Фишинг — как воруют личные данные

Что такое фишинг

Фишинг (англ. phishing) – это разновидность интернет-мошенничества, реализуемого с целью получения конфиденциальных данных пользователей из серии ID (identifier – идентификатор). В том числе:

• Логины и пароли от личных либо корпоративных почтовых сервисов, персональных кабинетов на торговых и других платформах.
• Учетным записям пользователей социальных сетей (включая ID и token страниц со всеми правами), облачных систем, платежных сервисов.
•  Номерам банковских счетов и т. д.

Проще говоря, жертвы фишинга уверены, что они имеют дело с надежным контрагентом. Эффективность киберпреступления напрямую связана с психологией. Хакеры неплохо умеют играть на чувствах и эмоциях своих жертв. В частности:

• Заманивают обещаниями получения ценной информации, бесплатных или очень дешевых товаров, услуг и проч.
• Играют на ажиотаже вокруг актуальной темы. Например, пандемия, олимпиада и др.
• Запугивают угрозой потери данных, оплаченных заказов, блокированием счетов, карт.

В итоге, у потерпевшего крадут личные и корпоративные данные, подтвержденные аккаунты в различных системах, финансовые средства со счетов, проводят мошеннические действия с кредитными картами и проч. Для пострадавших компаний имеет место еще и репутационный урон из-за потери клиентских data-файлов.

Как работает фишинг – базовые типы атак

Фишинг-атака чаще всего ассоциируется у обывателей с почтовой рассылкой, содержащей вирусы или подозрительные ссылки. На самом деле онлайн-мошенники постоянно придумывают новые схемы, целью которых становится кража данных.

Как получают доступ хакеры к секретной информации? Приведем наиболее распространенные примеры фишинга в России:

1. E-mail phishing (почтовый)

 Самая распространенная разновидность. Киберпреступники массово рассылают якобы очень важные письма, в которых выдают себя за вполне легитимного человека или компанию. Содержащееся в корреспонденции сообщение, как правило, заставляет доверчивого получателя:

• Перейти по ссылке на сайт-клон, где необходимо провести авторизацию, оплатить налоги и штрафы, ввести номерные данные карточки определенного банка и др.
• Открыть прикрепленный файл, содержащий вредоносную программу. Работая в фоновом режиме, вирус фактически крадет данные пользователя системы и передает их своему создателю.

2. Spear Phishing (целевой)

Спеарфишинг предполагает персонализированную отправку электронных писем. Получатель верит в то, что общается с руководителем, коллегой или знакомым контрагентом, раскрывает учетные или личные данные.

3. Whaling («охота на китов»)

Уэйлинг схож с целевым фишингом, но в этом случае в качестве жертвы выступают руководители организации. Они имеют более широкий доступ к секретной информации, поэтому мошенники стараются составить «письма счастья» таким образом, чтобы побудить человека перейти на зеркальный сайт, поделиться персональными или корпоративными данными, загрузить вредоносное ПО себе на компьютер или гаджет и т. д.

4. Smishing (SMS-фишинг) и Vishing (Голосовой фишинг)

Смишинг ориентирован на устройства, подключенные к мобильным телесистемам. Пользователи получают сообщения от известной, вполне легитимной компании, в которых содержатся вредоносные ссылки на фальшивые сайты. Владельцев телефонов и планшетов буквально вынуждают раскрывать свои учетные данные.

Аналог смишинга – вишинг (voice phishing). Осуществляется посредством звонка от бота, который воспроизводит голосовое сообщение в автоматическом режиме от якобы реальной организации (банка, налоговой инспекции, ГИБДД и др.). Запугивая жертву, мошенники заставляют предоставить конфиденциальную информацию для подтверждения личности и других действий.

5. Фишинг посредством социальных сетей

Создавая фейковые аккаунты в распространенных соцсетях (Facebook, Вконтакте, Instagram), хакеры под разными предлогами заставляют доверчивых пользователей переходить по вредоносным ссылкам. Мошенники могут также выдавать себя за сотрудников клиентской службы с той же целью. Нередко подобные сообщения приходят от знакомых, чьи страницы взломаны киберпреступниками.

6. Фишинг в поисковых системах

Онлайн-мошенники создают сайты с предложениями очень дешевых товаров, услуг, проводят их индексацию в известных поисковиках Google, Yandex и др. Переходя на сайт, пользователю предлагается пройти быструю регистрацию с введением банковских счетов или данных платежных систем для последующих упрощенных транзакций. Реальные интернет-магазины подобного не допускают, но у них очень много клонов и «конкурентов». Как сообщил центр поддержки Гугл, в 2020 году службой безопасности ежедневно выявлялось более 25 млрд. фишинговых и спам-страниц.

Как не попасться на фишинг

Для собственной защиты вооружитесь самым главным – знаниями! Мошенники, зачастую, очень убедительны. Но зная основы информационной безопасности, вы сможете защитить себя от киберпреступников.

Перечислим базовые принципы борьбы с фишингом:

1. Проверяйте наименование абонента, а также домен, с которого приходят письма. Организации, платежные системы, как правило, отправляют не обезличенные, а именные сообщения.
2. Обращайте внимание на большое количество грамматических и орфографических ошибок, отсутствие пользовательских соглашений, реальных контактных данных.
3. Относитесь с предубеждением к супер-мега-невероятно выгодным предложениям. Дешевые товары и услуги с огромной скидкой предоставляют только крупные поставщики не менее крупным оптовым заказчикам. 
4. При переходе на сайты известных сервисов помните о том, что упрощенной системой авторизации или платежа серьезные компании не пользуются. Только усложненные алгоритмы с дополнительной защитой личных данных клиентов.
5. Никогда никому не сообщайте свои данные (учетные, личные, банковские). Легитимные сотрудники государственных учреждений, денежно-кредитных организаций уже обладают нужной информацией.
6. Не переходите по подозрительным ссылкам, не открывайте вложения.
7. Пользуйтесь специальными плагинами и спам-фильтрами браузеров, почтовых программ.
8. Установите свежее антивирусное ПО.

Если вы по невнимательности все же ввели свои логин и пароль, но вовремя осознали ошибку – сразу действуйте. Меняйте данные личных кабинетов, свяжитесь с центром поддержки сервиса или службой безопасности платежных провайдеров. Они обеспечат блокировку любых действий, производимых с ваших аккаунтов и счетов. Одновременно вы можете сообщить в администрации поисковых систем и оригинального сайта о наличии поддельных интернет-страниц. Этим вы спасете других пользователей от кибер-преступников.

Таким образом, защита от фишинга, равно как и спасение утопающего, в ваших руках. Будьте осторожны, не забывайте о простых правилах безопасности для себя и своих финансов.