, предположительно запрашивающей изменение.
7. Использует неправильный ник или полное имя.
Это небольшая подсказка, но она работает. Многие фишинговые мошенничества были обнаружены просто потому, что получатель заметил, что отправитель использовал свое полное официальное имя (например, Уильям Б. Монтегю), когда они обычно подписывали свое электронное письмо, используя псевдоним или более короткое имя (например, Билл). Или человек не закончил свое электронное письмо своим именем, как обычно, или наоборот. Или они не поставили имя человека в начале электронного письма, как обычно, или не использовали неофициальный ник получателя и т. д. Идея состоит в том, что злоумышленник часто не знает о мелких неформальных вещах, которые обычно сопровождают даже чисто деловая электронная почта. Обратите внимание на мелкие детали. Отклонение может однажды избавить вас от многих головных болей.
8. Не могу принимать телефонные звонки.
Мошенники, занимающиеся социальной инженерией, часто не могут принимать от вас телефонные звонки для подтверждения запроса. Обычно они заявляют, что не могут добраться до телефона, у них нет подходящего телефона, где они находятся, им не разрешено пользоваться телефонами там, где они есть, или по каким-то другим причинам. Причина в том, что они, как правило, иностранцы с другим акцентом, чем те, кем они себя называют.
Это особенно характерно для аферистов романов и свиданий (которые всегда ищут деньги). Они утверждают, что могут использовать только мгновенные сообщения по множеству причин. Например, это подготовленные элитой военные, внедренные «в стране» или выполняющие сверхсекретную миссию. Это довольно забавно, потому что, хотя они не могут отвечать на телефонные звонки, они могут болтать по несколько часов в день… и получать деньги, которые вы им отправляете, используя различные методы.
Помните о любом романтическом интересе, кто впервые приближается к вам, кажется, имеет идеальную для модели красоту, становится слишком интимным и влюбляется в вас в считанные дни. Если это предположительно военный из США, попросите его отправить вам электронное письмо на военный аккаунт .mil. У всех американских военных есть учетные записи электронной почты .mil, и их использование связано с высокозащищенными смарт-картами MFA (известными как карты CAC), поэтому мошенники не могут использовать или получить учетную запись .mil. Если кто-то утверждает, что является военнослужащим США, но не может отправить вам электронное письмо со своей учетной записи .mil (по любой причине), бегите.
Следующие два признака социальной инженерии конкретно связаны с продажей или покупкой товаров на интернет-сайте.
9. Покупатель слишком любезен.
Любой, кто плохо знаком с покупкой и продажей вещей в Интернете на сайтах, предназначенных для таких вещей (например, Craigslist или eBay), может не знать, что эти услуги являются рассадником мошенников. Как правило, они являются одними из первых, кто пытается купить ваш продукт или продать вам свой продукт. Они не пытаются договариваться о цене и более чем готовы платить за любые непредвиденные расходы, доставку, налоги и все остальное, что они придумывают. Если они продают или арендуют недвижимость, они предлагают цены намного ниже рыночных, но не могут встретиться лично (обычно они находятся за пределами штата или страны по делам).
Бесплатного обеда не существует, но есть такая вещь, как сделка, слишком выгодная, чтобы быть правдой. Если покупатель или продавец не только платит вам полную цену (или предлагает сделку по краже того, что они продают), но и отклоняется назад другими выгодными для вас способами, это, вероятно, грабеж.
10. Заставить вас уйти с работы.
Большинство сайтов онлайн-продаж и аукционов полностью осведомлены о мошенниках, которые нацелены на их сайты и услуги. По этой причине у них есть встроенные средства защиты для покупателей и продавцов.
Из-за того, что эти средства защиты работают, мошенники поощряют или вынуждают жертв уйти с работы. Обычно они утверждают, что это сэкономит жертве деньги. Они рекомендуют жертвам использовать их «надежную службу условного депонирования» или доверенного грузоотправителя. Они говорят, что вместо того, чтобы жертва использовала PayPal («который взимает комиссию»), просто позвольте им отправить вам чек, который вы можете обналичить в своем обычном банке без комиссии, и так далее. Как только жертва перестает работать, мошенник может относительно легко завершить оставшееся преступление.
Я читал о женщине, которая продавала свой грузовик. Вместо того, чтобы использовать онлайн-сервис для продажи грузовика, мошенники предложили явиться лично и заплатить наличными. Люди явились, дали ей (небольшой) залог наличными и оставили свои лицензии жертве. Они поехали на «тест-драйв» автомобиля, и больше их никто не видел. Они получили грузовик за 40000 долларов за 400 долларов. Конечно, лицензии были поддельными. Неплохой рабочий день, если получится.
Если кто-то попытается убрать вас с сервиса или сайта, где вы собирались что-то купить или продать, проявите подозрительность. Еще лучше не следовать инструкциям и не вмешиваться.
Эти 10 признаков социальной инженерии - одни из самых распространенных способов, которыми преступники пытаются вас обмануть. Общая проблема заключается в том, что электронная почта, SMS и телефоны по умолчанию не проходят проверку подлинности. Любой может претендовать на то, чтобы быть кем угодно в большинстве сервисов. Скоро появится более встроенная необходимая аутентификация. А до тех пор скептически относитесь к этим знакам и заставляйте любого «случайно» использовать один из этих знаков, чтобы доказать, что они являются законными.
