📚 Веб-угрозы в повседневной жизни

1Ролевая установка:
2"Сегодня вы становитесь детективами киберполиции! Ваша задача - изучить методы работы интернет-мошенников, чтобы защитить себя и своих близких. 
3
4Статистика для мотивации:
5
6
7Ваша миссия: стать щитом для своей семьи!"

 1Технические угрозы (что атакует компьютер):
 2
 3├─ Вредоносная реклама (malvertising)
 4│  - Зараженные баннеры на легальных сайтах
 5│  - Автоматическая загрузка вирусов
 6│  - Криптоджекинг через рекламу
 7│
 8├─ Кликджекинг (невидимые кнопки)
 9│  - Скрытые элементы поверх видимых
10│  - Обман при нажатии на ссылки
11│  - Несанкционированные действия
12│
13└─ Эксплойты браузера
14   - Использование уязвимостей в коде
15   - Заражение через веб-страницы
16   - Обход защитных механизмов
17
18Социальные угрозы (что атакует человека):
19
20├─ Фишинг (кража данных через обман)
21│  - Поддельные сайты банков и соцсетей
22│  - Ложные письма от "службы безопасности"
23│  - SMS с поддельными ссылками
24│
25├─ Социальная инженерия
26│  - Психологическое давление
27│  - Создание ложного доверия
28│  - Использование эмоций (страх, жадность)
29│
30└─ BEC-атаки (Business Email Compromise)
31   - Поддельные письма от руководства
32   - Ложные счета на оплату
33   - Перехват деловой переписки

 1Демонстрация психологических триггеров:
 2
 3Триггер СРОЧНОСТИ:
 4
 5├─ "Ваш аккаунт будет заблокирован через 24 часа!"
 6├─ "Акция действует только сегодня!"
 7├─ "Немедленно подтвердите операцию!"
 8└─ Цель: заставить действовать не думая
 9
10Триггер СТРАХА:
11
12├─ "Обнаружена подозрительная активность"
13├─ "Ваши данные могли быть скомпрометированы"
14├─ "Неавторизованный доступ к аккаунту"
15└─ Цель: вызвать панику и поспешные действия
16
17Триггер ЖАДНОСТИ:
18
19├─ "Вы выиграли 1 000 000 рублей!"
20├─ "Эксклюзивная скидка 90%!"
21├─ "Бесплатный iPhone за участие в опросе"
22└─ Цель: ослепить выгодой
23
24Триггер АВТОРИТЕТА:
25
26├─ "Сообщение от службы безопасности банка"
27├─ "Уведомление от Роскомнадзора"
28├─ "Письмо от администрации ВКонтакте"
29└─ Цель: использовать доверие к организациям
30
31Упражнение: найти триггеры в реальных примерах

 1Набор кейсов для анализа:
 2
 3Кейс 1: Поддельное письмо от Сбербанка
 4├─ Отправитель: "[email protected]" 
 5├─ Тема: "Заблокирована подозрительная операция"
 6├─ Содержание: просьба "подтвердить" данные
 7├─ Ссылка ведет на: "sberbank-online.tk"
 8└─ Задача: найти 5+ признаков подделки
 9
10Кейс 2: Фишинговый сайт ВКонтакте
11├─ Адрес: "vk-com.ru" (вместо vk.com)
12├─ Дизайн: точная копия настоящего сайта
13├─ SSL-сертификат: выдан на другое имя
14├─ Форма входа: перехватывает пароли
15└─ Задача: объяснить, как не попасться
16
17Кейс 3: Мошеннический интернет-магазин
18├─ Название: "MegaTech-Shop"
19├─ Товары: iPhone по цене 5000 рублей
20├─ Контакты: только форма обратной связи
21├─ Оплата: только предоплата на карту
22└─ Задача: составить список "красных флажков"
23
24Кейс 4: Поддельное уведомление о штрафе
25├─ SMS: "Штраф ГИБДД 5000р. Оплатить: gibdd-shtraf.ru"
26├─ Сайт: требует данные водительского удостоверения
27├─ Дизайн: похож на официальный портал
28├─ Домен: зарегистрирован 2 дня назад
29└─ Задача: объяснить бабушке, почему это обман

 1Проверка ОТПРАВИТЕЛЯ:
 2
 3☐ Адрес электронной почты соответствует организации
 4☐ Нет опечаток в домене (@sberbank.ru, не @sberbank.tk)
 5☐ Письмо пришло с официального адреса
 6☐ Есть цифровая подпись (для важных организаций)
 7
 8Анализ СОДЕРЖАНИЯ:
 9
10☐ Нет грамматических ошибок
11☐ Обращение по имени (не "Уважаемый клиент")
12☐ Конкретная информация (номер счета, последние операции)
13☐ Отсутствуют угрозы и давление
14
15Проверка ССЫЛОК:
16
17☐ Ссылка ведет на официальный домен
18☐ Используется HTTPS
19☐ Нет подозрительных сокращений (bit.ly, tinyurl)
20☐ Можно навести курсор и посмотреть реальный адрес
21
22Оценка ЛОГИКИ:
23
24☐ Запрос логичен и оправдан
25☐ Есть альтернативные способы связи
26☐ Можно проверить информацию независимо
27☐ Нет требований срочных действий

 1Техника 1: Поддельные домены
 2Настоящий сайт: google.com
 3Поддельные варианты:
 4
 5├─ g00gle.com (ноли вместо букв O)
 6├─ google.com.evil-site.ru (поддомен)
 7├─ googIe.com (заглавная i вместо строчной l)
 8├─ google.co.uk.phishing.com (длинная цепочка)
 9└─ xn--ggle-qpd.com (punycode для googłe.com)
10
11Техника 2: Скрытые перенаправления
12Пользователь видит: "Нажмите для продолжения"
13Реально происходит:
14
15├─ JavaScript перенаправляет на другой сайт
16├─ Используются невидимые iframe
17├─ Цепочка из нескольких перенаправлений
18└─ В итоге - вредоносный сайт
19
20Техника 3: Кража через формы
21Поддельная форма входа:
22
23├─ Выглядит как настоящая
24├─ Отправляет данные мошенникам
25├─ Может перенаправить на настоящий сайт
26└─ Пользователь не подозревает о краже

 1Эксперимент с Google Safe Browsing:
 2
 31. Откройте тестовый сайт: https://testsafebrowsing.appspot.com
 42. Нажмите на ссылку "malware"
 53. Изучите предупреждение браузера
 64. Попробуйте "Дополнительные настройки"
 75. Обсудите: почему опасно игнорировать предупреждения?
 8
 9Настройки защиты в Chrome:
10
11chrome://settings/security
12├─ Безопасный просмотр: Стандартная защита
13├─ Блокировка опасных загрузок: Включена
14├─ Предупреждения о вредоносных сайтах: Включены
15└─ Защита от обманных сайтов: Включена
16
17Расширения для дополнительной защиты:
18
19├─ uBlock Origin (блокировка рекламы и трекеров)
20├─ Web of Trust (рейтинги сайтов от пользователей)
21├─ Norton Safe Web (проверка ссылок в поиске)
22└─ Malwarebytes Browser Guard (антивирусная защита)

 1Задание: создать памятку для разных членов семьи
 2
 3Группа 1: Памятка для родителей
 4"Как не стать жертвой банковского фишинга"
 5├─ Простые правила проверки писем от банка
 6├─ Что никогда не спросит настоящий банк
 7├─ Куда звонить при подозрениях
 8└─ Алгоритм действий при получении подозрительного SMS
 9
10Группа 2: Инструкция для бабушек и дедушек  
11"Безопасность в интернете простыми словами"
12├─ Как проверить, что сайт настоящий
13├─ Почему нельзя сообщать пароли по телефону
14├─ Признаки мошеннических звонков
15└─ К кому обратиться за помощью
16
17Группа 3: Плакат для младших школьников
18"Интернет-детективы: как не попасться мошенникам"
19├─ Яркие картинки с примерами опасностей
20├─ Простые правила в стихах или загадках
21├─ Игровые элементы для запоминания
22└─ QR-код с контактами для помощи
23
24Группа 4: Чек-лист для подростков
25"Защита в социальных сетях и мессенджерах"
26├─ Как распознать поддельные аккаунты
27├─ Безопасность при знакомствах онлайн
28├─ Что делать с подозрительными ссылками
29└─ Правила защиты личной информации
30
31Критерии оценки материалов:
32
33☐ Понятность для целевой аудитории
34☐ Практичность советов  
35☐ Визуальная привлекательность
36☐ Полнота охвата основных угроз
37☐ Наличие конкретных примеров

 1Задание 1: Тестирование семьи на устойчивость к фишингу (30 минут)
 2Этический фишинг-тест:
 3
 4- Создать безопасную "ловушку" для родителей
 5- Отправить им ссылку на тестовый фишинговый сайт
 6- Проанализировать их реакцию
 7- Объяснить, на что обратить внимание
 8- Провести обучение по результатам теста
 9
10Примеры безопасных тестов:
11
12├─ OpenDNS Phishing Quiz (https://phishing-quiz.webex.com)
13├─ SonicWall Phishing IQ Test  
14├─ Тест от Лаборатории Касперского
15└─ Собственный созданный тест
16
17Задание 2: Исследование семейных угроз (20 минут)
18Аудит потенциальных рисков:
19
20- Проверить электронную почту родителей на спам
21- Изучить SMS-сообщения на предмет мошенничества
22- Проанализировать историю браузера на подозрительные сайты
23- Оценить настройки приватности в социальных сетях
24- Создать персональный профиль рисков для каждого члена семьи
25
26Задание 3: Создание системы защиты (25 минут)
27Практические меры:
28
29- Настроить спам-фильтры в почтовых клиентах
30- Добавить расширения безопасности в браузеры
31- Создать семейный "черный список" опасных сайтов
32- Организовать систему сообщений о подозрительных контактах
33- Провести тренировку реагирования на фишинг
34
35Отчет о выполнении:
36
37├─ Результаты фишинг-теста членов семьи
38├─ Найденные уязвимости и способы их устранения
39├─ Фотодоказательства настройки защиты
40├─ Отзывы семьи об обучении
41└─ План регулярных проверок безопасности

 1Исследовательский проект:
 2
 3"Анализ актуальных киберугроз в нашем регионе"
 4
 5Задачи:
 6
 7- Найти статистику киберпреступлений в вашем городе/регионе
 8- Собрать примеры реальных случаев мошенничества
 9- Проанализировать методы, используемые местными мошенниками
10- Создать карту рисков для жителей региона
11- Подготовить презентацию для родительского собрания
12
13Источники информации:
14
15├─ Сайты МВД и прокуратуры региона
16├─ Местные новостные сводки
17├─ Группы в соцсетях о безопасности
18├─ Форумы пострадавших от мошенников
19└─ Статистика банков региона

 1Отлично (5):
 2
 3- Безошибочно распознает все виды фишинга
 4- Самостоятельно анализирует новые типы угроз
 5- Создает качественные обучающие материалы
 6- Демонстрирует понимание психологии мошенничества
 7
 8Хорошо (4):
 9
10- Распознает основные виды фишинговых атак
11- Правильно применяет чек-листы для проверки
12- Создает понятные инструкции для семьи
13- Понимает большинство приемов социальной инженерии
14
15Удовлетворительно (3):
16
17- Распознает очевидные признаки мошенничества
18- Использует готовые инструменты проверки
19- Участвует в создании коллективных материалов
20- Понимает базовые принципы защиты

1Оценивается через:
2
3- Качество анализа фишинговых примеров
4- Способность объяснить психологические приемы
5- Умение адаптировать материалы под разные аудитории
6- Критическое мышление при оценке угроз

1Проверяется через:
2
3- Ясность объяснений сложных концепций
4- Терпение при работе с "неопытными" пользователями
5- Способность мотивировать к безопасному поведению
6- Эмпатия при общении с жертвами мошенничества

1🕵️ "Детектив фишинга" - найден весь фишинг в тестовых примерах
2🛡️ "Щит семьи" - создана качественная памятка для родственников  
3🧠 "Психолог мошенника" - правильно определены все психологические триггеры
4👥 "Наставник безопасности" - помощь одноклассникам в анализе угроз
5⚡ "Быстрое реагирование" - мгновенное распознавание подозрительного контента

1"Битва детективов":
2
3- Команды соревнуются в скорости и точности анализа угроз
4- Дополнительные баллы за креативность решений
5- Бонусы за помощь более слабым участникам
6- Финальный раунд: объяснение угроз "бабушке" (ролевая игра)