Фишинг? Не слышали!

Фишинг-атаки относятся к основным противоправным способам, используемым киберпреступниками в XXI веке. Средства массовой информации по всему миру ежедневно публикуют списки организаций, чьи клиенты подверглись подобным атакам. Фишинг очень похож на спам, но если последний просто отвлекает от работы, то первый приводит к реальным финансовым и репутационным потерям.

При атаке на пользователей электронной почты/соцсетей у злоумышленников две основных цели: узнать пароль пользователя или попытаться заставить скачать вредоносный файл.

Способов попасться масса: подключиться к публичному Wi-Fi в кафе с авторизацией по учетной записи социальной сети, ввести свои данные на поддельном сайте, перейти по ссылке в «письме счастья» от налоговой или объявлении о «черной пятнице» от торговой сети. Фантазии преступников можно только позавидовать. Основные же методы преступников хорошо описаны в детской песенке в исполнении Кота Базилио и Лисы Алисы:

«На хвастуна не нужен нож, ему немного подпоешь — и делай с ним, что хошь!»

1. Воздействие через тщеславие и самолюбие пользователя.

Письма с вложением ссылки на фотобанки, страницы социальных сетей или видеохостинг (youtube и т.д.), в тексте письма обычно либо похвала — «ты отлично получился на фото», «это ты?», либо провокация — «зря надела это платье», «ну ты и растолстел» и т.д.

«На жадину не нужен нож, ему покажешь медный грош — и делай с ним, что хошь!»

2. Воздействие через жадность

Сообщения о выигрыше в лотерею, наследстве, хороших скидках в брендовых магазинах или на билеты на популярные концерты, выставки и прочее.

«На дурака не нужен нож, ему с три короба наврешь — и делай с ним, что хошь!»

3. Воздействие через доверие

Обращение от имени друзей, родственников, знакомых или коллег. Могут быть как широковещательными, так и целевыми. Наиболее эффективные – целевые. Именно из-за подготовки к ним и интересны преступникам ваши пароли к аккуантам в соцсетях и личной почте. Получив доступ к переписке, злоумышленник может выяснить контакты, нюансы и привычки вашего общения — жаргон, типовые сокращения, личные обращения, интересы.

Поэтому не следует думать, что единственная информация, которую необходимо защищать от мошенников, — это данные банковских карт и платежных систем. Многие фишеры будут вполне удовлетворены и доступом к вашей учетной записи в социальной сети или почтовом сервисе.

Для тех, кому в детстве родители все-таки объяснили, что заманчивым обещаниям незнакомцев доверять не стоит, у преступников есть другой очень эффективный метод воздействия — запугивание.

4. Воздействие через страх

Вам могут пригрозить угрозой блокировки учетной записи в соцсетях, почтового ящика или даже банковской карты. Очень распространены попытки подделки рассылок государственных надзорных органов — Роскомнадзора, ФНС, МВД, суда. Не всем людям просто отказать напористому «сотруднику отдела безопасности банка», требующему сообщить данные кредитной карты для предотвращения ее блокировки.

Как уберечься от фишинга?

Универсального лекарства, кроме бдительности и разумной паранойи, нет. Проблема в том, что эта зараза похожа на грипп — постоянно мутирует и меняет формы атаки. Преступники, стоящие за фишинговыми операциями, могут начать целевую атаку, направленную, например, только на сотрудников определенной организации или лишь на программистов.

Что предложить пользователям в качестве инструмента противодействия фишингу? Основное — здравый смысл. Необходимо как следует проверять в сообщениях все ссылки и сайты, на которые эти ссылки ведут.

В идеале, на сайты, требующие ввода личных данных, ходить по ссылкам вообще не стоит — лучше набрать адрес вручную. Разумеется, посещение подобных ресурсов должно осуществляться через надежные устройства и сети.

Всегда внимательно проверяйте ссылку, по которой собираетесь кликнуть: не перепутаны ли буквы в названии сайта. Если с написанием что-то не так, это верный признак, что преступники ведут вас на поддельную страницу.

Перед вводом логина и пароля проверьте, защищено ли соединение. Если перед адресом сайта вы увидите префикс https, то, скорее всего, все в порядке.

Даже если письмо или сообщение со ссылкой пришло от лучшего друга или начальника, все равно нужно помнить, что его тоже могли обмануть или взломать. Поэтому ведите себя не менее осторожно, чем при обращении со ссылками, пришедшими из неизвестного источника.

То же самое касается писем, отправленных из официальных инстанций и организаций: банков, налоговой, онлайн-магазинов, бюро путешествий, авиакомпаний и так далее. Даже с вашей работы. Не так уж трудно подделать официальное письмо настолько достоверно, что от реального его отличить будет очень сложно.

Получая письмо с просьбой совершить какое-либо действие под предлогом получения крупного выигрыша или обновления программного обеспечения следует проверять источник, откуда пришло сообщение. Если он вызывает сомнение или вовсе не существует, то выполнять рекомендованные действия не стоит.

Ни одна организация не будет требовать сообщить пароль или логин, так как они нужны только пользователю. Запрос такой информации уже является поводом усомниться в подлинности письма.

Если в сообщении имеется просьба воспользоваться ссылкой или заполнить форму, но адрес неизвестен и ранее с него письма не приходили, лучше проверить источник.

По возможности не заходите в онлайн-банки и тому подобные сервисы через открытые Wi-Fi-сети в кафе или на улице. Лучше воспользоваться мобильным Интернетом или потерпеть, чем потерять все деньги на карте. Дело в том, что за таким Wi-Fi могут стоять мошенники, подменяющие адрес сайта на уровне подключения и перенаправляющие вас таким образом на поддельную страницу.

Установите антивирусные средства на ваше устройство доступа в интернет и используйте встроенные функции защиты в web-браузерах (режим «protect: безопасная работа в интернет» в Яндекс.браузере или ««Включить защиту от фишинга и вредоносного ПО» в Google Chrome.)