August 15, 2021

В чем разница Фишинга, Вишинга и Фарминга

Интернет стал неотъемлемой частью жизни каждого из нас. Сеть открывает множество невероятных возможностей – общение, покупки, оплаты счетов и различные развлечения. Но, к сожалению, не всегда и не все используют интернет во благо обществу.

Из-за стремительного развития большого количества ресурсов появилось множество видов мошенничества, направленных на получение конфиденциальных данных и дальнейшее их использование в корыстных целях. Одни из самых популярных из них являются фишинг, вишинг, смишинг, фарминг. Однако, чтобы эффективно им противостоять, стоит всего лишь использовать элементарные правила безопасности и знать каким образом можно распознать популярные угрозы, о чем мы и поговорим ниже.

Количество киберпреступлений из года в год растет. Мошенники отыскивают лазейки и извлекают максимум выгоды из любой информации, размещенной в интернете. Находят номера телефонов и обзванивают жертв, представляясь сотрудниками банков. Сообщают человеку, что он выиграл в розыгрыше, и для отправления приза просят назвать паспортные данные. Порой злоумышленникам не нужно выдумывать новые схемы – пользователи на своих страницах в социальных сетях делятся данными, которые могут быть использованы им во вред. Как не стать жертвой киберзлодеев? Собрали для вас полезные советы.

Фишинг

Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — это некий вид получения злоумышленником секретной информации, при котором правонарушитель, используя средства социальной инженерии, «разводит» клиента на открытие своих личных данных. Такими данными могут быть номер и код банковской карты, номер телефона, логин и пароль от какого-либо сервиса и т.д. В основном, такой вид «ловли» используют чтобы получить доступ к онлайн-банкингу или кошельку жертвы в той или иной платежной системе и вывести средства на посторонние счета.

Как работает фишинг?

На электронный адрес атакуемого приходит фишинг-письмо, которое, в первую очередь, влияет на эмоции получателя. Например, это может быть оповещение о большом выигрыше или же, наоборот, сообщение о взломе аккаунта с дальнейшим предложением перейти по фишинговой ссылке и ввести данные авторизации. Пользователь переходит на предоставленный ресурс и «отдает» свой логин и пароль в руки мошенника, который, со своей стороны, достаточно быстро оперирует полученной информацией.

Можно привести несколько конкретных примеров интернет-фишинга:

  1. Злоумышленники рассылают миллионы писем от имени известной компании на различные e-mail, с просьбой подтвердить логин и пароль. При переходе по предоставленному URL можно увидеть страницу авторизации абсолютно идентичную странице на настоящем ресурсе. Подвох, скорее всего, скрывается в самой ссылке на сайт – домен будет очень схож с реальным, но отличаться несколькими символами. Схожий вид сообщений можно встретить также и в различных социальных сетях. К примеру, несколько лет назад был популярен фишинг Вконтакте.
  2. Мошенники, используя недостатки в протоколе SMTP, отправляют письма с поддельной строкой «Mail From:». Посетитель, отвечая на подобное письмо, пересылает его в руки правонарушителя.
  3. Также стоит быть осторожными при участии в интернет-аукционах. Так как товары, выставленные на продажу даже через легальный ресурс, могут оплачиваться через сторонний веб-узел.
  4. Множество пользователей сталкиваются с фиктивными интернет-организациями, которые обращаются с просьбами о пожертвовании.
  5. Интернет-магазины с крайне «доступными» ценами, за брендовые товары также могут быть поддельными. В итоге есть вероятность заплатить за товар, который никогда не будет получен, так как его никогда не существовало.

Вишинг

Не следует обходить стороной такую актуальную проблему, как вишинг (англ. vishing – voice+phishing). Вишинг — это одна из разновидностей фишинга, при котором также используются методы социальной инженерии, но уже с помощью телефонного звонка.

Как обычно действуют злоумышленники “вишеры”?

На телефон поступает звонок от сотрудника банка и оператор предупреждает, если прямо сейчас не будет предоставлена полная информация банковской карты ему по телефону, то карту заблокируют. Доверчивый пользователь, слыша подобную «угрозу» сразу же впадает в панику и может выдать все персональные данные вплоть до проверочного кода из SMS.

Также при вишинге может быть предложена выгодная покупка с огромной скидкой или озвучена информация о выигрыше в какой-либо акции. Не нужно сразу же радоваться столь удачной покупке или выгодной акции, всегда стоит лишний раз перепроверить информацию, обратившись к официальным ресурсам.

В любой непонятной ситуации главное не паниковать. Помните — всегда всё можно проверить. Вежливо попрощайтесь с собеседником и позвоните на горячую линию организации, представителем которой назвался звонивший. Так вы легко сможете понять был ли звонок обоснованным, или вы чуть не стали жертвой вишинга.

Фарминг

Но все же классический фишинг в ближайшее время может стать менее эффективным. Многие пользователи уже в курсе опасностей, поджидающих их на различных ресурсах и придерживаются правил безопасности. В соответствии с этим был придуман новый подвид фишинг-мошенничества – фарминг (англ. pharming), заключающийся в секретном перенаправлении пользователя на сторонние сайты.

Как же работает фарминг?

Особенность фарминга заключается в подмене настоящего сайта на мошеннический, позволяющий злоумышленнику завладеть конфиденциальными данными пользователя. Все это производится посредством использования кэша DNS на конечном устройстве пользователя или же на сетевом оборудовании провайдера. После подмены злоумышленнику остается только дождаться, когда клиент будет авторизоваться на определенном ресурсе и собрать все его данные.

Вирус активирует свою деятельность только в момент перехода на интересующую страницу. Зачастую это касается онлайн-банкингов или иных платежных систем, через которые осуществляются денежные транзакции.

Уберечься от фарминга достаточно сложно, так как процесс подмены сайта происходит незаметно. Чтобы защититься от фарминга нужно не только научиться узнавать жульнические письма, но и внимательно относиться к установке программного обеспечения. Нужно крайне осторожно подходить как к прочтению писем электронной почты, так и к скачиванию каких-либо программ из сети интернет, т.к. фарминг-программы могут работать как из кэша браузера, так и непосредственно в виде вируса на вашем ПК.

Скимминг

Еще один метод, которым активно пользуются мошенники, это скимминг. Скимминг — это копирование данных платежной карты с помощью специального устройства (скиммера). Данные карты считываются, когда владелец вставляет ее в банкомат. Для получения PIN-кода злоумышленники устанавливают мини-камеры или накладки на клавиатуру.

Шимминг

Шимминг — это модернизированная разновидность скимминга. Схема обмана аналогична: со вставляемых в банкомат карт считываются все важные данные, отличие лишь в том, что визуальных признаков присутствия «шима» внутри аппарата нет.

Мошенники вместо весьма громоздких и визуально заметных накладок на картоприемник используют тонкое, гибкое, практически незаметное устройство, которое располагается внутри картридера. Оно считывает данные карты, используемые впоследствии злоумышленниками.

Поддельные банкоматы

Иногда мошенники создают поддельные банкоматы, оставляя их в неохраняемых местах. Такие устройства внешне полностью копируют настоящие, а вот «начинка» содержит встроенный компьютер с установленной на него системой, скиммер и накладки на клавиатуру. Жертва вставляет карту, пытается совершить какие-то действия, но банкомат выдает ошибку. Человек забирает карту, но вся информация с нее уже считана.

Попасться на удочку злоумышленников можно не только пользуясь банкоматом, но и расплачиваясь картой, скажем, в ресторанах или магазинах. Алгоритм схож: официант, продавец или кассир, могут использовать скиммер или переносное устройство, прикрепленное к терминалу.

Кардинг

Термином кардинг (carding) называют мошеннические операции с платежными картами (реквизитами карт), не одобренные держателем карты. Кардинг включает в себя различные способы обмана законных владельцев материальных средств.

Выделяют три базовых направления мошеннических действий:

  1. Кража или незаконное получение карты — это либо физическое воздействие на владельца, либо поиск уязвимости в процессе выдачи, доставки или оформления банковского продукта и использование карты злоумышленником.
  2. Компрометация данных карты для последующего изготовления подделки. В первую очередь речь идёт о копировании данных магнитной полосы карты и краже PIN-кода. Наиболее широко этот вид мошенничества был распространен до массового перевода карт на чиповые технологии. Сегодня такая схема встречается редко, так как в России около трёх лет назад ввели запрет на выпуск нечиповых карт, а почти по всему миру действует Chip Liability Shift — обязанность банка-эквайера обслуживать карту с чипом именно по чипу.
  3. Компрометация реквизитов карты для совершения операций CNP (без присутствия карты). Яркий пример — оплата покупок или услуг в интернете.

Источник