«Мошенники взла­мывают мозг проще, чем серверы»: как защититься от фишинга в играх

Злоумышленники легко выводят детей и взрослых на эмоции. Алчность, страх и желание помочь подавляют логику.

Так объясняет Виталия Демехина, руководитель продукта StartX для защиты от кибератак, почему игроки попадаются на фишинг. Из интервью вы узнаете, как распознать обман и защитить данные. Как еще обманывают геймеров, обсудили в эпизоде четвертого сезона подкаста «Схема».

— Как мошенники используют видеоигры, чтобы устроить фишинговую  ​атаку?

— Злоумышленники эксплуатируют уязвимости в нашей голове. У них получается взломать мозг человека и вывести его на эмоции. Это проще, чем взломать защищенный контур компании. Наша психика, к сожалению, так работает: мы ведемся на мошеннические схемы, когда хотим, например, бесплатно что-то получить.

Также уязвимости в каких-то технических процессах всегда могут дать толчок развитию большого количества мошеннических схем и атак. То есть игровые компании, конечно, работают над процессами, но людям, чтобы играть в игру, не обязательно знать, как все устроено с технической точки зрения. Получается, в играх участвует много людей, они почти всегда онлайн — до них легко дотянуться. Поэтому это очень популярное направление для мошенничества.

— Согласно исследованиям, чем больше времени человек проводит в интернете, тем выше вероятность для него попасть на мошенника  . Получается, геймеры особо уязвимы? Совпадает ли это с вашими данными?

— Исследования зависимости риска попасть на мошенника от количества времени в онлайне мы не проводили, но звучит вполне логично. Чем больше человек сидит в интернете, тем больше времени есть на то, чтобы мошенник до него дотянулся. Я вижу корреляцию в этом, но не знаю, насколько это правда. Повестись на схемы может любой — все зависит от насмотренности на таких кейсах. То есть если человек достаточно часто встречал мошеннические схемы, больше вероятность, что он и в жизни эту схему распознает.

Чтобы не вестись на схему, нужно понимать, как устроена техническая сторона: насколько вообще реально то, что мне сейчас предлагают. Мне кажется, это могут не знать как подростки, так и взрослые люди.

— Как часто влиятельные стримеры, блогеры, разработчики игр оказываются напрямую вовлечены в скам  ?

— Если говорить про игровую индустрию, это чаще всего всякие стримеры-однодневки, которые вот прямо сейчас набирают популярность, выстреливают, а потом через пять дней пропадают. Больше про них ничего не слышно.

Но это «одноразовые» стримеры. Чтобы какой-то популярный стример, который зарабатывает деньги не на обмане, начал вдруг обманывать — такого я не встречала. Но такое чаще встречается, мне кажется, в социальных сетях у блогеров. Например, когда аккаунт блогера якобы взламывают, продают от его имени услуги или товары, а на самом деле он сдал аккаунт в аренду мошенникам. Через несколько дней он заявляет: «Меня взломали, я не виноват».

Если есть ущерб для тех, кто на это повелся, это, конечно же, мошенничество. Даже если напрямую никакие креды  ​у людей не крадут. Например, мошенники-стримеры могут устроить фальшивый розыгрыш или продавать недействующие предметы для игры, чтобы выманить деньги.

— Насколько распространена среди стримеров и блогеров косвенная вовлеченность в скам? Например, в форме сайтов с бесплатными скинами  , гемблиновых площадок.

— Встречала такое у блогеров. Игровых стримеров тоже можно использовать. Зачастую они сами не знают, что с их помощью проворачивают схемы. Например, встречались случаи, когда стримеры рекомендовали какой-то сервис по партнерству, но не знали, что он мошеннический.

На самом деле в игровой индустрии схемы примерно такие же, как и вне ее. Они все строятся на том, чтобы получить что-то бесплатное: бонусы, скины, игровую валюту или предметы. Могут быть фейковые розыгрыши, когда пишут: «Вы выиграли, вот вам ссылка». По фишинговой ссылке нужно ввести данные Steam. Фальшивая техподдержка тоже пользуется большой популярностью. И, конечно же, если взломали одного человека, с его аккаунта пишут друзьям: «Привет, как дела? Пойдем вместе поиграем». А потом просят занять деньги.

— Как часто мошенники притворяются известными блогерами или администраторами видеоигр, чтобы совершить атаку?

— С такими случаями я не сталкивалась, но знаю, что мошенники ищут себе помощников везде, где только могут до них дотянуться. Если вдруг кто-то ищет себе дропперов  ​и думает, что в игре их найти проще, его ничто не остановит.

Каналы в «Телеграме» тоже пользуются большим спросом. Еще часто вербуют через знакомых, например: «Мой старший брат что-то делал у того-то и много заработал, я бы тоже хотел».

— Как тогда выглядит профессиональный скамер сегодня?

— Он выглядит как обычный человек. Это может быть ваш знакомый. Если вы узнаете, что знакомый человек чем-то таким занимается, это будет для вас большим открытием.

Есть очень много «белых» хакеров, которые вроде бы хакеры, но занимаются, например тестом на проникновение. Это окей. А те, кто занимается незаконными делами, — великолепные эксперты, могут очень многое рассказать про устройство теневого бизнеса.

— Сталкивались ли вы с атаками, которые направлены на кражу аккаунтов в Steam  ​или онлайн-играх?

— Два моих родственника стали жертвами таких атак и даже боялись признаваться, потому что им было стыдно. В итоге они рассказали, и мы очень долго обсуждали, как же так сработало, что они поверили.

Первая история про то, что нужно было обменяться скинами и получить дополнительный бесплатный скин. А вторая — когда в чате познакомились, подружились и попросили занять денег. Человек хотел помочь и одолжил денег, а дальше игровой «лучший друг» пропал.

— Насколько распространено мошенничество в онлайн-играх и околоигровых сообществах? Какие существуют схемы?

— Популярных схем несколько. К примеру, мошенники предлагают ребенку купить игровую валюту, аккаунт, редкий скин по сниженной цене, но вне официальной платформы. Для оплаты просят отправить данные карт, в том числе могут попросить карту родителей или отправить поддельный сайт формы с вводом данных. Еще злоумышленники создают фишинговые сайты, похожие на настоящие магазины, на которых также продают игровую валюту, аккаунты, редкие скины по сниженной цене.

Бывает, что знакомятся с детьми в чатах, начинают общаться и дружить, потом просят небольшую сумму взаймы и пропадают. Или мошенник несколько дней играет и общается с игроком, а потом предлагает перейти в переписку в мессенджер. А дальше атака развивается как челлендж: все начинается с простых заданий, например сделать скриншот из игры. Потом задания могут включать запрещенные действия — скажем, прислать интимное фото.

Чаще всего такая схема выходит в шантаж, главная цель которого — получить данные карт родителей или сделать так, чтобы ребенок перевел деньги с родительского телефона. Это может быть часть задания, а может быть шантаж.

— Можно ли сказать, что скам стал частью геймерской культуры и к нему уже привыкли? С чем это связано?

— Вопрос затрагивает довольно много этических норм. Мне это напомнило съемки фильма. Когда снимают, допустим, масштабную сцену боя. Есть те, кто на хорошей стороне, есть те, кто на плохой. Зачастую вторые — в неприметных одеждах с закрытыми лицами. То есть ты не отличишь одного от другого.

Это делают в киноиндустрии специально: когда убивают кого-то на плохой стороне, зрителю не должно быть их жалко. Ты не видишь их лица, для тебя это какая-то серая масса.

Аналогично в онлайне: я не вижу лица того, кого я развожу. И свое не показываю. Тогда кажется, будто бы ничего страшного не происходит. Возможно, многие так и воспринимают.

При этом не у всех людей одинаковое мнение. Есть те, кто принял, что скам в играх есть, и все. А есть те, кто относится неравнодушно. При этом подавляющее большинство людей считает, что они на такие схемы не поведутся.

Когда мы представляем себе ситуацию или читаем про схему обмана, мы уже изначально знаем, что это обман, а значит, когда ассоциируем себя с жертвой, нам кажется, что мы бы такую схему распознали довольно быстро. Но когда человек находится на месте жертвы и не ознакомлен с такими кейсами или еще не выработал триггеры по распознаванию мошенничества, очень легко попасть во фрейм и выполнить все инструкции злоумышленника.

— Игровые компании собирают много данных игроков. Насколько это опасно в случае утечки?

— Они это делают для развития бизнеса. Например, чтобы людям предлагать более таргетированные решения. Я как компания, допустим, хочу увеличить продажи. Мне нужно предложить человеку подходящее решение. А уже для этого мне нужны его данные. То есть я ничего плохого не хочу сделать, но собираю информацию.

Людям нужно перепроверять разрешения, которые они дают. Хотя при этом они сами охотно публикуют нюансы своей личной и рабочей жизни в социальных сетях. Причем эти аккаунты зачастую открытые.

Я бы не сказала, что проблема найти про человека какие-то данные. Можно посмотреть его аккаунт в «Телеграме» или во «Вконтакте», сложить какое-то мнение о нем. И даже продумать таргетированную атаку. Как это зависит от вида устройств, мы не сравнивали. Но я знаю, что гаджеты на Андроиде более такому подвержены из-за того, что на них можно устанавливать аппы не из магазина приложений, где проверяют их безопасность.

Само приложение может даже не делать ничего плохого, но, допустим, там есть платная реклама, которая выскакивает, и ты неосознанно ее подключаешь. Такие случаи были даже в моей семье, когда как раз на такой рекламе нажимали кнопочку Ok, думая, что новость исчезнет, а на самом деле это было подключение рекламы за какие-то условные деньги в день.

В итоге мошенники сами собирают персональные данные, посмотрев описание профилей и странички в соцсетях. А получить доступ к данным, которые собирают крупные компании, они могут в основном при утечке.

Надо понимать, что человек не виноват в этом. То есть о нем собирали какие-то данные, потом в компании случилась утечка — пользователь тут ни при чем. Это с одной стороны. А с другой стороны, надо быть готовым к тому, что мошенники используют информацию, чтобы узнать, на какие триггеры надавить. Допустим, утекли данные о том, какую еду я себе заказывала, в какое время, из какого ресторана. Явно на меня могут сделать атаку от имени этого ресторана, и я к этому должна быть готова. Если мне напишет вдруг этот ресторан, я пять раз перепроверю. Риски есть всегда, об этом просто нужно помнить.

— Как устроена индустрия хакинга юзердаты  ? Зачем ее воруют?

— Воруют базы данных по нескольким причинам:

1. Таргетированные атаки на людей, которые оказались в базе. Вытаскивают номера телефонов и передают их в кол-центры, например. Или используют данные, которые человек передает сайтам, и делают таргетированное предложение.
2. Таргетированные атаки на компании. Был случай, когда взломали много российских компаний и в утекших данных оказались корпоративные логины и пароли. Злоумышленники смогли получить доступ к компаниям. Либо пароли были настолько простые, что их просто подобрали.
3. Обман других мошенников. Скажем, выставляют на продажу сим-карты. Кто-то хочет купить, переводит предоплату — и продавец исчезает.

Теневая продажа данных устроена, как в продуктовом магазине. Приходишь и набираешь все, что тебе надо. Можно даже купить логин и пароль сотрудника какой-нибудь компании за пару долларов.

Данные стоят совсем недорого. Насколько они свежие — уже другой вопрос. Но в целом ты просто заходишь в магазин и можешь купить креды, схему под ключ и даже услуги кол-центра.

Обычный человек не в курсе, как найти такие магазины. Чаще это знают люди, которые так или иначе связаны с информационной безопасностью. Но даже если человек не знает, как найти в интернете определенные сайты, ему помогут в группах и каналах: вводишь запрос, видишь какую-то группу, вступаешь в нее, а дальше тебе все расскажут.

— Что нужно знать геймерам, чтобы избежать фишинга?

— Все мошеннические схемы направлены на то, чтобы человеку пришли осознание, где он находится прямо сейчас, и желание, куда он хочет прийти. Это называется фреймом — сценарием, в рамках которого я действую. Например, вот я голодная, нахожусь дома, открываю холодильник, достаю еду, ем — я не голодная.

То же происходит и в схемах. Просто мошенники представляют этот фрейм так, будто он настоящий, а он фейковый. Условно, у меня нет скина — я хочу скин. Друг попросил занять денег — я хочу ему помочь. Мне написала техподдержка — надо сделать, что она говорит. И это все фреймы, которые влияют на психику, то есть у нас возникают сильные эмоции при этом.

Чтобы разорвать этот фрейм, надо:

• знать, какие схемы бывают;
• потренироваться распознавать такие схемы — задавать себе вопрос, когда возникают эмоции, «А может ли что-то пойти не так?».

Чаще всего ответ — «да, может». Если что-то может пойти не так, например меня обманут, надо все очень хорошо перепроверить, включить критическое мышление, переключиться на какие-то логические вещи. Посчитать количество белых предметов на столе прямо сейчас, описать эти предметы. Потом перечитать сообщение, которое тебе написали, еще раз. И еще раз задать вопрос: «А может ли что-то пойти не так?».

Перепроверять всю информацию можно через нейросети, которые выдают результаты получше Гугла и Яндекса. Спросить у них, чтобы быстро получить ответ.

Мошенники очень хорошие маркетологи. Все, что применяют маркетинг и пиар для увеличения продаж в компании, используют и мошенники. Это различные прогресс-бары, отчеты, отсчет времени назад «до конца акции осталось Х часов, Х минут». Это могут быть геймификации уровня «крути барабан и что-то выиграешь». Два раза ты не выигрываешь, но вот на третий раз ты выиграл какую-то огромную скидку, а теперь просто оплати комиссию или введи данные своего аккаунта.

— Что посоветуете родителям, которые хотят обезопасить детей от фишинга?

— Я бы посоветовала вырабатывать насмотренность, потому что она дает нам определенное мышление. Мы неосознанно будем запоминать триггеры, с помощью которых потом распознаем атаки.

Чтобы развить насмотренность, родителям стоит знать как можно больше схем мошенничеств. Чем больше схем они знают, тем проще мозгу выявить триггеры, по которым можно определить обман. Лучше всего рисовать схемы разбора и слушать или читать настоящие сообщения.

Развить насмотренность детей намного сложнее, ведь зачастую дети воспринимают попытки родителей их предостеречь как нотацию. Чтобы это восприятие перевернуть, ребенка нужно заинтересовать. Тут могут сработать несколько факторов:

1. Социальная ответственность и защита других. Например, можно выбрать тему «кибербезопасность» для какого-то реферата в школе.
2. Игровая механика. Скажем, разбирать раз в неделю схему мошенничества — заранее нарезать карточки с действиями и попросить расставить их в нужном порядке.
3. Проверка на практике. Например, позвонить или написать с незнакомого номера, как делают мошенники, и проверить, поверит ли им ребенок. Но с такой практикой нужно быть очень осторожными, некоторые дети могут болезненно воспринять такую проверку от близких.

Поэтому совет для родственников и знакомых я могу дать такой: не представлять это как «ты глупый, тебя тоже разведут, если ты это не прочтешь». Скорее показывать через реальные кейсы — смотри, человек кликнул на ссылку, ввел данные и вот сколько денег потерял.