Видеоучебник / Информатика / Информационная безопасность / Фишинг

Фишинг

Урок 13. Информационная безопасность

Мы пользуемся электронными платёжными сервисами, ведём дружеские и деловые переписки, с помощью интернет-банкинга оплачиваем различные счета. Чтобы вся эта информация оставалась конфиденциальной, необходимо быть внимательным и осторожным. На этом уроке мы узнаем, что такое фишинг. Рассмотрим распространённые схемы фишинговых атак. Обсудим рекомендации по борьбе с фишингом.

Конспект урока "Фишинг"

Сегодня на уроке:

· Мы узнаем, что такое фишинг.

· Рассмотрим распространённые схемы фишинговых атак.

· Обсудим рекомендации по борьбе с фишингом.

Интернет прочно врос в нашу жизнь. Мы пользуемся электронными платёжными сервисами, ведём дружеские и деловые переписки, с помощью интернет-банкинга оплачиваем различные счета. Чтобы вся эта информация оставалась конфиденциальной, необходимо быть внимательным и осторожным.

Сегодняшний урок посвящён такому виду мошенничества, как фишинг.

Фишинг – это киберпреступление, в котором злоумышленники, используя комплекс методик, выдают себя за надёжный источник в Интернете с целью вынудить пользователя передать личные данные. Фишинг завязан на контакте с человеком, который по причине своей наивности, невнимательности или отсутствия навыков работы с компьютером сам выдаёт хакерам конфиденциальную информацию.

Представим такую ситуацию.

Алиса получила письмо от любимого книжного интернет-магазина: «Вы выиграли в лотерее 10 000 рублей, для получения выигрыша подтвердите свой аккаунт». В письме содержится ссылка, по которой очень радостная Алиса переходит, видит знакомый ей сайт и вводит свои личные данные и данные банковской карты. Затем система просит сделать «пробный платёж», например, 10 рублей. В ходе оплаты на сайте также требуется ввести 3 цифры, которые находятся сзади карты. Как только Алиса вводит все данные, ей приходит уведомление о списании со счёта денег, вот только не 10 рублей, а всей суммы, что была на карте.

Понятно, что Алисе пришло письмо не от интернета-магазина, а от злоумышленников. Обманом они выудили личные данные. А Алиса, взбудораженная новостью, что выиграла деньги, даже не подумала, что это может быть обман. Таким образом, она попалась на удочку – поэтому вид такого мошенничества и называется фишинг, то есть рыбалка, ловля на крючок.

Рассмотрим ошибки, совершённые Алисой, и узнаем, как она могла защитить себя от потери денег.

Ошибка номер 1: Алиса перешла по незнакомой ссылке из письма от якобы знакомого адресата.

Алиса, видимо, увидев логотип магазина и адрес почты, решила, что письмо от интернет-магазина.

Злоумышленники регистрируют электронную почту с адресом, очень похожим на реальный адрес интернет-магазина. Например, настоящий электронный почтовый адрес магазина вот такой – [email protected]. А злоумышленники прислали письмо с такого адреса: [email protected]. Если сильно не всматриваться, то разницы особо и не заметишь. К тому же мы не знаем все настоящие электронные адреса нужных нам магазинов, поэтому Алисе прежде всего следовало зайти на сайт книжного магазина и найти там информацию об адресе электронной почты.

Заманить на фишинговый сайт злоумышленники могут и через популярные мессенджеры или социальные сети. В таком случае пользователю приходит сообщение с ссылкой от знакомого, но вполне может быть, что его аккаунт уже взломали. В такой ситуации лучше перезвонить знакомому и удостовериться, что сообщение отправлено точно им.

Также злоумышленники могут создать сайт под якобы свой «бизнес-проект», в котором проводятся викторины с гарантированным выигрышем, но, чтобы получить его, необходимо заполнить анкету. В тексте они оставляют ссылку на анкету. На самом деле ссылка ведёт на фишинговый сайт, который создан специально для сбора личных и банковских данных пользователей. Также может быть, что при переходе по ссылке загружается вредоносное программное обеспечение, которое ворует данные с устройства пользователя.

Ошибка номер 2: Алиса не использует антивирусную защиту.

На всех устройствах – компьютерах, ноутбуках, смартфонах, планшетах – обязательно необходимо установить антивирус. Антивирусы защищают от спама и фишинговых писем, а также защищают от программ, которые воруют данные или получают доступ к интернет-банкингу или перехватают СМС сообщения с секретными кодами. Не забывайте обновлять антивирусное программы, так как злоумышленники создают всё больше новых вредоносных программ и способов фишинга.

Ошибка номер 3: Алиса не проверила адресную строку сайта.

Что нужно проверить при переходе на сайт?

Адрес. Будет полезным сохранять адреса часто посещаемых сайтов в закладках. Можно, конечно, вводить адрес вручную, но необходимо быть бдительным, ввод одного неправильного символа может привести на фишинговый сайт.

Безопасное соединение. Если необходимо провести оплату через сайт, то проверьте, чтобы название сайта начиналось с https и стоял значок закрытого замка – это означает, что соединение защищено, то есть, когда пользователь вводит данные на сайте, они автоматически шифруются и их не могут перехватить злоумышленники.

HTTPS – это расширение протокола HTTP, которое используется для шифрования и безопасного обмена данными между пользователем и сайтом. Обратите внимание на букву s в конце.

Защитное соединение – обязательное требование к сайту, но может быть недостаточным. Так как сайт, созданный злоумышленниками, также может иметь сертификат безопасности.

Дизайн. Злоумышленники создают сайты-подделки с целью собрать личные данные, но не все подходят к этому вопросу тщательно. Орфографические ошибки, небрежная вёрстка, неработающие кнопки и ссылки – всё это явно указывает, что сайт не настоящий.

Конечно, проверка безопасного соединения и дизайна могут ни к чему не привести, но проверить будет не лишним, не все злоумышленники заморачиваются деталями.

Ошибка номер 4: Алиса сделала «пробный платёж» через небезопасную страницу.

Алисе предложили провести «пробный платёж», а для этого потребовалось ввести код из 3 цифр с обратной стороны карты и код из СМС-сообщения прямо на сайте интернет-магазина. На самом деле после ввода реквизитов платёжной карты интернет-магазин должен был перевести девушку на шлюз платёжной системы её карты – это безопасная страница. К данным, введённым на этой странице, интернет-магазин доступа не имеет.

Платёжные шлюзы соединяют владельца карты с его банком при проведении платежа. Клиенту приходит СМС-сообщение от банка с одноразовым кодом для подтверждения операции. Пользователь вводит этот код и только после этого проходит платёж.

Будьте бдительны! Ни в коем случае не сообщайте никому секретный код от банка, обязательно проверьте, совпадают ли детали операции с данными в СМС. Если у вас возникли сомнения – позвоните в банк и уточните все интересующие вас моменты.

У всех платёжных систем есть безопасные шлюзы. На странице оплаты должны быть их логотипы: Visa Secure, MasterCard SecureCode и Mir Accept, причём если нажать на них, то пользователя должно перевести на сайт платёжной системы, если нет, то это явно страница, созданная злоумышленниками.

Итак, злоумышленники в качестве «крючка» или приманки используют:

· массовые электронные рассылки на почту;

· поддельные (фишинговые) сайты распространённых интернет-магазинов, компаний и так далее;

· сообщения из социальных сетей;

· загрузочные страницы;

· сообщения от государственных или финансовых организаций;

· викторины или анкеты;

· всплывающие окна и так далее.

Всё это используется, чтобы получить доступ к:

· персональным данным, например, данным паспорта;

· аккаунту, то есть узнать логин и пароль;

· данным карты, банковским счетам, аккаунтам в интернет-банкинге;

· конфиденциальной информации об организации или бизнесе, с учётом того, что пользователь является сотрудником нужной организации и располагает необходимыми данными.

Что же заставляет людей попадаться на уловки злоумышленников? Разберём составляющие фишинга.

Психологические факторы. Фишинг используют, играя на чувствах и эмоциях жертвы, например, лень, жажда быстрых денег, любопытство, ревность, страх перед возможным банкротством или невозможность погасить долг, боязнь быть обманутым и так далее.

Побуждение к действию. Мошенники использую фразы, с помощью которых соблазняют или пугают пользователя, а также побуждают к какому-то действию. Например. «Хотите узнать, с кем общается ваш друг/подруга? Быстро переходите по ссылке, и вы всё узнаете».

«Ваш номер телефона выиграл денежный приз, чтобы получить его, заполните анкету». В конце анкеты обычно нужно ввести данные логина и пароля.

«Ваш аккаунт будет удалён, если вы не подтвердите свою личность, перейдя по ссылке».

Кстати, вы могли заметить, что в сообщениях злоумышленники используют такие слова, как «быстрее», «скорее», «немедленно» и так далее, тем самым торопят пользователя сделать определённые действия. Делается это для того, чтобы жертва не передумала или не успела посоветоваться с кем-либо.

Поддельные ссылки. Как мы уже рассматривали, ссылки, которые присылают мошенники, ведут на сайты-двойники, которые похожи на настоящие сайты.

Обход фильтров. Чтобы письмо жертве не отправилось в папку «Спам», злоумышленники используют различные ухищрения. Например, заменяют текст картинкой, русские буквы – латинскими или цифрами. К сожалению, многие люди просто не обращают на это внимание, особенно если чем-то заняты.

Рассмотрим распространённые схемы фишинговых атак.

Технический приём. Мошенник сообщает о необходимости сменить пароль или сообщить личные данные, чтобы доступ не был заблокирован.

Использование фейковых сайтов или поддельных ссылок.

Отправка поддельных писем якобы от руководства с работы или сотрудника правоохранительных органов.

Загрузка вредоносного программного обеспечения, чтобы собрать информацию для мошенников.

Фарминг. Мошенники, получив доступ к официальному сайту компании, например, к интернету-магазину, меняют адрес на DNS-сервере. В результате происходит перенаправление посетителей на подменный сайт, где совершаются операции по расчётам за товары.

Вишинг. При этом виде фишинга используется телефон для получения информации. В письме с уведомлением указывается номер телефона, по которому можно «решить» возникшие проблемы. Во время разговора мошенники выуживают у жертвы нужную им информацию.

Смишинг. Данная преступная схема направлена на переход пользователем по вредоносной ссылке из SMS-сообщения.

Письмо со ссылкой на QR-код. Пользователю приходит предложение, в котором предлагается установить программу, но на самом деле QR-код ведёт на фишинговый сайт.

Приведём некоторые рекомендации по борьбе с фишинговыми атаками.

Не открывайте ссылки от неизвестных отправителей.

Проверьте название ссылки, а именно: не перепутаны ли буквы, нет ли лишних символов.

Проверяйте, безопасно ли соединение.

Никому не сообщайте свои пароли, логины, пин-коды и другие личные данные. Даже по телефону.

Не вводите пароли и логины на сторонних на сайтах.

Установите антивирусную программу и регулярно её обновляйте.

Получив письмо от друга с вложением, уточните, было ли оно вам отправлено им или его взломали.

Везде, где есть возможность, подключите двухфакторную аутентификацию.

Не осуществляйте оплату, используя общественный Wi-Fi.

Обращайте внимание на дизайн сайта.

Знание – это сила. Зная, какие уловки могут использовать злоумышленники, теперь мы можем не попасться на их «крючок». Но будьте бдительны: мошенники с каждым разом придумывают что-то новое, поэтому, чтобы оставаться в безопасности, будьте в курсе новых методов злоумышленников.

Для закрепления материала попробуйте ответить на следующие вопросы:

Что такое фарминг?

Как проверить безопасное соединение?

Что такое смишинг?