Интернет фишинг: как не попасть на крючок?

Фишинг — самый опасный способ получения от пользователя конфиденциальной информации. Разбираем вместе его виды и способы предотвращения атак со стороны интернет-мошенников.

Знакомьтесь — фишинг!

Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — вид Интернет мошенничества, основанный на социальной инженерии и психологии людей.
Цель фишинга — получить ваши логины, пароли или данные кредитных карт с помощью подделки сообщений от доверенного источника.

Популярные ловушки мошенников

Интернет-мошенники хорошо разбираются в психологии человека. В своих обманах они стараются привлечь внимание жертвы, вызвав нужные чувства, и заставить её действовать по определенной схеме. Рассмотрим несколько примеров из жизни:

А) Ух ты! Халява!

----------------------------------------------------------------------------

Крупные международные мероприятия типа кубка FIFA, сезонные распродажи с ограниченным предложением, подарок за репост — вот отличные мотивы для разводок.

----------------------------------------------------------------------------

Во втором квартале 2017 года прошла атака на пользователей услуг компании Uber. Фишинговые страницы распространялись посредством спам-рассылки. 

Получателям обещали крупную скидку после «регистрации» с указанием персональных данных и данных банковской карты. После заполнения анкеты пользователь перенаправлялся на настоящий сайт компании.

Расчёт мошенников был на то, что Uber часто проводит акции и предлагает скидки. Поэтому у пользователей не возникло сомнений в истинности предложения.

Б) Под предлогом доброго дела

----------------------------------------------------------------------------

Друг в соцсети прислал сообщение «Я сделал про тебя мультфильм, он вот тут — *ссылка*». Будьте внимательны! Возможно, вашего друга взломали.

----------------------------------------------------------------------------
В социальных сетях мошенники выступают, например, под видом благотворительного фонда или частного сбора на лечение. Злоумышленники пользуются добротой и сочувствием людей и придумали самые разные схемы для сбора денег. В своих обманах они стараются сделать так, чтобы деньги поступали на сторонний счёт, а не на лечение или помощь.

Если вы хотите оказать благотворительность, но сомневаетесь в фонде или в частном лице, то попросите их предоставить следующие данные:
 

• Детальные отчёты о поступлениях и тратах.
• Информацию о том, на что уйдут средства, а также конечную цифру сборов.
• Информацию о человеке или фонде, который собирает средства.

Если вы не можете отыскать нужную информацию, задайте интересующие вопросы напрямую в фонд. Честные организации расскажут вам о себе и своей работе. Мошенники же часто создают эмоциональный шум, не предоставляя подробной информации. Списки фондов, которым можно доверять, есть на сайтах «Подари жизнь» и «Все вместе». 

В) Ой-ёй-ёй, что происходит?

----------------------------------------------------------------------------

Электронное письмо с заголовком «Чтобы восстановить доступ к своему банковскому счету...», как правило, привлекает внимание и заставляет человека пройти по веб-ссылке для получения более подробной информации.

----------------------------------------------------------------------------

Практически все популярные браузеры имеют встроенную защиту от веб-угроз. При переходе на вредоносную страницу браузер выдаст предупреждение о возможной опасности и порекомендует воздержаться от ее посещения.

Мошенники используют такую защиту в своих целях. Они усыпляют бдительность жертвы кричащими предупреждениями об опасности, чтобы напугать ее и отвлечь внимание. Например, имитация страницы блокировки браузера Chrome. Мошенник рассчитывает на то, что пользователь, который хоть раз получал предупреждение от браузера о вредоносном сайте, с большей вероятностью отнесется с доверием к данной странице, а значит — последует советам преступников.

Пользователь, видя заблокированную страницу в браузере, пытается перейти на домен компании, выполняющую роль хостинга. Эта страница оказывается тоже заблокирована. Ничего не подозревающий пользователь, полностью доверяющий предупреждениям браузера, звонит по указанному на заблокированной странице номеру тех. поддержки. А там — та-дам! — мошенники, которые представившись сотрудниками тех.поддержки, выманивают у жертвы средства за якобы нужные услуги.

Методы фишинга

Чаще всего фишинг проводится с помощью неразрешенной почтовой рассылки (спам). Это простой и относительно дешевый для злоумышленников способ, поэтому к нему прибегают чаще всего. Но есть и другие виды фишинга.

Веб-ссылки — большинство методов фишинга сводится к тому, чтобы замаскировать поддельные ссылки на фишинговые сайты под ссылки настоящих организаций. Адреса с опечатками или субдомены часто используются мошенниками. 

Картинка — некоторые мошенники работают с изменением в адресной строке. Это достигается путем размещения картинки с поддельным URL поверх адресной строки, либо закрытием настоящей адресной строки и открытием новой с поддельным URL.

Спуфинг (от англ. spoofing) — фишинг, связанный с подменой реального URL ресурса. В случае использования этой уязвимости атакуемый пользователь визуально может наблюдать настоящий адрес банковского сайта в адресной строке браузера, но находиться сам при этом будет на поддельном сайте.

Вишинг (от англ. voice phishing) — голосовой фишинг. Например, письма, якобы отправленные от имени банка, могут сообщать пользователю о необходимости позвонить по определенному номеру для решения проблем с их банковскими счетами. Позвонив же на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счёта и PIN-код. 

К тому же вишеры могут сами звонить своим жертвам, убеждая их, что они общаются с представителями официальных организаций, используя фальшивые номера. В конечном счёте, человека также попросят сообщить его учётные данные.

Смишинг (от англ. SMiShing) — SMS-фишинг.

Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт. Пройдя по присланной ссылке и вводя свои личные данные, жертва передает их злоумышленникам. В сообщении также может говориться о необходимости позвонить мошенникам по определенному номеру для решения «возникших проблем».

Встречается и следующий вид SMS-фишинга: на подставном сайте для получения какой-либо услуги просят отправить SMS на предложенный номер или ввести свой номер сотового телефона (чаще всего это фэйки файлообменных серверов). В первом случае с телефонного счёта абонента списывается крупная (возможно, максимально предусмотренная контрактом) сумма. Во втором случае номер добавляется в базу адресов рассылки SMS-спама и может использоваться для дальнейших фишинговых атак.

----------------------------------------------------------------------------

Личная история

Недавно я разместила объявление на авито. После этого мне пару раз приходили смс-сообщения с текстом, что, мол, мой товар готовы купить и деньги я могу получить после перехода по ссылке.

----------------------------------------------------------------------------

Как уберечься от фишинга?

От фишинга хорошо защищают специальные средства: антифишинг и антивирусы, но этого недостаточно. Пользователям нужно научиться защищать свои личные данные и знать что делать, если попались на уловки мошенника. Рассмотрим три ситуации и ответим на вопрос: «Что делать..?»

Чтобы не получать фишинговые сообщения?

Настраиваем почту

У каждого почтового сервиса есть раздел настроек безопасности. В этом разделе подробно расписан алгоритм действий для повышения безопасности почтового ящика. Если вы в будущем не хотите стать жертвой онлайн-мошенников, вам следует настроить свою почту: отключить предварительный просмотр, настроить спам-фильтры, включить двухфакторную авторизацию на вашей почте.

Обновляем браузер

Производители браузеров объединились при борьбе от фишинга и вместе используют информацию о вредоносных сайтах. Такая возможность в браузере называется антифишинг. Благодаря ей, система выдает предупреждение об опасности прежде, чем открыть вкладку с вредоносным сайтом. Найдите кнопку обновления вашего браузера чтобы актуализировать антифишинг.

Обновляем антивирус

Не пренебрегайте пользоваться и регулярно обновлять антивирусные продукты. Узнайте у разработчиков какие антифишинговые решения они предоставляют своим пользователям. Поставьте антивирус на всю технику, с которой вы выходите в интернет.

Когда получили фишинговое сообщение?

Подключаем здравый смысл

Если вам прислали какую-либо ссылку, остановитесь на пару секунд и подумайте прежде, чем по ней перейти. Не открывайте и не загружайте вложения электронных писем от незнакомых и сомнительных адресатов. Сохраняйте спокойствие и не поддавайтесь на провокации и в случае «вишинга».

Проверяем данные в письме

Злоумышленники умеют отлично подделывать оригинальные страницы или письма. Если вы получили подозрительное письмо, тщательно проверяйте свои данные. Особенно это касается денежных дел. В случае «вишинга» также полезно помнить, что данные, например, данные банковской карты ни один настоящий сотрудник банка просто не вправе у вас потребовать.

Набираем адрес вручную

В идеале на сайты, требующие ввода личных данных, ходить по ссылкам вообще не стоит. Но если очень нужно, набирайте адрес самостоятельно в адресной строке чтобы исключить переадресацию по ссылке. Разумеется, посещение подобных ресурсов должно осуществлять через надежные устройства и сети. 

Если отправили свои данные злоумышленникам?

Допустим, вы попались на уловку мошенника, но быстро распознали фишинговую атаку. Тогда у вас есть время оперативно отреагировать и принять соответствующие меры:

• Смените ваши пароли
• Проверьте свой банковский счет на предмет необычных операций
• Заблокируйте свою банковскую карту
• Свяжитесь с сайтом, на котором размещена фишинговая веб-страница.

 В качестве заключения напомню еще о кое-чем:

1. Проявляйте недоверчивость ко всему новому в интернете. Старайтесь быть в курсе различных видов мошенничества. Помните, никто не защитит вас от мошенников лучше вас самих.
2. Рассказывайте о современных обманах близким людям и друзьям. Учите как поступать в случае мошенничества. Берегите тех, кто вам дорог от интернет-обманов.

Ну и самое главное: теперь у меня есть и телеграм-канал — добавляйте и повышайте свой уровень! :)

Подписывайтесь на мой блог и делитесь интересной информацией с друзьями и в соцсетях!

Добавляйте