На крупнейшей российской платформе онлайн-объявлений Avito выросло число объявлений от частных лиц и компаний о предоставлении услуг установки на смартфоны приложений банков, удаленных из App Store. Авторы предлагают помощь с их скачиванием с использованием специальной программы и доступа в iTunes. Однако, по мнению экспертов, такая схема позволяет злоумышленникам перекачивать все данные с устройства. Подробности о новом мошенническом тренде с Avito и его рисках для пользователей выясняли «Известия».
Опасные услуги
Сегодня по запросу «установка банковских приложений» сайт Avito выдает более 4 тыс. объявлений по всей стране. Впрочем, по мнению экспертов, такая услуга на деле может быть замаскированным способом мошенничества.
— Когда пользователи соглашаются на такое предложение, они скачивают посторонние программы. Эти программы либо являются вирусами, либо крадут ваши персональные данные или данные карт, счетов и прочего, либо они сами воруют данные с телефона и отправляют их злоумышленнику. Далее злоумышленник может списать деньги с вашей карты, — объясняет «Известиям» Артур Карапетов, преподаватель Synergy Academy, Product Lead в «Сколково».
Такого же мнения придерживается и эксперт «Информзащиты» Шамиль Чич: по его словам, скачивание непроверенного программного обеспечения (ПО) несет риск не только потери данных и денег, но и установки ПО с вредоносной нагрузкой. Любые сделки, предполагающие передачу персональных данных, переход по неизвестным ссылкам и установку ПО не из официальных площадок, небезопасны для пользователей, предупреждает эксперт.
Способы установки ПО
Как объясняет «Известиям» главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников, есть два способа установки ПО на смартфоны: из официального маркетплейса и через запуск скачанного исходного файла ПО. Второй путь для обычных пользователей по умолчанию заблокирован настройками безопасности в смартфоне.
— Для установки ПО из отдельного файла необходимо снять ограничения в настройках безопасности смартфона или выполнить JailBrake для продуктов компании Apple. Предоставление доступа к смартфону и установка на него неофициального ПО незнакомыми вам специалистами грозит тем, что вам могут установить систему удаленного управления вашим смартфоном и получить полный доступ к вашим данным, — говорит Овчинников.
По словам специалиста департамента анализа защищенности компании Digital Security Александра Багова, подобная схема используется мошенниками уже долгое время. Еще до того, как из App Store и Google Play удалили популярные приложения российских компаний, злоумышленники прибегали к разнообразным уловкам и проявляли чудеса изобретательности, чтобы получить учетные данные аккаунтов пользователей.
— Теперь всё стало намного проще: пользователи сами предоставляют им доступ для установки заблокированных приложений, — отмечает Багов. — Обычно это делается с помощью приложений для предоставления удаленного доступа к устройствам (AnyDesk, TeamViewer и других). Так посторонние люди получают полный контроль над чужим смартфоном.
Более того, добавляет эксперт, под видом заблокированных приложений могут распространяться их модифицированные копии, которые, помимо стандартной функциональности, воруют учетные данные аккаунтов других приложений, отправляют и перехватывают сообщения, обеспечивают злоумышленникам удаленный доступ к камере и микрофону.
— Мы настоятельно рекомендуем не пользоваться подобными услугами. Пользователям Android для установки заблокированных приложений следует использовать российские аналоги магазинов приложений, а пользователям iPhone — веб-версии банковских приложений, — заключает собеседник «Известий».
Схемы обмана
Как говорит в беседе с «Известиями» координатор платформы «Мошеловка» Евгения Лазарева, российские торговые площадки заботятся о безопасности пользователей, вкладывая в это большие ресурсы. Почти все случаи обмана, связанные с интернет-шопингом, — это события, случившиеся за пределами площадок. Исключение — зарубежные сервисы с представительствами в России, например французский BlaBlaCar и китайский AliExpress.
Самая частая схема, связанная с российскими площадками, — это фишинг. То есть человек переходит не на настоящий сайт, а на очень похожую подделку. Пытаясь купить нужный товар, он вводит данные банковской карты, получает SMS, вводит код и отправляет средства неизвестно кому.
— Способы защиты просты: внимательно смотреть на адресную строку (адрес должен полностью совпадать с официальным) и читать SMS от банков. В них всегда указывается, кому именно вы переводите средства. Эта полезная привычка поможет не только при интернет-покупках, но и, например, при переводах на благотворительность. Важно помнить: если вы ввели на мошенническом сайте данные карты, но опомнились при вводе кода из SMS или push, необходимо заблокировать карту, связаться с банком и попросить выпустить карту, честно рассказав сотрудникам о причинах перевыпуска, — советует Лазарева.
На самих площадках, по ее словам, основной схемой еще недавно был увод клиента в сторонние мессенджеры. После этого мошенник требовал перевести деньги по ссылке на поддельный сайт или даже предлагал провести платеж мимо площадки.
— Пытаясь обмануть маркетплейс или классифайд, клиент обманывает сам себя. Легальная площадка здесь ни в чем не виновата — более того, она не может защитить человека, который пытается общаться с покупателем или продавцом напрямую, и честно предупреждает об этом в правилах пользования площадкой или даже в отдельно вынесенных правилах безопасности, — говорит собеседница «Известий».
Сегодня же попыток увести клиента с площадки стало меньше: алгоритмы маркетплейсов вычисляют таких пользователей, блокируют их аккаунты и значительно сужают возможности для регистрации новых. Эксперты советуют пользователям присматриваться к аккаунту собеседника и, если он зарегистрирован недавно, проявлять осторожность. А при обнаружении подозрительных предложений — обращаться в техподдержку.
Человеческий фактор
Как рассказали «Известиям» в пресс-службе Avito, главное, что может привести к неприятностям, — это игнорирование самими людьми правил платформы. Нельзя переходить за пределы внутреннего чата, переводить предоплату, передавать любые личные данные, пароли и ID.
— Дело не в товарах и услугах, а в принципе работы человеческого сознания, — сообщили в пресс-службе. — Крупные платформы давно выстроили периметр безопасности через умные алгоритмы и технологии так, чтобы запрещенный контент не размещался.
Как отмечают в Avito, специалисты компании умеют настраивать прогнозную модель модерации так, чтобы работать на опережение любых сценариев. Но есть человеческий фактор — та самая уязвимая зона, где бессильны и искусственный интеллект, и технологии, и алгоритмы, которые внедряются. Поэтому торговые площадки сегодня тратят большие усилия именно на образование пользователей: им пытаются объяснить, что следовать правилам безопасности в интернете — это то же самое, что соблюдать правила гигиены или дорожного движения, которые написаны не просто так.
Какие товары не стоит покупать на площадках
Говоря о товарах, которые в принципе не стоит покупать в интернете, координатор платформы «Мошеловка» Евгения Лазарева в первую очередь отмечает то, что незаконно или полузаконно: непонятные вещества и услуги, названия которых как бы намекают на то, что в легальной продаже такого нет. Если покупатель сам выходит из правового поля, он теряет защиту закона и жаловаться будет некому.
Крупные платформы модерируют контент, удаляя противоречащие закону объявления, до публикации. Но если всё же вы видите товар или услугу, законность которой вызывает сомнения, лучше отказаться от сделки и обратиться в службу поддержки.
— В остальном же через классифайды и маркетплейсы может продаваться практически всё. Главное — обращать внимание на то, у кого именно вы покупаете. Продавцом может выступать и юридическое, и физическое лицо, но при использовании сервисов безопасной сделки деньги от покупателя всегда уходят на специальный эскроу-счет. Банк замораживает эту сумму и выплачивает продавцу после того, как товар получен и претензий у покупателя не возникло, — говорит Евгения Лазарева.
Важно помнить: за качество товара ни маркетплейс, ни классифайд ответственности не несут. Поэтому нужно внимательно читать правила площадки: сколько времени у вас есть для того, чтобы отправить претензию на товар, как именно она оформляется. Идеально, когда есть возможность распаковать и осмотреть покупку прямо в пункте доставки: это снимает большинство вопросов.
При покупке у юридического лица или ИП (на маркетплейсах присутствуют только они) на покупку распространяется действие закона «О защите прав потребителей». Претензии по качеству нужно направлять именно продавцу, а не площадке, которая обеспечивает коммуникации и логистику. Торговля между физическими лицами такой защиты не подразумевает: это стоит иметь в виду, собираясь купить товар с рук.
Мария Фролова
