Фишинговые атаки не так успешны, как раньше, потому что к настоящему времени люди научились искать электронные письма с просьбой предоставить конфиденциальные данные. Хотя это верно для электронной почты, похоже, что злоумышленники-первопроходцы нашли другие способы использования фишинговых атак, а именно через службы обмена сообщениями, такие как WhatsApp, Skype и даже обычные старые SMS.
Мобильный фишинг
Мобильный фишинг - это проблема, которая не показывает никаких признаков ослабления в ближайшее время. Согласно Verizon , 90% их зарегистрированных взломов данных начались с фишинг-атаки, и в настоящее время мобильные устройства становятся все более распространенным вектором атак.
Недавнее исследование от Wandera показывает новую тенденцию среди киберпреступников к мобильному фишингу. Каждый день обнаруживаются десятки новых атак, и многие из них длятся менее суток, после чего их закрывают и перемещают в другое место. Эти фишинговые атаки имеют много стандартных функций, в частности, вокруг использования WhatsApp.
Методы распространения
Теперь, когда широко распространено понимание опасности фишинговых атак на основе электронной почты, многие опытные киберпреступники вместо этого переходят к использованию других векторов, позволяющих им атаковать мобильные устройства. Многие из таких атак основаны на WhatsApp как на начальном методе доставки, так и на пути к достижению большего количества целей после каждого отдельного успеха.
Это не просто осознание, которое привело к этому сдвигу. Почтовые клиенты и провайдеры имеют много встроенных инструментов, которые идентифицируют любые потенциальные фишинговые электронные письма и предупреждают пользователя или автоматически удаляют электронную почту.
Напротив, таких мер безопасности для SMS или служб обмена сообщениями на основе приложений не существует. Учитывая огромное количество различных приложений для обмена сообщениями, сложно разработать всеобъемлющую защиту от мобильных фишинговых атак. Это приводит к тому, что атаки на мобильные устройства по меньшей мере в три раза эффективнее, чем фишинг, осуществляемый через настольные компьютеры. Без сомнения, операторы мобильной связи должны вложить дополнительные средства в повышение осведомленности о кибербезопасности и улучшение ее на мобильных устройствах.
Использование WhatsApp
В отличие от фишинговых писем, которые часто помечаются как потенциально вредоносные, в WhatsApp также отсутствует система фильтрации или оповещения. Когда пользователь получает ссылку на WhatsApp, он обычно создает предварительный просмотр логотипа и заголовка страницы этого веб-сайта. Их легко подделать злоумышленнику, но он может дать фишинговое сообщение, достаточное для легитимности, чтобы пользователь был застигнут врасплох.
Вредоносные домены
Ссылки, которые содержат фишинговые сообщения, часто выглядят законно. Однако, если пользователь щелкает по ссылке, он будет перенаправлен на страницу, которая также выглядит законной, но фактически принадлежит злоумышленникам. Эти фишинговые страницы часто напоминают страницы входа на сайты и услуги, которые пользователь регулярно посещает. Однако это не всегда так. Например, некоторые фишинговые страницы предоставляют пользователю возможность получить приз или совершить покупку по сниженной цене.
Независимо от конкретной настройки вредоносной страницы, ее цель - побудить пользователя передать свою личную информацию, которую злоумышленник может каким-либо образом использовать. Подобно тому, как фишинговые электронные письма становятся все более изощренными, веб-страницы используются для фишинговых жертв. Многие из них теперь включены в комментарии Facebook и другие функции социальных сетей, которые создают впечатление динамичной веб-страницы с легитимной функцией.
Как сохранить безопасность
Итак, как вы можете защитить себя от этих фишинговых атак? Быть бдительным - самая важная вещь. Если вам кажется странным, что какая-то конкретная служба отправляет вам сообщения и запрашивает личную информацию, не передавайте ее! Сообщайте свои данные для входа в систему только тогда, когда вы сами обращаетесь к службе, а не когда они приходят к вам с просьбой.
Это также хорошая идея, чтобы получить себе VPN, который каким-то образом защитит вас от фишинговых атак. Это фишинговые сообщения и веб-сайты, созданные для конкретного человека.
Как правило, злоумышленники, использующие фишинговую атаку, будут знать свою цель и какое сообщение использовать, чтобы увести их в ложное чувство безопасности.
Возможно, не удивительно, что предприимчивые киберпреступники совершают поездки в мобильное пространство. Однако осведомленность об этом конкретном типе атак остается низкой. Остерегайтесь любых нежелательных сообщений, которые вы получаете от онлайн-службы, и не доверяйте ссылке, которую вы не просили.
