Фішинг є дуже популярним способом крадіжки даних у користувачів Інтернету, оскільки він не вимагає великих фінансових витрат і є універсальним інструментом – більше соціальним, ніж технологічним. Завдяки цьому шахрай або група подібних осіб може швидко адаптуватися до нового способу роботи. Шахраї в наш час теж багато чого вміють і постійно вдосконалюють свої навички.
Упевнений, що більшість з вас чули і стикалися з фішингом, але в багатьох випадках пройшли повз, так і не зрозумівши, що це і чим він небезпечний. Сьогодні я спробую розширити ваші знання, і розповім, чим небезпечний фішинг, як його розпізнати і як захиститися від нього.
Що таке фішинг?
Найпростіше визначення фішингу полягає в тому, що це метод шахрайства, при якому злочинці, видаючи себе за представників надійних закладів, вимагають конфіденційні дані, найчастіше – паролі для входу в сервіси електронних банківських послуг, внутрішні мережі компанії, а також номери платіжних карт і адреси електронної пошти.
Для цього зловмисники використовують шкідливі програми та намагаються за допомогою соціальної інженерії змусити жертв зробити певні дії, які допоможуть їм отримати бажаний результат. Атаки, спрямовані проти звичайних користувачів, відносно прості, але кіберзлочинці все частіше використовують більш складні методи фішингу, які вимагають збору інформації про жертви, яка б допомогла приспати їх пильність і змусити грати за своїми правилами.
Як працює фішинг?
Фішинг, з яким ми зазвичай маємо справу, полягає у відправці потенційним жертвам спеціально створених електронних листів або SMS. Вони містять посилання на шкідливі веб-сайти, де інтернет-користувачі повинні надавати конфіденційні дані, які зазвичай є логіном і паролем для електронного банківського веб-сайту. Тим самим ви дозволяєте шахраям красти гроші зі своїх рахунків. Змусити жертву зробити це – найбільша проблема, тому кіберзлочинці постійно придумують нові схеми для здійснення своїх планів. Останнім часом найбільш поширеним методом фішингу є мікроплатежі.
В зловмисних повідомленнях ви можете “дізнатися” про призупинений пакет послуг, заблокований аукціон на сайті пропозицій, невідповідність в сумі рахунку, заборгованість в податковій інспекції або у постачальника енергії, які будуть мати неприємні наслідки для вас. Недостатні гроші можна перевести через сайт швидких платежів, на який дається посилання в повідомленні. Однак він перенаправляє на сайт, оманливо схожий на популярні сайти, такі як PayPal або DotPay. І введені на ньому дані надходять злочинцям, що дозволяє їм увійти в обліковий запис жертви в службі транзакцій і перевести фінансові кошти на свої власні рахунки.
Як бачите, цей механізм дуже простий, але найбільша проблема шахрая – змусити жертву надати дані, тому ми постійно маємо справу з новими фішинговими кампаніями. Кіберзлочинці не завжди загрожують неприємними наслідками. Популярним методом також є інформування в рекламних оголошеннях, які розміщуються на веб-сайтах і в соціальних мережах, з привабливими призами, з можливістю швидко заробити великі гроші або навіть отримати спадок від якогось нині покійного кенійського, американського чи шотландського (виберіть країну самі) мільярдера, який є вашим далеким родичем. В останньому випадку зображення відомих особистостей (звичайно, без їх згоди) часто використовуються для переконання в достовірності шахрайства.
Проте, фішинг – це не тільки крадіжка персональних даних звичайних інтернет-користувачів. Таким чином шахраї все частіше намагаються переконати співробітників підприємств надати їм логін і пароль для внутрішньої мережі компанії або встановити шкідливе програмне забезпечення. Воно дасть їм відкритий доступ до бази даних компанії або організації і призведе до крадіжки різної інформації.
Читайте також: 5 простих порад: як створювати паролі та керувати ними
Вищезгаданий цільовий фішинг найчастіше використовується для конкретних цілей. Цей метод полягає в тому, що злочинці вибирають конкретну людину з персоналу компанії і фокусують на ній свою увагу, змушуючи грати на своєму полі. В особливій зоні ризику – бухгалтери, секретарі та співробітники, які мають доступ до бази даних. Злочинці місяцями збирають інформацію про цю людину і використовують її, щоб зробити шахрайство якомога більш достовірним. Іноді шахраї навіть прикидаються супервайзерами або допоміжним персоналом, змушуючи користувача встановити шкідливу програму на свій ПК. Такий фішинг складніше розшифрувати, тому що він персоналізований, що, безумовно, ускладнює пошук зловмисників.
Читайте також: Едвард Сноуден: хто він і що про нього відомо?
Все більше і більше організацій стикаються з цією проблемою. Кращим способом мінімізувати таку загрозу досі залишається навчання та інформування співробітників, щоб вони не стали жертвами хитромудрих злочинців. В даний час це кращий метод захисту від фішингу, оскільки антивірусні програми іноді можуть виявити шкідливе вкладення в повідомленні електронної пошти або заблокувати підроблений веб-сайт, але вони роблять це не у всіх випадках. Здоровий глузд і принцип обмеженої довіри є кращою зброєю в боротьбі з шахрайством.
Як розпізнати фішингові повідомлення?
Передбачити дії шахраїв не завжди просто, але якщо ми не дозволяємо собі поспіху і спокійно підходимо до кожного і, особливо, підозрілого повідомлення, перевіряємо його кілька елементів, то у нас є хороший шанс не стати жертвою фішингу. Нижче наведені деякі приклади шкідливих повідомлень. У них будуть вказані основні елементи фішингових атак, які повинні допомогти вам їх розпізнати.
Зверніть увагу на відправника повідомлення
У більшості випадків шахраї не намагаються приховати адресу, звідки надходять небезпечні повідомлення, або невміло видають себе за довіреного постачальника послуг. Наведений приклад ясно показує, що в полі «Від» відсутня адреса з домену банку, як стверджують кіберзлочинці. Замість цього ви можете знайти домен *.com.ua або *.org.ua замість *.ua, який використовується фінансовими установами, що діють в Україні. Іноді шахраї більш хитрі і використовують адреси, схожі на служби, які вони уособлюють, але відрізняються від оригіналу невеликими деталями, такими як зміст листа або анотації до них.
Перевірте адресу сторінки, на яку веде посилання
Особливу увагу в повідомленнях електронної пошти слід приділяти адресам сторінок, на які вони посилаються. Всупереч зовнішному вигляду, вам не потрібно натискати на них, щоб побачити, куди вони вас перенесуть. Просто наведіть курсор миші на посилання і почекайте, поки браузер або програма електронної пошти не покаже URL, прихований під текстом. Особливу увагу слід приділяти сайтам, які не мають відношення до наданої послуги.
Не поспішайте
Поспіх ніколи не буває хорошим помічником. Теж саме стосується аналізу отриманих повідомлень, які приходять на нашу пошту. Злочинці часто намагаються змусити потенційних жертв поквапитися і, звичайно ж, для того, щоб спровокувати помилку. Вони всіляко намагаються обмежити проміжок часу дії акції або розіграшу, коли ви отримаєте свій приз або грошову винагороду.
У деяких випадках шахраї навіть загрожують блокуванням облікового запису в будь-якому сервісі. Не обманюйтесь цим і завжди ретельно перевіряйте підозрілі повідомлення. Пам’ятайте, що безкоштовний сир буває тільки в мишоловці. До того ж організатори розіграшів і акцій навряд чи будуть блокувати ваш обліковий запис. Їм потрібні передплатники та шанувальники для інших подібних акцій.
Запит конфіденційних даних – це завжди афера
Основний принцип безпеки при електронному зв’язку постачальників послуг і їх клієнтів полягає в тому, щоб не відправляти конфіденційні дані в листуванні. Якщо вас попросять ввести логін і пароль для служби, тому що ваш обліковий запис заблоковано або щось подібне, ви можете бути впевнені, що повідомлення було відправлено злочинцями. Однак, якщо у вас є сумніви, будь ласка, зв’яжіться з постачальником, наприклад, послуг телефонного зв’язку, який розвіє будь-які ваші сумніви. Пам’ятайте, ні банки, ні мобільні оператори або інші служби не мають права змушувати вас відправляти їм персональні дані.
Читать також: Чому в наш час без VPN в Інтернет краще не заходити
Труднощі перекладу
Значна частина фішингових кампаній підготовлена іноземними злочинцями, які не мають уявлення про нашу мову. Вони використовують онлайн-сервіси для перекладу вмісту електронних листів на російську або українську мови, що часто виявляється досить кумедним. Такі повідомлення не позбавлені граматичних помилок, в них відсутні знаки пунктуації та купа неправильно написаних слів. Якщо ви помітили щось подібне, можете без сумнівів видалити повідомлення.
Остерігайтеся вкладень
Злочинці також використовують шкідливі програми для захоплення конфіденційних даних або зламу комп’ютерів і цілих мереж. Механізм дії той же, і являє собою спробу переконання жертви відкрити шкідливе вкладення. Найчастіше вони приховані в архівах ZIP або RAR і мають форму виконуваних файлів EXE або BAT. Однак шкідливий код також можуть приховати в макросах документів програм Microsoft Office або Google Docs, тому вам слід звернути на них увагу і виконати сканування за допомогою антивірусної програми перед запуском.
Якщо ви звертаєте увагу на ці елементи при аналізі підозрілих повідомлень, швидше за все вас не обдурять злочинці.
Як захистити себе від фішингу?
На жаль, немає такого інструменту, який би гарантував високий рівень захисту від такого роду шахраїв. Щоб уникнути фішингу, потрібно використовувати кілька елементів. Найбільш важливими з них є здоровий глузд і обмежена впевненість в кожному повідомленні. Пам’ятайте, ми на передньому краї боротьби зі злочинцями і тільки від вас залежить, наскільки ефективно ви зможете їм протистояти.
Також рекомендується використовувати антивірусні програми, незважаючи на те, що вони не зможуть вказати, чи електронна пошта, яка переглядається, є фішинговою. Але вони зможуть заблокувати деякі небезпечні сайти і вкладення. Упевнений, що антивірусне ПЗ обов’язково допоможе вам захистити комп’ютери і персональні дані.
Читайте також: 10 кращих програм для зберігання паролів
Також важливо використовувати актуальне програмне забезпечення, зокрема операційні системи, тому що нові вразливості і проблеми безпеки постійно виявляються розробниками і знешкоджуються. Пам’ятайте, що тільки використання найостанніших версій ОС гарантує отримання своєчасних оновлень безпеки.
Доброю практикою також є використання двоетапної перевірки особистості користувача в web-сервісах. Вона широко використовується в електронному банкінгу, але доступна в усе більшій кількості сервісів і веб-сайтів. Двоетапна (або двокомпонентна) перевірка полягає у введенні додаткового коду на додачу до традиційного паролю і логіну
Код для входу може бути відправлений вам по електронній пошті, в SMS або згенерований додатком, наданим постачальником послуг. Існують також сторонні програми, які дозволяють пов’язувати облікові записи з багатьма веб-сайтами і створювати коди в одному місці, наприклад, на вашому смартфоні.
Однак найбільш зручною формою двоетапної перевірки є фізичні ключі безпеки U2F, які усувають необхідність переписувати паролі і коди в блокнот. Просто вставляєте ключ в USB-порт комп’ютера, тим самим зв’язуючись з підтримуваними службами для авторизації.
Фішинг є величезною загрозою, оскільки, згідно з деякими дослідженнями, він є не тільки причиною втрати грошей багатьма користувачами, але і основною причиною витоку даних компаній. Однак, як ми показали в цій статті, в більшості випадків наміри кіберзлочинців легко розпізнати і запобігти їм.
Читайте також: Мобільний Google Chrome на стероїдах: активуємо 5 прихованих функцій