Comments 20
Слабаки.

Требуется подтверждение типа Яндекс-кошелька

С 1.03.2019 вступает в силу статья 4.5 федерального закона 54-ФЗ «О применении контрольно-кассовой техники при осуществлении расчетов в Российской Федерации». В случае использования кошелька Яндекс-денег для ведения коммеческой деятельности вам требуется предоставить копию договора об обслуживании контрольно-кассовой машины, осуществляющей учёт платежей по вашему Яндекс-кошельку либо подтвердить, что счёт принадлежит физическому лицу и не используется для ведения коммерческой деятельности юридического лица либо ИП.

[Загрузить копию договора на регистрацию ККМ]
или
[Подтвердить, что счёт принадлежит фическому лицу и не используется для коммеческой деятельности]

В случае отсутствия подтверждения или непредоставления необходимых документов в срок до 5.02.2019 мы будем вынуждены блокировать все операции с Яндекс-кошельком в соответствии с приказом ЦБ РФ от 29 декабря 2018 г. N ОД-3405.

С уважением, команда Яндекс-денег.
И в этом письме и во всех вышеперечисленных авторы либо «плохо знать русскаго языка», либо весьма небрежны в написании своих креативов :-) «Фическое лицо» и «коммеческая деятельность» проканает только для их собратьев по разуму.
В официальных письмах от сервисов тоже бывают ляпы и ошибки.
Уели. Учитывайте, что это всё-таки коммент на хабре, а не работа.
Способ обучения мне очень нравится. Но не нравится отношение автора к фишингу. Автор забывает, что не все люди являются компьютерными специалистами, которые способны разобраться в URL, сделать проверку по Whois, проверить уставные документы организации. Да они и не обязаны разбираться в URL, это программисты должны делать более безопасные сервисы. В том числе:

— использовать 2FA для важных сервисов
— не использовать привязку к телефону для важных сервисов, так как сим-карты легко подделать
— не использовать устаревшие небезопасные системы платежей вроде Visa, Mastercard, Мир, где можно легко украсть и использовать данные карты и не применяются принципы криптографии
Самые опасные письма — те, которые бьют на жалость или эксплуатируют чувство страха.
Например, «я по ошибке забросила денег на ваш яндекс кошелёк, умоляю, переведите эти 500р на номер YYY, это на подарок ребёнку».
Или: «мама, я попал в аварию, ситуация критическая, не звони мне пожалуйста, я потом всё объясню. Открой мой ноут, зайди на [ссылка] и заполни форму, ты мне этим очень поможешь».
А уж если удалось вскрыть чей-то почтовик или аккаунт в соцсетях и разослать письма с просьбой о помощи от имени этого человека всем его друзьям, тут эффективность фишинга чуть ли не 100%.
Хусанбой Эрдашевич Сотвондиев, 19 лет…
… Хусанбой приехал в Петербург из Ургенча, где 3 года работал таксистом.
Хусанбой уж очень вымышленный персонаж: водительские права категорий B и C в Узбекистане выдаются только с 18 лет. Как он там 3 года (с 16 лет) мог работать таксистом?
Ну, как-нибудь мог, наверное :)
А вообще вы правы. Я сам озадачился этим вопросом уже после того, как выдал задание, и было поздно менять текст.
По правам друга. Кто там тех узбеков различит :)
Или на верблюде.
У меня иногда складывается впечатление, что создатели реальных фишинговых и прочих полу- и не полу-мошеннических писем и других фишинговых и прочих полу- и не полу-мошеннических сообщений намеренно добавляют грамматических ошибок, чтобы на суде попытаться защититься аргументом подобного рода: ну вот видите, разве разумный человек поверит в то, что письмо с такими чудовищными ошибками мог отправить сотрудник банка Ну Это Же Этот(!) Банк?
P.S. Разбор нестыковок совсем не с того конца: большинству людей потребуются специальные курсы, чтобы научиться распознавать хотя бы треть фишинговых сообщений по указанным критериям
А чтобы пройти тест по определению фишинга, нужно вводить свой имейл пароль дату рождения кодовое слово данные кредитки?
Проверяйте адрес отправителя и ссылки в письме, прежде чем по ним кликать — в браузере для этого есть строка состояния, где можно посмотреть, куда ведёт ссылка.

ИМХО намного полезнее дать тем же студентам задание объяснить Альберту Михайловичу и прочим персонажам, которые не знают понятий ни «строка состояния», ни «адресная строка», как выявить подобные фишинговые письма и не потерять деньги.

Что такое «строка состояния». Как с её помощью посмотреть, куда ведёт ссылка. Куда она должна вести и куда вести не должна. И пр.

Ведь конечная-то цель всей этой затеи — не научиться писать фишинговые письма, а уберечь от них простых юзеров.
К сожалению, рядовой пользователь не в состоянии проверить ссылку в письме, для этого надо понимать, как читается URL, как найти в нём доменное имя: money.yandex.ru.prepaid.ru/?_openstat=imainnew3%3Btopup для половины пользователей выглядит так же, как money.yandex.ru/prepaid/?_openstat=imainnew3%3Btopup
Совет проще: вообще никогда не переходить по ссылкам в почтовых сообщениях. Пришло письмо от Яндекс.Деньги? Можно просто зайти на сайт Яндекс.Деньги по сохранённой ссылке и проверить достоверность информации в письме.

Личные данные, в том числе логины, пароли, номера карт пользователи вынуждены указывать на посторонних сайтах. Важно при этом понимать, тот ли это сайт, где вы хотите авторизоваться или оплатить услугу. Яндекс (я про поисковую систему) делает многое в этом направлении и всячески способствуют распространению HTTPS на сайтах.

Как выше указывали, двухфакторная аутентификация, где второй фактор — это SMS — не может считаться безопасной, так как текст SMS в открытом виде доступен неустановленному числу лиц среди сотрудников оператора сотовой связи (а кроме них — ещё и сотрудникам самых различных государственных органов), да и есть возможность получения копии SIM-карты, достаточно много кейсов, связанных с этим.

В защите от фишинга для обычного пользователя стоит добавить следующие рекомендации:

— проверка полученной информации по другому каналу (получили письмо с просьбой о помощи или годовым финансовым отчётом — проверьте по телефону или мессенджеру, знает ли о них предполагаемый автор);

— прежде, чем предпринимать любые действия — надо досчитать до ста, например. Получили письмо о том, что ваша карта взломана, и чтобы деньги вернуть надо СРОЧНО СДЕЛАТЬ что-то? Выдохните. Не помогло успокоиться? Посоветуйтесь с другом. Цель фишеров — вывести вас из равновесия, создать стрессовую ситуацию.

— зашли на сайт без SSL (если в адресной строке нет HTTPS) — никогда не вводите там никаких данных. Благо, современные браузеры вас и сами предупредят, что этого делать не рекомендуется.

— используйте антивирусное ПО, многие антивирусы умеют распознавать в том числе и фишинговые письма;

-используйте современные браузеры последних версий: они умеют определять, когда страница фишинговая (не всегда);

— важно понимать, что вы можете получить письмо по электронной почте, где в качестве отправителя будет president@kremlin.ru или любой другой адрес отправителя, включая ваш собственный. Совсем свежий кейс: письма с вашего же адреса — вам же, что аккаунт взломан и если вы не хотите утечки — заплатите стопятьсот криптоденег кулхацкеру. Естественно, никто ящик не взламывал при этом.

Стоит подчеркнуть, что сказанное про сообщения по электронной почте — во многом относится и к другим каналам связи (мессенджеры, SMS, соцсети и т.п.) Электропочта теряет в популярности свои позиции — благо некоторые мессенджеры уже имеют встроенные средства верификации респондентов (см. Signal, например).

Важны превентивные меры защиты:
— такая элементарная мера, как сложные пароли разные для всех сервисов. Все про это знают — но поднимите руки, честно — кто везде и всегда использует уникальные сложные комплексные пароли?
— надо использовать для финансовых целей отдельный адрес электронной почты. Если у вас один и тот же ящик везде, да ещё и опубликован на досках объявлений и в соцсетях — вы просто приглашаете фишеров к себе в гости;
— ограничивать информацию о себе в социальных сетях и публичном доступе вообще, не стоит фишерам знать, что вы жалуетесь на работу Сбербанка, да и номер телефона у вас в профиле — излишняя подробность. Такой тренинг «начинающего фишера» даёт возможность понять — чем больше у фишера информации про цель атаки, тем выше шансы на успех.

Есть и более сложные советы, например — в деловой переписке использовать только защищённые каналы, а если и пользоваться электронной почтой, то используя цифровую подпись или шифрование. Так вы никогда не получите от «генерального директора» «финансовый отчёт» с вирусом.

Сам тренинг с отправкой «фишинговых» писем полезен, но всё-таки лучше воздержаться от их отправки через публичные почтовые сервисы во избежание санкций. Ну и уж если приспичило это сделать, то лучше направлять письма с использованием сторонних специальных почтовых сервисов, которые позволяют ещё и подставить любой адрес отправителя и не задействуют ваш собственный почтовый ящик. И не спрашивайте — каких. )

Ну и, наконец, если вы стали жертвой интернет-мошенничества — обращайтесь в правоохранительные органы. Это работает (но далеко не всегда). Именно от безнаказанности сейчас настолько большое количество интернет- и телефонных мошенников. И от цифровой безграмотности их жертв.

Извините за лонгрид, у его автора есть опыт в проведении тренингов по цифровой безопасности и противодействия фишерам на серверной стороне (почтовые сервисы, веб-сервисы) — и есть желание делиться этим при каждом удобном случае.
Only those users with full accounts are able to leave comments. Log in, please.