Віктор Нобіуз

Керівник відділу бізнес-аналітики OLX Україна

Українці все більше часу проводять онлайн. Понад 11 мільйонів громадян здійснюють покупки через інтернет, з них кожний четвертий користувач зробив понад 20 замовлень за минулий рік.

Через небувалу популярність онлайн-шопінгу активізувалися й шахраї, які стали масово створювати фальшиві сайти та ошукувати людей на гроші, використовуючи соціальну інженерію. Згідно з даними Асоціації ЕМА, за рік злочинцям вдалося вивести з рахунків жертв понад 252 мільйони гривень, використовуючи соцінженерію. Практично у всіх випадках ошукані віддали приватні платіжні дані самостійно.

Нова реальність — кіберзагроз все більшає

Графік інтенсивності фішингових атак у світі з 3-го кварталу 2019 по 3 квартал 2020 згідно з дослідженням APWG | Phishing Activity Trends Reports / Інфографіка: APWG

Головним уроком 2020 року стала адаптація до нових реалій масової міграції в онлайн. Багатьом компаніям довелося реалізувати багаторічні плани цифрової трансформації за лічені тижні та екстрено посилювати власну IT-безпеку. Водночас все більше українців стали купувати товари за допомогою мобільних телефонів, робочих ноутбуків та домашніх комп’ютерів. Так згідно з дослідженням СBR, приблизно 69% опитаних українців здійснюють онлайн-покупки зі смартфонів, а 45% — з ноутбука.

Одночасно зі зростанням популярності онлайн-торгівлі та життя у кіберпросторі активізувалися й шахраї, які масово створювали фальшиві сайти та ошукували людей на гроші. Вони швидко відстежували тенденції попиту населення й розширювали свою діяльність від електроніки до товарів власної гігієни, домашнього побуту та спортивного інвентарю. Згідно з останніми даними CBR, минулого року 35% опитаних українців стикалися зі зловмисниками під час покупок в інтернеті. Під удар, в першу чергу, потрапили люди, які купували онлайн або користувалися сервісами вперше.

Кількість шахрайських атак проти користувачів OLX почала збільшуватися навесні, під час локдауну й досягла піку у грудні 2020 року (приблизно 4200 атак проти продавців, 1500 — проти покупців), коли українці масово купували-продавали товари онлайн напередодні Нового року.

З цим видом шахрайства стикається величезна кількість міжнародних компаній. У 2020 році сервіс Безпечний перегляд Google виявив понад 2,11 млн сайтів-підробок. Це рекордний показник за останні десять років і на 25% більше, ніж у 2019-му. Водночас компанією, що найбільше постраждала від кібератак у 2020 році, стала Microsoft — 43% від усіх спроб фішингу.

І хоча онлайн-шопінг знаходиться на 5 місці серед цілей кіберзлочинців (після програмного забезпечення, фінансових інституцій, банківських операцій та соцмереж), згідно з міжнародними прогнозами, атак на звичайних користувачів ставатиме все більше.

Дайджест головних новин

Безкоштовна email-розсилка лише відбірних матеріалів від редакторів NV

Підпишись

Розсилка відправляється з понеділка по п'ятницю

Шахраї йдуть до користувачів, а не платформ

Зараз переважній більшості кіберзлочинців «не вигідно» зламувати сайти із високим рівнем захисту, коли є значно легші методи вкрасти дані та гроші.

Поясню на нашому прикладі. З технічного боку наша платформа захищена: ми не збираємо та не зберігаємо платіжні дані користувачів — за це в рамках послуги OLX Доставка відповідає наш фінансовий партнер — компанія UAPAY. У внутрішніх базах даних компанії всі персональні дані користувачів зберігаються у зашифрованому вигляді, а співробітники не мають до них доступу.

Перш ніж оголошення потрапляють на платформу, вони проходять автоматичну модерацію. Їх перевіряють на відповідність правилам платформи — приблизно за сотнею різноманітних параметрів. За статистикою компанії, через модерацію проходять понад 130 тисяч нових оголошень на день. У результаті 88% з них потрапляють на сайт. Решта проходять більш глибинну перевірку моделями штучного інтелекту та ручну модерацію. Наприклад, завдяки ручній перевірці в середньому блокуються понад 3 тисячі оголошень на день.

Ще одна складова захисту — щоденний аналіз поведінки приблизно 15 тисяч підозрілих акаунтів (зареєстрованих користувачів) на предмет фішингу, щоб потім виявити потенційних шахраїв. Якщо ШІ з високою ймовірністю визначає чиїсь дії як підозрілі, їхні акаунти автоматично блокуються.

За нашою статистикою, частка кіберобманів з використанням фішингу складає 0,4% від усіх транзакцій.

Однак проста неуважність та незнання базових правил кібербезпеки може звести нанівець усі заходи із захисту користувачів платформи.

Наше опитування, проведене торік серед 9 тисяч респондентів, показало, що українці недостатньо обізнані навіть щодо найпоширеніших схем, які застосовують шахраї проти них. Так 15% опитаних вважають, що фішинг — це риболовля, а 60% користувачів від 37 до 51 року не знають, як уберегти особисті дані.

Як соцінженерія «допомагає» шахраям отримувати платіжні дані українців

Алгоритм дій шахрая проти продавця із використанням фішингу та методів соціальної інженерії / Інфографіка: інфографіка автора

Соціальна інженерія — це мистецтво використання людської психології, щоб отримати доступ до особистих платіжних даних жертви.

Наприклад, замість того, щоб витрачати час на пошук вразливостей самої платформи, шахрай може зателефонувати користувачу та видати себе за службу безпеки банку, намагаючись обдурити жертву, щоб той повідомив свої платіжні дані.

Вигадливість злодіїв не знає меж: вони створюють сайти-підробки, шахрайські «техпідтримки», надсилають фейкові скріншоти правил і послуг сервісу / оплати / навіть сторінку паспорту, запевняють, що вони не шахраї та не обдурять, а якщо ви не надішлете товар чи не оплатите за посиланням, то точно інформація про вас одразу буде передана службі підтримки сервісу.

Якщо говорити про шахрайство в онлайні під час купівлі-продажу товарів, злочинці завжди намагаються перевести бесіду у сторонній месенджер (Viber, Telegram, WhatsApp), увійти в довіру, а потім — переконати перейти за стороннім посиланням (на сайт-підробку), де жертва самостійно вводить свої платіжні дані. Загалом кількість людей, які потрапили на фішинг під час купівлі чи продажу у 2020 році, за даними платформи складає приблизно 20 тисяч осіб. З них 12 369 — 62% — не втратили гроші завдяки уважності, знанням правил та вчасному зверненню до нашої служби підтримки. Кількість тих користувачів, хто через неуважність та низький рівень кіберграмотності, на жаль, віддав особисті дані шахраям та втратив гроші — приблизно 7 700 осіб.

Графік інтенсивності фішингових атак проти продавців та покупців протягом 2020 року за даними аналітики OLX / Інфографіка: інфографіка автора

Спільним для всіх атак є те, що вони використовують людську природу на свою користь, полюючи на нашу неуважність, поспіх, цікавість до унікальної пропозиції й навіть наше бажання допомагати іншим.

Водночас діяльність шахраїв в онлайні підриває довіру українців до безпечних покупок і продажів, незалежно від того проходить угода на онлайн-майданчику або ж у соцмережах. Кожен п’ятий опитаний українець не купує товари в інтернеті якраз через острах шахрайства.

Складові кібербезпеки

Безпека в онлайні створюється лише за умови спільних зусиль держави, яка законодавчо та за допомогою правоохоронних органів бореться з кіберзагрозами, бізнесу, який працює над захистом свого продукту, та користувачів, які мають знати базові правила безпеки в інтернеті.

За міжнародними прогнозами, частка фінансових угод, зроблених в інтернеті, тільки зростатиме. Кожна четверта покупка у світі відбуватиметься онлайн. Тому для посилення власної кібербезпеки користувачі мають постійно дотримуватися базових правил:

• ознайомитися з правилами роботи сервісу та послуг, де запланована купівля/продаж товару

• бути уважним до оголошень, онлайн-незнайомців і сторонніх посилань від них

• обговорювати деталі угоди тільки в офіційному чаті онлайн-майданчика

• звертати увагу на адресу сайту

• не розголошувати платіжні та персональні дані онлайн-незнайомцям

• повідомляти про спроби шахрайства у Кіберполіцію.