Фишинг-атаки могут быть разнообразными. Чаще всего злоумышленники отправляют электронные письма или SMS-сообщения, выдавая себя за банки, финансовые организации или другие надежные источники. В таких сообщениях обычно содержится просьба под благовидным предлогом предоставить личные данные, пароли, номера кредитных карт и другую финансовую информацию. Пользователь, попав на уловку мошенников, несет финансовые убытки.
Однако способы защититься от фишинга и сохранить безопасность ваших финансов есть. Основных принципа, наверное, два: осторожность и настороженность. И в этом вся сложность, потому что настораживаться надо практически постоянно.
Что такое фишинговая атака?
Фишинг – слово заимствованное, производное от двух английских: fishing – «рыбная ловля» и phishing – от phone phreaking, что означает «взлом телефонных автоматов». В переводе на русский, фишинг – это вид интернет-мошенничества для получения тех самых персональных данных, которые без разрешения сегодня нигде использовать нельзя. Мошенники занимаются фишингом, чтобы получить ваши идентификационные данные: номера банковских счетов, паспорта или карта, пароли.
Хакеры «забрасывают удочку» в Сеть, предлагая в качестве наживки липовые сайты – подделки сайтов популярных интернет-магазинов, соцсетей, разных компаний. Расчет идет на то, что пользователь клюнет на подделку и заглотит крючок: введет свои банковские реквизиты по запросу сайта, номер телефона, адрес электронной почты, логины и пароли.
Беда в том, что антивирус тут бессилен: безопасность пользователя зависит только от его внимательности и даже недоверчивости. Заподозрит фейк – не попадется на удочку.
Количество фишинговых атак растет. Больше всего любят подделывать онлайн-сервисы, почтовые сервисы, облачные хранилища, сайты финансовых учреждений, платежные сервисы и букмекерские конторы.
Спрос рождает предложение: чем выше востребованность какого-либо сервиса, продукта или проекта, тем больше вероятность нападения хакеров. Так, например, в 2017-2018 годах на пике популярности были биткоины и все, что с ними связано, и фишеры атаковали криптовалютные проекты. Но уже в 2020-м интерес к криптовалюте угас – и фишинговые атаки в этом направлении сошли на нет.
Вывод: исследуя интернет на предмет модных проектов, будьте особенно осторожны и внимательны.
Методы и способы «лова»
Фишинг делится на два типа. Первый: ссылка на сайт-подделку приходит на WhatsApp или в любой другой мессенджер, либо по электронной почте. Выглядеть такое послание будет весьма правдоподобно – как сообщение от лица реальной организации: госучреждения, банка и т.п.
Письмо от фишеров будет содержать вредоносную программу, замаскированную под картинку, ссылку на созданный преступниками сайт, требование перевести деньги. Не заметив обмана, жертва перейдет по ссылке и укажет свои данные. Все, «рыбка» попалась на крючок.
Второй тип фишинга – интернет-торговля. Особенно опасны тотальные распродажи, вроде «черной пятницы»: народ кидается скупать акционные товары и, в ажиотаже, не особо разбирает, куда попал – на подлинный сайт магазина или на сайт-подделку.
Метод сбора данных пользователей также может быть двух разновидностей: вредоносный файл и фейковый сайт.
Первый метод – это архив формата .rar. Если вы получили такой архив и открыли, он заразит ваш компьютер или смартфон вирусом: программа-шпион станет собирать ваши данные и отправлять злоумышленникам.
Второй – сайт-подделка. Фишеры берут интерфейс оригинала и выбирают совершенно идентичный домены, меняя в адресе, допустим, всего один знак. Нужно быть очень внимательным пользователем, чтобы подметить разницу. Например, всеми любимый «Али-Экспресс»: достаточно заменить в адресе только одну букву, и это будут разные домены, но пользователь ничего не заметит. Заглавная I и строчная L – l – почти не отличаются. В результате вместо того, чтобы зайти на Aliexpress.com, вы попадете на AIiexpress.com – найдите одно отличие!
Как не стать жертвой фишинга?
Эксперты «Лаборатории Касперского» советуют, прежде всего, опираться на здравый смысл. Сохранять спокойствие и не поддаваться на провокации.
Если вы получили подозрительную ссылку от коллеги или друга, прежде чем по ней перейти, убедитесь, что ее действительно прислал ваш друг, а не враг. В случае звонков от «представителей банка» полезно помнить о том, что данные банковской карты ни один настоящий сотрудник банка потребовать у вас не вправе.
В идеале на сайты, требующие ввода личных данных, переходить по ссылкам вообще не стоит – лучше набрать адрес вручную. Разумеется, посещать подобные ресурсы надо через надежные устройства и сети.
Касперский рекомендует регулярно обновлять антивирусные продукты, особенно если они предоставляют и антифишинговую защиту. Хотя надо помнить, что это – не панацея.
Кроме того, эксперты советуют обновлять браузер до последней версии и проверять домен – как правило, мошеннические сайты живут всего несколько дней.
Не следует:
- переходить по ссылкам, присланным в подозрительных или непонятных сообщениях электронной почты, соцсетях и мессенджерах;
- загружать вложенные файлы из сообщений, которых вы не ожидали;
- совершать онлайн-покупки по предоплате на непроверенных сайтах;
- отвечать на подозрительные письма и смс-ки;
- предоставлять свои личные данные посторонним лицам или ненадежным источникам.
Рекомендуется:
- для покупок в интернете использовать отдельную банковскую карту;
- связаться с банком или организацией напрямую, используя официальные контакты, если вы сомневаетесь в подлинности сообщения;
- проверять сделки и внимательно следить за списаниями с банковского счета;
- быть внимательными и осторожными.
Почему фишинг все-таки работает?
Онлайн-мошенничество живет, и причин тому довольно много. Преступники хорошо научились «играть на нервах» у своих жертв. Способов обмануть человека – великое множество, и все они идут в ход.
Вполне эффективный вариант – обещание халявы. Для тех, кто помнит про бесплатный сыр в мышеловке, есть другой инструмент - слезные письма от друзей в соцсетях.
Еще десять лет назад по данным «Лаборатории Касперского» более 35% всех срабатываний компонента «Антифишинг» пришлось на фишинговые страницы, имитирующие страницы социальных сетей. Из 600 миллионов зафиксированных попыток захода пользователей на фишинговые сайты 22% пришлось на страницы, имитирующие Facebook.
Ну, и, конечно, фишеры используют одно из наиболее действенных чувств человека – страх. От мошенников требуется просто застать жертву врасплох и запугать. Хотя бы угрозой блокировки аккаунта или банковской карты. Звонки мошенников, представляющихся сотрудниками службы безопасности банка, следователями и пр., стали уже неотъемлемой частью нашей жизни: в полицию каждый день поступают заявления от потерпевших. Голосовой фишинг – по телефону – носит название «вишинг». В последние годы вишинг стал настоящим бедствием для обывателей и сотрудников правоохранительных органов.
Нет предела совершенству
Так почему все-таки нет надежной защиты от фишинга?
Технически фишинг постоянно совершенствуется, и его инструменты становятся все более изощренными. Поддельные сайты уже не так легко отличить от настоящих – некоторые из них имеют вполне убедительные адреса, иногда на них даже работает защищенное соединение (HTTPS), причем с подлинными сертификатами. Мобильный фишинг тоже набирает обороты: в силу технических особенностей смартфонов и планшетов на них сложнее распознать поддельный сайт, чем на компьютере.
Что характерно: киберпреступнику вовсе не обязательно проникать в систему вашего устройства, поэтому «врожденной» защиты от фишинга нет ни у одной платформы – это по-настоящему универсальная угроза.
Для мошенников фишинг выгоден. Даже если на удочку клюнет совсем небольшой процент потенциальных жертв, выручка будет приличной. Тем более, что в большинстве случаев мошенники охотятся за банковскими данными, так что для монетизации не понадобится сложных схем. Охват у преступников широк – одни соцсети чего стоят! – а большинство действий фишеров полностью автоматизировано.
Чтобы не попасться на уловки мошенников, необходимо быть внимательными и осторожными. Не доверяйте подозрительным сообщениям и не раскрывайте свои финансовые данные незнакомым источникам. И помните, что фишинг – это реальная угроза, которую можно избежать, если не забывать про осторожность и настороженность.
Екатерина Дзюба
Иллюстрация freepick.com