Фишинг: что это означает

Как работают преступные схемы

Какие цели у фишинга

Суть фишинговой атаки

Как защитить себя от фишинга

«Здравствуй, друг! Тебе пишет сын недавно умершего короля Нигерии. Мое наследство — 100 млн долларов. Я в опасности, поэтому прошу помочь вывести эти деньги из страны. Половину отдам тебе. Вышли, пожалуйста, номер банковской карты». 

Этот вариант «письма счастья» — лишь один из примеров мошеннической схемы. 

Чтобы не попасться на удочку, узнайте из статьи, какими способами обманывают людей и целые компании, как обезопасить себя и свои сбережения.

Фишингом называют мошеннические способы взаимодействия с людьми по электронной почте, телефону, на страницах социальных сетей, разных сайтов. Аферисты побуждают потенциальную жертву доверить им конфиденциальные данные. Чаще всего речь о банковских счетах, паролях и номерах кредиток.

Хотя термин и созвучен английскому fishing (рыбалка), но пишется иначе — phishing. Замена первых букв — отсылка то ли к английскому phony (жулик), то ли к phreaking (фрикинг — взлом телефонных автоматов). Суть от этого не меняется. 

Фишинг действительно напоминает рыбалку. Злоумышленник забрасывает удочку с наживкой и ждет доверчивого пользователя.

Самый распространенный фишинговый инструмент — электронные письма, СМС. В них встроены вредоносные ссылки на ресурсы, где пользователям предлагают ввести конфиденциальные данные. Если речь о банковской карте, мошенники мгновенно опустошат счет. 

Фишинговые атаки опасны не только для людей, но и для компаний. Ущерб для первых сводится к наличке, для вторых — к закрытию онлайн-сервисов, потерям доходов, ущербу от вредоносного ПО, удару по репутации.

Цель зависит от того, кого выбрали жертвой. Если частное лицо, то фишинговые схемы применяют для получения доступа к банковским сервисам, аккаунтам в социальных сетях, платежных системах, для установки вредоносных программ на компьютер человека. Получив доступ к конфиденциальным данным, фишеры нередко продают их другим мошенникам, которые обналичивают деньги по своим схемам.

Если жертва фишера — компания, нередко речь идет о данных одного из ценных сотрудников, чтобы через него проникнуть к финансовым отчетам, внутренним документам. 

Часто атакам подвергаются:

• банковские учреждения;

• интернет-магазины;

• социальные сети;

• мессенджеры;

• платежные системы. 

Киберпреступники любыми путями ищут доступ к личным сведениям, чтобы использовать их для прямого снятия денег или продажи третьим лицам. 

Фишинг — общее название мошеннических схем в интернете, по телефону. Атаки — целенаправленное действие, которое выполняют вручную либо с помощью программ. 

Распространенные типы фишинга

Если рассматривать этот вид мошенничества как рыбалку, то преступник — рыбак, жертва — рыба, а приманка — иллюзорная выгода (деньги, влияние, информация). Ниже вы узнаете о типах этого мошенничества.

Универсальная схема обмана. Самая распространенная и «эффективная». Ее суть в следующем: письма с привлекательными обещаниями массово рассылают по электронным адресам. Отправители сообщают о выигрыше в лотерею, получении наследства, подарка, предоставлении невероятных услуг. 

Чтобы получить обещанные блага, нужно лишь перейти по ссылке на сайт, ввести данные банковской карты и три секретные цифры с ее обратной стороны. Те, кто попался, остаются мгновенно без всех средств на счету.

Усложненная схема, где аферисту нужно заранее получить некоторые персональные данные жертвы: номер телефона, адрес, количество детей и прочее. За счет упоминания таких сведений фишер завоевывает доверие, получает доступ к более ценной информации. 

Если речь идет о директоре крупной компании, злоумышленники от его лица отправляют указания подчиненным на перевод средств, оплату услуг и прочее.

Голосовую схему обмана еще называют «вишинг». Аферист звонит человеку, представляется банковским служащим, сотрудником полиции или налоговиком (зависит от сценария). Далее в ход идет запугивание: озвучивают проблему, для решения которой нужно срочно перевести деньги. 

Иногда преступники не звонят, а отправляют СМС. Здесь чаще привлекают внимание жертвы обещанием подарков, скидок, купонов. Для получения благ нужно перейти по ссылке. Далее либо человек «цепляет» на свое устройство вредоносное ПО, либо теряет доступ к аккаунтам, остается без денег на карте.

Мошенник создает фейковый аккаунт, заводит знакомство, узнает у жертвы некоторые сведения, которые можно использовать для шантажа. Нередко давит на жалость, просит денежную помощь, обещая взамен любить вечно.

Пользователю отправляют ссылку на мошеннический интернет-ресурс, который внешне похожий на настоящий. Адрес немного изменен, но с первого взгляда отсутствие или замену одного символа не так просто заметить. Если человек введет личные данные на фишинговом сайте, они автоматически попадают к злоумышленникам. 

Яркий пример — сайт-однодневка, где предлагают брендовые товары по бросовым ценам. Покупатель делает оплату, но ничего в итоге не получает.

Риск попасть на удочку мошенников грозит всем: методы становятся все более изощренными, поэтому защита должна быть комплексной.

Чтобы внедрить методы борьбы с врагом, сначала нужно о нем узнать больше информации. Поэтому желательно иногда читать статьи по теме, быть в курсе новых технологий фишеров, важных мер безопасности. 

Дважды думаем, прежде чем перейти по какой-либо ссылке

Если ссылка новая, неожиданно полученная, не стоит переходить по такому адресу на фишинговые сайты. Тем более, не следует загружать на устройство файлы из непроверенных источников. 

Сканер в электронной почте поможет обнаружить в письмах вредоносное ПО. Сомнительную ссылку можно проверить на антифишинговых сайтах. 

Что должно насторожить в электронном письме:

1. Адрес отправителя. Вместо mail — ma1l или нечто подобное.

2. Требование к действию: «срочно откройте», «пройдите по ссылке».

3. Неизвестная гиперссылка. Наведите курсор на нее, но не нажимайте. Просто смотрите, куда ведет адрес сайта.

4. Вложения с опасным расширением: ZIP, JS, EXE, SRC.

5. Странное поведение вложения. Если возникает просьба отключить безопасный просмотр, не стоит поддаваться.

Что кажется подозрительным, наверняка таким и есть: нет миллионных подарков, крутых лотерей, способов без усилий получить кучу денег. 

Снизить риск стать жертвой аферистов помогут специальные программы. Например, антивирус обнаруживает и удаляет большинство вредоносных ПО, которые уже скачаны на устройство. Дополнительно программа сканирует электронную корреспонденцию. 

В электронной почте есть спам-фильтры, которые в автоматическом режиме сортируют фишинговые рассылки. 

AdBlock — приложение, которое защитит от рекламы в интернете на разных сайтах, а заодно и от объявлений с заманчивыми обещаниями. 

Для организаций разумным решением станет установка VPN. Это защищенная сеть, которая объединяет рабочие адреса компании, дает доступ сотрудникам из любой точки мира, защищает обмен информацией, препятствует несанкционированному доступу. Установкой VPN занимаются интернет-провайдеры. 

В Петербурге за такой услугой вы можете обратиться в SkyNet. Специалисты создают бесперебойное защищенное соединение с круглосуточной технической поддержкой, защитой от DDoS-атак.

Доступный бесплатный способ самозащиты от киберпреступников — проверка доменного имени. Достаточно внимательно посмотреть, совпадает ли домен в адресе отправителя с доменом на официальном сайте. Например, вместо skynet.ru присылают адрес skynet.ru и предлагают скидки на интернет-подключение, акции и бонусы. 

Лучше ввести руками адрес сайта настоящего интернет-провайдера и уже там ознакомиться с новостями, скидками. 

Чтобы обезопасить свои данные, можно пользоваться менеджером паролей. В таких программах встроено предупреждение об опасных ресурсах. Поэтому, если вы попытаетесь автоматически зайти в свой кабинет на фейковом сайте, менеджер паролей ничего не подставит в форму для логина и пароля. Причина — он не знает данный ресурс.

Современные браузеры наделены функцией «антифишинг». У системы есть доступ к черному списку адресов в интернете, по мере обнаружения она блокирует опасные сайты. 

Браузер предупредит вас, если страница в интернете представляет угрозу. Прислушивайтесь к этим рекомендациям, и аферистам будет сложнее добраться до ваших денег.

Встроенный защитник операционной системы предупреждает о подозрительном контенте, опасных рассылках, ненадежных сайтах с возможностью хакерских атак. После предупреждения точно не стоит скачивать файлы, переходить по ссылкам. Даже если защита не сработала, неизвестные источники должны всегда казаться подозрительными.

Нередко киберпреступники используют всплывающие окна, чтобы заманить пользователя скидками, подарками. 

Реклама, замаскированная под известные бренды, — яркая и заманчивая наживка. Не ведитесь на нее. Читайте внимательно, что предлагают. А лучше вообще не нажимайте на всплывающие окна. Бесплатный сыр вам не нужен. Купите хороший в проверенном месте.

Никогда и никому в интернете не давайте личные данные. Даже если вам пишут якобы из банка. Цифры на обратной стороне карточки никто не вправе спрашивать. Если сомневаетесь, что с картой все в порядке, наберите службу поддержки банка и уточните, есть ли проблемы.

То же касается онлайн-покупок, особенно если речь идет о б/у товарах. Не гонитесь за дешевизной, не платите вперед. Особенно не переходите по ссылкам на неизвестные платежные системы.

Фишинг — один из распространенных способов обмана пользователей в интернете. Потеря личной информации ведет к финансовым проблемам частных лиц, а компании сталкиваются со сбоями в работе всех систем, утечкой ценной информации, обнулением счетов, а также с испорченной репутацией. Соблюдение правил безопасности в сети снижает риск возникновения описанных выше проблем.