Фишинг: Как распознать и не попасться на удочку мошенников

Что такое Фишинг

Фишинг (phishing) является одним из видов интернет-мошенничества, который нацелен на кражу конфиденциальных данных пользователей. Мы имеем дело с одним из старейших типов кибератак, которая использует в качестве оружия электронную почту. Это простейший способ, но не менее опасный и эффективный. В английском языке сочетание слов «fishing» (рыбалка) и «phony» (обман) привело к тому, что букву «f» заменил «ph». Таким образом термин приобрел написание «phishing». 

Внешне кажется, что фишинговые сообщения приходят от имени популярных организаций, правительственных органов, банка или администрации социальной сети, но на самом деле они являются поддельными. То есть, злоумышленники маскируются под некое доверенное лицо, часто реальное или правдоподобное, или компанию, с которой жертва уже имеет дело. За годы эти сообщения становятся все более изощренными. Например, вам предлагают узнать, кто заходил на аккаунт в Facebook, или скидку в интернет-магазине. Сообщения, как правило, рассылатся массово с расчетом на то, что максимальное количество пользователей попадутся на удочку. Согласно статистике, фишерам удается получить личную информацию от 5% предполагаемых жертв.

Имея фишинговые инструменты, даже начинающий хакер с минимальными техническими навыками сможет осуществить успешную атаку.

В письмах вас вежливо попросят обновить или подтвердить верность персональной информации, затем вас перенаправляют на поддельный сайт ("phishing kit"), который внешне не отличишь от настоящего, и просят ввести учетные данные или номер кредитной карты.

Одна из самых серьезных фишинговых атак в истории произошла в 2016 году, когда хакерам удалось заставить председателя кампании Хиллари Клинтон Джона Подеста передать свой пароль Gmail. В 2017 году мошенники вынудили бухгалтерские службы Google и Facebook перечислить в общей сложности более 100 миллионов долларов на заграничные банковские счета хакеров.

Впрочем, фишинг осуществляется сегодня посредством также SMS и телефона.

Как распознать фишинг

Обычно в таких письмах сообщается о выигрыше в лотерее или об оставленном вам наследстве от некоего дальнего родственника и вам просто нужно сообщить свои личные данные, чтобы получить его. Вам также могут предложить проверить, не числится ли банковская карта в реестре украденных данных, и для этого ввести номера карты, срока действий, имени и фамилии владельца. То есть, мошенники просто играют на человеческой жадности, желании халявы или чувстве страха. Мошенники могут сыграть и на чувстве страха.

Ресурс, на котором предлагается оставить свои конфиденциальные данные, может быть похож по дизайну на знакомый вам сайт, но, приглядевшись повнимательнее, вы увидите, что адрес, хоть и имеет сходство, но не одинаковый. Письма даже поддерживают HTML-вёрстку и адрес фишингового сайта можно замаскировать под знакомый пользователям домен. Ссылка, по которой вам предлагается перейти, может быть выполнена и в виде QR-кода. Например, вам предложат полезную программу для возврата налогов или снижения штрафов. 

Также будьте внимательны к наличию физических контактов компании. Контактные данные на легитимном сайте должны быть реальными и располагаться на странице обратной связи. Кроме того, серьезный банк не будет находиться по сомнительному адресу.

Вы можете распознать фишинговый сайт, проверив цифровые сертификаты веб-сайтов. При использовании этой технологии адреса сайта начинается на «https://», а не «http://». Увидев последний, вы должны усомниться в оригинальности страницы. Хотя и наличие соответствующего сертификата - не гарант безопасности, так как получить его при помощи специальных сервисов не так уж и сложно. В последнее время появились довольно грамотные «обманки».

Присмотритесь, нет ли орфографических опечаток на странице, дефекты верстки, выполнен ли качественный дизайн, вряд ли хакеры будут тратить деньги на то, чтобы нанять корректора, редактора или профессионального дизайнера. 

85% атак направлены на банки и другие финансовые учреждения. Если ваш банк отправляет вам официальную корреспонденцию, на нем скорее всего будет указано ваше полное имя, и письмо не будет начинаться с фразы "Уважаемый клиент». Кроме того, банк вряд ли будет угрожать вам закрытием счета, если вы не передадите им немедленно свои конфиденциальные данные. Потерять клиента никто не хочет. 

К тому же ни одно серьезное предприятие не будут запрашивать личную информацию по телефону или электронной почте.

На настоящих сайтах, как правило, не требуется отправлять СМС для подтверждения вашего существования, да еще и на короткие номера.

Как противостоять фишингу

Противостоять мошенникам вы можете, соблюдая элементарные правила интернет безопасности.

Если вы получили электронное письмо, которое, по вашему мнению, может быть попыткой фишинга, ни в коем случае не отвечайте на него, не переходите по ссылкам и не предоставляйте свою личную информацию. Если же вы уже сделали это, сообщите о случившемся компании, под которую фишеры маскировались. Измените пароли, которые вы указали, а если вы используете одинаковые пароли на разных сайтах, то и их тоже.

Используйте надежные браузеры, такие как Chrome, Firefox, Yandex, которые имеют высокий уровень безопасности, в том числе антифишинговую защиту. Сохраняйте в своем браузере адреса сайтов, которые часто используете. 

Важно также установить на компьютере эффективный антивирус, который будет иметь такой инструмент, например, как «Безопасные платежи».

Если вы подозреваете, что полученное электронное письмо было отправлено мошенником, введите имя отправителя или отрывок текста письма в поисковую систему. Вы увидите, связаны ли с этим письмом какие-либо фишинговые атаки.

Проверьте, есть ли на сайте гостевая, форум или чат.