Фишинг – это метод, используемый интернет-мошенниками с целью завладеть нужной информацией. Он тесно связан с социальной инженерией, то есть подразумевает не только использование высоких технологий, но и психологических способов воздействия на человека. Фишеры не гнушаются играть на слабостях – страхе, жадности, любопытстве, ревности и прочем. Чаще всего их цель – обманом получить платежные или банковские сведения, а потом завладеть чужими деньгами.
Фишинг-мошенничество зародилось в 80-ых годах прошлого века, его расцвет пришелся на начало 2010-ых. Согласно исследованию ИТ-организации Barracuda, в последний год фишинг обрел второе дыхание: пандемия COVID-19 спровоцировала увеличение атак на 667% с января по март 2020-го года. Но есть и более тревожный показатель: проведенный Intel опрос показывает, что 97% людей не способны распознать фишинговое письмо.
Чтобы не стать жертвой, необходимо иметь представление о том, что за методы находятся у мошенников в арсенале. Предлагаем познакомиться с 8 различными видами фишинга, от которых ежедневно страдают тысячи людей.
1. E-mail фишинг
Самый распространенный, но в то же время очень примитивный тип атаки через электронный ящик. Он не нацелен на конкретного человека. Как правило, мошенники делают рассылку одного и того же письма тысячам пользователей в надежде, что хоть кто-то из них перейдет на поддельный сайт, загрузит вредоносный файл или выполнит другие инструкции.
Поскольку этот вид мошенничества не является персонализированным, в письме используются универсальные обращения типа «Уважаемый владелец аккаунта», «Дорогой участник программы». Тревожные слова «СРОЧНО», «НЕМЕДЛЕННО», «ЗАБЛОКИРОВАН» направлены на то, чтобы взволновать пользователя. Обещания выигрыша усыпляют бдительность.
Популярный прием – запугать пользователя тем, что его аккаунт был взломан, и нужны срочные меры. В первые секунды создается впечатление, что отправителем является реальная организация, с которой вы имели дело, или сайт, где регистрировались. Но достаточно навести мышку на ссылку в письме, и внизу браузерного окна появится реальная ссылка для перехода. Они будут сильно отличаться.
2. Целевой фишинг
В отличие от предыдущего этот вид мошенничества на порядок более изощрен и продвинут. Его целью является определенный человек или группа лиц. Он часто используется известными хакерами для взлома организаций.
Проведению целевого фишинга предшествует подготовка. Злоумышленники собирают информацию о жертве, ее прошлом, круге общения. Все это делается для того, чтобы письмо выглядело максимально личным и правдоподобным. Именно поэтому большинство жертв целевого фишинга не сразу осознают, что их разводят.
Но раскусить атаку в большинстве случаев можно. Если в электронном письме вы получили необычную просьбу от знакомого контакта (проголосовать по ссылке, что-то скачать), это сразу должно навести на подозрения. Прежде чем загружать какие-либо вложения или кликать по ссылке, необходимо сверить адрес отправителя письма с адресом, через который вы обычно переписываетесь с данным контактом. Окончательно все расставит по полочкам телефонный звонок: он поможет убедиться, отправлял ли ваш знакомый данную просьбу, или это мошенники действуют от его имени.
3. Вейлинг
Тоже изощренный и хитроумный прием. Его отличие от предыдущих в том, что он нацелен на высокопоставленных лиц – руководителей, директоров, чиновников и прочих «китов» бизнеса и политики.
Обращение в письме, как правило, личное по имени, а само письмо может быть оформлено в виде повестки в суд, юридической жалобы или чего-то такого, что требует срочных ответных мер.
Злоумышленники тратят много времени на обширное исследование личности и составление правдоподобного сообщения. Жертвами часто становятся ключевые члены организаций, которые имеют доступ к конфиденциальной информации или финансовым резервам компании.
В процессе атаки человек получает ссылку на искусно подделанный сайт, где необходимо заполнить форму для входа. Введенные там логины, пароли, коды доступа попадают в руки злоумышленников и впоследствии используются для незаконного обогащения. Иногда текст в письме публикуется не полностью, и тогда от жертвы требуется загрузить вложение, чтобы просмотреть оставшуюся часть сообщения. Как можно догадаться, при скачивании этого вложения запускается вредоносный код, который снимает защиту с личного компьютера.
4. Вишинг
Вишинг (или голосовой фишинг, voice + phishing = vishing) приобрел актуальность недавно. В его основе лежит не переписка, а общение по телефону. Как правило, злоумышленники выдают себя за сотрудников финансовых организаций и пытаются заполучить данные для входа в чужой аккаунт или информацию с банковской карточки.
Жертву пытаются вывести из душевного равновесия информацией о просроченных налогах, выигрыше. Иногда мошенники прикидываются техническим персоналом и запрашивают удаленный доступ к компьютеру для решения каких-либо «проблем» с аккаунтом. В некоторых случаях вместо живого разговора используются предварительно записанные реплики, а номер телефона подделывается таким образом, что он выглядит как местный. Мошенники буквально спамят словами, и у жертвы не остается времени на логические размышления. Чаще других на удочку вишинга попадаются представители старшего поколения, недостаточно знакомые с высокими технологиями, доверчивые и просто впечатлительные люди.
Эксперты по кибербезопасности предупреждают, что сообщать по телефону конфиденциальную информацию, например, пароли для входа в аккаунт, паспортные данные, платежную информацию и прочее – крайне опасно. Чтобы выяснить наверняка, есть ли на самом деле какие-то проблемы с финансовым счетом, сбросьте звонок и наберите номер банка, напечатанный на карте. Так вы гарантированно свяжетесь с официальными представителями банка.
5. Смишинг
Смишинг – это развод с помощью текстовых сообщений в мессенджерах или SMS. Принцип уже описывался: человек получает ссылку на поддельный сайт, где предлагается ввести ценную информацию.
В ряде случаев хакеры пытаются сыграть на жадности: в сообщении говорится, что вы выиграли приз, но пока не введете требуемые данные, с выигранной суммы будут удерживаться почасовые комиссии за обслуживание счета.
Чтобы не дать себя провести, просто не открывайте сообщения от незнакомых отправителей и ни в коем случае не переходите по ссылкам, как бы любопытство ни раздирало.
6. Angler-фишинг
Относительно новая тактика angler-фишинг (angler – морской черт) ведется через социальные сети. Мошенники ищут людей, которые публикуют сообщения или отзывы об услугах, и связываются с ними от имени службы поддержки клиентов.
На деле это выглядит так. Допустим, в своем аккаунте вы опубликовали возмущенный пост о задержке перевода, невежливом обращении персонала или о чем-то другом, что говорит о ненадлежащем качестве услуг. В сообщении недвусмысленно упоминалось название организации. Имейте ввиду: если в скором времени с вами свяжется представитель данной организации, он вполне может оказаться мошенником.
Атака начнется с личного сообщения в социальной сети. Вас попросят перейти по ссылке, чтобы обсудить проблему со службой поддержки, а затем предоставить конфиденциальную информацию для подтверждения личности.
При получении подобных сообщений правильным шагом будет связаться со службой поддержки через безопасные каналы – официальный сайт, официальные аккаунты в Twitter или Instagram, где есть иконка, говорящая о том, что личность владельца аккаунта была подтверждена.
7. CEO-фишинг
Почти то же самое, что и вейлинг, только в этом случае жертвами становятся управленцы и менеджеры компаний. Сам метод отличается особой изощренностью, поскольку злоумышленник не просто обманом выведывает конфиденциальную информацию, но и выдает себя за высокопоставленное лицо. Притворяясь кем-то из руководства, он отправляет подчиненным электронное письмо с запросом на перевод денег или отправку важных данных.
Обычно атака нацелена на конкретного сотрудника, уполномоченного осуществлять денежные переводы, или лиц, имеющих доступ к внутренним сведениям. Само сообщение составлено таким образом, чтобы жертва не сомневалась в необходимости безотлагательных мер: оно соответствует принятым в компании нормам и содержит личное обращение.
8. Поисковый фишинг
Один из новейших видов фишинговых атак работает с привлечением поисковых систем. Для начала мошенники создают онлайн-магазин с бесплатными товарами, скидками и акциями либо сайт с предложениями о работе и услугах. После этого в ход идут методы оптимизации, чтобы сайт индексировался и попадал в поисковую выдачу при соответствующем запросе. Жертва, соблазненная выгодной сделкой, пытается оформить заказ и вводит данные, которые отправляются прямиков в руки недобропорядочных лиц.
Некоторые мошенники, практикующие поисковый фишинг – настоящие эксперты по привлечению трафика и манипуляции поисковыми алгоритмами.
Как не попасться на удочку?
На самом деле, совсем необязательно выучить наизусть все виды фишинга и их отличительные нюансы. Гораздо важнее понимать, как выглядят мошеннические сайты и сообщения и какие каналы злоумышленники могут использовать, чтобы добраться до вас.
Не игнорируйте новости, связанные с кибербезопасностью. И печатные, и онлайн-издания время от времени публикуют информацию о современных видах развода, как их распознать и избежать.
Сохраняйте бдительность. Не забывайте, что в интернете полно личностей, которые не прочь обогатиться за чужой счет. Если вы – сотрудник крупной организации, от вас требуется повышенная осторожность при онлайн-общении: вы можете стать мостиком, по которому мошенники проберутся внутрь компании.
Любые просьбы в интернете (в особенности от знакомых контактов!) необходимо перепроверять, прежде чем выполнять их.
Злоумышленники любят играть на чувствах, используют страх и панику, провоцируют любопытство и ревность, чтобы вынудить пользователей на определенные действия. Столкнувшись с прямой угрозой, прежде всего необходимо успокоиться и продумать план действий. А когда дело доходит до заманчивых предложений, в первую очередь на ум должна приходить поговорка о том, что бесплатный сыр только в мышеловке. В нашем цифровом мире она актуальна как никогда.
Источник: www.makeuseof.com
