За останні 20 років інтернет вріс в наше життя. Ми використовуємо електронні платіжні сервіси, оплачуємо комунальні рахунки за допомогою інтернет-банкінгу, ведемо ділове і дружнє листування. Якщо не дотримуватися елементарних правил обережності, наша конфіденційна інформація може стати здобиччю шахраїв.
Фішинг — це один з різновидів шахрайства в інтернеті з метою отримання незаконного доступу до конфіденційних даних користувачів.
96% фішингових атак припадають на електронну пошту. Ще 3% здійснюються через шкідливі сайти і лише 1% — за телефоном. Дослідження Symantec показують, що в 2020 році з 4200 електронних листів хоча б один був фішинговим.
Що таке інтернет-фішинг
Розберемо докладніше, що ж це таке.
🔎 Фішинг (від англ. Phishing — видобування) — це вид інтернет-шахрайства, який полягає в крадіжці конфіденційних даних користувачів. Простіше кажучи, зловмисники «розводять» користувачів на те, щоб вони самі розкрили свої особисті дані, наприклад, номери телефонів, номери та секретні коди банківських карт, логіни та паролі електронної пошти та облікових записів в соціальних мережах.
Для цього користувачам пропонують якусь послугу або можливість, яка приваблює їх до таких дій. Наприклад, користувачам соціальної мережі Instagram пропонують дізнатися, хто заходив на їх особисту сторінку (хоча насправді такої можливості сама соціальна мережа не надає), а клієнтам інтернет-магазинів пропонують товар з божевільною знижкою.
Інтерес зловмисників може викликати будь-яка інша конфіденційна інформація. Шахраї «вивуджують» дані користувачів під різними пристойними приводами: перевірка авторизації на сайті, необхідність «відписатися» від спаму в електронній пошті, оплата покупки за низькою ціною або з великою знижкою, необхідність встановити новий додаток.
Відео З теми:
Прочитати статтю — добре, а прочитати статтю та подивитися відео — ще краще!
Дивіться наше відео, як захистити себе від фішингу
Британський експеримент
Одна з британських компаній, що спеціалізується на захисті від шахрайства в інтернеті, провела цікавий експеримент. Відвідувачам кав’ярні пропонували безкоштовну каву в обмін на лайк корпоративної сторінки закладу в Facebook. Поки відвідувач робив замовлення, співробітники аналізували профіль людини та дізнавалися про нього безліч особистої інформації. Поки готувалася кава, бариста встигав «вивалити» на приголомшену людину інформацію про його день народження, імена батьків, освіту, віросповідання та решту. І все це завдяки всього-на-всього одного лайку! Таким інтерактивним способом компанія акцентувала увагу громадян на необхідності захисту своїх персональних даних.
Останніми роками кількість випадків фішингу зростає. Цьому сприяла пандемія — люди частіше купували в інтернеті і частіше траплялися шахраям.
Щоб це попередити, великі компанії приділяють все більше уваги захисту конфіденційних даних користувачів. Соціальні мережі та ресурси електронної пошти практикують прив’язку акаунту користувача до IP або мобільного телефона. Інтернет-банкінг також використовує смс-оповіщення.
Однак розслаблятися рано, оскільки електронна комерція поширюється шаленими темпами, торгівля в інтернеті процвітає, соціальні мережі щорічно залучають мільйони нових користувачів, а кримінальне право часто не встигає за розвитком інформаційних технологій. А значить, кількість охочих заробити на людській довірі точно не зменшиться.
Як працює інтернет-фішинг
Специфікою фішингу є те, що жертва шахрайства надає свої конфіденційні дані добровільно. Для цього зловмисники оперують такими інструментами, як фішингові сайти, e-mail розсилка, фішингові landing page, спливаючі вікна, таргетована реклама. Користувач отримує пропозицію зареєструватися для отримання будь-якої вигоди або підтвердити свої персональні дані нібито для банківських або комерційних установ, клієнтом яких він є. Як правило, шахраї маскуються під відомі компанії, додатки соціальних мереж, сервіси електронної пошти. Електронна адреса відправника дійсно схожа на адресу знайомої користувачеві компанії. Наприклад, щоб замаскуватися під інтернет-магазин Aliexpress, шахраї шлють листи з адрес, що містять слово Alliexpress або Aliexxpress. Працює та сама схема, яка змушує людей купувати дешеві китайські кросівки таких «всесвітньо відомих брендів», як Pumma або Abibas.
Зловмисники користуються низьким рівнем обізнаності користувачів, зокрема, незнанням елементарних правил мережевої безпеки. Перш за все, організаторів фішинг-атак цікавлять персональні дані, які дають доступ до грошей, тому жертвами фішингу можуть ставати не тільки окремі люди, а й банки, електронні платіжні системи, аукціони.
Приклади схем інтернет-фішингу
Ось найпопулярніші серед шахраїв схеми онлайн-фішингу:
- Розсилка підроблених електронних листів, з проханням підтвердити логін і пароль. Зловмисники можуть заспамити повідомленнями мільйони адрес електронної пошти протягом декількох годин. Для цього бази попередньо купуються. Однак за такі дії передбачена кримінальна відповідальність, а сервери, з яких розсилається спам, обчислюють і банять, тому цей спосіб повільно відходить у минуле.
- Шахраї створюють електронні листи з підробленим рядком «Mail From:», використовуючи недоліки в поштовому протоколі SMTP. Коли відвідувач відповідає на фішингові повідомлення, лист з відповіддю автоматично пересилається шахраям електронною поштою.
- Фішингові схеми популярні при проведенні інтернет-аукціонів. При цьому товари виставляються на продаж через легальний інтернет-аукціон, однак кошти перераховуються через підроблений вебвузол.
- Фіктивні благодійні організації, які звертаються з проханням про пожертвування.
- Створення фішингових інтернет-магазинів. Товари продаються за викидними цінами або з великими знижками. Це приваблює відвідувачів і вони надають дані своїх банківських карт, не підозрюючи, що стають жертвою шахрайства.
Як розпізнати фішинг
На електронну пошту приходить лист, який починається словами «Вітаємо! Ви виграли…». Вам повідомляють про перемогу в розіграші або лотереї, і щоб отримати приз, потрібно всього-то авторизуватися, залишивши на чужому ресурсі дані особистого облікового запису. Як не дивно, така примітивна стратегія обману досі діє, оскільки надія на краще і прагнення отримати подарунок лежать в природі людини.
Пропозиція залишити свої конфіденційні дані може виходити від ресурсу, який схожий на добре знайомий вам сайт, а насправді виявляється фішинговим. Шахраї створюють фішингові сайти з впізнаваним дизайном і схожим адресним рядком. Вони заманюють відвідувачів у фішингові інтернет-магазини шаленими знижками та низькими цінами. Після того, як людина вводить інформацію, необхідну для оплати товару за допомогою кредитної картки (номер кредитної картки, прізвище та ім’я користувача, термін дії карти та секретний код CVV), інформація потрапляє до зловмисників. Покупець залишається без товару і без грошей на карті.
Фішингові сайти можуть ховатися за спливаючими вікнами. На них може вести таргетована реклама. Бувають ситуації, коли в графі «логін» користувач вже бачить адресу своєї електронної пошти, і йому пропонується всього лише ввести свій пароль в нижній графі.
Велика ймовірність побачити посилання на фішингові сайти в коментарях на чужих сторінках або групах в соціальних мережах. Його також може надіслати вам друг або знайомий, чий акаунт вже зламали. Якщо посилання викликає хоч найменшу підозру, краще не ризикувати та не переходить за ним.
Джерела залучення аудиторії на фішингові сайти
Джерела залучення користувачів на фішингові сайти та додатки завжди різні. Це може бути розсилка в особисті повідомлення, спам на електронну пошту, реклама або навіть картинка, де показується функціонал програми/сервісу, а в коментарях вже дається посилання на фішинговий сайт. При цьому на фішинговому сайті може бути безліч коментарів нібито від реальних користувачів. Це так звана «прокладка». Шахраї часто працюють за схемою «Джерело -> Прокладка -> Фішинговий лендінг».
Як захиститися від фішингу
Захист від фішингу охоплює дотримання кількох елементарних правил безпеки в інтернеті.
1️⃣ Перш за все, пам’ятайте, що нікому і ні за яких обставин не можна передавати такі конфіденційні дані, як пін-код банківської картки, пароль електронної пошти або акаунтів в соціальних мережах. Ні банк, ні соціальна мережа не стануть запитувати ці дані через електронну пошту.
2️⃣ Встановіть хороший антивірус з останньої базою антивірусів. Як правило, у всіх сучасних антивірусах передбачений захист від шпигунських і шкідливих програм. Соціальні мережі та браузери також попереджають користувачів про перехід на підозрілий сайт. Не ігноруйте ці попередження. Якщо соціальна мережа рекомендує не переходити за посиланням, прислухайтеся. Якщо ваша електронна пошта відзначає лист як спам, швидше за все, у їх відділу безпеки є на те вагомі підстави.
3️⃣ Завжди звертайте увагу на дизайн сайту. Якщо сайт або лендінг здається дивним, недопрацьованим, створеним нашвидкуруч або викликає якісь підозри, то дуже може бути, що це фішинговий сайт.
4️⃣ Звертайте увагу на адресний рядок на посиланні переходу. Незначні зміни в електронній адресі можуть привести вас на абсолютно інший сайт (наприклад, замість gmail.com може бути gmeil.co, а замість twitter.com — twiter.co або tviter.com). Також будьте обережні зі скороченими посиланнями (на кшталт bit.ly), оскільки з першого погляду не можна розпізнати, що за ними ховається.
5️⃣ При відвідуванні банківських сайтів, стежте, щоб було встановлено захищене з’єднання HTTPS. В адресному рядку повинен відображатися спеціальний символ — замок. Ви також можете перевірити сертифікат для HTTPS при кліці по цьому замку. Звертайте увагу на підтверджений сертифікат у спливаючому вікні.
6️⃣ Листи з невідомих адрес, які «тиснуть на емоції» або мають екстрений характер, повинні в першу чергу викликати підозри. Листи, які починаються з таких заяв, як «Ваш акаунт зламано!» або «Ваш профіль буде заблоковано!» або, навпаки, оголошують вам про великий виграш, в більшості випадків є шахрайськими.
7️⃣ Остерігайтеся заходити на банківські вебакаунти через точки доступу громадського Wi-Fi. Шахраї можуть перехопити ваші особисті дані. Краще скористатися мобільним інтернетом або захищеним з’єднанням.
8️⃣ Якщо виявили фішинговий лист нібито від відомої вам компанії або сервісу, повідомте про це в відділення цієї компанії. Швидше за все, компанія вживе заходів для того, щоб надійніше захистити вас як клієнта. А ще ви можете зв’язатися з вебхостинг провайдером такого сайту і залишити скаргу. Більшість хостерів закривають фішингові вебсайти при отриманні подібних повідомлень. Цим ви допоможете іншим користувачам, які можуть стати жертвами фішингових атак.
📌 А взагалі, краще ніколи не переходьте за підозрілими посиланнями. Часто бувають ситуації, коли вам на пошту або в особистому повідомленні приходить дивне посилання, яке складно ідентифікувати. За ним цілком може ховатися вірус або фішинговий сайт. Навіть якщо таке посилання прийшло нібито від вашого друга — варто бути напоготові. Акаунт вашого знайомого могли зламати і він навіть не здогадується, що від його імені йде шкідлива розсилка.