Что такое фишинг? Как распознать и избежать фишинга

Вы когда-нибудь получали электронное письмо, которое выглядит так, как будто оно от вашего банка, предупреждающее вас о том, что он заморозит ваш текущий счет, если вы не подтвердите свою личную информацию? В письме могла быть ссылка. А если нажать? Возможно, вы попали на веб-сайт, который попросил вас заполнить такую ​​личную информацию, как вашиИННи номера банковских счетов.

Проблема? Эти электронные письма никогда не приходят из вашего реального банка. Вместо этого они являются частью мошеннического инструмента под названием фишинг, используемого киберпреступниками и представляющего угрозу вашей кибербезопасности.

Что такое фишинг?

Фишинг — это киберпреступление, при котором мошенники пытаются выманить у вас конфиденциальную информацию или данные, маскируя себя под надежный источник. Фишеры используют несколько платформ.

Конечная цель независимо от того, какой метод используют мошенники? Им нужна ваша личная информация, чтобы они могли использовать ее для доступа к вашим банковским счетам или кредитным картам. И они будут рассылать бесчисленные поддельные электронные письма и текстовые сообщения по всему миру в надежде, что обманом заставят достаточно людей выдать эту конфиденциальную информацию.

Некоторые фишинговые электронные письма или тексты могут показаться вам непрофессиональными, с плохой грамматикой или просьбами перейти по ссылкам со странными URL-адресами. Но фишеры не должны быть изощренными. Эти киберпреступники работают в больших объемах, и им достаточно обмануть небольшое количество жертв, чтобы считать свою работу успешной.

Например, в 2018 году Федеральная торговая комиссия указала на фишинговую атаку, нацеленную на пользователей Netflix. Фишинговое письмо якобы было отправлено от Netflix и предупреждало получателей, что у потоковой компании «возникают проблемы» с доступом к платежной информации клиента. В сообщении жертвам предлагалось щелкнуть ссылку, чтобы обновить способ оплаты. Эта ссылка, конечно же, вела не на Netflix, а на поддельный веб-сайт, созданный мошенниками.

Как убедиться, что вы не одна из этих несчастных жертв? Все дело в том, чтобы научиться распознавать фишинговые мошенничества и принять решение никогда не нажимать на ссылку в тексте или электронном письме, предположительно отправленном банком, поставщиком кредитных карт или другой известной компанией. И это не включает все фишинговые электронные письма, которые попадают в ваш спам-фильтр.

Как работает фишинг?

1. Фишер начинает с определения того, кем будут его целевые жертвы (будь то на уровне организации или на индивидуальном уровне), и создает стратегии для сбора данных, которые они могут использовать для атаки.
2. Затем фишер создаст такие методы, как поддельные электронные письма или фальшивые веб-страницы, для отправки сообщений , выманивающих данные у своих жертв.
3. Затем фишеры отправляют сообщения, которые кажутся жертвам заслуживающими доверия , и начинают атаку.
4. После развертывания атаки фишеры будут отслеживать и собирать данные , которые жертвы предоставляют на поддельных веб-страницах.
5. Наконец, фишеры используют собранные данные для совершения незаконных покупок или совершения мошеннических действий .

При этом при определении фишинга не все атаки выглядят и работают одинаково. Мошенничество с фишингом может принимать различные формы и может иметь разные цели при развертывании.

Типы фишинговых атак и примеры

Мошенничество с фишингом может занятьразнообразие форм. В некоторых фишинговых письмах вас попросят перейти по ссылке, чтобы предотвратить закрытие вашего банковского счета или кредитной карты. Когда вы нажмете на ссылку, вы попадете на веб-сайт, который запрашивает вашу личную финансовую информацию. Это может открыть дверь для кражи личных данных.

Другие типы фишинговых атак требуют, чтобы вы щелкнули ссылку, чтобы подтвердить, что кредитная карта или банковский счет принадлежат вам. Опять же, эта ссылка приведет вас на мошеннический веб-сайт, который попросит вас предоставить личную или финансовую информацию, которая, вероятно, будет захвачена мошенниками.

Вы можете получить фишинговое электронное письмо с предупреждением о том, что ваша учетная запись электронной почты заполнена и может быть закрыта. Если вы не нажмете на ссылку, предупреждает электронное письмо, вы потеряете доступ к своим сообщениям электронной почты. Опять же, подобные ссылки могут запрашивать и собирать вашу личную информацию или могут устанавливать вредоносное или рекламное ПО на ваш компьютер.

Неприятная правда? Существует множество видов фишинговых атак. Вы должны быть в поиске для всех из них.

1. Электронный фишинг

Основное фишинговое письмо рассылается мошенниками, выдающими себя за законные компании, часто банки или поставщики кредитных карт. Эти электронные письма предназначены для того, чтобы вынудить вас предоставить данные для входа в систему или финансовую информацию, например номера кредитных карт или номера социального страхования.

Другие поддельные электронные письма могут попытаться заставить вас щелкнуть ссылку, ведущую на поддельный веб-сайт, который выглядит как Amazon, eBay или ваш банк. Затем эти поддельные веб-сайты могутустановить вредоносное ПОили другие вирусы прямо на ваш компьютер, позволяя хакерам украсть вашу личную информацию или получить контроль над вашим компьютером, планшетом или смартфоном.

Пример фишинга? Вы можете получить электронное письмо, которое выглядит так, как будто оно было отправлено PayPal. В электронном письме может быть сказано, что вам нужно щелкнуть ссылку, чтобы подтвердить свою учетную запись PayPal. Если нет? В электронном письме говорится, что ваша учетная запись PayPal будет закрыта.

Вот пример фишингового письма PayPal.

Источник: Безопасный мир

Конечно, это мошенничество. Если вы нажмете на ссылку, вы попадете на поддельную страницу входа в систему, которая выглядит так, как будто это PayPal. Если вы затем введете свой пароль и имя пользователя, мошенники перехватят эту информацию.

Эти электронные письма часто содержат орфографические ошибки, странную грамматику и общие приветствия, такие как «Уважаемый пользователь» или «Уважаемый клиент». Ссылки, которые вы должны щелкнуть, часто ведут на веб-сайты со странными URL-адресами или такими, которые написаны немного иначе, чем официальный веб-сайт учреждения.

PayPal, компании-эмитенты кредитных карт, ипотечные кредиторы и банки никогда не будут связываться с вами по электронной почте, чтобы запросить у вас какую-либо личную информацию. Вместо того, чтобы нажимать на ссылки в электронных письмах, войдите в свою учетную запись самостоятельно. Если есть законное беспокойство, вы увидите это при входе в систему.

Как распознать фишинговые письма

Мошенники стали более изощренными, когда дело доходит до рассылки фишинговых писем. Но есть еще некоторые признаки, которые вы можете искать.

• Слишком хорошие, чтобы быть правдой предложения. Фишинговые электронные письма могут попытаться заманить вас невероятно дешевыми предложениями на такие вещи, как смартфоны или отдых. Предложения могут выглядеть неотразимыми, но сопротивляйтесь им. Скорее всего, это фишинговые письма.
• Банк — возможно, даже не ваш собственный — запрашивает информацию о вашем счете или другую личную финансовую информацию. Ваш банк или любое финансовое учреждение никогда не будет запрашивать ваш номер социального страхования, номер банковского счета или PIN-код по электронной почте. Никогда не предоставляйте эту информацию в ответ на электронное письмо.
• Орфографические и грамматические ошибки. Было время, когда вы могли легко обнаружить фишинговые электронные письма, потому что они были полны орфографических и грамматических ошибок. Мошенники стали лучше избегать этих ошибок, но если вы получаете электронное письмо, изобилующее опечатками и странным языком, это электронное письмо может быть отправлено кем-то, кто занимается фишингом.
• Общее приветствие. Фишинговые письма могут быть адресованы не вам. Вместо этого электронное письмо может начинаться с общего приветствия, такого как «Уважаемый господин или госпожа» или «Уважаемый владелец счета».
• Призыв к немедленным действиям. Фишеры хотят, чтобы вы действовали быстро, не задумываясь. Вот почему многие будут отправлять электронные письма с просьбой немедленно нажать на ссылку или отправить информацию об учетной записи, чтобы избежать приостановки действия вашего банковского счета или кредитной карты. Никогда не отвечайте поспешно на экстренный запрос. Срочные просьбы о действиях часто являются фишингом.
• Отправители, которых вы не узнаете. Если вы не знаете отправителя электронного письма, рассмотрите возможность его удаления. Если вы решите прочитать ее, будьте осторожны, не переходите по ссылкам и не загружайте файлы.
• Отправители, которых, по вашему мнению, вы узнаете. Вы можете получить фишинговое письмо от имени, которое вы знаете. Но вот в чем загвоздка: это электронное письмо могло быть отправлено со взломанной учетной записи электронной почты кого-то из ваших знакомых. Если электронное письмо запрашивает личную информацию или деньги, скорее всего, это фишинговое письмо.
• Гиперссылки. Если вы получили электронное письмо с просьбой щелкнуть неизвестную гиперссылку, наведение курсора на эту опцию может показать вам, что ссылка действительно ведет на поддельный домен с ошибкой. Эта ссылка создана, чтобы выглядеть законной, но, скорее всего, это фишинговая афера.
• Вложения. Отправитель добавил вложения, которые не имеют смысла или кажутся спамом.

2. Целевой фишинг

Хотя большинство фишинговых писем рассылается большим группам людей, существует один тип атаки, который носит более персонализированный характер — целевой фишинг.

Целевые фишинговые электронные письма нацелены на конкретного человека, компанию или организацию. И в отличие от более общих фишинговых писем, мошенники, которые их отправляют, тратят время на изучение своих целей. Этот метод иногда называют социальной инженерией. Эти преступники будут отправлять электронные письма, которые выглядят так, как будто они из законных источников.

Например, в 2016 году миллионы клиентов, совершивших покупку на Amazon, получили электронное письмо с темой «Ваш заказ на Amazon.com отправлен» с кодом заказа после него. Когда потребители открывали электронное письмо, в нем не было сообщения, только вложение. Если они открывали вложение, потребители рисковали установить на свои компьютеры программы-вымогатели.

В другом примере целевого фишинга электронные письма могут быть нацелены на сотрудника компании. Может показаться, что электронное письмо исходит от начальника, и в сообщении запрашивается доступ к конфиденциальной информации компании. Если цель целевого фишинга будет обманута, это может привести к утечке данных, когда информация о компании или сотруднике будет получена и украдена.

3. Клонирование фишинга

Другой тип фишинга, клонированный фишинг, может быть одним из самых сложных для обнаружения. В этом типе фишинговой атаки мошенники создают почти идентичную версию электронного письма, которое уже получили жертвы.

Клонированное электронное письмо отправляется с адреса, который почти, но не совсем совпадает с адресом электронной почты, используемым первоначальным отправителем сообщения. Тело письма тоже выглядит одинаково. Что изменилось? Вложение или ссылка в сообщении были изменены. Если жертвы нажмут на них сейчас, они перейдут на поддельный веб-сайт или откроют зараженное вложение.

4. Китобойный промысел

Иногда фишеры охотятся за самыми крупными целями — китами. Нападения китов нацелены на главных исполнительных директоров, главных операционных директоров или других высокопоставленных руководителей компании. Цель состоит в том, чтобы обманом заставить этих влиятельных людей отказаться от наиболее конфиденциальных корпоративных данных.

Эти атаки более изощренны, чем обычные фишинговые атаки, и требуют от мошенников большого количества исследований. Обычно они полагаются на мошеннические электронные письма, которые, как представляется, исходят из надежных источников внутри компании или из законных внешних агентств.

5. Всплывающий фишинг

Всплывающий фишинг — это мошенничество, при котором всплывающая реклама обманом заставляет пользователей устанавливать вредоносное ПО на свои компьютеры или убеждает их приобрести антивирусную защиту, которая им не нужна.

Эти всплывающие окна иногда используют тактику запугивания. Типичным примером всплывающего фишинга является всплывающее объявление, предупреждающее пользователя о том, что его компьютер заражен, и единственный способ удалить вирус — установить определенный тип антивирусного программного обеспечения.

Как только пользователь устанавливает это программное обеспечение, оно либо перестает работать, либо, что еще хуже, фактически заражает компьютер вредоносными программами.

Как сообщить о фишинге

Если вы стали жертвой фишинга, вам следует сообщить в соответствующие органы. Вы можете сообщить о попытке фишинга или преступлении в Федеральную торговую комиссию по адресуСтраница помощника по жалобам. Вы также можете сообщить о нападении вРабочая группа по борьбе с фишингомили перешлите фишинговое письмо по адресу reportphishing@apwg.org. Если вы получили фишинговое текстовое сообщение, перешлите его в СПАМ (7726).

Как я могу защитить себя от попыток фишинга?

Хотя хакеры постоянно придумывают новые методы фишинга, есть и хорошие новости. Есть некоторые вещи, которые вы можете сделать, чтобы защитить себя и свою организацию. Все, что для этого требуется, — это немного здравого смысла.

• Не открывайте подозрительные электронные письма. Если вы получили электронное письмо предположительно от финансового учреждения с тревожной темой, например «Учетная запись приостановлена!» или «Средства в ожидании» — удалите. Если вы обеспокоены наличием проблемы, войдите в свою учетную запись или свяжитесь с банком напрямую. Если действительно есть проблема с вашим банковским счетом или кредитной картой, вы найдете информацию после входа в систему.
• Не нажимайте на подозрительные ссылки в электронных письмах. Если вы открываете электронное письмо от кого-то, кого вы не знаете, и вам предлагается щелкнуть ссылку, не делайте этого. Часто эти ссылки ведут на поддельные веб-сайты, которые затем побуждают вас либо предоставить личную информацию, либо перейти по ссылкам, которые могут установить вредоносное ПО на ваш компьютер.
• Не отправляйте финансовую информацию по электронной почте. Ваш банк или поставщик кредитных карт никогда не попросят вас предоставить номера банковских счетов, ваш номер социального страхования или пароли по электронной почте.
• Не нажимайте на всплывающую рекламу. Хакеры могут добавлять мошеннические сообщения, которые появляются при посещении даже законных веб-сайтов. Часто всплывающие окна будут предупреждать вас о том, что ваш компьютер заражен, и предлагать вам позвонить по номеру телефона или установить антивирусную защиту. Избегайте этого искушения. Мошенники используют эту рекламу либо для установки вредоносных программ на ваш компьютер, либо для того, чтобы выманить у вас плату за очистку компьютера, которая вам не нужна.
• Используйте спам-фильтры. Спам-фильтры могут помочь заблокировать электронные письма из незаконных источников, но вы всегда должны руководствоваться здравым смыслом на случай, если фишинговые электронные письма пройдут мимо вашего блокировщика.
• Подпишитесь на антивирусную защиту. Убедитесь, что ваш компьютер защищен надежным многоуровневым программным обеспечением безопасности.

Установка и запуск надежного программного обеспечения для обеспечения безопасности может обеспечить защиту от угроз в режиме реального времени, помочь вам создавать уникальные пароли и управлять ими, а также защитить ваши личные файлы и финансовую информацию от фишинговых атак и других видов мошенничества.

Как восстановиться после ответа на фишинговое письмо

Что, если у вас естьпопался на мошенничество с электронной почтой? Возможно, вы отправили финансовую информацию мошеннику или перешли по ссылке, которая установила вредоносное ПО на ваш компьютер.

Вы захотите действовать быстро. Вот несколько шагов, которые вы можете предпринять, если вам ответили на фишинговую аферу, чтобы защитить себя от кражи личных данных.

• Измените свои пароли: обязательно измените пароли, которые вы используете для своих банковских счетов, кредитных карт и других учетных записей. Используйте комбинацию цифр, букв и символов, чтобы сделать эти пароли более сложными для взлома. Рассмотрите возможность включения многофакторной аутентификации, если она доступна. Многофакторная аутентификация требует ввода второй части информации, например кода, отправленного на ваш смартфон, для доступа к учетной записи.
• Предупредите бюро кредитных историй: посетите домашние страницыЭкспериан,Эквифакс, а такжеТрансЮнион, три национальных кредитных бюро и сообщите им, что вы стали жертвой попытки фишинга. Вы можете заморозить свой кредит в каждом из бюро, чтобы убедиться, что преступники не смогут открывать новые кредитные счета или брать новые кредиты на ваше имя.
• Свяжитесь со своими поставщиками кредитных карт: Если вы отказались от информации о кредитной карте, немедленно позвоните своим поставщикам кредитных карт. Они могут заморозить ваш кредит, чтобы предотвратить несанкционированные покупки. Они также могут работать с вами, чтобы определить, какие покупки в ваших учетных записях являются законными, а какие были совершены преступниками.
• Проверьте свои кредитные отчеты: Закажите бесплатные копии ваших кредитных отчетов на сайте AnnualCreditReport.com. Внимательно проверьте эти отчеты на предмет каких-либо незнакомых действий, чтобы убедиться, что никто не открывал счета кредитных карт или кредиты на ваше имя.
• Изучите выписки по своей кредитной карте: следите за любыми несанкционированными или подозрительными платежами.

Поскольку киберпреступники продолжают развивать свои фишинговые атаки и другие методы, лучше всего иметь передовое программное обеспечение для обеспечения безопасности, возглавляющее вашу защиту. Чтобы убедиться, что вы не спрашиваете себя «что такое фишинг» после того, как атака уже развернута, обязательно примите меры предосторожности и используйте здравый смысл при просмотре веб-страниц и ответе на сообщения.

Хотя антивирусная защита является одним из ключей к ограничению риска, правильнаяVPNможет шифровать сетевой трафик, который вы отправляете и получаете, и скрывать ваш IP-адрес, обеспечивая дополнительный уровень конфиденциальности в Интернете.

P.S.Примечание редактора: наши статьи содержат образовательную информацию для вас. Источник информации ЖМИ ЗДЕСЬ