Что такое фишинг и какую цель он преследует?

Фишинг (англ. phishing = fishing + password) – популярная техника интернет-мошенничества, направленная на получение конфиденциальной информации пользователей (авторизационных данных различных систем, данных банковских карт, персональных и паспортных данные, служебной информации, кодов доступа и др).

Любая информация представляет интерес для хакеров, ведь потом ее можно перепродать, да и вообще использовать для заработка еще множеством разных способов.

А чем может для человека грозить потеря данных объяснять, наверное, не надо: от простой потери доступа к личной странице в социальной сети, до компрометации или потери контента компании без возможности восстановления (если фишинговая атака была произведена с целью нападения на какую-то компанию).

Виды фишинга

Фишинг достаточно разнообразен и подразделяется на несколько видов, в зависимости от цели или способа атаки.

Он может быть направлен просто на физических лиц (целевой) или же на высокопоставленных лиц, так называемых “китов” крупных компаний (уэйлинг).

А, если делить фишинг по способам атак, различают:

  1. Собственно фишинг (англ. phishing), как рассылка сообщений с заражёнными или поддельными сайтами. Это общий для всех видов фишинга термин
  2. Вишинг (англ. Voice + phishing = vishing) — атаки с помощью телефонных звонков
  3. Смишинг (англ. Sms + phishing = smishing) — атаки через СМС-сообщения
  4. Фарминг (англ. pharming) — секретное перенаправление пользователя на заражённый сайт без его ведома
  5. Фишинг в социальных сетях

Разберемся поподробнее с тем, как могут выглядеть фишинговые атаки. Основным видом фишинговых атак является поддельное письмо, отправленное жертве по электронной почте. Письмо это может выглядеть, как официальное письмо от платежной системы или банка. Либо как сообщение о каком-то выигрыше или скидках и акциях в популярном магазине. Также могут приходить сообщения о попытке взлома каких-то ваших данных, о том, что обнаружена подозрительная активность или мошеннические действия в вашей учётной записи и просьба срочно сменить пароль. В письме будет содержится форма для ввода персональных данных (пин-кодов, логина и пароля и т.п.) или ссылка на web-страницу, где располагается такая форма. В таких случаях хакеры играют на эмоциях: радость выигрышу, любопытство или переживаниях за свои данные.

Как не попасться?

Всегда главное – быть внимательным. Проверяйте письма, которые к Вам приходят. Проверяйте адрес отправителя (особенно если письмо от представителя какой-то компании, не поленитесь зайти на сайт компании и свериться с указанными на нем контактами). Обратите внимание, не отображается ли какой-то другой адрес в левом нижнем углу страницы при наведении курсора на ссылку в письме. Также, будьте аккуратны, если ссылок в письме вообще нет, а они выполнены в виде кнопок, картинок и QR-кодов. И в целом, не переходите бездумно по ссылкам из писем, не нажимайте на прикрепленные картинки (в них могут скрываться вирусы) и не открывайте вложенные файлы.

Ссылки в таких фишинговых письмах ведут на фишинговые сайты. Это поддельные сайты, являющиеся копией какого-то реально существующего сайта, но созданные специально с целью укрась данные пользователя. Обычно подделывают сайты банков или каких-то платежных сервисов, почтовиков, страницы с формами авторизации для разных сайтов и т.д.

Есть несколько признаков, по которым можно понять, является ли сайт, на который Вы зашли – поддельным.

  • Первый этап – это HTTP вместо HTTPS в адресе сайта. Однако сейчас прогресс уже дошел до того, что многие поддельные сайты работают по HTTPS, так что этот критерий далеко не самый надежный и не стоит сильно на него полагаться.
  • Второй этап – внимательно проверить адрес сайта на наличие опечаток, перестановок букв в словах, которые не заметны при беглом просмотре адреса. Например, https://www.microsotf.com вместо https://www.microsoft.com. И обращайте внимание на доменные имена https://www.microsoft.t.com вместо https://www.microsoft.com. Если сомневаетесь, найдите в поисковике оригинальный сайт и сравните адреса — так вы поймёте, попали ли вы к мошенникам.
  • Кроме того, присмотритесь к верстке сайта (шрифт, цвет, расстояние, орфографические ошибки), возможно, мошенникам было лень тратить время на хорошую копию сайта.
Фишинговые звонки

Это звонки от псевдо сотрудников банков, которые сообщают о подозрительных операциях по Вашим картам, просят назвать код из СМС-сообщения или CVV-код на карте. Вам также могут звонить, если Вы давали какие-то объявления о продаже и просить данные карты, будто для перевода предоплаты – тоже фишинговая схема.

Фишинговые СМС

Это упрощенная версия фишинговых писем. Иногда бывает так, что чем проще – тем лучше, ведь в СМС-сообщении меньше места, чтобы ошибиться. Такие сообщения краткие, лаконичные и внушают больше доверия, чем письма. А в остальном все по аналогии: Вам приходит сообщение о том, что с вашими данными или с картой что-то не так, просьба связаться по такому-то телефону и, если Вы перезваниваете, то в дело вступает вишинг. Или в СМС-сообщении может быть дана ссылка для сброса каких-то данных или наоборот заполнения – не переходите по ней!

Фишинг в социальных сетях

Фишинг в социальных сетях работает по тем же схемам, что и стандартный, стараясь сыграть на эмоциях. Все такие приемы воздействия на человека называются социальной инженерией. То есть это приемы психологического манипулирования людьми с целью совершения ими нужных злоумышленнику действий или жертвой конфиденциальной информации. Вам может прийти письмо, сообщающее о том, что злоумышленник завладел провокационными материалами с Вашим участием. При этом он может потребовать выкуп, за удаление этих данных или прикрепить к сообщению ссылку будто на эти материалы, однако при переходе по которой Вы ничего не обнаружите, но на Ваше устройство попадет вирус. Еще Вам может написать будто бы администратор группы, в которой Вы состоите и сообщить о том, что Вы выиграли приз, но нужно оплатить пересылку или пошлину для его получения — это тоже может быть ловушка! И самое распространенное, с чем многие уже могли сталкиваться – неожиданные сообщения от Ваших друзей с просьбами денег в долг, на лечение и т.д. Конечно, такие сообщения не всегда могут быть ложью, но лучше лично позвонить и узнать.

Рассмотрим отдельно способы атак на компании с целью получения конфиденциальной информации о клиентах или подрыва авторитета компании

Атака может производиться через невнимательного сотрудника. Здесь работают все способы, перечисленные выше, так что злоумышленники могут получит доступ к корпоративным аккаунтам, а значит и к важной информации. И такая практика является достаточно распространённой, ведь очень часто в новостях появляются сообщения вроде “Произошла утечка, из-за которой были скомпрометированы данные… как пояснили, представители компании, причиной произошедшего стал «человеческий фактор»”. Из этого делается элементарный вывод: безопасность и благополучие компании зависит от осведомленности и ответственного отношения каждого сотрудника. Именно поэтому надо проводить тренинги по информационной безопасности в компаниях, чтобы таких ситуаций не происходило.

Помимо получения доступа к корпоративным аккаунтам, злоумышленники любят через фишинговые письма запускать в систему троянов-шифровальщиков или каких-то других троянов. Попадая в компьютер, троян зашифровывает все его содержимое, после чего мошенники требуют выкуп за восстановления доступа к информации.

Помимо шифровальщиков существуют кейлоггеры – вирусы, считывающие информацию, которую Вы вводите с помощью клавиатуры. Так они могут собирать множество разных данных: пароли, коды, переписки и др.

Что делать?

Мы рассказали о том, какими могут быть фишинговые атаки и как на них не попасться. Однако, если избежать атаки не удалось, и мошенники на чем-то сумели Вас подловить, то запустите проверку антивируса на устройстве, как можно быстрее смените украденный пароль. И если он использовался в нескольких местах, то смените его везде и на разные, ведь пароли не должны повторяться. Помните об этом! Включите двухфакторную аутентификацию, где это возможно. Если Вы раскрыли злоумышленнику данные своей карты, то позвоните в банк по проверенному телефону и попросите заблокировать эту карту.

В заключение хотелось бы еще раз подчеркнуть то, что фишинговые атаки очень распространены и подвергнуться им может каждый. Успешная же фишинговая атака влечет за собой множество неприятных последствий. Но чтобы всего этого избежать, нужно просто ответственно подходить к работе за компьютером и соблюдать элементарные правила безопасности в сети.