Найти в Дзене
CyberIT
1 подписчик

Фишинговое мошеничество

2
9 мин
«Фишинг» — это когда преступники используют мошеннические электронные письма, текстовые сообщения или телефонные звонки, чтобы обмануть своих жертв. Зачастую цель состоит в том, чтобы заставить вас посетить веб-сайт, который может загрузить вирус на ваш компьютер, или украсть банковские реквизиты или другую личную информацию. С помощью фишинга интернет-мошенники во всем мире выманивают у ничего не подозревающих жертв банковские реквизиты, паспортные данные и прочую информацию. При этом они используют все более изощренные способы маскировки. Они могут выдавать себя за ваших знакомых и доверенных лиц: коллег, сотрудников банка и даже представителей государственных органов. Стоит вам перейти по фишинговой ссылке, и вы можете стать следующей жертвой злоумышленников. Другими словами, при помощи методов социальной инженерии он ловит вас на наживку доверия, чтобы получить ценную информацию. Это может быть что угодно: от учетной записи в соцсетях до полной иде

«Фишинг» — это когда преступники используют мошеннические электронные письма, текстовые сообщения или телефонные звонки, чтобы обмануть своих жертв. Зачастую цель состоит в том, чтобы заставить вас посетить веб-сайт, который может загрузить вирус на ваш компьютер, или украсть банковские реквизиты или другую личную информацию.

С помощью фишинга интернет-мошенники во всем мире выманивают у ничего не подозревающих жертв банковские реквизиты, паспортные данные и прочую информацию. При этом они используют все более изощренные способы маскировки. Они могут выдавать себя за ваших знакомых и доверенных лиц: коллег, сотрудников банка и даже представителей государственных органов. Стоит вам перейти по фишинговой ссылке, и вы можете стать следующей жертвой злоумышленников.

Другими словами, при помощи методов социальной инженерии он ловит вас на наживку доверия, чтобы получить ценную информацию. Это может быть что угодно: от учетной записи в соцсетях до полной идентификации вашей личности с помощью паспортных данных.

Используя эти методы, мошенник принуждает вас открыть вложение, перейти по ссылке, заполнить форму или сообщить ему персональные данные. Следовательно, нужно постоянно быть начеку, что может быть довольно утомительно.

Самый распространенный сценарий фишинга выглядит следующим образом.

  • Вы открываете электронную почту и обнаруживаете там фишинговое письмо с уведомлением от вашего банка. Перейдя по ссылке в письме, вы попадаете на веб-страницу фишингового сайта, которая выглядит похожей на сайт вашего банка.
  • Это и есть наживка: мошенники специально создали эту страницу, чтобы похитить ваши данные. В банковском уведомлении будет сказано, что с вашей учетной записью возникла проблема и вам нужно подтвердить логин и пароль.
  • После того как вы вводите свои учетные данные на открывшейся странице, вас обычно перенаправляют на настоящий сайт банка, чтобы вы ввели данные повторно. Именно поэтому вы не сразу понимаете, что ваши данные были похищены.

Мошенники могут быть очень изобретательными и использовать все каналы коммуникации, в том числе телефонные звонки. Опасность фишинга в том, что попасться на крючок может любой человек, если он недостаточно внимателен к мелким деталям.

Как происходит фишинг?

Мишенью для фишинга может стать любой пользователь интернета или телефонной связи.

С помощью фишинга мошенники обычно пытаются сделать следующее:

  • заразить ваше устройство вредоносным ПО;
  • похитить конфиденциальную информацию, чтобы получить доступ к вашим деньгам или персональным данным;
  • получить доступ к вашим учетным записям;
  • убедить вас добровольно перевести деньги или другие ценности.

Кто может стать жертвой?

Любой человек, независимо от возраста, может стать жертвой фишинга – дома или на работе.

Устройствами, подключенными к интернету, сегодня пользуются все от мала до велика. Если мошенник обнаружит в открытом доступе вашу контактную информацию, он может внести ее в список адресов для фишинга.

Сейчас сложно скрыть свой номер телефона, адрес электронной почты, идентификаторы в мессенджерах или аккаунты в соцсетях. Так что шансы стать мишенью для атаки с использованием одного из каналов связи из этого списка довольно велики. Кроме того, мошенники могут адресовать свои фишинговые атаки не только широкому кругу людей, но и конкретным лицам.

Целевой фишинг

-2

Когда говорят о целевом (таргетированном) фишинге, обычно имеют в виду целенаправленный фишинг (spear phishing) или его наиболее распространенную разновидность – уйэлинг.

Уэйлинг нацелен на лиц высокого уровня, в то время как целевой фишинг охватывает более широкий круг людей. Мишенями для подобного фишинга обычно становятся сотрудники конкретных предприятий или правительственных организаций.

Фишинг с помощью спам-рассылки

-3

Это широко раскинутая сеть, в которую может попасть любой ничего не подозревающий человек. К этой категории относится большинство фишинговых атак.

Фишинговый спам массово рассылают мошенники и киберпреступники, которые преследуют следующие цели:

  • выудить деньги хотя бы у небольшого количества адресатов, ответивших на сообщение;
  • обманным путем получить пароли, номера карт, реквизиты банковских аккаунтов и другую информацию;
  • внедрить вредоносный код на компьютеры своих жертв.

Виды фишинга

Почтовый фишинг. Фишинговые письма приходят на вашу электронную почту и, как правило, содержат предложение перейти по ссылке, совершить платеж, прислать личные данные или открыть вложение. При этом адрес отправителя может быть очень похож на подлинный, а в письме может содержаться информация, которую вы воспринимаете как личную.

-4

Подделка доменного имени. Это популярный способ, с помощью которого злоумышленники имитируют подлинные адреса электронной почты. Для этого они берут доменное имя реально существующей компании, таким образом можно стать жертвой мошенничества.

-5

Голосовой фишинг(вишинг) Мошенники звонят по телефону и выдают себя за реально существующего человека или компанию. Они могут использовать перенаправление с помощью автоматического помощника и маскировать свой номер телефона. Их задача – не дать вам повесить трубку и добиться от вас определенных действий.

-6

SMS-фишинг, или смишинг (smishing). Как и в случае вишинга, мошенники выступают от имени реально существующей компании и имитируют срочную проблему, но делают это с помощью SMS-сообщений. В таком сообщении обычно содержится ссылка или телефонный номер, которыми вам предлагают воспользоваться. Пользователи онлайн-мессенджеров также рискуют оказаться жертвами подобной атаки.

-7

Фишинг в соцсетях. В этом случае киберпреступники заманивают вас в ловушку с помощью постов или личных сообщений. В одних сообщениях предлагаются бесплатные подарки, другие представляют собой примитивные подделки под официальные страницы различных организаций, где содержатся какие-либо срочные требования. Мошенники могут действовать от лица ваших друзей или долго и методично выстраивать с вами отношения, прежде чем перейти в атаку.

Клон-фишинг (clone phishing). Злоумышленники копируют реальные письма, которые вы уже получали ранее, при этом заменяют настоящие вложения и ссылки на вредоносные. В основном они делают это через электронную почту, но иногда создают для этого поддельные аккаунты в социальных сетях и мессенджерах.

-8

Типичные фишинговые схемы

Банковское уведомление. Мошенники пытаются ввести вас в заблуждение с помощью поддельного уведомления от банка. Обычно в таком письме содержится ссылка на веб-форму, где вам предлагают ввести банковские реквизиты для верификации аккаунта. Никогда не делайте этого. Свяжитесь со своим банком, чтобы там могли принять меры в связи с этим мошенническим письмом.

Письмо от друга. Мошенники представляются вашим другом, который якобы находится за границей и нуждается в вашей помощи. Эта «помощь», как правило, заключается в денежном переводе. Прежде чем отправить деньги, позвоните другу, чтобы проверить информацию.

Выигрыш или наследство. Получив сообщение о том, что вы неожиданно выиграли приз или получили наследство от незнакомого родственника, не спешите радоваться. Скорее всего, это мошенническое письмо, в котором от вас потребуют перейти по ссылке и ввести свои личные данные для получения приза или верификации права на наследство.

Возврат налога или бонус. Это популярный сценарий мошенничества, поскольку большинство людей ежегодно платят налоги. Обычно в таких фишинговых сообщениях говорится, что вы либо имеете право на возврат части налога, либо к вам есть вопросы у налоговой инспекции. Вам предлагают оформить запрос на возврат налога или заполнить налоговую декларацию (с указанием полных данных). После этого злоумышленники либо похищают ваши деньги, либо продают ваши личные данные третьим лицам, либо и то и другое.

Как защититься от фишинга?

Чтобы распознать фишинговое письмо, нужно обращать внимание на любые необычные или нелогичные детали.

Отличить безопасное письмо от фишинга иногда бывает непросто. Главное – не спешите проходить по ссылке, загружать вложение или отправлять ответ.

Вот пример того, как нужно действовать, получив подозрительное письмо.

Представьте себе, что вы получили письмо, в котором вас вежливо просят помочь деньгами жертвам недавно пронесшегося урагана. В поле «отправитель» вы видите адрес «help@technicalsupport.ru» – это вполне может быть легитимная организация, хотя вы о ней никогда не слышали.

Обычно спам-фильтр надежно защищает вас от таких рассылок, но в этот раз письмо почему-то попало в почтовый ящик.

Вы кое-что понимаете в компьютерной безопасности и не реагируете на письма от различных организаций, в которых просят предоставить личную или финансовую информацию. Особенно если вы не ожидали такого письма и не уверены в личности отправителя.

Остановитесь и не предпринимайте поспешных действий. Так вы сделаете первый шаг к тому, чтобы защитить себя. Дальше нужно определить, настоящее это письмо или попытка мошенничества.

Чтобы понять это, вам нужно точно знать, на какие признаки фишинга обращать внимание.

  1. Руководствуйтесь здравым смыслом, прежде чем сообщать кому-либо конфиденциальную информацию. Получив уведомление от банка или другой крупной организации, никогда не переходите по ссылкам в письме. Вместо этого введите веб-адрес в адресную строку вручную. Так вы убедитесь, что заходите на настоящий сайт организации.
  2. Никогда не верьте тревожным сообщениям. Известные компании не будут запрашивать у вас идентификационные или учетные данные по электронной почте. Это касается, в том числе, вашего банка, страховой компании или любой другой организации, с которой вы ведете дела. Если вы получите письмо с просьбой предоставить такую информацию, сразу удалите его и позвоните в компанию, чтобы убедиться в безопасности своего аккаунта.
  3. Не открывайте вложения, содержащиеся в подозрительных письмах или письмах от неизвестного адресата, особенно файлы в форматах Word, Excel, PowerPoint или PDF.
  4. Никогда не переходите по ссылкам в письме, поскольку это может привести к загрузке вредоносного ПО. С осторожностью относитесь к письмам от поставщиков или третьих лиц. Никогда не переходите по содержащимся в них ссылкам. Вместо этого зайдите на сайт поставщика, введя его веб-адрес вручную, и ознакомьтесь с его правилами и политиками в отношении запроса информации у контрагентов.
  5. Своевременно обновляйте ПО и операционную систему. Продукты для операционной системы Windows часто становятся мишенью для фишинга и других вредоносных атак, так что убедитесь, что они надежно защищены и своевременно обновляются. Особенно если у вас установлены более ранние версии ОС, чем Windows 10.

Спасибо за прочтение надеюсь было интересно и полезно!