Сегодня на уроке:
· Мы узнаем, что такое фишинг.
· Рассмотрим распространённые схемы фишинговых атак.
· Обсудим рекомендации по борьбе с фишингом.
Интернет прочно врос в нашу жизнь. Мы пользуемся электронными платёжными сервисами, ведём дружеские и деловые переписки, с помощью интернет-банкинга оплачиваем различные счета. Чтобы вся эта информация оставалась конфиденциальной, необходимо быть внимательным и осторожным.
Сегодняшний урок посвящён такому виду мошенничества, как фишинг.
Фишинг – это киберпреступление, в котором злоумышленники, используя комплекс методик, выдают себя за надёжный источник в Интернете с целью вынудить пользователя передать личные данные. Фишинг завязан на контакте с человеком, который по причине своей наивности, невнимательности или отсутствия навыков работы с компьютером сам выдаёт хакерам конфиденциальную информацию.
Представим такую ситуацию.
Алиса получила письмо от любимого книжного интернет-магазина: «Вы выиграли в лотерее 10 000 рублей, для получения выигрыша подтвердите свой аккаунт». В письме содержится ссылка, по которой очень радостная Алиса переходит, видит знакомый ей сайт и вводит свои личные данные и данные банковской карты. Затем система просит сделать «пробный платёж», например, 10 рублей. В ходе оплаты на сайте также требуется ввести 3 цифры, которые находятся сзади карты. Как только Алиса вводит все данные, ей приходит уведомление о списании со счёта денег, вот только не 10 рублей, а всей суммы, что была на карте.
Понятно, что Алисе пришло письмо не от интернета-магазина, а от злоумышленников. Обманом они выудили личные данные. А Алиса, взбудораженная новостью, что выиграла деньги, даже не подумала, что это может быть обман. Таким образом, она попалась на удочку – поэтому вид такого мошенничества и называется фишинг, то есть рыбалка, ловля на крючок.
Рассмотрим ошибки, совершённые Алисой, и узнаем, как она могла защитить себя от потери денег.
Ошибка номер 1: Алиса перешла по незнакомой ссылке из письма от якобы знакомого адресата.
Алиса, видимо, увидев логотип магазина и адрес почты, решила, что письмо от интернет-магазина.
Злоумышленники регистрируют электронную почту с адресом, очень похожим на реальный адрес интернет-магазина. Например, настоящий электронный почтовый адрес магазина вот такой – [email protected]. А злоумышленники прислали письмо с такого адреса: [email protected]. Если сильно не всматриваться, то разницы особо и не заметишь. К тому же мы не знаем все настоящие электронные адреса нужных нам магазинов, поэтому Алисе прежде всего следовало зайти на сайт книжного магазина и найти там информацию об адресе электронной почты.
Заманить на фишинговый сайт злоумышленники могут и через популярные мессенджеры или социальные сети. В таком случае пользователю приходит сообщение с ссылкой от знакомого, но вполне может быть, что его аккаунт уже взломали. В такой ситуации лучше перезвонить знакомому и удостовериться, что сообщение отправлено точно им.
Также злоумышленники могут создать сайт под якобы свой «бизнес-проект», в котором проводятся викторины с гарантированным выигрышем, но, чтобы получить его, необходимо заполнить анкету. В тексте они оставляют ссылку на анкету. На самом деле ссылка ведёт на фишинговый сайт, который создан специально для сбора личных и банковских данных пользователей. Также может быть, что при переходе по ссылке загружается вредоносное программное обеспечение, которое ворует данные с устройства пользователя.
Ошибка номер 2: Алиса не использует антивирусную защиту.
На всех устройствах – компьютерах, ноутбуках, смартфонах, планшетах – обязательно необходимо установить антивирус. Антивирусы защищают от спама и фишинговых писем, а также защищают от программ, которые воруют данные или получают доступ к интернет-банкингу или перехватают СМС сообщения с секретными кодами. Не забывайте обновлять антивирусное программы, так как злоумышленники создают всё больше новых вредоносных программ и способов фишинга.
Ошибка номер 3: Алиса не проверила адресную строку сайта.
Что нужно проверить при переходе на сайт?
Адрес. Будет полезным сохранять адреса часто посещаемых сайтов в закладках. Можно, конечно, вводить адрес вручную, но необходимо быть бдительным, ввод одного неправильного символа может привести на фишинговый сайт.
Безопасное соединение. Если необходимо провести оплату через сайт, то проверьте, чтобы название сайта начиналось с https и стоял значок закрытого замка – это означает, что соединение защищено, то есть, когда пользователь вводит данные на сайте, они автоматически шифруются и их не могут перехватить злоумышленники.
HTTPS – это расширение протокола HTTP, которое используется для шифрования и безопасного обмена данными между пользователем и сайтом. Обратите внимание на букву s в конце.
Защитное соединение – обязательное требование к сайту, но может быть недостаточным. Так как сайт, созданный злоумышленниками, также может иметь сертификат безопасности.
Дизайн. Злоумышленники создают сайты-подделки с целью собрать личные данные, но не все подходят к этому вопросу тщательно. Орфографические ошибки, небрежная вёрстка, неработающие кнопки и ссылки – всё это явно указывает, что сайт не настоящий.
Конечно, проверка безопасного соединения и дизайна могут ни к чему не привести, но проверить будет не лишним, не все злоумышленники заморачиваются деталями.
Ошибка номер 4: Алиса сделала «пробный платёж» через небезопасную страницу.
Алисе предложили провести «пробный платёж», а для этого потребовалось ввести код из 3 цифр с обратной стороны карты и код из СМС-сообщения прямо на сайте интернет-магазина. На самом деле после ввода реквизитов платёжной карты интернет-магазин должен был перевести девушку на шлюз платёжной системы её карты – это безопасная страница. К данным, введённым на этой странице, интернет-магазин доступа не имеет.
Платёжные шлюзы соединяют владельца карты с его банком при проведении платежа. Клиенту приходит СМС-сообщение от банка с одноразовым кодом для подтверждения операции. Пользователь вводит этот код и только после этого проходит платёж.
Будьте бдительны! Ни в коем случае не сообщайте никому секретный код от банка, обязательно проверьте, совпадают ли детали операции с данными в СМС. Если у вас возникли сомнения – позвоните в банк и уточните все интересующие вас моменты.
У всех платёжных систем есть безопасные шлюзы. На странице оплаты должны быть их логотипы: Visa Secure, MasterCard SecureCode и Mir Accept, причём если нажать на них, то пользователя должно перевести на сайт платёжной системы, если нет, то это явно страница, созданная злоумышленниками.
Итак, злоумышленники в качестве «крючка» или приманки используют:
· массовые электронные рассылки на почту;
· поддельные (фишинговые) сайты распространённых интернет-магазинов, компаний и так далее;
· сообщения из социальных сетей;
· загрузочные страницы;
· сообщения от государственных или финансовых организаций;
· викторины или анкеты;
· всплывающие окна и так далее.
Всё это используется, чтобы получить доступ к:
· персональным данным, например, данным паспорта;
· аккаунту, то есть узнать логин и пароль;
· данным карты, банковским счетам, аккаунтам в интернет-банкинге;
· конфиденциальной информации об организации или бизнесе, с учётом того, что пользователь является сотрудником нужной организации и располагает необходимыми данными.
Что же заставляет людей попадаться на уловки злоумышленников? Разберём составляющие фишинга.
Психологические факторы. Фишинг используют, играя на чувствах и эмоциях жертвы, например, лень, жажда быстрых денег, любопытство, ревность, страх перед возможным банкротством или невозможность погасить долг, боязнь быть обманутым и так далее.
Побуждение к действию. Мошенники использую фразы, с помощью которых соблазняют или пугают пользователя, а также побуждают к какому-то действию. Например. «Хотите узнать, с кем общается ваш друг/подруга? Быстро переходите по ссылке, и вы всё узнаете».
«Ваш номер телефона выиграл денежный приз, чтобы получить его, заполните анкету». В конце анкеты обычно нужно ввести данные логина и пароля.
«Ваш аккаунт будет удалён, если вы не подтвердите свою личность, перейдя по ссылке».
Кстати, вы могли заметить, что в сообщениях злоумышленники используют такие слова, как «быстрее», «скорее», «немедленно» и так далее, тем самым торопят пользователя сделать определённые действия. Делается это для того, чтобы жертва не передумала или не успела посоветоваться с кем-либо.
Поддельные ссылки. Как мы уже рассматривали, ссылки, которые присылают мошенники, ведут на сайты-двойники, которые похожи на настоящие сайты.
Обход фильтров. Чтобы письмо жертве не отправилось в папку «Спам», злоумышленники используют различные ухищрения. Например, заменяют текст картинкой, русские буквы – латинскими или цифрами. К сожалению, многие люди просто не обращают на это внимание, особенно если чем-то заняты.
Рассмотрим распространённые схемы фишинговых атак.
Технический приём. Мошенник сообщает о необходимости сменить пароль или сообщить личные данные, чтобы доступ не был заблокирован.
Использование фейковых сайтов или поддельных ссылок.
Отправка поддельных писем якобы от руководства с работы или сотрудника правоохранительных органов.
Загрузка вредоносного программного обеспечения, чтобы собрать информацию для мошенников.
Фарминг. Мошенники, получив доступ к официальному сайту компании, например, к интернету-магазину, меняют адрес на DNS-сервере. В результате происходит перенаправление посетителей на подменный сайт, где совершаются операции по расчётам за товары.
Вишинг. При этом виде фишинга используется телефон для получения информации. В письме с уведомлением указывается номер телефона, по которому можно «решить» возникшие проблемы. Во время разговора мошенники выуживают у жертвы нужную им информацию.
Смишинг. Данная преступная схема направлена на переход пользователем по вредоносной ссылке из SMS-сообщения.
Письмо со ссылкой на QR-код. Пользователю приходит предложение, в котором предлагается установить программу, но на самом деле QR-код ведёт на фишинговый сайт.
Приведём некоторые рекомендации по борьбе с фишинговыми атаками.
Не открывайте ссылки от неизвестных отправителей.
Проверьте название ссылки, а именно: не перепутаны ли буквы, нет ли лишних символов.
Проверяйте, безопасно ли соединение.
Никому не сообщайте свои пароли, логины, пин-коды и другие личные данные. Даже по телефону.
Не вводите пароли и логины на сторонних на сайтах.
Установите антивирусную программу и регулярно её обновляйте.
Получив письмо от друга с вложением, уточните, было ли оно вам отправлено им или его взломали.
Везде, где есть возможность, подключите двухфакторную аутентификацию.
Не осуществляйте оплату, используя общественный Wi-Fi.
Обращайте внимание на дизайн сайта.
Знание – это сила. Зная, какие уловки могут использовать злоумышленники, теперь мы можем не попасться на их «крючок». Но будьте бдительны: мошенники с каждым разом придумывают что-то новое, поэтому, чтобы оставаться в безопасности, будьте в курсе новых методов злоумышленников.
Для закрепления материала попробуйте ответить на следующие вопросы:
Что такое фарминг?
Как проверить безопасное соединение?
Что такое смишинг?