Сегодня мы поговорим про фишинговые атаки
⭐Что это такое?
⭐Какими они бывают?
⭐Как не попасться на крючок?
ФИШИНГ - это тип кибератаки, направленный на то, чтобы обманом заставить людей раскрыть конфиденциальную информацию.
Фишинг входит в число методов социальной инженерии.
СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ - использование обмана и психологической манипуляции с целью склонить человека или группу людей к определенным действиям.
Само название "Фишинг" происходит от английского слова "Phishing" - рыбалка. Только пишется немного по-другому.
Фишинг может быть массовым, направленным на неограниченный круг людей, а может быть адресным, направленным против конкретного человека.
Форма массового фишинга, о котором вы скорее всего слышали - рассылки по электронной почте.
Человеку приходит письмо со ссылкой на какой-нибудь популярный сервис, на котором у него наверняка есть учетная запись.
📌Например, на Google Disk.
"Пройдите, мол, по ссылке, с вами поделились файлом. Человек ее открывает, видит знакомый сайт и привычным движением вводит логин и пароль, а после узнаёт, что сайт на самом деле был поддельный, и его логин и пароль теперь оказались в руках мошенников.
Само собой, фишинговые атаки совершаются не только через электронную почту, но и через все доступные способы общения. Через мессенджеры, личную переписку в соц.сетях, телефонные звонки или даже смс-сообщения.
📌Через них, к примеру, массово рассылают ссылки на мошеннические сайты под видом розыгрышей или скидочных купонов торговых сетей.
Бывают и более изобретательные способы.
📌Например, в мае 2023 года в Москве начали находить фальшивые QR-коды на электросамокатах для аренды. Такой код ведет на фишинговый сайт, который крадёт данные банковских карт.
На такие же поддельные сайты пытаются завлечь пользователей телеграма, обещая в подарок платную подписку Телеграм Премиум.
Другой тип фишинга, с которым вы, вероятно, менее знакомы - это АДРЕСНЫЙ ФИШИНГ
О человеке или группе людей, например, о сотрудниках какой-то организации собирают информацию из открытых источников и утекших в сеть баз данных различных сервисов. А после атакуют прицельно, скажем, вместо ссылки на какой-то случайный ресурс, Вам могут прислать письмо, как будто от Вашего банка, на банковском бланке, с логотипом и всеми реквизитами. А в письме Вас просят перейти по ссылке, чтобы, к примеру, избежать блокировки карты. А дальше всё то же самое. Поддельный сайт, логины, пароли и прощайте денежки...
Аналогичным способом могут попытаться получить доступ к корпоративной почте или к Вашему мессенджеру.
❗Кстати, телефонные мошенники работают как раз вот таким образом. Они заранее собирают о человеке всю информацию, которую могут. Паспортные данные, дату рождения, номера телефонов, адреса почты, данные со страниц в соц.сетях и так далее. Могут даже специально купить данные в одном из сервисов для пробива, а потом звонят под видом банковского сотрудника, обращаются по имени и отчеству, и всячески убеждают расстаться с паролем или секретным кодом от мобильного банка.
И многие им верят, ведь если незнакомец на другом конце телефона знает Ваше имя и дату рождения, он ведь наверняка, действительно работает в банке. Правда же?
Известны даже случаи дипфейк фишинга
Когда злоумышленники пользуются искусственным интеллектом для того, чтобы создать фейковые видео и аудиосообщения, или даже в реальном времени менять голос.
📌К примеру, к бухгалтеру одной Нижегородской фирмы позвонила начальница и попросила взять крупную сумму наличных из сейфа, и отправить курьером.
А потом выяснилось, что вместо начальницы звонили мошенники, сделавшие дипфейк её голоса.
Такие веи случаются значительно реже, ведь изготовить качественный дипфейк гораздо сложнее, чем написать СМС, но если цель у такой рыбалки достаточно крупная. Например, руководитель или бухгалтер крупной компании, то злоумышленники могут не пожалеть усилий.
Фишинговые атаки лучше всего работают против неопытных пользователей, поэтому одна из любимых целей - пенсионеры, но на удочку фишинга часто попадаются и дети.
Но не стоит думать, что фишинг угрожает только детям или только пенсионера, а занимаются таким только интернет-воришки.
❗Стать жертвой фишинговой атаки может кто угодно, в том числе и Вы❗
Как не попасться на крючок?
Начинать, как обычно, нужно с простого.
Первое и самое главное, НЕ СООБЩАЙТЕ НЕИЗВЕСТНЫМ ЛЮДЯМ, ОРГАНИЗАЦИЯМ ИЛИ ВЕБ-СЕРВИСАМ ИНФОРМАЦИЮ О СЕБЕ❗
Особенно платежные данные, данные для входа в учётные записи и любые другие конфиденциальные сведения.
Если Вам на какое угодно устройство и по какому угодно каналу связи приходит ссылка, которую Вы не ждали, я крайне не советую её открывать. Даже если Вам кажется, что адрес правильный и ведёт на подлинный сайт, Вы можете не заметить пары изменённых букв и оказаться на сайте мошенников.
Это, в первую очередь, касается сообщений от незнакомых пользователей.
Но если Вам пишет знакомый и присылает ссылку без всяких пояснений, её тоже лучше сразу не открывать. Возможно, аккаунт Вашего друга взломали и через него делают рассылку.
Сначала убедитесь, что Вам действительно написал друг, а не мошенник. Например, позвоните и спросите как у него дела и давно ли он заходил в переписку с Вами.
Если ссылку по какой-либо причине всё-таки нужно открыть, то старайтесь проверять её адрес и сверять его с известным доверенным образцом. Также, рекомендую проверять имеет ли сайт активный сертификат - это можно узнать благодаря замочку в верхнем левом углу адресной строки.
В разных браузерах сертификат обозначается по-разному, но разобраться в этом труда не составит.
Самое главное - не торопиться
Если у Вас спрашивают какую-либо конфиденциальную информацию, нужно сделать паузу и подумать кто и для сего её пытается получить.
Чтобы облегчить задачу, я советую отключить автозаполнение в браузере, чтобы Вы не могли зайти на какой-то сайт и машинально ввести всю информацию одним кликом. Тот же принцип применим к нежданным звонкам.
Если Вам звонят и представляются сотрудниками банка, не спешите им ничего сообщать. Скажите, что заняты, вежливо попрощайтесь и повесьте трубку. А дальше удостоверьтесь, что звонившие Вам люди - это те, за кого они себя выдают. Если представились сотрудниками банка, позвоните в банк по номеру, указанному на обратной стороне Вашей карты и узнайте они ли Вам звонили.
Это касается и нежданных переписок в мессенджерах.
Далее более общие советы
Мошеннические сайты попадаются не только по фишинговым ссылкам. Зачастую, их удаётся раскрутить в поисковиках и Вы можете наткнуться на них прямо в выдаче в гугле или в яндексе. Так что оставлять данные банковской карты где попало не стоит.
Еще может быть полезно завести виртуальную карту для онлайн-покупок. Переводить на неё необходимую сумму перед оформлением каждого отдельного заказа, даже если её платёжные данные попадут в руки мошенников, они не смогут вывести с Ваших счетов сразу все деньги.
Если вы прочитали эту статью, то вы уже повысили свои шансы устоять перед фишингом, но смогут ли в случае угрозы также бдительно отреагировать ваши родные и близкие.
Предупредите своих родителей. Поговорите со своими детьми, если они у вас есть. Также может быть полезно поговорить с коллегами по работе и дать прочитать им эту статью.
Когда я на своём опыте столкнулась с мошенническим сайтом, мой банк быстро среагировал и помог защитить карты и личный кабинет. Я благодарна поддержке Т-Банка за работу❤