В современном мире, где электронная коммуникация стала неотъемлемой частью нашей жизни, мошенники постоянно изобретают новые схемы обмана. Одна из них получила название FakeBoss или ложный руководитель. Проблема стала массовой с конца 2023 года, когда выросло количество инцидентов, связанных с фейковыми аккаунтами в мессенджерах представителей региональных властей и руководителей крупных компаний.
Маскировка реальности, или Как работает схема FakeBoss
По данным МВД РФ, в 2023 году количество преступлений с использованием IT в России выросло на 23,5%. Пик роста относительно новой схемы мошенничества FakeBoss пришелся на начало 2024 года. Схема работает так: преступники создают поддельные аккаунты руководителей, чаще всего в Telegram, используя реальные ФИО и фото из доступных источников. А затем применяют социальную инженерию, чтобы выманить у сотрудника чувствительную информацию о компании или деньги.
Один из вариантов – когда «руководители» ведут переписку с бухгалтерами компании. Под различными предлогами они просят перечислить средства. Сообщение составляется так, чтобы создать ощущение срочности и важности, что заставляет жертв действовать быстро и без должного анализа ситуации.
Однако в последние месяцы мошенники стали использовать более сложную тактику по этой схеме с обзвонами от имени правоохранительных органов. «Руководитель» предупреждает сотрудника, что им интересуются люди из силовых структур. После короткой переписки в мессенджере сотруднику поступает звонок из «правоохранительных органов». Далее злоумышленники действуют по уже отработанным скриптам, убеждая жертву совершить целевое действие: перевести деньги на «безопасный» счет, взять кредит в банке, войти в аккаунт, прислать код из СМС и пр.
Но совсем недавно появилась новая уловка киберпреступников – использование аудиодипфейков в корпоративной среде. Жертва получает сгенерированное голосовое сообщение от «руководителя» с просьбой перевести крупную сумму денег или совершить действия, которые могут поставить под угрозу безопасность компании. Искусственный интеллект и клонирование человеческих голосов уже позволили киберпреступникам похитить десятки миллионов долларов по всему миру. Один из таких резонансных инцидентов случился в 2021 году. Мошенники, используя дипфейк-технологии, пытались обмануть банк Goldman Sachs на $40 млн.
Осторожно дипфейк: как вычислить мошенника
Сегодня современные технологии на основе искусственного интеллекта становятся все более доступными. Достаточно всего трехсекундного образца голоса, чтобы создать подделку, которую будет трудно отличить. И такие дипфейки в сочетании с инструментами социальной инженерии открывают широкие возможности для фишинга, масштабных атак. Поэтому в целях недопущения использования дипфейков в противоправных целях Минцифры совместно с МВД и Роскомнадзором займется правовым регулированием этого вопроса.
Сегодня криминалисты вручную выявляют дипфейки: они обращают внимание на изображение, склейки, запаздывание речи и т. д. Однако с усовершенствованием цифровых технологий будут набирать обороты инструменты и методы обнаружения дипфейков.
Одним из вариантов неправомерного использования дипфейков могут послужить «водяные знаки», которые должен устанавливать сам разработчик. Но такие маркировки невыгодны сервисам, если они не станут обязательными.
В Госдуме уже разрабатывают закон о маркировке контента, созданного при помощи нейросетей. По словам депутатов, это может стать единственным эффективным инструментом в борьбе с киберпреступниками.
А пока законы только разрабатываются, я рекомендую всегда придерживаться простых правил безопасности. Чтобы распознать злоумышленника, вам нужно сделать два действия:
- Позвонить собеседнику. Личный звонок – самый простой и действенный способ, чтобы удостовериться в намерениях визави.
- Обратить внимание на контекст сообщения, несостыковки. Как правило, мошенники делают акцент на нужной ему информации или действиях, поэтому это должно вызвать подозрение. Также стоит обратить внимание на такие нюансы, как использование нехарактерных оборотов речи, форм обращения, несоответствие известной вам информации – уже повод насторожиться.
Что касается аудиодипфейков, их сложно отличить от оригинального голоса. Чаще всего злоумышленник будет присылать короткие фразы, состоящие из приветствия и самой просьбы. Поэтому, здесь в первую очередь следует обратить внимание на выразительность, эмоции, ударения, слова-паразиты, специфические дефекты, темп и тембр голоса.
В качестве превентивных мер пользователям стоит обучиться правилам кибербезопасности: использовать сложные и разные пароли, специальные приложения и сервисы, созданные для защиты, изучить методы работы мошенников.
Как защитить аккаунты: простая, но действенная памятка
- Подключите двухфакторную аутентификацию. Даже если злоумышленник получит ваши данные, он не сможет войти в аккаунт без наличия специального кода.
- Сохраняйте бдительность: не переходите по сомнительным ссылкам, не открывайте подозрительные письма и не отвечайте на спам-звонки.
- Используйте сложные пароли. Для создания сложных паролей можно использовать специальную программу – менеджер паролей.
- Без объективной причины не передавайте личную информацию, персональные данные и прочие сведения третьим лицам.
- По возможности поставьте в мессенджерах запрет на звонки и сообщения от неизвестных пользователей, а также поставьте запрет на поиск по номеру телефона.
Если ваш аккаунт был взломан, первым делом предупредите об этом коллег, друзей, близких, чтобы они не стали следующим звеном в схеме кибермошенников. Далее попытайтесь вернуть контроль над аккаунтом: сбросить или восстановить пароль, используя привязанный к аккаунту телефон или почту. Если злоумышленники сменили эти данные, то нужно связаться со службой поддержки сервиса, чтобы доказать, что вы – владелец аккаунта.
Кроме того, компаниям важно регулярно проводить обучение сотрудников по вопросам кибербезопасности: делать информационные рассылки, организовывать вебинары, тренинги, нацеленные на распознавание типичных уловок мошенников. Тем самым это поможет обезопасить не только бизнес, но и себя от различных схем мошенничества.
Читайте также:
Будьте бдительны!
Универсальных способов борьбы с обманом нет. Вся история людей - история обмана. Можно вспомнить Джека Лондона. Можно вспомнить продажу Аляски.
"Рим предателям не платит!" и т.д.
Это должно быть выработано на уровне инстинкта. Не боязнь людей, а именно привычка быть аккуратным в обратной связи. Можно вспомнить опыт военных, истинное значение слова "пароль".
Если к вам на почту пришло письмо в предложением заработать большие деньги, то скажие мысленно "Стой, кто идёт?".
Доброты в мире полно. Совсем не обязательно стремиться к злой стороне, желать больших, случайных денег.
У меня ведь тоже не советы, а просто првычки:
- кладу трубку о всякого рода предложениях об инвестициях. Могу послать, если настроение хорошее.
- надоело шутить сво всякого рода "офицерами по безопасности вашего банка".
- блокирую телефоны всякого рода бесплатных медобследований. Хотя это не совсем мошенники, скорее хитрож... бизнесмены.
- для своих близких я установил секретное слово, которое знаем только мы. Был звонок, якобы от моего сына, он слёзно просил о денежной помощи. После вопроса "Назови пароль" клиент сдулся.
- поменьше всяких приложений на телефоне. Не использую СБП.
- для секретных разговоров используйте личную встречу. На втором месте по безопасности проводной телефон. Далее - конопочный старина. Затем личный персональный компьютер с доверенными айпишниками. Затем ноутбук, сетевое соединение в автоматическом режиме.
Ну и наконец смартфон. Большинство даже не знают состав операционной системы телефона, файловой системы, но некоторые спокойно выкладывают свои даже интимные фото..
К написанным в статье правилам безопасности, есть смысл добавить, не производить денежных переводов неизвестным адресатам только по телефонным звонкам, а не по четкому, юридически корректному регламенту.