Kwert-soft.ru

IT Софт для ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Правила защиты от фишинга

Что такое фишинг? 8 правил которые нужно знать чтобы не стать жертвой мошенников

Мошенничество с картами в интернете предполагает использование различных схем, позволяющих получить конфиденциальную информацию о реквизитах платежных инструментов. Злоумышленники часто полагаются на невнимательность жертв, поэтому главной мерой предосторожности сотрудники правоохранительных органов и служб безопасности финансовых организаций называют внимательное изучение сведений о получателе данных. Настоятельно не рекомендуется передавать конфиденциальную информацию посторонним лицам, даже если речь идет о сотрудниках обслуживающего банка. Пароли и ПИН-коды всегда следует держать в секрете.

Суть фишинга

На банковском рынке фишинг представляет собой одну из популярных мошеннических схем, позволяющих злоумышленнику заполучить конфиденциальную информацию о клиенте финансового учреждения. Этот способ воровства персональных данных предполагает применение почтовой рассылки, телефонных звонков и фиктивных сайтов для получения секретных сведений о пользователях. В частности, мошенники нацелены на кражу логинов, паролей, ПИН-кодов и реквизитов банковских карт. С помощью перечисленных данных можно совершать транзакции в обход держателя платежного инструмента.

Обычно аферист, в руках которого нахохлятся персональные данные жертвы, использует исключительно безналичные расчёты. Тем не менее зная номер, срок действия и код CVV, можно воссоздать пластиковый носитель, с помощью которого удастся снять хранящуюся на счету сумму.

Фишинг грозит:

  • Появлением скомпрометированных конфиденциальных данных.
  • Потерей личных или кредитных средств клиента.
  • Снижением потребительского спроса на отдельные виды кредитных продуктов.
  • Временной блокировкой счетов, по которым замечена подозрительная активность.
  • Продолжительным расследованием со стороны банка и правоохранительных органов.
  • Массовым взломом личных кабинетов клиентов в системах интернет-банкинга.
  • Ухудшением репутации учреждения, которое неспособно защитить интересы клиента.

Поскольку методы обмана заемщиков, связанные с использованием возможностей интернета, не позволяют сотрудникам служб безопасности банков предотвратить факт хищения, фишинг на текущим момент времени является одним из самых популярных способов мошенничества в отрасли кредитования. Вопреки высочайшей степени защиты безналичных транзакций, использование прокси-серверов позволяет аферистам с легкостью скрывать информацию о своем реальном местонахождении. Раскрываемость уголовных дел по искам от столкнувшихся с фишингом жертв крайне низкая, поэтому банки зачастую самостоятельно возмещают убытки.

Разновидности фишинга

Обычно под термином «фишинг» (phishing) широкая аудитория понимает использование фальшивого сайта, замаскированного визуально под оригинальную и крайне надежную виртуальную платформу, например, систему интернет-банкинга или известный интернет-магазин. Однако на практике рассматриваемая форма мошенничества затрагивает также иные формы обмана клиентов финансовых организаций, применяемые злоумышленниками исключительно в удаленном режиме.

Виды фишинга:

  1. Создание фальшивых порталов, замаскированных под официальные сайты банковских учреждений.
  2. Использование рассылки по электронной почте с требованием передать отправителю секретные сведения.
  3. Осуществление телефонных звонков (вишинг), во время которых аферист получает конфиденциальные данные.

Повышение уровня доверия потребителей к обслуживающей организации – это основная причина эффективности каждого из методов фишинга. На удочку злоумышленников попадаются клиенты банков, которые не отличаются финансовой грамотностью или имеют доверчивый характер. Речь часто идет о людях преклонного возраста, хотя на фиктивных сайтах оставляют персональные данные и любители онлайн-шопинга или лица, не лучшим образом разбирающиеся в функционировании платежных систем. Для этих граждан визуальное сходство официального сайта и фишинговой площадки является достаточным основанием, чтобы оставить конфиденциальные данные. Хотя на практике оригинал от фальшивки можно отличить с первого взгляда, изучив адресную строку браузера.

Схема фишинга

По своей сути фишинг является разновидностью мошенничества на доверии. Это крайне распространенный и, пожалуй, самый эффективный способ осуществления финансовых афер. Граждане, которые плохо осведомлены в особенностях работы современных финансовых учреждений, могут с легкостью передать конфиденциальную информацию лицу, представляющемуся сотрудником обслуживающей организации. От злоумышленника понадобится только умение вести беседу.

Работать с фишинговыми сайтами мошенникам намного проще, поскольку здесь не предусматривается прямое общение с будущей жертвой, в отличие от вишинга. Фактически, нужно потратить немного времени и средств на создание сайта, имитирующего дизайн веб-страниц финансового учреждения.

Схема фишинга выглядит следующим образом:

  1. Злоумышленник создает фиктивный сайт, копируя дизайн оригинальной веб-площадки, которая вызывает доверие среди клиентов финансового учреждения. Если используется метод рассылки по почте, нужно собирать базу данных адресов e-mail. Для вишинга злоумышленникам приходится использовать номера телефонов потенциальных жертв. Кроме звонков этот метод мошенничества предполагает также рассылку по SMS.
  2. Создается текст обращения для уведомлений и наполняется контентом сайт с окном для ввода данных.
  3. Мошенник связывается с клиентом финансового учреждения. Потерпевшие отмечают, что на сайты фишинга они переходили по прямым ссылкам из социальных сетей и форумов. В свою очередь рассылка писем и SMS часто выполняется с помощью новых почтовых адресов и телефонов, которые напоминают контактные данные обслуживающего банка. Злоумышленники представляются сотрудниками финансовых учреждений, требуя клиента предоставить конфиденциальные сведения для срочной проверки.
  4. Получив секретную информацию, мошенники крадут денежные средства с карт и расчетных счетов.
  5. После нескольких успешных ограблений во избежание дальнейшего уголовного преследования преступник удаляет фишинговые сайты и избавляется от используемых для звонков номеров телефонов.

Поисковые системы активно борются с мошенничеством, поэтому со страницы результатов выдачи моментально исключаются сайты, заподозренные в противозаконной деятельности. Распространение ссылок на вредоносные фишинговые страницы выполняется с помощью использования различных площадок, отличающихся высокой посещаемостью. В социальных сетях можно без особых проблем нарваться на мошенников, поскольку комментарии и посты здесь оставляют зарегистрированные пользователи.

Технологии фишинга

Актуальный механизм фишинга базируется на нескольких основополагающих принципах, в частности мошенниками активно используются возможности черной оптимизации сайтов (black SEO). Например, для привлечения жертв для сбора конфиденциальных данных могут применяться методы ссылочного спама и сайты с автоматическим перенаправлением. В итоге роботы поисковых систем довольно быстро обнаруживают злоумышленников.

Санкции поисковиков позволяют лишь устранить фишинговые сайты со страницы выдачи по ключевым словам. Удалить страницы целиком можно только по решению суда. Следует отметить, что современное антивирусное программное обеспечение в большинстве случаев имеет встроенные алгоритмы противодействия фишингу, блокируя опасные сайты. Однако существует несколько технологий, которые способны защитить мошенника от возможных санкций.

Основные техники фишинга:

  • Маскировка поддельных сайтов, номеров телефонов и адресов электронной почты под оригинальные веб-страницы и контактные данные финансовых учреждений. При подборе доменных имен и адресов для рассылки e-mail делаются умышленные опечатки или добавляются лишние символы.
  • Смишинг – применение рассылки сообщений по SMS с просьбой перезвонить или ссылкой на подставной сайт.
  • Социальная инженерия – психологическое влияние в попытках встревожить жертву, вызывая немедленную реакцию. Речь идет о привлечении внимания путем использования вызывающих интерес текстов. Злоумышленники вынуждают жертву с помощью запугивания перейти по ссылке или предать секретные данные.
  • Обход антифишинговых фильтров почтовых клиентов благодаря использованию в e-mail изображений вместо текста.
  • Активное использование спама, включая распространение платных ссылок на фишинговые сайты.
  • Комбинирование нескольких подходов к осуществлению афер. Например, в процессе распространения ссылок на фиктивные сайты и номеров телефонов для вишинга (голосовой фишинг) применяется рассылка по e-mail.
  • Применение JavaScript для изменения адресной строки путем размещения изображения с поддельным URL.
  • Межсайтовый скриптинг – поиск и использование уязвимых мест современных систем безопасности подлинных сайтов для сбора данных о клиентах.

Откуда преступники получают базы данных e-mail и номера телефонов жертв? Как это ни прискорбно, но от самих финансовых учреждений. Крупные банки и МФО надежно защищают конфиденциальные данные клиентов, ведь от качества обслуживания зависит репутация этих организаций. Однако часто отмечаются утечки информации по банальной невнимательности сотрудников IT-отделов этих учреждений.

Банковские организации поменьше, как правило, подвергаются частым хакерским атакам, а сотрудники некоторых компаний сами «сливают» данные, получая часть от украденных мошенниками средств. В первых двух случаях банки и прочие финансовые учреждения признают свою вину, предоставляя клиентам компенсацию. Если сотрудник организации подозревается в пособничестве злоумышленникам, его ждет немедленное увольнение и последующее уголовное преследование.

Защита от фишинга

Как правило, мошенники привлекают внимание жертв необходимостью решения несуществующих проблем с банковскими счетами. Чтобы защититься от действий злоумышленников, достаточно запомнить, что финансовые учреждения никогда не запрашивают персональную информацию по электронной почте или SMS. Сотрудники служб безопасности банковских организаций советуют проверять сайты, на страницах которых приходится оставлять секретные сведения, а пароли и ПИН-коды не рекомендуется передавать посторонним лицам.

Способы защиты от фишинга:

  1. Установка и регулярное обновление антивирусного программного обеспечения.
  2. Использование современных браузеров и почтовых клиентов с антифишинговыми фильтрами.
  3. Сохранение конфиденциальной информации в тайне от посторонних лиц.
  4. Размещение реквизитов на защищенных сайтах, домены которых начинаются с «https».
  5. Обучение и информирование клиентов, пользующихся безналичными переводами.
  6. Умышленное усложнение процесса авторизации с использованием подтверждения операций по SMS.
  7. Мониторинг надежности сайтов на специализированных площадках.
  8. Повышение уровня технической безопасности официальных сайтов банковских учреждений.

Актуальные методы фишинга зависят от качества маскировки поддельных ссылок и сайтов. Внимательность – основное средство защиты от мошенников. Поисковые системы и разработчики антивирусных утилит оказывают неоценимую помощь в борьбе со злоумышленниками, однако безопасность клиентов финансовых учреждений во многих случаях повышается за счет обучения потребителей. Клиенты банков и прочих организаций, работающих с денежными средствами, должны получать простейшие инструкции, повышающие финансовую грамотность.

Заключение

В итоге различные виды фишинга действительно являются крайне опасными способами мошенничества. Часто речь идет о рассылке уведомлений, с помощью которых злоумышленники привлекают своих жертв на фиктивные сайты. Когда на почту приходить письмо с требованием предоставить персональные данные, «чтобы восстановить доступ к счёту» или «получить бонус от обслуживающей организации», скорее всего, речь идет об афере.

Если злоумышленник обманом получил личные данные, жертве следует немедленно обратиться в банк, подав заявление в правоохранительные органы. Расчетные счета временно блокируются до выяснения обстоятельств. В случае потери сбережений или хранящихся на счету кредитных средств, учреждение может компенсировать часть убытков. При отсутствии подозрительных операций на расчетных счетах работник обслуживающей организации во избежание проблем в будущем, скорее всего, порекомендует клиенту изменить скомпрометированные логины, пароли и ПИН-коды.

Читать еще:  Для каких целей используется защита формы

Руководство по защите от фишинговых атак

По мере совершенствования уровня своей безопасности в цифровом пространстве вы можете столкнуться со злоумышленниками, пытающимися её подорвать. Получая от злоумышленника письмо или ссылку, выглядящие невинно, но содержащие нечто вредоносное, вы сталкиваетесь с фишингом.

Фишинговая атака обычно осуществляется в форме сообщения, убеждающего вас:

  • перейти по ссылке,
  • открыть документ,
  • установить приложение на устройство или
  • ввести имя пользователя и пароль на сайте, выглядящем вполне аутентично.

В результате фишинговой атаки вы можете выдать свои пароли или установить вредоносное приложение на устройство. А злоумышленники (фишеры) смогут удалённо контролировать ваше устройство, красть информацию или следить за вами.

Настоящее руководство поможет вам распознать фишинговую атаку и ознакомит с некоторыми практическими способами защиты.

Типы фишинговых атак Anchor link

Сбор паролей

Фишеры могут обманом получить ваши пароли, отправив вам вредоносную ссылку. Веб-адрес этой ссылки, указанной в сообщении фишера, укажет на один сайт, но на самом деле приведет на другой. На компьютере вы можете увидеть адрес назначения ссылки, задержав над ней указатель мыши. Но и в этом случае вас можно ввести в заблуждение, используя похожие символы или наименования, отличающиеся на одну букву от оригинальных. Подобная ссылка приведет вас на сайт, выглядящий в точности как настоящий (который вы и собирались посетить): например, Gmail или Dropbox. Эти поддельные странички входа зачастую выглядят настолько подлинно, что так и манят ввести свои учетные данные – логин и пароль. И если вы это сделаете, то сразу отправите их злоумышленникам.

Таким образом, перед вводом любого пароля, взгляните на адресную строку браузера. Там будет указано настоящее доменное имя страницы. Если оно не совпадает с именем необходимого сайта, ничего не вводите и закройте страницу! Помните о том, что наличие официального логотипа на сайте не является показателем подлинности сайта. Любой может скопировать и воспроизвести логотип и дизайн всего сайта на своей веб-странице для того, чтобы попытаться обмануть вас.

Чтобы ввести вас в заблуждение, некоторые фишеры используют сайты, похожие на популярные: https://wwwpaypal.com/ отличается от https://www.paypal.com/. Так же как и https://www.paypaI.com/ (с заглавной буквой “i” вместо прописной “L”) отличен от оригинального https://www.paypal.com/. Многие используют сервисы коротких ссылок для того, чтобы длинные ссылки можно было удобнее продиктовать или написать, но их можно использовать и для того, чтобы скрыть адреса вредоносных сайтов. Если вы получили короткую ссылку, например, t.co из Twitter, попробуйте проверить её на сайте https://www.checkshorturl.com/ и узнать, куда она ведёт на самом деле.

Помните, что злоумышленникам не составит труда подделать адрес электронной почты, и в графе «Ответить» вы увидите ложный адрес. А это значит, что зрительная проверка адреса отправителя не достаточна для подтверждения истинной личности отправителя сообщения.

Целенаправленный фишинг

Большинство фишинговых атак берут своей массовостью. Злоумышленник рассылает сообщения сотням и тысячам людей, обещая предоставить доступ к интересному видео, важному документу или даже заявляя о финансовых претензиях или лёгком заработке.

Но иногда фишинговые атаки бывают персонифицированными — злоумышленники используют уже известную им информацию о жертве. Это называется «целенаправленный фишинг». Представьте, что вы получили письмо от вашего дяди Бориса, где сказано, что во вложении находятся фото его детей. Так как у Бориса действительно есть дети, и похоже, что письмо отправлено с его адреса, то вы открываете это письмо. Во вложении находится документ PDF. Когда вы откроете этот PDF-файл, то, возможно, даже увидите фото детей Бориса, но также на ваше устройство будет незаметно установлено вредоносное приложение, которое может быть использовано для слежки за вами. Ваш дядя не отправлял данное письмо. Это сделал злоумышленник, знающий, что у вас есть дядя по имени Борис (у которого есть дети). Документ PDF, который вы открыли, запустил программу чтения PDF, и используя уязвимость этой программы, также исполнил и вредоносный код. В дополнение к отображению содержимого PDF-документа на ваш компьютер было скачано и установлено вредоносное программное обеспечение. Оно может получить список ваших контактов, а также записывать видео с камеры и звук c микрофона вашего устройства.

Лучший способ защиты от фишинга – никогда не переходить ни по каким ссылкам и не открывать никакие файлы вложений. Но этот совет не подойдёт большинству людей. Поэтому далее вы узнаете несколько практических способов защиты от фишинга.

Как защитить себя от фишинговых атак Anchor link

Обновляйте свое программное обеспечение

Вредоносные программы, используемые фишерами, зачастую основываются на ошибках и недоработках программного обеспечения, установленного на компьютере пользователя. Обычно, как только производитель узнает об ошибке в его ПО, выпускается обновление, исправляющее данную ошибку. А это значит, что в устаревшем программном обеспечении имеется достаточно известных ошибок, которые могут быть использованы злоумышленниками для установки собственного вредоносного кода. Своевременное обновление пользователем программного обеспечения на устройстве существенно сокращает риск заражения вредоносными приложениями.

Используйте менеджер паролей с автозаполнением

Менеджеры паролей с автозаполнением логинов и паролей ведут учет сайтов, на которых необходимо использовать сохранённые пароли. И если человека еще можно обманом заставить ввести учётные данные аккаунта на поддельном сайте, то менеджер паролей обвести вокруг пальца уже не удастся. Если при использовании менеджера паролей (например, встроенного в браузер), он откажется подставлять пароль на нужном вам сайте, то следует перепроверить, на том ли сайте вы находитесь. Будет ещё лучше, если вы станете использовать случайно созданные пароли. Таким образом вам придётся использовать менеджер паролей, что уменьшит вероятность ввода учетных данных на поддельной веб-странице.

Проверка адреса отправителя

Одним из способов убедиться в том, что письмо не несет в себе угрозу фишинга — связаться по альтернативному каналу с предполагаемым отправителем письма. Если письмо пришло от имени банка, не стоит сразу же открывать вложения и переходить по ссылке. Сначала позвоните в банк или зайдите на его сайт, написав адрес в браузере самостоятельно. Поступайте подобным образом и когда дядя Борис отправляет вам письмо с вложением. Просто позвоните ему до того, как открыть письмо, и уточните, не отправлял ли он фотографии своих детей.

Открывайте подозрительные документы в Диске Google

В некоторых случаях неизвестные люди присылают по электронной почте документы. Например, журналисты обычно получают информацию из множества источников. И зачастую бывает затруднительно проверить на вредоносность документы Word, Excel или PDF.

В таком случае не следует запускать документ на своем устройстве. Лучше загрузить его на Диск Google или ему подобный сервис по облачному чтению документов в сети интернет. Таким образом вы преобразуете документ в изображение или HTML файл, что почти наверняка пресечет попытку установки вредоносного программного обеспечения на ваше устройство. Если вы заинтересованы в изучении нового ПО и у вас достаточно свободного времени для установки новой операционной системы для ограничения вероятного ущерба от вредоносного программного обеспечения, существуют специально разработанные операционные системы для чтения почты и присланных незнакомцами документов. TAILS – это операционная система на основе Linux, которая самостоятельно уничтожает все следы своей деятельности. Qubes – другая разработка, основанная на Linux, которая аккуратно разделяет приложения, запрещая их взаимодействие, таким образом ограничивая возможности применения вредоносного программного обеспечения. Обе эти операционные системы разработаны для работы на ноутбуках и настольных компьютерах.

Вы также можете проверить подозрительные файлы и ссылки на сервисе VirusTotal, который просканирует их с помощью нескольких антивирусов и сообщит о результатах. Однако этот способ недостаточно надёжен, так как антивирусы зачастую не выявляют новейшее вредоносное программное обеспечение или направленные атаки. Но в любом случае это лучше, чем ничего.

Любой файл (или ссылка), отправленный на общедоступный веб-сайт, например, VirusTotal или Диск Google, доступен любому сотруднику компании, а также, возможно, любому пользователю данного сайта. Если информация в файле конфиденциальна, то вам, скорее всего, необходим альтернативный способ обезопасить себя от вредоносного ПО.

При входе используйте ключ универсальной двухфакторной аутентификации (U2F) Anchor link

Для защиты от фишинговых атак некоторые сайты позволяют использовать специальное устройство (токен) с расширенными возможностями. Эти токены (также называемые «ключами») обмениваются информацией с браузером, определяя для каждого сайта соответствующую учётную запись. Этот способ называется универсальной двухфакторной аутентификацией (или U2F), потому что представляет собой стандартный запрос второго способа аутентификации в дополнение к запросу пароля при входе. Вам достаточно как обычно ввести имя пользователя и пароль, подключить по необходимости свой ключ к компьютеру или смартфону, а затем нажать на кнопку входа. Если вы вдруг окажетесь на фишинговом сайте, то браузер не станет использовать для входа данные, связанные с подлинным сайтом. Это означает, что даже если фишер обманом получит ваш пароль, это не поставит под удар вашу учётную запись. Yubico (один из производителей таких ключей) предоставляет более подробную информацию о U2F.

Не следует путать U2F с двухфакторной аутентификацией, которая не всегда может защитить от фишинга.

Относитесь настороженно к инструкциям, присланным по электронной почте

Некоторые фишеры представляются в письмах сотрудниками отделов поддержки клиентов и просят предоставить пароли, позволить «специалисту по ремонту» удалённо подключиться к вашему компьютеру или отключить некоторые настройки безопасности на вашем устройстве. Они могут объяснять необходимость данных действий, например, переполненностью вашего почтового ящика или тем, что ваш компьютер взломали хакеры. Слепое следование подобным указанием мошенников приведёт к плачевным последствиям. Нужно проявить особенную бдительность перед передачей кому-либо технических данных или исполнением инструкций и не делать этого, пока вы не будете абсолютно уверены в подлинности источника таких запросов.

Если у вас вызывает подозрение полученное письмо (ссылка), не открывайте его (не переходите по ссылке), пока не убедитесь в его безопасности, пройдясь по пунктам настоящего руководства.

Читать еще:  Как защитить презентацию от копирования

Что такое фишинг и как он может лишить вас денег и секретов

Чем лучше вы проинформированы, тем сложнее вас обмануть. Вместе с Microsoft рассказываем всё, что вам нужно знать о фишинге.

Что такое фишинг и чем он опасен

Фишинг — это распространённый вид кибермошенничества, целью которого является компрометация учётных записей и перехват контроля над ними, кража данных кредитных карт или любой другой конфиденциальной информации.

Чаще всего злоумышленники используют электронную почту: например, рассылают письма от имени известной компании, заманивая пользователей на её фальшивый сайт под предлогом выгодной акции. Жертва не распознаёт подделку, вводит логин и пароль от своего аккаунта, и таким образом пользователь сам передаёт данные мошенникам.

Пострадать может каждый. Автоматизированные фишинговые рассылки чаще всего ориентированы на широкую аудиторию (сотни тысяч или даже миллионы адресов), но встречаются и атаки, направленные на конкретную цель. Чаще всего в качестве таких целей выступают топ‑менеджеры или другие сотрудники, у которых есть привилегированный доступ к корпоративным данным. Такую персонифицированную стратегию фишинга называют вейлингом (англ. whaling), что переводится как «ловля китов».

Последствия фишинговых атак бывают сокрушительными. Мошенники могут прочитать вашу личную переписку, разослать фишинговые сообщения вашему кругу контактов, снять деньги с банковских счетов и вообще действовать от вашего имени в широком смысле. Если вы управляете бизнесом, то рискуете ещё больше. Фишеры способны украсть корпоративные секреты, уничтожить важные файлы или слить данные ваших клиентов, что ударит по репутации компании.

Согласно отчёту Phishing Activity Trends Report Антифишинговой рабочей группы, только за последнюю четверть 2019 года специалисты по кибербезопасности обнаружили более 162 тысяч мошеннических сайтов и 132 тысяч email‑рассылок. За это время жертвами фишинга стали около тысячи компаний со всего мира. Остаётся только гадать, сколько атак не было обнаружено.

Архитектор Технологического центра Microsoft в России.

Важно чётко понимать самим и довести до сведения сотрудников, друзей и родственников несколько вещей. Первое: нам противостоит индустрия. Киберзлоумышленники — это больше не шутники‑энтузиасты, это опытные профессионалы, которые так или иначе хотят на вас заработать. Второе: любая информация имеет ценность, даже если кажется не важной. И ваша активность в соцсетях, и кличка вашей любимой кошечки — всё может быть использовано либо для непосредственной монетизации, либо как ступень атаки для получения доступа к более «дорогостоящим» данным. Третье: использование многофакторной аутентификации и средств беспарольного входа постепенно переходит из разряда настоятельных рекомендаций в разряд суровых требований изменившейся реальности.

Эволюция и виды фишинга

Термин «фишинг» произошёл от английского слова fishing («рыбалка»). Этот вид мошенничества действительно напоминает ловлю рыбы: злоумышленник забрасывает наживку в виде поддельного сообщения или ссылки и ждёт, пока пользователи не клюнут.

Но на английском «фишинг» пишется немного иначе: phishing. Вместо буквы f используется диграф ph. По одной версии, это отсылка к слову phony («обманщик», «жулик»). По другой — к субкультуре ранних хакеров, которых называли phreakers («фрикеры»).

Считается, что впервые термин «фишинг» публично использовали в середине 1990‑х годов на конференциях Usenet. В то время мошенники начали первые фишинговые атаки, их целью были клиенты американского интернет‑провайдера AOL. Злоумышленники рассылали сообщения с просьбой подтвердить учётные данные, выдавая себя за сотрудников компании.

С развитием интернета появлялись всё новые виды фишинговых атак. Мошенники начали подделывать целые сайты и освоили разные каналы и сервисы коммуникации. Сегодня можно выделить такие разновидности фишинга.

  • Email‑фишинг. Мошенники регистрируют почтовый адрес, похожий на адрес известной компании или знакомого выбранной жертвы, и рассылают с него письма. При этом по имени отправителя, оформлению и содержимому поддельное письмо может быть почти идентичным оригиналу. Только внутри есть ссылка на фейковый сайт, заражённые вложения или прямая просьба выслать конфиденциальные данные.
  • СМС‑фишинг (смишинг). Эта схема аналогична предыдущей, но вместо email используется СМС. Абонент получает от неизвестного (обычно короткого) номера сообщение с запросом конфиденциальных данных или со ссылкой на поддельный сайт. К примеру, злоумышленник может представиться банком и запросить проверочный код, который вы получили ранее. На самом деле код нужен мошенникам, чтобы взломать ваш банковский аккаунт.
  • Cоцмедиа‑фишинг. С распространением мессенджеров и социальных сетей фишинговые атаки наводнили и эти каналы. Злоумышленники могут связаться с вами через поддельные или взломанные аккаунты известных организаций либо ваших друзей. В остальном принцип атаки не отличается от предыдущих.
  • Телефонный фишинг (вишинг). Мошенники не ограничиваются текстовыми сообщениями и могут вам позвонить. Чаще всего для этой цели используют интернет‑телефонию (VoIP). Звонящий может выдать себя, к примеру, за сотрудника службы поддержки вашей платёжной системы и запросить данные для доступа к кошельку — якобы для проверки.
  • Поисковый фишинг. Столкнуться с фишингом можно прямо в поисковой выдаче. Достаточно кликнуть по ссылке, которая ведёт на поддельный сайт и оставить на нём личные данные.
  • Pop‑up фишинг. Злоумышленники часто используют всплывающие окна (pop‑up). Посетив сомнительный ресурс, вы можете увидеть баннер, который обещает некую выгоду — например, скидки или бесплатные товары — от имени известной компании. Перейдя по этой ссылке, вы попадёте на сайт, который контролируют злоумышленники.
  • Фарминг. Не связанной напрямую с фишингом, но также весьма распространённой атакой является фарминг. В этом случае злоумышленник подделывает данные DNS, автоматически перенаправляя пользователя вместо оригинальных сайтов на поддельные. Жертва не видит никаких подозрительных сообщений и баннеров, что повышает эффективность атаки.

Фишинг продолжает эволюционировать. Microsoft рассказала о новых техниках, которые обнаружил её антифишинговый сервис Office 365 Advanced Threat Protection в 2019 году. Например, мошенники научились лучше маскировать вредоносные материалы в поисковой выдаче: в топ выводят легитимные ссылки, которые ведут пользователя к фишинговым сайтам с помощью множества переадресаций.

Кроме того, злоумышленники начали автоматически генерировать фишинговые ссылки и точные копии электронных писем на качественно новом уровне, который позволяет эффективнее обманывать пользователей и обходить средства защиты.

Как защититься от фишинга

Повышайте свою техническую грамотность. Как говорится, кто предупреждён, тот вооружён. Изучайте информационную безопасность самостоятельно или обращайтесь к экспертам за консультациями. Даже просто уверенные знания основ цифровой гигиены могут уберечь от множества неприятностей.

Соблюдайте осторожность. Не переходите по ссылкам и не открывайте вложения в письмах от неизвестных собеседников. Внимательно проверяйте контактные данные отправителей и адреса посещаемых сайтов. Не отвечайте на просьбы выдать личные данные, даже когда сообщение выглядит правдоподобно. Если у вас запрашивает информацию представитель компании, лучше позвоните в её кол‑центр и сообщите о ситуации. Не кликайте по всплывающим окнам.

Применяйте пароли с умом. Используйте уникальный и надёжный пароль для каждого аккаунта. Подпишитесь на сервисы, которые предупреждают пользователей, если пароли от их учётных записей появляются в Сети, и сразу же меняйте код доступа, если он оказался скомпрометированным.

Настройте многофакторную аутентификацию. Эта функция защищает аккаунт дополнительно, например, с помощью одноразовых паролей. В этом случае каждый раз при входе в учётную запись с нового устройства, помимо пароля, придётся вводить четырёх- или шестисимвольный код, присланный вам по СМС или сгенерированный в специальном приложении. Это может показаться не очень удобным, зато такой подход защитит вас от 99% распространённых атак. Ведь если мошенники украдут пароль, они всё равно не смогут войти без проверочного кода.

Используйте средства беспарольного входа. В тех сервисах, где это возможно, следует вообще отказаться от использования паролей, заменив их на аппаратные ключи безопасности или аутентификацию через приложение на смартфоне.

Используйте антивирусное ПО. Своевременно обновляемый антивирус отчасти поможет защитить компьютер от вредоносных программ, которые перенаправляют на фишинговые сайты или воруют логины и пароли. Но помните, что главная ваша защита — это всё-таки соблюдение правил цифровой гигиенты и следование рекомендациям по кибербезопасности.

Если вы руководите бизнесом

Для владельцев бизнеса и руководителей компаний также будут полезны следующие советы.

Обучайте сотрудников. Объясните подчинённым, каких сообщений стоит избегать и какую информацию нельзя отправлять по email и другим каналам связи. Запретите сотрудникам использовать корпоративную почту в личных целях. Проинструктируйте их по поводу работы с паролями. Также стоит продумать политику хранения писем: к примеру, в целях безопасности можно удалять сообщения старше определённого срока.

Проводите учебные фишинговые атаки. Если хотите проверить реакцию сотрудников на фишинг, попробуйте сымитировать атаку. К примеру, зарегистрируйте почтовый адрес, похожий на свой, и отправьте с него письма подчинённым с просьбой сообщить вам конфиденциальные данные.

Выберите надёжную почтовую службу. Бесплатные email‑провайдеры слишком уязвимы для деловой переписки. Компаниям стоит выбирать только защищённые корпоративные сервисы. К примеру, пользователям почтовой службы Microsoft Exchange, входящей в пакет Office 365, доступна комплексная защита от фишинга и других угроз. Чтобы противостоять мошенникам, Microsoft ежемесячно анализирует сотни миллиардов писем.

Наймите эксперта по кибербезопасности. Если позволяет бюджет, найдите квалифицированного специалиста, который обеспечит постоянную защиту от фишинга и других киберугроз.

Что делать, если вы стали жертвой фишинга

Если есть основания считать, что ваши данные попали в чужие руки, действуйте незамедлительно. Проверьте свои устройства на вирусы и смените пароли от аккаунтов. Сообщите сотрудникам банка, что ваши платёжные данные могли украсть. При необходимости проинформируйте клиентов о возможной утечке.

Чтобы такие ситуации не повторялись, выбирайте надёжные и современные сервисы для организации совместной работы. Лучше всего подойдут продукты со встроенными механизмами защиты: работать будет максимально удобно и не придётся рисковать цифровой безопасностью.

Кроме того, сервис обеспечивает динамический контроль доступа с оценкой рисков и учётом широкого спектра условий. Также Office 365 содержит встроенные средства автоматизации и аналитики данных, а ещё позволяет контролировать устройства и защищать информацию от утечки.

Читать еще:  Как защитить файл эксель

[Перевод статьи] 7 базовых правил защиты от фишинга

О том, что такое фишинг известно давно. Первые фишинговые атаки были зафиксированы вскоре после появления всемирной паутины. Но несмотря на то, что специалисты по ИБ создают все более совершенные способы защиты от фишинга, новые фишинговые сайты продолжают появляться ежедневно.

Согласно данным некоторых исследований, в 2016 году ежедневно создавалось около 5000 фишинг сайтов. В 2017 эта цифра будет еще больше. Секрет жизнестойкости этого вида мошенничества в том, что он опирается не на “дыры” в программном обеспечении, а на уязвимость в человеческой сущности, у которой есть доступ к важным данным. Поэтому нелишним будет в очередной раз напомнить, что такое фишинг, каковы самые распространенные виды фишинговых атак, а также способы противодействия им.

Фишинг в 2017 году: основные примеры фишинговых атак

Фишинг — это вид интернет-мошенничества, построенный на принципах социальной инженерии. Главная цель фишинга — получить доступ к критически важным данным (например, паспортным), учетным записям, банковским реквизитам, закрытой служебной информации, чтобы использовать их в дальнейшем для кражи денежных средств. Работает фишинг через перенаправление пользователей на поддельные сетевые ресурсы, являющиеся полной имитацией настоящих.

1. Классический фишинг — фишинг подмены

К этой категории можно отнести большую часть всех фишинговых атак. Злоумышленники рассылают электронные письма от имени реально существующей компании с целью завладеть учетными данными пользователей и получить контроль над их личными или служебными аккаунтами. Вы можете получить фишинговое письмо от имени платежной системы или банка, службы доставки, интернет-магазина, социальной сети, налоговой и т.д.

Фишинговые письма создают с большой скрупулезностью. Они практически ничем не отличаются от тех писем, которые пользователь регулярно получает в рассылках от настоящей компании. Единственное, что может насторожить — просьба перейти по ссылке для выполнения какого-либо действия. Переход этот, однако, ведет на сайт мошенников, являющийся “близнецом” страницы сайта банка, социальной сети или другого легального ресурса.

Побудительным мотивом для перехода по ссылке в подобных письмах может выступать как “пряник” (”Вы можете получить 70% скидку на услуги, если зарегистрируетесь в течение суток”), так и “кнут” (”Ваша учетная запись заблокирована в связи с подозрительной активностью. Чтобы подтвердить, что вы владелец аккаунта, перейдите по ссылке”).

Приведем список самых популярных уловок мошенников:

Ваша учетная запись была или будет заблокирована /отключена.

Тактика запугивания пользователя может быть очень эффективной. Угроза того, что аккаунт был или в ближайшее время будет заблокирован, если пользователь сейчас же не зайдет в учетную запись, заставляет тут же потерять бдительность, перейти по ссылке в письме и ввести свой логин и пароль.

В Вашей учетной записи обнаружены подозрительные или мошеннические действия. Требуется обновление настроек безопасности.

В таком письме пользователя просят срочно войти в учетную запись и обновить настройки безопасности. Действует тот же принцип, что и в предыдущем пункте. Пользователь паникует и забывает о бдительности.

Вы получили важное сообщение. Перейдите в личный кабинет, чтобы ознакомиться.

Чаще всего такие письма присылают от имени финансовых организаций. Пользователи склонны верить правдивости писем, поскольку финансовые организации действительно не пересылают конфиденциальную информацию по электронной почте.

Фишинговые письма налоговой тематики.

Такие письма входят в тренд, как только близится время платить налоги. Темы писем могут быть самыми разными: уведомление о задолженности, просьба выслать недостающий документ, уведомление о праве на получение возврата налога, и т.д.

2. Целенаправленная фишинговая атака

Не всегда фишинг бьет наудачу — часто атаки являются персонифицированными, целенаправленными. Цель та же — заставить пользователя перейти на фишинговый сайт и оставить свои учетные данные.

Естественно, у будущей жертвы больше доверия вызовет письмо, в котором к ней обращаются по имени, упоминают место работы, должность, занимаемую в компании, еще какие-либо индивидуальные данные. Причем информацию для направленных фишинговых атак люди чаще всего предоставляют сами. Особенно “урожайны” для преступников такие ресурсы как всем известная LinkedIn — создавая резюме в расчете на потенциальных работодателей, каждый старается указать побольше сведений о себе.

Для предупреждения подобных ситуаций организациям следует постоянно напоминать сотрудникам о нежелательности размещения личной и служебной информации в открытом доступе.

3. Фишинг против топ-менеджмента

Особый интерес для мошенников представляют учетные данные руководства.

Как правило, специалисты по безопасности любой фирмы внедряют четкую систему допусков и уровней ответственности, в зависимости от должности работника. Так, менеджер по продажам имеет доступ к базе данных продукции, а список сотрудников компании для него — запретная зона. HR-специалист, в свою очередь, полностью в курсе, какие вакансии кем заняты, какие только что освободились, кто достоин повышения, но понятия не имеет о номерах и состоянии банковских счетов родной фирмы. Руководитель же обычно сосредотачивает в своих руках доступ ко всем критически важным узлам жизни предприятия или организации.

Получив доступ к учетной записи главы компании, специалисты по фишингу идут дальше и используют ее для коммуникации с другими отделами предприятия, например, одобряют мошеннические банковские переводы в финансовые учреждения по своему выбору.

Несмотря на высокий уровень допуска, менеджеры высшего звена не всегда участвуют в программах обучения персонала основам информационной безопасности. Вот почему, когда фишинговая атака направлена против них, это может привести к особенно тяжелым последствиям для компании.

4. Фишинг рассылки от Google и Dropbox

Сравнительно недавно в фишинге появилось новое направление — охота за логинами и паролями для входа в облачные хранилища данных.

В облачном сервисе Dropbox и на Google Диске пользователи, как личные так и корпоративные, хранят множество конфиденциальной информации. Это презентации, таблицы и документы (служебные), резервные копии данных с локальных компьютеров, личные фотографии и пароли к другим сервисам.

Неудивительно, что получить доступ к учетным записям на этих ресурсах — заманчивая перспектива для злоумышленников. Для достижения этой цели используют стандартный подход. Создается фишинговый сайт, полностью имитирующий страницу входа в аккаунт на том или ином сервисе. Потенциальных жертв на него в большинстве случаев перенаправляет фишинговая ссылка в электронном письме.

5. Фишинговые письма с прикрепленными файлами

Ссылка на подозрительный сайт с целью украсть данные пользователя — не самое страшное, на что способен фишинг. Ведь в этом случае преступники получат доступ лишь к определенной части конфиденциальной информации — логину, паролю, т.е к аккаунту в определенном сервисе. Гораздо хуже, когда фишинг-атака приводит к компрометации всего компьютера жертвы вредоносным программным обеспечением: вирусом-шифровальщиком, шпионом, трояном.

Такие вирусы могут содержаться во вложениях к письмам. Предполагая, что письмо пришло от доверенного источника, пользователи охотно скачивают такие файлы и заражают свои компьютеры, планшеты и лэптопы.

Что такое фарминг

Классический фишинг со ссылками на сомнительные ресурсы постепенно становится менее эффективным. Опытные пользователи веб-сервисов обычно уже осведомлены об опасности, которую может нести ссылка на подозрительный сайт и проявляют осмотрительность, получив странное письмо или уведомление. Заманить жертву в свои сети становится все труднее.

В качестве ответа на снижение результативности традиционных атак злоумышленниками был придуман фарминг — скрытое перенаправление на мошеннические сайты.

Суть фарминга состоит в том, что на первом этапе в компьютер жертвы тем или иным образом внедряется троянская программа. Она зачастую не распознается антивирусами, ничем себя не проявляет и ждет своего часа. Вредонос активируется лишь тогда, когда пользователь самостоятельно, без всякого внешнего воздействия, решает зайти на интересующую преступников страницу в интернете. Чаще всего это сервисы онлайн-банкинга, платежные системы и прочие ресурсы, осуществляющие денежные транзакции. Здесь-то и происходит процесс подмены: вместо проверенного, часто посещаемого сайта хозяин зараженного компьютера попадает на фишинговый, где, ничего не подозревая, указывает нужные хакерам данные. Делается это с помощью изменения кэша DNS на локальном компьютере или сетевом оборудовании. Такой вид мошенничества особенно опасен из-за трудности его обнаружения.

Защита от фишинга — основные правила

Выводы

Полностью уничтожить фишинг в обозримом будущем вряд ли получится: человеческая лень, доверчивость и жадность тому виной.

Ежедневно происходят тысячи фишинговых атак, которые могут принимать самые разнообразные формы:

  • Классический фишинг. Фишинговые письма, отправленные от имени известных действительно существующих компаний, которые практически неотличимы от писем, которые пользователи обычно получают от этих компаний. Единственное отличие может заключаться в просьбе проследовать по ссылке, чтобы выполнить какое-то действие.
  • Целенаправленная фишинговая атака. Персонализированные фишинговые письма, направленные на конкретного человека. Такие письма содержат имя, должность потенциальной жертвы, а также любые другие личные данные.
  • Фишинг против топ-менеджмента. Фишинг-письма нацеленные на получение доступа к учетной записи главы компании, генерального директора, технического директора и т.д. После получения доступа к таким учетным записям специалисты по фишингу могут продолжать использовать их для связи с другими отделами, например, подтверждать мошеннические банковские переводы любому финансовому учреждению по своему выбору.
  • Фишинг рассылки от Google и Dropbox. Относительно новое направление фишинговых атак, целью которых являются имена пользователей и пароли для входа в облачные хранилища данных.
  • Фишинговые письма с прикрепленными файлами. Фишинг-письма с вложениями, содержащими вирусы.
  • Фарминг. Скрытая переадресация на мошеннический сайт, выполненный с помощью изменения кэша DNS на локальном компьютере или сетевом оборудовании.

Только наличие своевременной и наиболее полной информации о методах хакеров, а также здоровая подозрительность по отношению к необычным, неожиданным сообщениям и предложениям, позволят существенно снизить ущерб от этого вида интернет-мошенничества.

Потому обязательно ознакомьтесь с правилами защиты от фишинга. И прежде всего никому не передавайте свои пароли, заведите привычку всегда вбивать адреса нужных сайтов вручную или пользоваться закладками в браузере, будьте особенно внимательны к ссылкам в письмах.

Ссылка на основную публикацию
Adblock
detector