Фишинг – это вид мошенничества, который в последние годы становится все более распространенным в интернете. Многие так или иначе сталкивались с фишингом: мошенничество через электронные сообщения, телефонные звонки, смс, мессенджеры, соцсети и др.
Простыми словами, фишинг – это такой современный способ развода на деньги. Как правило, задача мошенника при фишинговых атаках – заполучить средства со счета или карты. О том, какие еще цели преследует фишинг, рассказываем далее.
Кто может попасть под фишинговые атаки
Виды фишинга: как он может работать
CEO-мошенничество, или уэйлинг
Фишинг в соцсетях и мессенджерах
Классические приемы фишинговых атак
Фиктивное списание средств со счета
Нежелательные изменения в банковском продукте
Бесплатные услуги «здесь и сейчас»
Дешевые товары на копии маркетплейса
Документы с вредоносными программами
Продажа или покупка товаров на Авито
Обзвон по телефону от «сотрудников банка»
Обзвоны по телефону от «сотрудников правоохранительных органов»
Цели фишинга
Основная цель фишинга – доступ к конфиденциальным данным, которые затем могут быть использованы для получения финансовой выгоды.
Какие еще цели преследуют фишинг-мошенники:
- получить доступ к финансам;
- украсть логины и пароли от соцсетей и мессенджеров;
- завладеть Apple ID и управлять подписками, финансами и личными данными;
- бесплатно пользоваться сервисами и подписками, которые человек оплачивает;
- использовать личные данные для фиктивных кредитов или ставок в букмекерских конторах;
- шантажировать человека, используя его личные данные: переписку, фото, видео и др.
Кто может попасть под фишинговые атаки
Методы фишинговых атак настолько разнообразны, что с этим видом мошенничества может столкнуться кто угодно: обычные люди, знаменитости, крупные и небольшие компании.
Крупные компании
Даже бизнес-гиганты не застрахованы от фишинговых атак. Так, согласно ресурсу Bleeping Computer, в 2023 году хакеры обнаружили изъян в общедоступном API и похитили данные о 2,6 млн пользователей сервиса DuoLingo. На хакерских форумах эту информацию можно было купить за 1,5–2,3 тыс. долларов.
Небольшие компании
Существует несколько типов фишинговых атак, на которые легко попадаются небольшие компании. Например, письмо от «налоговой» с вирусом, блокирующем работу серверов. Как правило, в таких случаях мошенники требуют выкуп.
Другой пример фишинговой атаки компаний: директору или главному бухгалтеру приходит электронное письмо с вложением, которое они скачивают на компьютер. Вложение почему-то не открывается, и про него вскоре забывают. А на самом деле это фишинговая программа, которая передает мошенникам данные с компьютера, в том числе логины и пароли от интернет-банкинга.
Знаменитости
Чаще всего цель фишинговых атак знаменитостей – получить доступ к компрометирующим данным или интимным фото из облачных хранилищ. Громкий пример – слив фотографий из iCloud Дженнифер Лоуренс, Рианны, Ким Кардашьян и десятка других в 2014 году. Мошенники отправляли фишинговые письма якобы от Apple с просьбой сменить пароли аккаунтов.
Обычные люди
Если для фишинга компаний мошенники придумывают персональные схемы, то в случае с обычными людьми в ход идут массовые рассылки или обзвоны. Хлопот с таким видом фишинга минимум, сценарии универсальные и долгоиграющие, а расчет делается на то, что кто-то да клюнет.
Инструменты фишинга
Мошенники используют разнообразные схемы, но чаще всего в их основе лежат одни и те же инструменты: фишинговые сайты, приложения и ссылки.
Фишинговые ссылки
Один из главных инструментов фишинга – ссылка с вредоносным содержанием. Она может либо вести на подставной сайт, либо активировать вирус.
Адреса сайтов часто выглядят как настоящие – но секрет в том, что для фишинга через ссылку мошенники меняют в ней пару букв, чтобы невооруженным взглядом никто не заметил подмены. Например, меняют букву «О» на ноль или английскую «I» на единицу.
Чтобы защититься, нужно тщательно проверять ссылку на фишинг, а если заметите что-то подозрительное, не переходить по ней и не вводить никаких данных.
Фишинговые сайты
Фишинг-сайты – это дубликаты страниц, которые мошенники создают с целью ввести в заблуждение пользователя и получить его данные. Как правило, на такие сайты ведут фишинговые ссылки.
Самым простым и доступным обычным пользователям способом проверки сайта на фишинг является банальная сверка написания домена с официальным сайтом.
Фишинговые приложения
Фишинг распространился и на мобильный мир – даже в официальных источниках можно скачать фишинговые приложения.
Пользователь заходит в Google Play, вводит название приложения и по незнанию может случайно скачать фишинговое, которое недобросовестные разработчики замаскировали под настоящее.
Похожая иконка и название – вот и все, что требуется, чтобы вы нажали не туда. Как результат – вы скачиваете фишинг-приложение на свой андроид и подвергаете опасности данные смартфона.
Владельцы айфонов в этом плане защищены чуть лучше – их операционная система, а также политика iOs, тщательнее следит за приложениями на своем маркете.
Мошенники умеют зарабатывать и на рекламе – подробнее об этом виде атак читайте в нашей статье «11 способов кликфрода-2020: как распознать и побороть».
Виды фишинга: как он может работать
Фишинг – это вид мошенничества, который проник во все уголки интернета. Преступники стали настолько изобретательны, что появились отдельные типы фишинга в зависимости от способа, места действия и целей злоумышленников.
Социальная инженерия
Фишинг – это необязательно хитроумные схемы. Если вам когда-то поступал звонок от лжесотрудника банка, значит, вы уже сталкивались с методом социальной инженерии в фишинге. Это самый популярный вид атак – не нужно никого взламывать, ничего рассылать и подбрасывать вирусы. Ставка делается на эффект неожиданности,
актерские способности мошенника, доверчивость абонента, а также на низкий уровень его киберграмотности.
- Телефонный (голосовой) фишинг, или вишинг, – это подвид социальной инженерии, когда вы получаете фишинг-звонок и напрямую общаетесь с мошенником.Опасность этого метода в том, что попасться на удочку может даже человек, хорошо осведомленный о таких атаках. По ту сторону трубки часто оказывается неплохой психолог, который умело манипулирует имеющейся информацией. Фишинг на телефоне рассчитан на то, что чем дольше вы общаетесь со злоумышленником, тем больше теряете бдительность.
- Претекстинг – еще один метод социальный инженирии, его цель – добиться доверия жертвы. Этот вид фишинга требует подготовки: мошенники заранее собирают информацию о вас, чтобы выбрать себе личность, которая вас заинтересует. Так, если вы активно ищете работу, злоумышленник может представиться сотрудником карьерного центра и руководителем HR-отдела крупной компании. Добившись вашего распоряжения, мошенники обманом и манипуляциями предлагают оплатить консультацию или пройти платный тест на профориентацию.
- Смс-фишинг – еще один вид социальной инженерии. Атака происходит через сообщения на ваш смартфон. Обычно мошенники прикидываются друзьями, которые якобы попали в беду и просят помочь деньгами.
Безопасными сайтами, на которых можно заработать в онлайне, мы поделились в статье «Как заработать в интернете в 2023 году без обмана и финансовых вложений».
Целевой фишинг
Исходя из названия, можно догадаться, что целевой фишинг направлен на конкретного человека. Это может быть как известный человек, так и сотрудник компании.
Чаще всего объектами целевого фишинга становятся руководители и топ-менеджеры, HR- и PR-специалисты, представители департаментов закупок и продаж, то есть все, кто по работе регулярно получает письма с вложениями от незнакомых отправителей.
Фишинг через ПО
Некоторые мошенники создают специальные программы для фишинга паролей и других данных. Их распространяют через смс, электронные письма или сообщения в соцсетях и мессенджерах. Текст таких сообщений обычно содержит вложение с вредоносным ПО.
Чаще всего жертвами таких атак становятся небольшие компании, которые не обладают ресурсами для защиты от фишинга через программы и слишком поздно замечают уязвимость своих серверов.
CEO-мошенничество, или уэйлинг
Злоумышленники находят в открытых источниках данные о руководителях компании, подделывают их почтовые адреса и рассылают подчиненным сообщения от имени директора.
Как правило, такие письма содержат распоряжения перевести средства фирмы на указанные реквизиты или срочно оплатить счет из вложения. Ничего не подозревающие сотрудники выполняют поручения «босса» и деньги уходят к мошенникам.
Веб-фишинг
При веб-фишинге мошенники создают копию какого-либо сайта, от имени администрации просят пользователя залогиниться или сменить пароль по указанной ссылке, мотивируя это соображениями безопасности и имитируя заботу о пользователе.
Как только вы вводите логин и пароль на фальшивом сайте, мошенники получают данные для входа в ваш аккаунт и, в зависимости от ресурса, могут пользоваться вашими подписками, распоряжаться вашими счетами или совершать покупки от вашего имени.
Почтовый фишинг
Фишинг через почту работает по принципу «Перейди по ссылке». Обычно мошенники отслеживают, какими брендами пользуется человек и на какие сайты заходит. Потом ему приходит письмо от этого бренда с просьбой перейти по ссылке, чтобы:
- сменить пароль;
- получить подарок;
- поучаствовать в акции;
- произвести оплату;
- подтвердить почту и др.
Но ссылка ведет на подставной сайт, где все готово, чтобы завладеть данными пользователя или заразить компьютер вирусом. Вот так работает фишинг через электронную почту.
Злой двойник
Evil twin, или злой двойник, дублирует название общедоступной сети Wi-Fi. Мошенники имитируют сеть, которая кажется безопасной, ждут, когда пользователь подключится к «злому двойнику» и получают доступ к его данным.
С этого момента хакеры могут отслеживать местоположение пользователя, операции на устройстве, логины и пароли, банковские данные и др.
Фишинг в соцсетях и мессенджерах
Мошенники добрались до соцсетей и мессенджеров: атаки в Телеграме и ВКонтакте, фишинг в WhatsApp веб- и мобильной версии – везде нужно оставаться начеку.
Фишинг Вконтакте. В этой социальной сети мошенники действуют по следующей схеме, но возможны и небольшие отклонения от сценария:
- Получают доступ к аккаунту кого-то из друзей или подписчиков;
- Заходят в диалоги и видят, с кем пользователь чаще всего переписывается;
- Пишут ему от имени друга .Сначала разговор выглядит непринужденным, но скоро мошенники переходят в активную фазу атаки: просят одолжить денег или присылают фишинг-ссылку ВКонтакте.
Фишинг в WhatsApp. Здесь мошенники действуют по нескольким сценариям:
- Заходят в диалоги взломанного аккаунта и просят в долг незначительную сумму, с расчетом на то, что так получат меньше отказов;
- Создают рассылку всем контактам с фишинговой ссылкой;
- Прикидываются клиентом, работодателем или компанией, предоставляющей услуги;
- Добавляют пользователя в спам-сообщество.
Фишинг в Телеграме. Атаки в Телеграме направлены как на обычных пользователей, так и на публичные каналы с многотысячной аудиторией. Схемы примерно такие же, как с другими соцсетями и мессенджерами.
Мошенники даже создают специальные фишинг-боты в Телеграме, которые автоматизируют преступную рутину и позволяют охватить больше аккаунтов.
«Ловля на живца»
Этот вид фишинга выделяется на фоне остальных тем, что выходит за рамки веба. Схема состоит из двух этапов: офлайн и онлайн.
- Офлайн – мошенники оставляют какую-то приманку, например флешку с наклейкой «Пароли от интернет-банкинга» или поддельный подарочный сертификат со ссылкой активации;
- Онлайн – нашедший наживку из любопытства вставляет флешку в свой компьютер или вводит адрес ссылки из сертификата. А дальше по накатанной: злоумышленники получают доступ к девайсу пользователя или к его данным.
Классические приемы фишинговых атак
Если говорить о содержании фишинговых сообщений, то чаще всего мошенники используют проверенные временем классические приемы.
Проверка информации о счете
Пользователю поступает электронное письмо или звонок от сотрудника банка с просьбой сверить информацию о счете. Поначалу информация соответствует действительности – ФИО, дата рождения, адрес регистрации. Но потом лжесотруник намеренно диктует неправильный номер счета или кодовое слово, а когда пользователь указывает ему на это, он ссылается на ошибку в системе и просит сообщить актуальные данные. Делать этого ни в коем случае нельзя.
Сбой системы
Механизм примерно такой же, как с проверкой информацией о счете, только в данном случае мошенники будут давить на форс-мажорные обстоятельства и на угрозу безопасности данных пользователя.
Фиктивное списание средств со счета
Мошенники звонят, чтобы якобы подтвердить списание крупной суммы со счета пользователя. Он, конечно, говорит, что ничего и никому не переводил. Тогда ему заявляют, что злоумышленники завладели его банковскими данными и нужно срочно перевести деньги с текущего счета на новый, более защищенный. На самом же деле мошенники просто пытаются вывести деньги с его счета на свой.
Нежелательные изменения в банковском продукте
Якобы кто-то оформил кредит на имя пользователя, превысил лимит по его кредитной карте или снял крупную сумму наличных. Чтобы не потерять свои средства, сохранить выгодные условия кредитного договора или закрыть нежелательный кредит, мошенники предложат перейти по фишинговой ссылке или внести депозит на подставной счет.
Бесплатные услуги «здесь и сейчас»
«Супервыгодное предложение», «только для вас» и «только сегодня» – все абсолютно бесплатно, но нужно внести депозит, чтобы подтвердить платежеспособность. Пользователю пообещают, что когда деньги поступят на счет, он сможете их вывести в любой момент. И предложат вариант быстрого пополнения по фишинговой ссылке. Скорее всего, вывести деньги не получится.
Примеры фишинга
Некоторые сценарии фишинговых атак встречаются чаще всего, хотя порой они выглядят вполне безобидно.
Предложение от «маркетплейса»
Мошенники мониторят открытые вакансии на сайтах поиска работ и связываются с «жертвами» в мессенджерах – предлагают за хорошие деньги заполнять карточки на маркетплейсах. Далее просят перейти по фишинговой ссылке якобы на маркетплейс.
Выигрыш в бесплатной лотерее
«Вы выиграли приз, поздравляем! Перейдите по ссылке, заполните анкету, оплатите расходы на доставку» – примерно по такому сценарию работают мошенники в рамках этой схемы.
Дешевые товары на копии маркетплейса
Один из вариантов веб-фишинга: мошенники создают копию маркетплейса с фальшивыми карточками товаров по заманчивой цене. Далее ссылку на этот маркетплейс либо распространяют рассылкой, либо закидывают в сообщества в мессенджерах. Люди переходят и попадаются на удочку.
Документы с вредоносными программами
Пример почтового фишинга: человек ждет важное письмо от налоговой службы, мошенники это знают и отправляют с подставного электронного адреса файл с названием «Запрос из ФНС». Вредоносное ПО может быть запущено или после открытия файла, или уже в момент скачивания.
Продажа или покупка товаров на Авито
Допустим, человек продает велосипед на Авито. С ним связывается покупатель – он готов оплатить покупку прямо сейчас. Только зачем-то он присылает ссылку на оплату, где продавец должен ввести данные карты, на которую покупатель переведет деньги. Так нельзя делать ни в коем случае.
Обзвон по телефону от «сотрудников банка»
Человеку звонят из банка, в котором у него открыт счет и под предлогом обычной сверки информации пытаются выудить данные карты: последние цифры номера, cvc-код и кодовое слово.
Обзвоны по телефону от «сотрудников правоохранительных органов»
Под видом сотрудника МВД или ФСБ злоумышленники действуют по двум сценариям:
- «Мы поймали / вышли на след мошенника, который пытался похитить средства с вашего счета»;
- «Мы поймали сотрудника банка, который слил ваши данные мошенникам».
Цель таких обзвонов – заставить человека сообщить свои банковские данные или перевести средства на другой счет.
Как распознать фишинг
Чтобы проверить на фишинг ссылку, сайт или любое сообщение, оцените подозрительный объект по этим критериям:
- Обезличенные приветствия. Если вы увидите «Уважаемый друг» или «Дорогая Olga», лучше проигнорируйте письмо, так как здесь поработал фишинг-бот;
- Чересчур заманчивые предложения. Например, вам предлагают быстро и много заработать на лайках или на просмотре рекламы;
- Нарочитое запугивание. Вас пугают штрафами, задолженностями, просрочками, которые нужно погасить прямо сейчас по указанной ссылке;
- Подозрительные домены. Например, мошенники представляются сотрудниками Google, но адрес ссылки не имеет ничего общего с официальным сайтом или тщательно под него замаскирован;
- Ошибки и опечатки. От этого никто не застрахован, но если в письме слишком много орфографических ошибок, опечаток или замен кириллицы на латиницу, скорее всего это фишинговая атака.
Как защититься от фишинга
Не стать жертвой мошенников довольно просто, если знать несколько правил защиты от фишинга. Есть определенные советы, что нужно делать и каких действий стоит избегать, чтобы не попасть на крючок злоумышленников – рассмотрим их по отдельности.
Что надо делать
- Изучите виды фишинга и излюбленные приемы мошенников.
- Используйте усиленную защиту от фишинга, например антивирус.
- Проверьте адресную строку на ошибки.
- Периодически меняйте пароли.
- Удаляйте аккаунты с сайтов, которыми больше не пользуетесь.
- Включите двухфакторную авторизацию в мессенджерах, соцсетях и на всех ресурсах, где это возможно.
- Регулярно обновляйте приложения и браузеры, ведь в новых версиях разработчики в том числе усиливают защиту от фишинга и вредоносного ПО.
- Используйте фильтр от спам-рассылки в электронной почте.
Что не надо делать
- Не переходите по подозрительным ссылкам.
- Не кликайте на всплывающие баннеры с подозрительным содержанием.
- Не сообщайте никому свои персональные данные.
- Не храните пароли от карт и сайтов там, где их могут увидеть посторонние.
- По возможности не заходите на рабочем компьютере или с общедоступной сети Wi-Fi в мессенджеры, соцсети, на сайт госуслуг и др.
Программы защиты от фишинга
Действенный способ защиты от фишинга – программы, созданные для этой цели:
- Avira – антивирусное ПО широкого спектра сканирует сайты и почту и блокирует фишинговые атаки;
- ZeroFox – антивирус защитит от утечки данных, угроз в мессенджерах и соцсетях и других мошеннических активностей;
- Check Point – универсальное средство защиты для компьютеров и мобильных устройств;
- ManageEngine – программа для блокировки доступа к вредоносным ресурсам защищает ваши устройства и отражает фишинговые атаки;
- BrandShield – распознает фальшивые сайты, блокирует вредоносные всплывающие окна и защищает от фишинговых атак на любой платформе.
Вывод
Фишинг – это серьезная проблема в современном интернете и телефонии. Хакеры постоянно разрабатывают новые методы мошенничества, чтобы получить доступ к личной информации.
Защитить себя от этих атак можно, если уделить должное внимание собственной киберграмотности: быть внимательными при открытии подозрительных писем и ссылок, не сообщать по телефону личные данные и использовать надежные программы для защиты компьютера и смартфона. Только так можно успешно бороться с фишингом и сохранить данные в безопасности.
