Оставить комментарий
В статье рассказывается:
- Что такое фишинг, и как он работает в Интернете?
- Кто под прицелом фишинга в Интернете?
- Приманки в интернет-фишинге
- Виды интернет-фишинга
- Распространенные примеры фишинга в Интернете
- Какие еще разновидности фишинга встречаются в Интернете?
- Лучшая защита от фишинга в Интернете
Переход банковских операций, платежей и обмен конфиденциальной информацией в онлайн-формат приводит к тому, что Интернет становится всё более привлекательной средой для различных аферистов. Злоумышленники стараются заполучить у доверчивого пользователя нужные сведения. Одной из популярных разновидностей обмана является фишинг в Интернете. Всё больше людей попадаются на удочку мошенников. Можно ли избежать опасностей, связанных с фишингом? И как это сделать?
Что такое фишинг, и как он работает в Интернете?
Термин «фишинг» (phishing) происходит от двух английских слов: password (пароль) и fishing (рыбная ловля). Он обозначает способ онлайн-мошенничества, который заключается в выманивании персональной информации пользователей: логинов, паролей от различных сайтов, номеров банковских карт и лицевых счетов и т. п.
Обычно фишинг принимает форму поддельных писем-уведомлений от различных контор: интернет-провайдера, банка, платежной системы и т. п. с призывом срочно изменить или сообщить свои личные данные. Это аргументируется разнообразными причинами: сбоем в системе, потерей данных о клиентах и др.
Фишинг как вид мошенничества в Интернете был впервые упомянут в связи с корпорацией AOL в середине 90-х гг. Через этот мессенджер злоумышленники рассылали пользователям сообщения с просьбой указать пароль от учетной записи. С аккаунтов, к которым хакеры получили доступ, затем рассылался спам.
Первые попытки атак на платежные системы начались в 2001 году. Под удар попал сервис e-gold. Фишинг в Интернете с тех пор получил значительное развитие, и мошенники остаются одной из главных угроз для банков и других подобных учреждений, а также их клиентов.
В США веб-мошенниками была собрана огромная база данных по налогоплательщикам.
Социальные сети часто подвергаются атакам фишеров. Пользователи MySpace в 2006 году пережили волну краж регистрационных данных, а в 2008 году то же самое случилось с пользователями сети «ВКонтакте».
Кто под прицелом фишинга в Интернете?
Ради того, чтобы добраться до ваших личных данных, киберпреступники применяют разные хитрые уловки. Это и поп-апы на сайтах, и загрузочные страницы, и целые фишинговые сайты, внешне неотличимые от оригинала, и привычный спам по электронной почте, и именные сообщения от различных организаций.
Целью фишинговых атак являются:
частные лица;
предприятия и организации.
Чаще всего фишеры атакуют сервисы электронных платежей, аукционные площадки и банки, поскольку наибольший интерес для них представляет та информация, которая дает доступ к деньгам. Не менее часто крадут регистрационные данные почтовых ящиков, чтобы затем рассылать вирусы или формировать зомби-сети.
У физических лиц, пользующихся услугами банков, провайдеров, почтовых служб, веб-кошельков и социальных сетей, мошенники стремятся украсть:
Ф. И. О., никнейм на сайте, фактический адрес;
логин и пароль от социальной сети или почтового ящика;
сведения с банковской карты (номер, CCV-код и PIN-код);
номера телефона и банковского счета;
номер в системе социального страхования.
Завладев этими данными, мошенники получают возможность красть деньги с банковской карты, использовать её как подставной счет, брать кредит на чужое имя.
Обналичить счет – не такая простая задача, поскольку лицо, занимающееся обналичкой, рискует быть пойманным, как и вся преступная группа, организующая подобное мошенничество. Поэтому некоторые фишеры не используют сами конфиденциальные данные, украденные у людей, а перепродают их другим преступникам, у которых сложились собственные схемы вывода денежных средств с карт и счетов.
Когда жертвами интернет-фишинга становятся компании, то сначала фишеры получают регистрационные данные кого-либо из работников, а затем, зайдя через его учетную запись, осуществляют полномасштабную атаку на организацию.
Чтобы произвести взлом, мошенники рассылают миллионы писем на электронные ящики (это занимает всего несколько часов). Подобное послание оформлено в виде напоминания от какой-либо компании о том, что нужно срочно зайти по ссылке и проверить (сменить, актуализировать) логин и пароль.
Иногда разрабатываются фишинговые сайты, максимально схожие по дизайну с оригиналом, чтобы пользователь ничего не заподозрил, и даже URL-адрес делают правдоподобным. Он выглядит как адрес реального сайта, но с небольшой опечаткой, либо как его субдомен.
«Гарпунный» фишинг
Жертвы «гарпунного» фишинга – обычно не массы пользователей Интернета, а отдельные лица. Этот метод часто используется для того, чтобы взломать защиту компании и атаковать её ресурсы. Обработка жертв ведется в социальных сетях и других подобных сервисах, где можно собрать достаточно информации и адаптировать сообщение для получателя.
«Охота на китов»
Добычу конфиденциальных данных руководителей и прочих важных людей называют «Охотой на китов». Фишерам потребуется немного больше времени и усилий, чтобы определить личностные особенности жертвы, выбрать подходящие средства и удачный момент для кражи регистрационной информации.
Приманки в интернет-фишинге
Киберпреступники начинают свою охоту с писем, содержащих заманчивые предложения. Они выглядят вполне правдоподобно: содержат логотипы компаний, реквизиты брендов и сайтов, под чьи названия маскируются мошенники. Ссылки, с помощью которых осуществляется фишинг в Интернете, обычно тоже подделываются под настоящие веб-ресурсы. Далее задача преступников – привлечь внимание пользователя к этой информации и заставить совершить действие.
Чтобы пользователь кликнул по ссылке и оставил свои личные данные, ему предлагают:
Возможность мнимого выигрыша.
Скидки в известных интернет-магазинах.
Другие сверхвыгодные акции, бонусы, распродажи.
Участие в розыгрышах, конкурсах.
Гарантию победы в мероприятии (лучше всего срабатывает фишинговый прием «миллионный посетитель», где пользователя просят пройти по ссылке и залогиниться, чтобы получить приз).
Итоговыми действиями должна стать необходимость подтвердить платежные реквизиты, ввести ПИН-код; обновить данные учетной записи для защиты от возможных взломов.
Фишинг в Интернете может быть как целевым, так и случайным. В последнем случае охота ведется вслепую, на всех пользователей, которые могут иметь учетную запись (например, на Ebay, где таких людей довольно много). Когда целью аферистов является конкретный человек, они стараются выяснить, где он зарегистрирован: в каком банке, платежном сервисе, на каких сайтах, услугами какого провайдера пользуется. Это, конечно, дольше и сложнее, но и вероятность успеха выше.
Оплачивать по карте или с веб-кошелька аудиозаписи, книги, курсы, мобильную связь и другие товары (услуги) через Интернет очень удобно, особенно если это небольшие, в пределах 100−1000 рублей, денежные переводы. Чтобы обезопасить своих клиентов, банки всё больше усложняют процедуру аутентификации, что провоцирует людей пренебрегать всеми такими мерами. Это создает уязвимости, которыми пользуются мошенники.
Кстати, сами банки не озабочены проблемой безопасности клиентов: благополучие организации от неё не зависит. Кроме того, у банков почти нет эффективных рычагов влияния на киберпреступников. То есть клиент остается беззащитным перед мошенниками: банк посчитает его виновным по неосторожности и не возместит ущерб от интернет-фишинга. Поэтому безопасность клиента остается его личной проблемой. Приходится быть внимательным и держать в уме, что доверчивость открывает путь мошенникам и грозит денежными потерями.
Даже те люди, у которых нет банковского счета, не могут чувствовать себя в безопасности. Фишерские ссылки, помимо воровства личной информации, представляют и другие угрозы: можно подхватить троян, кейлоггер или шпионский софт на свой компьютер.
Виды интернет-фишинга
Интернет-фишинг всё больше усложняется и вбирает в себя приемы социальной инженерии. Жертву нужно как-то запугать, назвав серьезную причину для того, чтобы она поделилась личными данными.
Поэтому фишинговые сообщения и письма наполнены угрозами. Например, уведомляют о предстоящей блокировке счета, если пользователь не сообщит свои данные в недельный срок.
Как ни удивительно, но в качестве одного из аргументов, который должен замотивировать пользователя раскрыть свои данные, мошенники используют совершенствование антифишинговых систем! То есть человеку предлагают ввести свой логин и пароль, чтобы его аккаунт не смогли взломать хакеры!
Виды фишинга в Интернете:
почтовый (рассылка электронных писем);
онлайновый (подмена сайтов банков и страниц с интерфейсом онлайн-банкинга);
комбинированный.
Почтовый фишинг в качестве главного оружия использует вирусное и шпионское ПО: трояны и черви, программы для обхода спам-фильтров на компьютере жертвы. Иногда подделывают адресную строку. Нередко рассылают «оповещения» от кредитных организаций, клиентом которых человек является.
Онлайновый фишинг – это создание поддельных страниц, которые внешне не отличишь от страниц с функционалом онлайн-банкинга. Если залогиниться под своими данными на такой странице-двойнике, вашими логином и паролем завладеют злоумышленники. Им останется только зайти в личный кабинет клиента на настоящем сайте банка и перевести деньги, куда они пожелают.
В случае комбинированного фишинга виртуальные аферисты разрабатывают целый подменный сайт банка и затем заманивают доверчивых жертв туда. Фишеры достаточно разбираются в человеческой психологии, чтобы делать это. Например, предлагают ознакомиться с новыми кредитными программами, перевести деньги со счета на специальный депозит, созданный именно для этого клиента, и т. п. Их цель – ваши регистрационные данные.
Как правило, фишинговую страницу можно распознать только по URL-адресу, который немного не совпадает с соответствующими данными настоящего сайта. Но в веб-строку люди заглядывают редко, поэтому и становятся жертвами обмана, оставляя свою конфиденциальную информацию мошенникам. Рядовому пользователю сложно увидеть подмену, потому что визуально фейк-страница полностью копирует сайт оригинала.
Как обнаружить поддельный сайт и избежать кражи данных
Внимательно смотрите, на каком сайте вы работаете. В первую очередь это касается систем онлайн-банкинга. Сайты в доменных зонах .ru или .com могут быть вполне надежны, а вот оканчивающиеся на .zz или .org – вряд ли. Искаженный адрес наподобие s-google.com тоже должен вас насторожить.
Фишинговые письма часто являют собой подделки очень высокого качества: логотип (банка, провайдера, портала) соответствует настоящему, оформление письма – тоже. С виду безобидная ссылка «Перейти на сайт и залогиниться» отправит вас не на официальный сайт, а на его точную фишинговую копию.
URL’ы фишинговых страниц тоже очень схожи с оригиналами. Если ссылка в адресной строке совсем не похожа на то, что ожидает увидеть пользователь, замысел хакеров провалится (хотя такие варианты фишинга в Интернете, даже с IP-адресами в начале ссылок, тоже встречаются, но срабатывают они только на очень неопытных пользователях). Поэтому ссылку тоже максимально приближают к оригиналу, делая в ней малозаметную опечатку или добавляя другие слова: login-examplebank.com вместо реального www.examplebank.com.
Становится популярным такой прием фишинга, как замена точками всех слэшей в адресе сайта: examplebank.com.personal.login или www.examplebank.com-personal.login вместо www.examplebank.com/personal/login.
Даже если ссылка, находящаяся в теле письма, вроде бы ведет на официальный сайт, её реальный URL может оказаться другим. Чтобы отвлечь внимание пользователя, фишеры пичкают свои письма дополнительными ссылками (которые вполне могут вести на верный сайт), но целевой линк при этом будет ссылаться на мошенническую страницу.
Распространенные примеры фишинга в Интернете
Рассмотрим самые популярные споосбы обмана пользователей.
Фишинговые сайты
Изготовление точной копии веб-сайта крупного банка или другой известной компании – популярный прием фишинга в Интернете. Чтобы привлечь пользователей на этот фейковый сайт, им рассылают письма со ссылками по электронной почте или другим каналам. Ничего не подозревающий пользователь видит привычный дизайн, цветовую гамму, логотип и прочие элементы фирменного стиля (например, Сбербанка).
Эти сайты нужны злоумышленникам для выуживания регистрационных данных клиентов банка. Как только пароль, код подтверждения и т. п. оказываются в их распоряжении, деньги со счета клиента моментально переводятся на кошельки мошенников.
Важно! Ни одна кредитная организация, особенно банк, не станет делать рассылки с просьбой ввести потерянные конфиденциальные данные вроде номера карты, ПИН-кода, пароля и прочего.
Отличия фишингового сайта от оригинального:
Неполное совпадение URL’а с адресом оригинала. Например, odnoklassnik.ru.
Орфографические ошибки (на главной и других страницах).
Грубо скопированные элементы дизайна: плохо прорисованные, размытые и т. п.
Чтобы посмотреть, куда на самом деле ведет ссылка, наведите на неё курсор. У фишинговых страниц очень неожиданные адреса, состоящие из множества латинских букв и цифр, складывающихся в хаотичную последовательность.
Скачав файл из подозрительного письма, можно заразить компьютер всем набором шпионского и вредоносного ПО – от простых троянов и вирусов до программ, ворующих пароли или запоминающих все нажатия клавиш. Под угрозой оказываются банковские счета, онлайн-кошельки и социальные сети, на которые вы заходите с этого устройства.
Иногда на фейковых сайтах присутствуют телефоны якобы службы поддержки, при звонке по которым у вас тоже будут просить личные данные.
Фишинговые письма
Электронная почта является удобным каналом для интернет-фишинга. Подставить нужный электронный адрес в строке «От кого» – пустяковая задача для хакера. Есть много специальных онлайн-сервисов и программ для этого. Пользователь, видя адрес легитимного сайта или серьезной конторы, ничего не заподозрит.
Правда, крупнейшие почтовики активно борются с этим. Например, Gmail сразу отправляет подозрительные письма с подменой адреса в папку «Спам». Но отдельные из них всё равно проскакивают этот барьер и не блокируются. К тому же, кибермошенники тоже не стоят на месте и находят всё более изощренные способы доставить фишинговое послание пользователю.
5 признаков, по которым можно выявить поддельные письма:
Нет цифровой подписи, зато есть исполняемые файлы в виде вложений (документов, дистрибутивов программ, даже картинок) или ссылки на скачивание чего-либо. Практически наверняка там содержится вирус.
Нагнетание тревоги и спешки: слова «срочно», «важно», «немедленно», обилие восклицательных знаков в заголовке или тексте, заставляющие пользователя быстро сделать всё, что нужно, чтобы решить проблему.
Фишинговые рассылки пестрят грамматическими ошибками и опечатками. Конечно, далеко не каждый из нас может похвастаться идеальной грамотностью и иногда пропускает запятую, но письма фишеров просто вопиюще ужасны в этом плане: с ошибками набраны даже названия сервисов.
Для фишинга в Интернете мошенники отправляют рассылку с одних и тех же адресов, причем подставных, ненастоящих (вроде money@yandiex.co.cc, странность которого сразу бросается в глаза). Можно легко нагуглить жалобы на эти адреса
Требование сообщить пароль и логин учетной записи на портале, номер банковской карты с ПИН-кодом, код авторизации, перечислить небольшую сумму для разморозки счета. Такие просьбы – типичный маркер фишингового письма.
Нередко мы получаем письма с просьбой зайти по указанной ссылке и авторизоваться на сайте с помощью своих личных данных. Получив нечто подобное, будьте внимательны к:
Адресу отправителя. Оповещения от солидных компаний и крупных порталов не могут прийти с массовых почтовых сервисов типа Gmail.com, Yandex или Mail.ru – у всех корпоративных отправителей есть собственные домены.
Обращению в письме. Безличное обращение вроде «Дорогой клиент!» должно вас насторожить: вероятнее всего, это мошенническое письмо. Банки и прочие предприятия обратились бы к вам по имени или Ф. И. О. – у них эта информация точно есть.
Содержанию письма. Слишком привлекательные предложения в духе кричащей рекламы – срочно активировать скидку, воспользоваться эксклюзивной программой и т. п. – могут указывать на фишинг. Хакеры стараются напугать вас либо соблазнить чем-то очень выгодным, либо заставить спешить. Оповещения о блокировке аккаунта, попадании в бан-лист и т. п. от крупных порталов и организаций не должны вас пугать.
Есть большая вероятность, что это происки фишеров, которым нужно только принудить вас пройти по ссылке и оставить там свои регистрационные данные. Зайдите на этот сайт самостоятельно, не кликая по ссылкам из письма, и проверьте, всё ли хорошо с вашей учетной записью.
Обходу фильтров. Спам-фильтры работают с текстами писем, находя подозрительные фрагменты и помечая письмо как спам. Поэтому фишеры стараются заменять тексты изображениями. Однако почтовые сервисы об этом знают и блокируют письма с картинками, приходящие с незнакомых адресов, отсутствующих в адресной книге клиента.
Фишинг в социальных сетях
Рассмотрим методы фишинга в Интернете на примере такой мировой соцсети, как Facebook. Хакеры могут создать идеальную копию страницы входа на сайт и разместить её на домене с очень похожим названием (fasebook.com, fakebook.com и т. п.). Если вы не заметите несоответствий в адресной строке и залогинитесь на фишинговой странице, мошенники получат доступ к вашей учетной записи в этой социальной сети. Чтобы пользователь ничего не заподозрил, после нажатия кнопки Log In его перенаправляют на главную страницу настоящего Facebook.
Предположим, существует некий программист Игорь, промышляющий фишингом в Интернете. Он пишет программу для сбора учетных данных тех, кто будет логиниться на фейковой странице, и быстро создает саму страницу, размещая её по адресу https://www.facebouk.com/money-online. Затем пишет письмо следующего содержания своему другу Андрею: «Андрей, привет, я тут нашел крутой способ быстро заработать в Интернете, обязательно посмотри − https://www.facebouk.com/money-online».
Андрей, ослепленный перспективой легко обогатиться, проходит по ссылке и оказывается на поддельной странице. Видя привычный интерфейс Facebook, он, как ни в чём не бывало, вводит свой логин и пароль. Эти данные отправляются Игорю, а Андрея перекидывают на страницу с рекомендациями по заработку https://www.facebouk.com/money-online.html. Учетная запись Андрея взломана, фишинг удался.
Какие еще разновидности фишинга встречаются в Интернете?
Фарминг
Подвид интернет-фишинга, при котором персональные данные крадутся не по ссылке из письма, а прямо на официальном сайте. Фармеры научились заменять цифровой адрес реального сайта компании на свой собственный, чтобы пользователь, не замечая ничего странного, перешел на мошеннический сайт. Такой фишинг очень опасен: люди беззащитны перед ним, поскольку просто не могут обнаружить подмену.
К сожалению, пока не разработано надежных методов защиты от фарминга. Всё, что может сделать рядовой пользователь, это иметь на своем устройстве антивирусную программу и критически относиться к входящей почте.
Вишинг (голосовой фишинг)
Ещё одна угроза вашим персональным данным и кошельку. Аферисты отправляют жертве письмо о том, что её банковский счет в опасности и нужно срочно перезвонить по указанному номеру. Сделав это, человек натыкается на автоответчик или оператора, который требует продиктовать ему ПИН-код и номер банковской карты. Легко догадаться, что следующим шагом человек теряет свои деньги.
Важно! Политика безопасности банков не допускает подобных звонков! То есть работники кредитных организаций никогда не станут спрашивать, какой у вас пароль, логин или номер кредитки. Этот вопрос однозначно выдает мошенника.
Смишинг (или смс-фишинг)
Заключается в рассылке смс-сообщений, в которых содержится ссылка на фишинговый сайт. Отправитель маскируется под надежную известную контору и просит зайти на сайт, чтобы отправить через него свои данные, включая ПИН-код. Все средства с его карты после этого списываются, причем иногда даже за одно смс.
В наше время некоторые банки переходят к более продвинутым способам обеспечения безопасности платежей, которые вступают в силу, например, тогда, когда в магазине человек пытается расплатиться за крупную покупку, превышающую установленный банком лимит. Ему может позвонить представитель банка и попросить назвать кодовое слово.
Однако специалисты по интернет-фишингу тоже не дремлют и изобретают всё новые алгоритмы выманивания личных данных: отслеживают, перехватывают и определяют телефонный номер жертвы, а затем выясняют проверочное слово. Зная его, они могут добраться до кредитки. Будьте внимательны к подобным звонкам.
Лучшая защита от фишинга в Интернете
Чем меньше люди осведомлены о правилах работы организаций, за представителей которых выдают себя кибераферисты, тем большим успехом пользуются мошеннические схемы получения персональных данных. Сайты многих банков, платежных систем и других компаний, где фиксируется конфиденциальная информация, содержат развернутые предупреждения о том, что сообщать свои пароли, логины, номера счетов и прочее никому не следует и что работники компании не могут об этом попросить. Но люди продолжают попадаться на удочку фишеров.
Для борьбы с фишингом в Интернете была организована специальная группа под названием APWG – Anti-Phishing Working Group, объединяющая предприятия, являющиеся целью атак фишеров (в том числе крупные мировые банки), и разработчиков антивирусного, антиспамерского и антифишингового ПО (IT-компании). APWG проводит мероприятия по ознакомлению пользователей. Члены группы, число которых на сегодняшний день перевалило за 2500, постоянно обмениваются информацией о новых сайтах фишеров и схемах работы мошенников.
APWG с оптимизмом смотрит в будущее и надеется научить пользователей избегать подозрительных сайтов. Ведь удалось же привить людям осторожность при работе с письмами и файлами от неизвестных отправителей.
Против фишинга в Интернете предпринимаются и технические меры:
браузеры собирают черные списки опасных сайтов и оповещают пользователя о вероятной угрозе;
спам-фильтры почтовых служб всё время совершенствуются.
9 полезных советов по защите от фишинга
Обзаведитесь двумя (или более) почтовыми ящиками: для личной переписки и для регистрации на различных сервисах, порталах, форумах, а также для работы. Распознавать и удалять спам будет проще.
Все письма, требующие передать пароль, ПИН-код и другую подобную информацию, сразу отправляйте в корзину. Никто не вправе претендовать на эти данные. Персонал банков и других учреждений не должен иметь к ним доступ. Это явно фишинг.
Внимательно читайте e-mail, с которого пришло письмо с требованием сообщить ПИН-код либо пароль. Он идентичен корпоративной почте компании? Проверьте это, зайдя на её сайт: в разделах «Контакты», «Обратная связь», «Поддержка клиентов» обязательно указаны контактные адреса фирмы.
Остерегайтесь всяких непонятных ссылок из писем. Не открывайте подозрительные вложения.
Всегда удостоверяйтесь в том, что доменное имя интернет-ресурса, на который вы зашли, верно и соответствует доменному имени нужного вам сайта.
Заходя в онлайн-кабинет банка или платежной системы, убедитесь в наличии безопасного соединения HTTPS (в отличие от привычного http в адресной строке, оно содержит дополнительную букву s – secure – и выделено зеленым цветом). Оно не позволит злоумышленникам перехватить ваши данные. Сайты банков без https лучше обходить стороной.
Своевременно обновляйте браузер, проверяйте его настройки. Создатели браузеров постоянно улучшают свои продукты, делая их более безопасными и менее уязвимыми. Не ленитесь скачивать обновления.
Не только браузеры, но и почтовые клиенты, антивирусные и другие программы борются с фишингом в Интернете. Антивирусные программы, которые нужно обязательно устанавливать на каждый компьютер, оперативно блокируют фишинговые атаки. Современные браузеры и почтовики научились неплохо распознавать фишинговые письма и отправлять их в спам.
Операционная система (ОС) тоже нуждается в обновлении! Многие улучшения ОС делаются именно ради того, чтобы закрыть уязвимости, которыми могут воспользоваться киберпреступники для фишинга в Интернете, и ради того, чтобы система отвечала всем актуальным требованиям.
Но, какими бы совершенными ни были программы, не следует полагаться на них целиком. Внимательность ничто не заменит. Не игнорируйте предупреждения вашего антивирусника или браузера, который распознал сайт как опасный. Кроме того, большинство пользователей не глядя устанавливают игры и софт, не читают скучные пользовательские соглашения, а это может быть небезопасно.
