Все, наверняка, сталкивались с фишингом, который представляет себя кибератаку, когда мошенники выступают в роли юридического лица или компании, чтобы путем обмана украсть ваши личные данные. Полагается это мошенничество на человеческих ошибках, манипуляциях, а потому и считается социально-инженерной атакой.
Основной способ словить вас на удочку – электронные письма, в которых под любым предлогом вас просят ввести свою конфиденциальную информацию, после чего она моментально попадает на мошеннический веб-сайт прямиком в лапы злоумышленников.
Например, сброс пароля, переход по подозрительным ссылкам с регистрацией, какие-либо действия с кредитной картой.
Какие есть типы фишинга?
Фишинг можно разделить на следующие виды:
- клон-фишинг: вам отправляют поддельное письмо под видом настоящего, где скопировано содержание и ссылка на вредоносный сайт, а вас якобы оповещают об изменении в адресе
- целевой фишинг: вся работа мошенников сосредоточена на одном человеке или фирме; вначале собирается информация о жертве, а затем на ее основании создается предлог, под которым жертва точно перейдет на вредоносный веб-сай
- фарминг: самая опасная атака, при которой вам отправляют зараженную DNS запись, которая сможет перенаправлять посетителей настоящего веб-сайта на мошеннический; защититься крайне трудно, поскольку записи DNS не контролируются пользователем
- валинг: это одна из форм целевого фишинга, направленная на богатых или уважаемых личностей
- Email спуфинг: фишинг-письма, где мошенники выдают себя за представителей какой-либо настоящей компании; они содержат в себе ссылки на вредоносные сайты, на которых собираются ваши данные при помощи спрятанных страниц входа, содержащих различные вредоносные скрипты
- перенаправление веб-сайта: происходит переадресация на другие URL-адреса с установкой вредоносного программного обеспечения на ваш гаджет
- тайпсвоттинг: вас отправляют на поддельные сайты, где в названии адреса используются буквы из других языков, различные видоизменения и ошибки, которые имитируют оригинальный сайт
- «Watering Hole»: в этой атаке определяются наиболее посещаемые веб-сайты и в них внедряют вредоносные скрипты
- Impersonation & Giveaways:еще одна схема фишинга, где проводятся giveaway или другие виды обмана от известных личностей, после взаимодействия с которыми жертва предотсавляет всю информацию о себе мошенникам
- Чаще всего злоумышленники работают на таких платформах, как Telegram, Slack, Discord. Потому как там достаточно удобно провернуть следующие способы фишинга:
- Платная реклама: рекламируются домены, над которыми мошенники уже провели тайпсвоттинг и оплатили для результативности. Эти сайты даже будут представлены по результатам поиска, как самые лучшие, но по итогу будут использованы как средство для фишинга конфиденциальной информации.
- Приложения: часто можно столкнуться с тем, что приложения, связанные с криптой (например, ценные трекеры, кошельки, различные инструменты) устанавливают на ваш гаджет вредоносное ПО и получают данные к вашему кошельку.
Совершенно разные механизмы и принципы действия у фишинга и фарминга: чтобы сработал фишинг, потенциальная жертва должна ошибиться, а вот фарминг не требует от вас ошибок. Все потому что в таком случае человек пытался получить доступ к реальному веб-сайту, но не знал, что его DNS-запись была изменена мошенниками.
Как обойти фишинг?
Вам не помешает знать несколько способов, которые помогут вам избежать тех самых ошибок, на которые и рассчитываю фишинговые мошенники:
- Осторожность – ваше все. Всегда критически анализируйте, что вам прислали, кто, о чем это электронное письмо, куда ведут эти ссылки. Если у вас есть сомнения, даже самые минимальные, найдите другие способы связаться с отправителем при необходимости.
- Проверка. Скопируйте и введите написанную вам информацию в поиск, вам вполне вероятно могут выдать запросы о подобных фишинговых атаках. Также вы можете проверить URL. Сделать это довольно легко: наведите мышь на ссылку и взгляните, что стоит в начале ее адреса – HTTPS или только HTTP. Да, это не гарантия, но один из важных пунктов.
- Не разбрасывайте информацией о своем приватном ключе. О вашем кошельке должны знать только вы. И если вы планируете предоставить криптовалюту кому-либо или куда-либо, проверьте, все ли легально и безопасно.
Потому как, я напомню вам, в криптомире нет центрального органа власти, который помог бы вам решить вашу проблему или доказать вашу непричастность, защитить ваши монеты и неприкосновенность. И со всеми видами кибератак, в частности с распространённым фишингом, придется бороться самостоятельно.
Будьте бдительны и помните, что вначале стоит семь раз отмерить, прежде чем один раз отрезать перейти по неизвестной ссылке.