По данным организаций We Are Social, Hootsuite и ООН, на конец 2021 года количество пользователей сети составляло около 4,95 млрд человек, а это — 62,5% всего населения планеты. Такие цифры делают интернет-пространство привлекательным полем деятельности для мошенников и всех, кто ищет легкую наживу. Первые фишинговые атаки появились еще в прошлом столетии. По данным Google, их жертвами ежегодно становятся около 12,4 млн человек.
Как работает фишинг? Это вид мошенничества, который заключается в краже конфиденциальной информации. Простыми словами, хакеры пользуются доверием неискушенных пользователей и обращаются к ним под вполне «законными» предлогами, предлагая совершить авторизацию или обновить приложение. Главная цель фишинга — обман с целью установки вредоносного ПО на компьютер жертвы для получения личных данных: номера телефона, PIN-кодов банковских карт, логинов/паролей электронной почты и аккаунтов в соцсетях.
Фишинг в интернете — актуальная проблема, о наличии которой вы могли даже не задумываться. Но предупрежден — значит вооружен, поэтому стоит отнестись внимательно к каждому письму от неизвестного отправителя. Как проверить фишинговый сайт и не «повестись» на известные уловки, расскажут эксперты Portmone.
Принцип работы интернет-фишинга
Cуть фишинга заключается в том, что жертва сообщает сведения о себе добровольно. Мошенник в этом случае разыгрывает определенную роль: например, уполномоченного лица известной компании, используя видоизмененный электронный адрес фирмы и корпоративную символику.
Приведем пример: потенциальная жертва получает электронное письмо якобы от сотрудника своего банка с сообщением о том, что проводится модернизация системы защиты. В письме пользователя просят перейти по ссылке и ввести PIN-код банковской карты на фишинговом сайте — это лишь один из самых распространенных вариантов, но не самый изощренный и действенный.
Какую цель преследует фишинг? Главная задача мошенника — усыпить внимание пользователя. Проходя по ссылке, потенциальная жертва полностью уверена, что письмо пришло действительно от банка (соцсети, корпорации, работодателя или любого другого проверенного ресурса). Неосторожный юзер может не заметить несоответствие адресов, ссылок, расположения символики. Некоторые получают множество писем, зачастую не всматриваясь в такие «мелочи». В лучшем случае при потере доступа к определенным ресурсам его можно восстановить, написав в службу поддержки. В худшем — человек рискует потерять все свои сбережения. Впрочем, жертвами фишинга могут становиться не только отдельные юзеры, но и финансовые компании, недостаточно защищенные системы онлайн-платежей и аукционы.
Далеко не все пользователи ориентируются в правилах сетевой безопасности и обладают достаточным уровнем осведомленности, чем и пользуются опытные фишеры. Мошенники прибегают к использованию методов психологии и социальной инженерии. Этот термин относится к сфере информационной безопасности и описывает методы манипулирования с целью совершения определенных действий и получения определенной информации от пользователя.
Стандартные схемы интернет-фишинга
За долгие годы существования подобных методик мошенники выработали несколько эффективных схем.
К видам фишинга относятся:
- Спам по электронной почте — доставка писем с фишинговыми ссылками от имени корпорации/сайта/компании с использованием «настоящей» символики, онлайн-адресов, доменов.
- Фишинг в социальных сетях — подразумевает использование Facebook, Instagram и Twitter. Листая новостную ленту, пользователь расслабляется и не ожидает подвоха, чем и пользуются злоумышленники. Чтобы заманить человека в свою ловушку, мошенники могут создавать поддельные аккаунты, выдавая себя за кого-то из знакомых жертвы или даже за сотрудников техподдержки известных компаний.
- Фальсификация рекламных баннеров — один из самых простых методов. Представляет собой использование баннеров для переадресации пользователя на сайт мошенника.
- IRC, передача IM-сообщений — использование групповых чатов и каналов в соцсетях, где при поддержке ботов могут доставляться вредоносные ссылки.
- Внедрение троянских программ. Источником такой атаки может быть персональный компьютер уже пострадавшего от действий фишера пользователя. При скачивании файлов с непроверенных сайтов вместе с программой или видеоигрой «бонусом» идет скрытая подпрограмма (вирус). Он незаметно для пользователя может собирать его персональные данные и отправлять их мошеннику. Многие хакеры разработали успешные методы обмана интернет-юзеров для установки у них вредоносного ПО и теперь используют целые сети, развернутые с помощью троянского программного обеспечения.
Как выявить фишинговую атаку
Чаще всего жертвами фишинга становятся люди, которые не желают проверять достоверность поступающей информации. Но в некоторых случаях распознать уловки хакера трудно даже недоверчивым пользователям. Предлагаем разобраться, на что обращать внимание, чтобы не потерять деньги и защитить свой компьютер от атак.
Фишинговые сайты, сообщения и ссылки могут принимать много обликов:
- Интернет-магазин, который предлагает купить товар по низким ценам, и пользователь оказывается «на крючке». Сайт имеет похожий дизайн и может не отличаться от настоящего по структуре. Думая, что совершает покупку, пользователь вводит реквизиты и запрашиваемую информацию о банковской карте. В итоге данные уходят в руки злоумышленников.
- Письмо от администратора соцсети, который сообщает о взломе аккаунта и просит перейти по ссылке, чтобы подтвердить свою личность.
- Сообщение якобы от вашего банка об огромной задолженности. Чтобы уведомить об ошибке, предлагается войти в профиль и ввести банковские реквизиты со всеми необходимыми данными.
- Письмо по электронной почте от «организаторов розыгрыша», сообщающее, что вы выиграли большую сумму денег в рандомной жеребьевке. Осталось лишь взять деньги, перейдя по ссылке. Такой тип фишинга до сих пор результативен, несмотря на банальность.
- С хакерами можно встретиться и в соцсетях: комментарии и личные сообщения могут содержать ссылки на проблемные сайты. Даже аккаунты знакомых могут быть взломаны и рассылать мошеннические предложения.
- Появление на сайте дополнительного окна для входа в систему, которое уже содержит логин — вашу электронную почту, должно вызвать подозрения. Советуем всегда проверять подобные веб-сайты на надежность. А каким образом — читайте далее.
Как защититься от фишинга
Мы подскажем, как выявить фишинговый сайт — это поможет не попасться на приманку мошенника. Воспользуйтесь рекомендациями:
- Никогда не доверяйте подозрительным электронным письмам и не переходите по указанным в них ссылкам. Сотрудники банка не потребуют ваши данные банковской карты, а модераторы соцсетей — пароль от аккаунта. При возникновении проблемы последует звонок либо оповещение при входе в соцсеть.
- Проверка сайта на фишинг посредством проверки протокола. Надежные сайты защищены протоколом https, а не http. В адресной строке должен быть изображен символ замка, после нажатия на который появляется информация о подтвержденном сертификате безопасности.
- Обязательно осуществляйте проверку ссылок на фишинг. Чтобы обмануть пользователя, мошенники незначительно изменяют адрес, вводя неверные буквы или заменяя их цифрами. Например, вместо instagram.com может быть instagram.co; вместо facebook.com — facebok.com, и т. д. Короткие ссылки bit.ly также могут быть опасны, ведь не всегда можно узнать, что скрывается за этим сокращением. Если письмо пришло якобы от лица известной компании, то вы можете сообщить об этом отделу безопасности, используя контакты на официальном сайте. Сотрудники примут меры, чтобы устранить фишинговый сайт из сети.
- Не игнорируйте оповещения — нельзя снимать блокировки антивируса с подозрительных сайтов без должной проверки. Найдите надежный антивирус со встроенной защитой от фишинга, который поможет распознать шпионские и вредоносные программы. Обратите внимание на предупреждение соцсети или браузера при переходе на неизвестный веб-сайт. Электронная почта помечает некоторые письма как спам не потому, что системе так захотелось. Возможно, адресат имеет проблемы с отделом безопасности, что скажется на защите ваших данных.
- «Поздравляем! Вы выиграли $100 000 000. Деньги можно получить, перейдя по ссылке». Фантазия интернет-мошенников безгранична. Относитесь скептически к письмам с излишней эмоциональной окраской, которые сообщают о выигрыше, либо напротив, предлагают пожертвовать определенную сумму на благотворительность.
- Фишинговый сайт может выглядеть так, будто он еще находится в процессе разработки. Недействующие гиперссылки, орфографические ошибки, отсутствие контактной информации и другие «странности» должны насторожить пользователя.
- Вредоносная рассылка со знакомых аккаунтов также до сих пор актуальна. Перед тем, как перейти по ссылке в письме от вашего друга либо коллеги, обратите внимание на содержание. Профиль этого человека мог быть взломан. Позвоните своему знакомому или воспользуйтесь альтернативным мессенджером, чтобы узнать, отправлял ли он это письмо.
Соблюдение этих нехитрых правил защитит ваш ПК от хакерских атак и поможет сохранить средства. Если же вы хотите быть уверены в сохранности данных вашей банковской карты во время онлайн-транзакций, выбирайте надежный сервис онлайн-платежей. Компания Portmone гарантирует безопасность конфиденциальной информации своих клиентов. Мы первыми в Украине получили сертификат соответствия международным стандартам PCI DSS и используем технологию токенизации. Присоединяйтесь к «Портмоне»!