Современные мошенники - это не зеки, звонящие из тюрем.
Это целые корпорации с четкой структурой и иерархией, планами по развитию и огромными отделами, которые проводят аналитику, создают сайты, пишут тексты и придумывают все новые и новые векторы атаки.
Если взять всех мошенников и направить их творческую энергию в благородное поле, то мы бы жили в утопическом прогрессирующем мире, а не в мире страха и ограничений.
В этой статье мы расскажем как действуют такие мошеннические корпорации перед атаками на людей.
"Мы выбрали вас для эксклюзивного проекта. Осталось подтвердить участие".
Как защититься
"Ваш профиль выбран для внутренней проверки безопасности. Подтвердите данные в течение 15 минут."
Как защититься
"Только сегодня, только для вас — осталось 2 места!"
Как защититься
"Ваше мнение крайне важно для подготовки стратегического отчета"
Как защититься
"Только не проходите мимо… любая помощь спасет жизнь."
Как защититься
"Мы ищем экспертов, способных решить редкую задачу. Нужен быстрый доступ к данным."
Как защититься
"Ваш счет будет заблокирован. Чтобы избежать блокировки, подтвердите личность".
Как защититься
Это целые корпорации с четкой структурой и иерархией, планами по развитию и огромными отделами, которые проводят аналитику, создают сайты, пишут тексты и придумывают все новые и новые векторы атаки.
Если взять всех мошенников и направить их творческую энергию в благородное поле, то мы бы жили в утопическом прогрессирующем мире, а не в мире страха и ограничений.
В этой статье мы расскажем как действуют такие мошеннические корпорации перед атаками на людей.
1 | СБОР СЛЕДОВ — что собирают и где берут эти данные
ОСНОВНЫЕ ИСТОЧНИКИ
- Публичные профили в соцсетях
Instagram, Facebook, VK, Telegram-каналы, Twitter/X, LinkedIn, ...
Имя, ник, описание, фотографии, сторис, хэштеги, отметки места, список друзей/подписок, публичные сообщения и комментарии. - Профессиональные площадки
LinkedIn, GitHub, ResearchGate, ...
Должности, проекты, резюме, контактные телефоны и e-mail, ссылки на репозитории/портфолио. - Форумы и публичные чаты
Reddit, Хабр, Telegram-группы, ...
Стиль общения, интересы, активность в нишах. - Маркетплейсы и доски объявлений
Ozon, Wildberries, e.b.a.y, Avito, OLX, Telegram-группы, ...
Что продаете, адреса, уровень владения вещами. - Публичные реестры и СМИ
Статьи, интервью, участие в мероприятиях, упоминания в локальных новостях. - Утечки данных
ФИО, номер телефона, e-mail, пароли, ...
Используются для cross-check — обогощения и подтверждения собранной информации, и credential stuffing — массовой автоматической проверки украденных логинов и паролей на других сервисах. Если человек использовал один и тот же пароль на нескольких сайтах — бот получает доступ и к другим аккаунтам. - Мета-данные фото/видео и документов
EXIF, Timestamp, ...
Определяют где и когда был сделан снимок или создан файл, на каком оборудовании, кто автор и т.д. Восстанавливают хронологию событий: когда вы публиковали фото/файл, когда были онлайн, последовательность активности, ваши передвижения и еще много чего. - Технические следы
Отпечатки браузера [Fingerprint], IP-адрес, тип устройства, публичные трекинг-маршруты, ...
Позволяют по косвенным признакам объединить данные и определить принадлежность следов к конкретному человеку. - Публично доступные документы
Файлы, загруженные в Dropbox/Google Drive с незащищенными и "вечными" ссылками, ...
Предоставление доступа к документам для всех, у кого есть ссылка — это находка для мошенников. Вы думаете, что доступ есть только у ограниченного круга людей, а он доступен всему Интернету.
ЧТО "ВЫТАСКИВАЮТ" БОТЫ
- Мета-данные
— количество публичных фото/сторис в месяц;
— доля фото с гео;
— среднее количество лайков. - Соцсети
— число открытых друзей/подписок;
— список часто упоминаемых имен. - Текстовые патерны
— частотность слов "помогите", "инвестиция", "хочу";
— индекс "я" [частота местоимения "я"]. - Профессия
— актуальность данных и текущей профессии;
— совпадение имени и компании с доменом почты. - Финансы
— упоминание дорогих покупок/марок;
— чекины в дорогих ресторанах/отелях;
— фото из путешествий. - Технические артефакты
— EXIF-координаты;
— часовой пояс, страна;
— модель телефона/камеры/компьютера;
— время активности. - Утечки
— в скольких утечках встречается email и в каких сервисах;
— в скольких сервисах одинаковый пароль;
— сколько лет пароль не меняется.
КАК БОТЫ СОБИРАЮТ ДАННЫЕ
- Парсинг публичных страниц — регулярные обходы по списку сайтов/никнеймов.
- API — там, где доступны [Telegram-каналы, публичные API].
- Поиск по e-mail/телефону в утечках — сверка на совпадение и подстановку.
- По фото — автоматический поиск где еще появлялись те же фото [чтобы найти другие аккаунты, принадлежащие одному и тому же человеку].
2 | АНАЛИТИКА И ПРОФАЙЛИНГ — как "сырые" данные превращаются в жертву и сценарии атаки
ЭТАПЫ АНАЛИТИКИ
- Извлечение признаков
С текстов, фото и метаданных автоматически создаются числовые/категориальные признаки: публичность, тональность, интересы, наличие утечек, соц-граф. - Сегментация
Пользователи группируются по похожим паттернам [например: "публично-демонстративные", "профессионалы IT", "семейные/эмпатичные"]. - Психотипизация
ML-модель [или правила] сопоставляет кластеру наиболее вероятный психотип с соответствующими уязвимостями. - Рейтинг риска
Каждому профилю присваивается свой уровень риска по нескольким метрикам: финансовый потенциал, легкость манипуляции, наличие утечек. Он показывает, насколько цель уязвима и интересна. - Сценарная генерация
На основе типа и рейтинга выбирается шаблон/тон сообщения: "официальный", "эмоциональный", "романтический", "FOMO" и т. д. - A/B тестирование и обратная связь
Аналищируются авторассылки и сбор откликов. Успешные сценарии масштабируются; неуспешные — корректируются [замкнутый цикл обучения].
КАКИЕ ПРИЗНАКИ РАБОТАЮТ ЛУЧШЕ ВСЕГО
На что модели в первую очередь смотрят — мониторьте это- Публичность профиля
Сколько у вас постов, сторис, открытых друзей. Чем вы открытее, тем быстрее на вас "срабатывают" атаки. - Тон общения
Вы больше эмоциональны или рациональны? Это определяет, в каком стиле к вам будут писать [слезы/жалость или официально/по делу]. - Финансовые маркеры
Фото дорогих вещей, чекины в дорогих местах. Это сигнал, что с вас можно вытянуть деньги. - Наличие утечек
Если ваш e-mail или пароль в слитых базах, шанс захвата аккаунта сильно увеличивается. - Время активности
Когда вы чаще онлайн [ночью, в обед] — в это время вероятность "клика" выше. - Кто вас окружает
Кто комментирует, лайкает, отмечает — через знакомых могут запускать вторичные атаки.
КАК ПРОФАЙЛИНГ ПРЕВРАЩАЕТСЯ В СЦЕНАРИИ АТАКИ
- Модель оценила, что вы "чувствительны к эмоциональным обращениям" → вам отправят письмо/сообщение с эмоциональным подтекстом.
- Если найден утекший e-mail → попытаются восстановить ваши аккаунты или отправят "служебное"сообщение с целью получить код доступа.
- Если профиль демонстрирует статус/богатство → предложат "инвестицию" или "партнерство", чтобы вытянуть деньги или документы.
КАК ЗЛОУМЫШЛЕННИКИ ИЗМЕРЯЮТ "УСПЕХ" [МЕТРИКИ]
- CTR [Click-Through Rate] — сколько людей кликнули по ссылке.
- Conversion Rate — сколько сделали целевое действие [перевели деньги, ввели данные].
- Time-to-Respond — как быстро человек ответил [показывает импульсивность].
- Lateral Compromise — сколько дополнительных аккаунтов или людей удалось скомпрометировать через первую жертву.
ГДЕ АНАЛИТИКА МОЖЕТ ОШИБАТЬСЯ — КАК ЭТО ИСПОЛЬЗОВАТЬ ДЛЯ ЗАЩИТЫ
- Псевдо-публичность
Ваш профиль закрыт, но родственники/друзья выставляют много вашего контента — это дает ложный сигнал.
Что делать: скрыть отметки себя, ограничить видимость друзей. - Смешанные типы личности
Люди редко относятся к одному психотипу — модели дают вероятность, а не 100% принадлежность.
Что делать: снизить количество подтверждающих сигналов принадлежности к психотипу [меньше явных триггеров]. - Шум и ложные цели
Агрессивный парсинг дает много мусора и ложных срабатываний.
Что делать: не полагаться только на "открытость", включить многофакторную аутентификацию и следить за аномалиями входа с других устройств.
3 | ПСИХОТИПЫ ЖЕРТВ — как вы сами рассказываете о своих слабых местах
1. ИСТЕРОИДНЫЙ — "Меня должны видеть"
Как вычисляют- профиль открыт, десятки сторис в день, селфи с геометками
- частые фото с мероприятиями, публикации о достижениях, брендовые вещи
- лозунги "живи ярко"
- Человек зависим от внимания и признания.
- Подсовывают "предложение о коллаборации", "интервью для онлайн-журнала", "амбасадорство бренда".
- Иногда создают фейковые аккаунты компаний, делают вид, что ищут блогеров.
- выманить личные данные
- получить оплату за "участие"
- заставить сделать публичный пост со ссылкой на фишинговый сайт
"Мы выбрали вас для эксклюзивного проекта. Осталось подтвердить участие".
Как защититься
- Не публикуйте геометки к медиафайлам.
- Не публикуйте геометки вашего нахождения в моменте присутвия.
- Минимизируйте "свечение" брендов.
- Уберите дату рождения и личные контакты из открытых профилей.
2. ЭПИЛЕПТОИДНЫЙ — Контроль и порядок
Как вычисляют- деловые фото, строгий стиль, минимум эмоций
- посты про правила, дисциплину, статус
- часто указан работодатель, должность, достижения
- Человек ценит порядок и боится хаоса.
- Создают "служебные» письма, похожие на корпоративную рассылку, или пишут от имени "службы безопасности".
- заставить подтвердить доступ
- выманить корпоративные данные
- инициировать "проверку" счета или аккаунта
"Ваш профиль выбран для внутренней проверки безопасности. Подтвердите данные в течение 15 минут."
Как защититься
- Не публикуйте детали о месте работы и внутренних процессах.
- Проверяйте все запросы через официальные корпоративные каналы.
3. ГИПЕРТИМНЫЙ — «Жизнь — это драйв»
Как вычисляют- постоянно на связи, сторис с вечеринок и путешествий
- быстрые реакции, лайки, комментарии
- публикации о стартапах, идеях, движухе
- Человек принимает решения на эмоциях, без проверки.
- Предлагают "уникальные мероприятия", "тур со скидкой", "выигрыш" или "ранний доступ к инвестиции".
- Заставить совершить быстрый платеж или подписку.
"Только сегодня, только для вас — осталось 2 места!"
Как защититься
- Не резкие делайте покупки/переводы по ссылкам из сообщений - все обдумайте.
- Заведите отдельную карту для онлайн-оплат, чтобы минимизировать потери в случае компрометации.
4. ПАРАНОЯЛЬНЫЙ — "Я строю систему"
Как вычисляют- мало фото, но много постов о достижениях
- серьезные тексты, ссылки на деловые ресурсы
- подписки на бизнес, технологии, политику
- Человек стратег и лидер, ценит статус.
- создают фальшивый профиль инвестора, журналиста, чиновника
- предлагают "высокий уровень доступа" или "партнерство"
- внедриться в деловые связи
- выманить документы
- заполучить доступ к окружению
"Ваше мнение крайне важно для подготовки стратегического отчета"
Как защититься
- Проверяйте контакты партнеров через независимые каналы.
- Не делитесь рабочими материалами через личные мессенджеры и наоборот.
5. ЭМОТИВНЫЙ — "Хочу помочь"
Как вычисляют- посты о семье, животных, добрых делах
- мягкая речь, эмпатия в комментариях
- Человек чувствует чужую боль и не проверяет источники.
- Рассылают фейковые просьбы о помощи, сборы, истории "ребенок в беде".
- Получить небольшие, но частые переводы и личные данные.
"Только не проходите мимо… любая помощь спасет жизнь."
Как защититься
- Проверяйте сборы через официальные фонды.
- Не переводите деньги на личные карты.
6. ШИЗОИДНЫЙ — "Главное — идея"
Как вычисляют- минимум фото, максимум сложных постов
- участвует в профильных форумах, GitHub, научных сообществах
- Человек погружен в идеи, не обращает внимания на социальные уловки.
- приглашают в "исследовательский проект" или "обмен данными"
- просят доступ к репозиториям, документам, кодам
- похитить интеллектуальную собственность
- внедрить вредонос
"Мы ищем экспертов, способных решить редкую задачу. Нужен быстрый доступ к данным."
Как защититься
- Разделяйте публичные и рабочие аккаунты.
- Проверяйте источники и контракты ДО обмена файлами.
7. ТРЕВОЖНЫЙ — "Мир опасен"
Как вычисляют- редкие фото, репосты тревожных новостей
- частые комментарии вроде "а если?..", "опасно же"
- Человек ожидает угрозу и ищет подтверждение.
- Присылают фальшивые "уведомления безопасности", "штрафы", "подозрительную активность".
- вызвать панику
- заставить быстро "проверить" данные
"Ваш счет будет заблокирован. Чтобы избежать блокировки, подтвердите личность".
Как защититься
- Не переходите по ссылкам в письмах "от банка".
- Проверяйте все через официальные сайты.
4 | ГЛАВНЫЕ ПРАВИЛА — как защитить себя
- Не публикуйте свою персональную информацию.
Используйте псевдонимы и вымышленные дни рождения, если они необходимы. Не публикуйте ваши реальные фотографии. - Не оставляйте ГЕО-метки.
Не добавляйте геолокацию к публикациям. Перед отправкой фото, видео или документов очищайте метаданные.
Например, с помощью сервиса . - Используйте маски электронной почты для регистрации в аккаунтах.
Для каждого аккаунта делайте свою маску, чтобы почта не повторялась и по ней нельзя было сопоставить ваши аккаунты. - Для каждого аккаунта используйте свой пароль.
Пароль должен быть сгенерирован и состоять минимум из 20 символов. Храните пароли в надежных Менеджерах паролей. НИКОГДА не храните пароли в браузерах - это открытая дверь для мошенников. - Используйте цифровые личности.
Для разных сайтов используйте разные имена [маркетплейсы, форумы, различные сервисы и т.д.]. Развивайте свою фантазию и разрывайте связи между аккаунтами. Используйте разные картинки для аватарок аккаунтов, чтобы вас невозможно было сопоставить. - Используйте защищенные браузеры.
Популярные браузеры сдают вас с потрохами всем рекламным агентствам, а следовательно и мошенникам.
