Всем привет, дорогие подписчики! С вами Техподдержка и сегодня мы поговорим об очень серьезной теме, а именно о фишинге. Что же это такое?
Фишинг - вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным(секретным) данным пользователя - логинам и паролям (Википедия). Другими словами - мошенники желают похитить ваши данные, с помощью которых вы получаете доступ к своим акаунтам.
С помощью фишинга злоумышленник может узнать ваш пароль от ВКонтакте. В большинстве случаев дело ограничится попытками занять денег у друзей. Однако, если доступ получен к аккаунту администратора паблика на несколько миллионов подписчиков или более важному ресурсу, например к аккаунту на сайте Сбербанк.Онлайн, то в этом случае ситуация может быть сложнее. Конечно, в случае со Сбербанком, для вывода денег сайт попросит пароль, который пришлет в смс, но и это не выход. К сожалению, доступ к смс-сообщениям получить можно даже не имея физического доступа к телефону.
Давайте разберемся как работает фишинг.
Представьте, сидите вы на работе, никого не трогаете, занимаетесь делами. Внезапно вам на почту приходит электронное письмо от соцсети, в которой вы зарегистрированы. В письме, к примеру, сказано, что, если вы не подтвердите свой аккаунт, то его заблокируют. Или на вашу страницу зашла молодая симпатичная девушка(молодой человек) и для того, чтобы узнать кто это и связаться, вам необходимо подтвердить свой аккаунт. Как правило, для этого необходимо перейти по ссылке.
В данном письме вы видите ссылку, которая ведет на фишинговый сайт. Несмотря на то, что ссылка, на первый взгляд, должна вести на верный сайт, происходит переход на сайт злоумышленника. Внешне такой сайт ничем не отличается от оригинального, однако, все данные с такого сайта получает злоумышленник и распоряжается ими по своему усмотрению.
Тут вы видите сайт Яндекс.Деньги. Если посмотреть, то разницы нет никакой. Однако ссылка должна вас отпугнуть. Ведь оригинальная ссылка money.yandex, а не night-pizza, как на картинке. Все, что вы введете в этих полях получит злоумышленник. Узнает ваш телефон, пароль и прочее.
Вернемся к вам. Вы получаете письмо, с такой ссылкой. Речь идет об аккаунте, через который вы совершаете денежные переводы. Вы начинаете волноваться и спокойно переходите по ссылке, затем видите страницу, внешне полностью похожую на оригинал. И даже не задумываясь вводите свои данные. Мошенник получает эти данные и благополучно выводит деньги с вашего счета.
То есть в данной ситуации играет роль то, что вы беспокоитесь о состоянии своего счета на Яндекс.Деньгах. Мошенник точно знает, что вы имеете там аккаунт. На это и рассчитан фишинг. Мошенник готовится, узнает о вас и “забрасывает удочку”, а вы думаете, что письмо получено от официального ресурса.
“Кто же еще, кроме меня и администрации, может знать, что я имею аккаунт на этом ресурсе?”, - спросите вы.
И будете неправы. Мошенники могут знать очень многое, поэтому не доверяйте никому.
Возьмем другую ситуацию. Вы получаете письмо от банка, в котором оформлена ваша карта. Само письмо написано грамотно и в нем говорится об оформлении кредита на ваше имя. Для подтверждения или отмены необходимо позвонить по номеру, который указан в письме.
Вы звоните, говорите, что не желаете кредит и не собираетесь его выплачивать. Серьезный оператор говорит, что для подтверждения отмены необходимо удостовериться в том, что вы владелец карты. Для этого вам всего лишь нужно назвать, к примеру, номер карточки, дату окончания действия, имя владельца, а также CVV-код на обороте. Вы называете.
Оператор говорит, что все в порядке, для завершения назовите код в смс, которое придет вам прямо сейчас. Вы открываете смс, видите код, называете его оператору. Он сообщает что все отлично, кредит отменен. Вы со спокойной душой кладете трубку, а потом видите смс от вашего банка, в котором сказано об оплате покупки на каком-либо сайте или о переводе денег.
Работает это так. Само письмо ни в коем случае не приходит от банка. Банки вообще очень редко взаимодействуют с клиентами через e-mail. Письмо пишет вам злоумышленник. Перед этим он тщательно готовится, а также указывает в письме свой номер телефона. Вы на эмоциях и в недоумении звоните прямиком по этому номеру, то есть злоумышленнику.
Он под видом сотрудника банка получает от вас данные по вашей карте, вводит их на каком-либо сайте. Для подтверждения покупки нужен пароль, которых приходит вам смской. Вы называете этот пароль “сотруднику” и он указывает его на сайте. Все, покупка совершена, злоумышленник получит свое, а вы потеряете деньги.
Как бороться с фишингом?
В настоящее время все популярные браузеры оснащают средствами по предупреждению и блокированию фишинговых сайтов. Многие почтовые сервисы блокируют фишинговые письма, однако часть из них все же достигает адресатов.
Однако вы сами можете бороться с этим. Например, получив письмо от какой-либо компании и просьбой подтвердить данные свяжитесь с ней через официальные каналы. Поинтересуйтесь, действительно ли необходимо подтверждение аккаунта или тому подобное.
Также вводите все ссылки, полученные в письмах, в адресную строку. Не стоит использовать гиперссылки, они в большинстве случаев ведут на сторонние сайты.
Даже если в письме обращаются к вам по имени, все равно относитесь настороженно.
Внимательно относитесь ко всем письмам, в которых требуется подтверждение аккаунта, ввод пароля и так далее.
Я сам очень часто получаю фишинговые письма, однако всегда тщательно проверяю отправителя и ссылку. Вам нужно просто быть внимательными и не поддаваться панике.
Вы - лучший защитник своих данных. Никогда не передавайте секретную информацию другим людям.
Банки в очень редких случаях используют связь через e-mail. Также сотрудник банка НИКОГДА не попросит у вас сообщить ему пин-код вашей карточки, ее номер, CVV-код или пароль из смс. Сотрудники знают только последние 4 цифры номера вашей карты, им этого достаточно.
Ни один серьезный сайт не будет спрашивать у вас пароль в ответном письме. Это достаточно старая техника, но она работает и сейчас.
В общем относитесь настороженно к любым письмам, которые просят вас что-либо сделать с аккаунтом: подтвердить, ввести пароль, активировать и так далее. О любой такой попытке сообщайте в администрацию данного ресурса. Их контакты вы найдете на официальном сайте.
Если все официально, то излишняя бдительность не повредит. Однако, если администрация не имеет к этому отношения, то вы избавите себя от многих хлопот.
Будьте внимательны и бдительны. Ваши данные - ценность для мошенников.
Ну а в следующий раз я расскажу вам какие пароли выбирать для входа на сайт, чтобы не быть взломанным, а также поделюсь советом, как легко запомнить длинный и сложный пароль.
Ваша Техподдержка.