На самом деле письмо Николаю прислал не магазин, а кибермошенники. Они обманом выманили у Николая конфиденциальные данные, и он даже не заметил, как попался на их удочку. Этот вид мошенничества так и называется — фишинг. То есть рыбалка, ловля на крючок.

Обычно преступники сначала цепляют человека за живое: запугивают потерей денег или завлекают супервыгодой, пробуждают любопытство или сочувствие. Затем выманивают личные данные, реквизиты счета или карты. И в итоге списывают деньги с банковского счета.

Рассмотрим, какие ошибки допустил Николай и как он мог защититься от потери денег.

Николай считал пустой тратой денег покупку антивируса. Он решил, что гораздо проще и дешевле самому чистить почтовый ящик от спама.

На все свои гаджеты — компьютер, ноутбук, планшет и смартфон — нужно установить антивирус. Хороший антивирусный пакет включает защиту от спама и фишинговых писем. Он сам распознает подозрительных адресатов.

Кроме того, антивирус защитит от программ, которые воруют данные карт, получают доступ к онлайн- и мобильным банкам, перехватывают СМС и push-сообщения с секретными кодами. Это еще опаснее, чем фишинг, — ваш счет могут обнулить, а вы об этом даже не сразу узнаете.

Важно регулярно обновлять защиту. Кибермошенники изобретают новые вирусы и способы фишинга буквально каждый день.

Мошенники регистрируют адрес почты, похожий на адрес реального интернет-магазина, банка или другой легальной организации. Например, вместо настоящего адреса магазина «Супершоп» mail@supershop.ru используют mail@supersshope.ru.

Иногда обманщики даже не заморачиваются с похожим адресом, ведь зачастую он скрыт от глаз пользователя. Просто указывают название магазина как имя отправителя — именно его и видит получатель. Подмену обнаружить легко, но не все обращают внимание на такие детали.

Мошенники заманивают людей на фишинговые сайты не только через электронную почту, но и через мессенджеры и социальные сети. Вам может прийти сообщение от знакомого, который предлагает перейти по ссылке. Но есть риск, что его аккаунт взломали.

Иногда преступники даже не стараются мимикрировать под кого-то другого, а запускают свой собственный бизнес-проект. И создают видимость, что проводят викторины с гарантированным выигрышем, анкетирование за вознаграждение или рассылают видео для взрослых.

В текст письма или сообщения они добавляют ссылку, которая вместо обещанных викторин и видео ведет на фишинговый сайт. Его создают специально для этой аферы, чтобы собирать личные и платежные данные пользователей. В некоторых случаях при переходе по ссылке загружается вирус и ворует информацию с устройства.

Обманщики подбирают тему письма, на которую получатель должен среагировать. Что-то пугающее: «Ваш аккаунт будет заблокирован», «Срочное сообщение от Службы безопасности». Или завлекающее: «Вам начислено 3000 бонусов», «Возврат платежа на 12 000 рублей». Или интригующее: «Привет! Шлю тебе фотки с последней вечеринки». Мошенники умеют играть на эмоциях.

Всегда тщательно проверяйте адрес, с которого пришло письмо. Если он хотя бы одним символом отличается от привычного адреса магазина, банка, авиакомпании или другой реальной организации, такое письмо не стоит даже открывать. Адрес вообще не знаком и вы не ждете сообщений от новых адресатов — можете смело его удалять.

Когда откроете письмо, обратите внимание на то, как оно написано и оформлено. Орфографические ошибки и ужасный дизайн — явный признак подделки. Но в последнее время мошенники научились очень точно повторять фирменный стиль известных компаний. Так что стоит сохранять бдительность, даже если все выглядит идеально.

Если непонятную ссылку прислал друг или знакомый, лучше перезвонить и убедиться, что сообщение точно от него.

Адрес. Лучше всего сохранять адреса банков, госорганов, любимых интернет-магазинов и других онлайн-сервисов в закладках. Можно вбивать адрес вручную, но нужно быть внимательным — иногда ошибка даже в одном символе приведет вас на фишинговый сайт-двойник.

Всегда проверяйте адресную строку браузера. Иногда можно попасть на фишинговый сайт даже при переходе с одной страницы известного вам портала на другую.

Безопасность соединения. Если вы хотите ввести персональную информацию или данные карты, сделать покупку через сайт — убедитесь, что перед его адресом стоят https и значок закрытого замка. Буква s и закрытый замок означают, что соединение защищено: когда вы вводите на сайте данные, они автоматически шифруются и перехватить их нельзя.

Защищенное соединение — требование обязательное, но не достаточное. Хакеры не могут подключиться к такому сайту и узнать ваши данные. Но это не гарантия того, что сам сайт создан законопослушной компанией. В последнее время и преступники умудряются получать сертификаты безопасности для своих сайтов.

Дизайн. Даже если вы проморгали лишнюю букву в адресе, а преступники организовали защищенное соединение, плохой дизайн сайта должен броситься в глаза.

Обманщики создают онлайн-ресурсы с простой целью — собрать конфиденциальные данные. Поэтому в большинстве случаев они не мудрят со структурой и дизайном сайта. Небрежная верстка, орфографические ошибки, неработающие разделы и ссылки — явные признаки фальшивки.

Но если у мошенников большие амбиции, они могут вложиться в создание сайта, который максимально точно повторяет интернет-ресурс известной организации. Или создать красивый и качественный сайт своего собственного «проекта». Так что только на дизайн тоже ориентироваться нельзя.

Фальшивый «интернет-магазин» предложил Николаю провести «пробный платеж» и для этого ввести код с обратной стороны карты и код из СМС-сообщения прямо на своем сайте. Николай не обратил внимания, что для проведения оплаты его не перекинули на страницу платежной системы.

После ввода реквизитов карты сайт магазина должен перекинуть вас на шлюз карточной платежной системы. Это отдельная безопасная страница, интернет-магазин не может получить доступ к информации, которую вы там введете.

На странице всегда есть логотип платежной системы, например Mir Accept. Причем он должен быть активной ссылкой и вести на сайт платежной системы. На страницах мошенников эти логотипы — просто картинки.

Платежные шлюзы соединяют владельца карты с его банком при проведении оплаты. Банк присылает клиенту сообщение с одноразовым кодом для подтверждения операции. И только после того, как покупатель его вводит, проходит платеж.

Никому не сообщайте секретные коды от банка — проверьте, совпадают ли данные из банковского уведомления с деталями операции. Если все в порядке, вбейте код в специальное поле на странице оплаты. Если нет — позвоните в банк.

Николай платил в интернет-магазинах своей зарплатной картой. Теперь ему придется заказать новую. А пока банк будет ее перевыпускать, доступ к остатку денег на счете он сможет получить только в отделении банка.

Для онлайн-покупок и оплаты услуг через интернет лучше завести отдельную карту. Стоит переводить на нее деньги прямо перед платежом и класть ровно ту сумму, которую собираетесь перечислить.

Некоторые банки и системы электронных платежей (электронные кошельки) предлагают заводить виртуальные карты — у них есть реквизиты, но в виде пластика они не существуют. Иногда можно даже создавать виртуальные карты, которые действительны лишь для одной онлайн-покупки.