Найти в Дзене
Cyber Hygiene
67 подписчиков

Фишинг (Phishing)

3 мин
Оглавление

Фишинг (Phishing) — это самая массовая и известная разновидность атаки социальной инженерии.

Суть фишинга — выудить у жертвы конфиденциальную информацию (логины, пароли, данные банковских карт, PIN-коды), притворившись доверенным лицом или организацией.

Название происходит от английского слова fishing («рыбная ловля») — злоумышленники «забрасывают удочку» в виде поддельного письма в надежде, что кто-то «клюнет».

Как работает фишинг? Классическая схема:

  1. Создание приманки. Злоумышленник создает точную копию письма или сайта известной компании (банка, социальной сети, почтового сервиса, интернет-магазина).
  2. Массовая рассылка. Это письмо рассылается миллионам пользователей по всему миру.
  3. Предлог для паники. В письме содержится ложный, но очень убедительный предлог, требующий немедленных действий:
    «Ваш аккаунт взломали!»
    «Зафиксирована подозрительная активность!»
    «Вы получили важное сообщение / штраф / счет!»
    «Ваша учетная запись будет заблокирована!»
  4. Призыв к действию. Жертву просят перейти по ссылке «для подтверждения данных», «разблокировки аккаунта» или «проверки безопасности».
  5. Кража данных. Ссылка ведет на поддельный сайт, внешне неотличимый от настоящего. Жертва вводит свои логин и пароль, которые мгновенно попадают к злоумышленнику.

Основные виды фишинга

Фишинг постоянно эволюционирует, вот его основные разновидности:

Вид фишингаСутьПримерКлассический (массовый) фишингМассовая рассылка писем по случайным спискам. Рассчитан на количество.Письмо от имени «Apple» с угрозой заблокировать iCloud.Целевой фишинг (Spear Phishing)Точечная атака на конкретного человека или организацию. Злоумышленник предварительно изучает жертву через соцсети, чтобы письмо выглядело максимально правдоподобно.Письмо сотруднику от имени «генерального директора» с требованием срочно перевести деньги.Китобойный промысел (Whaling)Разновидность целевого фишинга, когда атакуют «крупную рыбу» — топ-менеджеров, руководителей высшего звена.Письмо финансовому директору от имени «юриста компании» с фиктивным судебным иском.Смишинг (Smishing)Фишинг через SMS.СМС от «банка»: «Ваша карта заблокирована. Для разблокировки перейдите по ссылке...».Вишинг (Vishing)Голосовой фишинг. Атака по телефону.Звонок от «службы безопасности банка» с просьбой назвать код из СМС для «отмены мошеннической операции».Фарминг (Pharming)Более сложная техника. Злоумышленник перенаправляет жертву с легального сайта на поддельный, изменяя настройки DNS или файл hosts на компьютере.Пользователь вводит в браузере bank.ru, но попадает на фальшивый сайт, контролируемый мошенниками.

Реальные примеры фишинговых писем

  1. «От банка»:
    Тема:     Срочно! Ваша карта заблокирована.
    Текст: «Уважаемый клиент! Во избежание блокировки карты подтвердите ваши данные по ссылке: hxxp://bank-safe-online.ru»
    Разбор: Ссылка ведет на поддельный сайт, похожий на сайт банка. Домен часто похож на настоящий, но с ошибками (bank-onIine.com вместо bank-online.com).
  2. «От сервиса доставки»:
    Тема:     Не удалось доставить вашу посылку.
    Текст: «Для получения посылки №456789 вам необходимо оплатить таможенный сбор 75 рублей. Перейдите по ссылке для оплаты.»
    Разбор: Расчет на то, что человек ждет посылку и может не задумываться о сумме. Цель — украсть данные карты.
  3. «От коллеги» (целевой фишинг):
    Тема:     Срочный документ для вас.
    Текст: «Привет, [Имя коллеги]! Я срочно отправил тебе документ для проверки через Google Диск. Вот ссылка для доступа: [фишинговая ссылка, ведущая на поддельную страницу входа в Google]»
    Разбор: Используется имя реального коллеги, что вызывает доверие. Цель — украсть учетные данные корпоративной почты.

Как защититься от фишинга?

  1. Внимательно проверяйте адрес отправителя. Часто email мошенников похож на настоящий, но содержит опечатки или домен другого уровня (например, support@amazon.support.ru вместо @amazon.com).
  2. Не переходите по ссылкам в подозрительных письмах. Лучше вручную введите адрес сайта в браузере.
  3. Проверяйте URL. Наведите курсор на ссылку (не кликая!), чтобы увидеть настоящий адрес. Убедитесь, что он совпадает с официальным сайтом и начинается с https:// (но это не 100% гарантия!).
  4. Никогда и никому не сообщайте пароли, PIN-коды и коды из SMS. Настоящий банк или сервис никогда не запросит эту информацию.
  5. Включите двухфакторную аутентификацию (2FA). Даже если мошенник украдет ваш пароль, без кода из приложения или SMS он не сможет войти в аккаунт.
  6. Не открывайте вложения от неизвестных отправителей.
  7. Критически относитесь к срочности. Фишинг часто создает искусственное чувство паники («Сделай сейчас, иначе будет поздно!»). Остановитесь и перепроверьте информацию.

Помните: Фишинг основан на человеческой доверчивости и спешке. Ваша лучшая защита — внимательность и здоровый скептицизм.

Ум сильнее улова. Не клюй на фишинг!