Навигация по статье:
Что такое фишинг Какую цель преследует фишинг Типы и схемы фишинговых атак Защита от фишинга Фишинг в России
Что такое фишинг
Чаще всего фишинг представляет собой массовые рассылки писем и уведомлений от имени известных брендов, банков, платежных систем, почтовых сервисов, социальных сетей. Такие письма, как правило, содержат логотип, сообщение и прямую ссылку на сайт, внешне неотличимый от настоящего. По ссылке требуется перейти на сайт «сервиса» и под различными предлогами ввести конфиденциальные данные в соответствующие формы. В результате мошенники получают доступ к аккаунтам и банковским счетам пользователей.
Какую цель преследует фишинг
Не все фишеры самостоятельно обналичивают счета, к которым они получают доступ. Обналичивание счетов — сложно осуществимый процесс с практической точки зрения. К тому же человека, который занимается обналичиванием, легче поймать и привлечь преступную группу к ответственности. Поэтому, получив конфиденциальные данные, часть фишеров продает их другим мошенникам, использующим отработанные схемы снятия денег со счетов.
В случаях, когда фишинговые атаки направлены на компании, целью киберпреступников является получение данных учетной записи какого-либо сотрудника и последующая расширенная атака на компанию.
Что такое фишинг и как от него защититься
Учимся противостоять мошенникам в интернете и отказываемся от наследства нигерийского принца.
Пишет про digital и машинное обучение для корпоративных блогов. Топ-автор в категории «Искусственный интеллект» на Medium. Kaggle-эксперт.
Хакерская атака, при которой персональные данные и деньги похищают с помощью фейковых сайтов, аккаунтов или электронных писем, называется фишингом. В этой статье мы подробно разберёмся, в чём её смысл, как она проводится и какие есть способы от неё защититься.
Фишинг отличается от других видов хакерских атак тем, что мошенники активно манипулируют базовыми человеческими эмоциями, такими как любопытство и страх, а также используют информацию, которые смогли собрать из открытых источников о человеке.
Фишинг проходит по электронной почте, SMS, в мессенджерах и в социальных сетях. Атака выглядит так: человек получает письмо или сообщение от сервисов, которым он доверяет. Например, от своего банка, интернет-провайдера или магазина, где недавно совершил покупку. В этом письме его просят срочно указать личные данные или обновить их, иначе счёт будет заблокирован или возникнут другие проблемы. Это и есть приманка, так называемое «забрасывание удочки».
Если приглядеться к такому «срочному» письму или СМС, можно заметить, что домен или номер телефона не совпадают с официальными контактами сервиса, банка или магазина. А в самом письме или сообщении будет ссылка, ведущая на копию официального сайта. Если пользователь введёт там свои данные, то они попадут к мошенникам.
Посмотрим на примеры фишинговых писем, сайтов и сообщений.
Фишинговое письмо маскируется под запрос от существующей компании или сервиса. Например, пользователь может получить письмо, в котором указан безобидный запрос на подтверждение личных данных. На первый взгляд всё хорошо.
Пример фишингового письмаИзображение: LukaSafonov / «Хабр»
Человек может решить, что он получил запрос от Google: есть логотип компании, официально написанный текст, подпись в письме и почтовый ящик, намекающий на связь с компанией. Но почтовый ящик с доменом gmail.com может зарегистрировать любой пользователь. Если навести курсор на текст, на который поставили ссылку, то видно, что она ведёт на сайт с доменом .ru, который не имеет ничего общего с Google.
Оказывается, фишинговые письма существовали задолго до появления интернета и распространялись обычной почтой. Как правило, мошенники просили у получателя поучаствовать в многомиллионных операциях, а взамен обещали процент от сделки. Из-за того, что такой вид мошенничества был особенно популярен в Нигерии, письма стали называться «нигерийскими», а ложная выгода, которую сулили отправители таких писем, — «наследством нигерийского принца».
Фишинговый сайт делают похожим на веб-страницу популярного сервиса. Если не обратить внимания на его адрес, то можно и не заметить разницы:
Пример фишингового сайта социальной сетиИзображение: VK
Фишинговое сообщение работает так же. Это СМС или сообщение в социальных сетях, которые заставляют пользователя совершить необходимое мошенникам действие — перейти по ссылке или перезвонить на их номер.
Фишинговое сообщение, обещающее лёгкое получение денег. Как правило, на таком сайте попросят ввести данные карты, включая CVV-код, для её пополнения, а затем код из СМС с подтверждением операцииСкриншот: Skillbox Media
Реже фишинг проводят по телефону, звоня человеку. В этом случае мошенники звонят и представляются сотрудниками компании, например службы безопасности банка. Но цель одна и та же ― получить идентификационные данные человека.
Фишеры, то есть мошенники, которые занимаются фишингом, преследуют разные цели.
Идентификационные данные, например номер телефона, можно использовать для кражи денег пользователей. Мошенники, представляясь сотрудниками службы безопасности банка, сообщают человеку, что кто-то пытается привязать к его карте другой номер телефона. И предлагают провести с карты идентификационный перевод для подтверждения личности. Пользователю нужно сообщить «сотрудникам банка» данные карты и код подтверждения, который придёт в СМС или пуш-уведомлении. Так фишеры могут похитить деньги с карты.
Есть и другие схемы, например «перевод по ошибке». Мошенники присылают фейковое сообщение, маскируясь под банковское приложение, с якобы ошибочным переводом, а затем от имени банка просят вернуть деньги. Чтобы это сделать, опять же потребуется сообщить данные карты и код подтверждения операции.
Фишингу могут подвергаться не только отдельные люди, но и целые компании. В период с 2013 по 2015 год мошенники обманули «Фейсбук»* и Google на 100 миллионов долларов. Фишер воспользовался тем, что обе компании использовали тайваньскую компанию Quanta в качестве поставщика. Злоумышленник выдал себя за представителя компании и отправил компаниям серию фальшивых счетов, которые оплатили и «Фейсбук»*, и Google.
В итоге мошенничество было раскрыто, а злоумышленник был арестован. Но удалось вернуть лишь 49,7 млн долларов из 100.
Мошенники могут взломать облачные хранилища человека, например на «Яндекс Диске», или получить доступ к файлам его телефона. В таком случае киберпреступники шантажируют жертву, например, украв интимные фотографии и угрожая выложить их в открытый доступ. Скандалы со взломом телефонов знаменитостей и распространением личных фотографий сегодня не редкость. Продавая снимки таблоидам, мошенники могут хорошо заработать.
В 2017 году фишеры похитили фильм Disney и требовали за него выкуп. Disney не разглашала информацию о том, что это за фильм и сколько потребовали мошенники. Но, скорее всего, речь шла о пятой части «Пиратов Карибского моря». Хакеры угрожали слить фильм в Сеть, если компания не заплатит им. В итоге этого не случилось, а в интернете появились только его отдельные фрагменты. Видимо, компания смогла договориться со злоумышленниками.
В 2014 году группа киберпреступников из КНДР, называющих себя «Миротворцами», атаковала компанию Sony Pictures. Они использовали фишинговые письма, а также внедрились в офис Sony, устроившись на работу в качестве IT-специалистов. Так им удалось заразить сотни компьютеров вредоносными программами и похитить более 30 000 файлов: документов, имейлов и сценариев будущих фильмов. Причина кибератаки — планы кинокомпании выпустить в прокат фильм, высмеивающий северокорейского лидера Ким Чен Ына.
Фишинг — это не только ссылки в электронных письмах и СМС. Арсенал злоумышленников постоянно растёт, так как о старых способах узнаёт всё больше людей. Разберём основные варианты фишинговых атак.
Это фишинговые атаки, целью которых являются аккаунты в популярных соцсетях, например VK или «Одноклассниках».
То же касается и других сетей ― нужно внимательно проверять адрес отправителя письма и адрес страницы, где вы вводите свои данные: vk.com — это настоящий сайт, а vkom.com ― подделка.
Мошенники отправляют электронные письма с поддельными ссылками, которые выглядят как официальные письма от банков, онлайн-магазинов или сервисов. При переходе по ссылке пользователь попадает на поддельный сайт, где требуется ввести информацию для входа в аккаунт. В итоге мошенники могут получить доступ к личным данным.
Такой вид мошенничества встречается реже, так как современные почтовые сервисы имеют надёжные спам-фильтры и отправляют подозрительные письма в папку со спамом. Открывать их там точно не стоит.
Байтинговые атаки побуждают жертв перейти по ссылке в письме или сообщении без запугивания. Наоборот, они обещают призы и выгодные предложения. Например, пользователю может прийти письмо от Apple с поздравлением и сообщением о выигрыше новой модели iPhone. Сложно удержаться и не перейти по ссылке, чтобы получить приз.
Фарминг — это форма фишинга, которая направлена на получение личных данных через поддельные сайты. Кажется, что это похоже на классический фишинг, но есть различие. В фарминге пользователя автоматически перенаправят на поддельный сайт, даже если он зашёл по проверенной ссылке. Это происходит из-за вируса, который устанавливает вредоносный код на DNS-сервер.
Для фарминговой атаки не обязательно заражать компьютер через email. Хакеры могут «отравить» сам DNS-сервер и атаковать сразу большое число жертв. При вводе пароля или данных карт мошенники легко их похитят без подозрений со стороны пользователей.
Обычно фишинг носит массовый характер. Но спирфишинг — это целенаправленная попытка украсть конфиденциальную информацию у конкретной жертвы. Часто целями спирфишинга являются топ-менеджеры крупных компаний, которые могут инвестировать большие средства в кибербезопасность: хакерам не пробиться к ним с помощью технических средств. Но лазейка в виде человеческого фактора остаётся всегда.
Для успешного целевого фишинга преступникам нужно изучить жертву: с кем она общается, где живёт, работает, куда ходит отдыхать или заниматься спортом. Затем злоумышленники притворяются другом или другим важным лицом, например начальником, чтобы получить конфиденциальную информацию, как правило, по электронной почте или через другие онлайн-сообщения. Именно на спирфишинговые атаки приходится 65% всех успешных кибератак на компании.
Например, крупная французская кинокомпания Pathé потеряла 19 млн евро, то есть 10% годовой прибыли, именно из-за спирфишинга. Мошенники использовали личную учётную запись генерального директора Марка Лакана, чтобы получить одобрение на перевод крупной суммы. Перевод состоялся, а генерального директора в итоге уволили.
Это фишинговые атаки по телефону. Мошенники могут выдавать себя за представителей банков и государственных учреждений. Некоторые из них используют имитацию голоса родных и друзей с помощью искусственного интеллекта. Так вишеры пытаются выманить у жертвы деньги напрямую, например через перевод на карту мошенника.
Жертвами фишинга может стать любой человек, независимо от возраста, пола или социального статуса. Если вы откроете папку для спама в своей электронной почте, то наверняка обнаружите не одно подозрительное письмо.
Однако часто мошенники ориентируются на людей, которые хуже разбираются в современных технологиях или не знают о фишинг-атаках, например на пожилых людей и детей. Поэтому важно делиться с близкими информацией о том, что такое фишинг и что делать, чтобы не попасться на уловки мошенников.
Среди сервисов чаще всего страдают банки и электронные платёжные системы, то есть те сервисы, которые работают с деньгами.
Для защиты от фишинга важно помнить несколько базовых правил.
Фишинговые атаки часто начинаются через электронную почту, сообщения в социальных сетях или мессенджерах. Мошенники используют разные способы, чтобы убедить человека предоставить им личные данные или перевести деньги. Никогда не отвечайте на подозрительные сообщения и не переходите по ссылкам, которые вы не запрашивали.
Мошенники могут подделать адрес отправителя, чтобы сделать письмо более правдоподобным. Однако если вы внимательно посмотрите на него, то обнаружите, что он не соответствует официальному адресу компании. Если сомневаетесь в подлинности письма, обратитесь в службу поддержки компании и уточните информацию.
Антивирусное программное обеспечение помогает защитить компьютер от спам-сообщений, а определитель номеров — от звонков, которые используют для фишинговых атак. Обновляйте своё антивирусное ПО регулярно, чтобы защитить себя от новых видов угроз.
Многие люди используют один пароль для всех сервисов. Это удобно, но, насколько бы он ни был сложным, узнав его, злоумышленники смогут авторизоваться на всех сайтах, которыми пользуется человек.
Важно, чтобы пароли всегда были уникальными. Если вам сложно их запомнить, то используйте специальные приложения: Kaspersky Password Manager, «Пассворк» и другие.
При покупке товаров или услуг убедитесь, что сайт использует безопасный протокол передачи данных, — в строке с адресом сайта должно быть написано https, а не http. Такие сайты в адресной строке браузера обозначаются символом замка:
Если нажать на него, то можно увидеть информацию о сертификате безопасности: наименование организации, которой он принадлежит, и его срок действия.
Никогда не вводите свои платёжные данные на сайтах, которым вы не доверяете. Заведите отдельную банковскую карту для покупок в интернете и не храните на ней большую сумму денег.
Обновление операционной системы, браузера и других программ позволяет повысить их защищённость. Как правило, в новых версиях устраняются выявленные уязвимости.
Общественные Wi-Fi-сети могут быть небезопасными, так как мошенники часто используют их для доступа к личным данным людей. Любая операция через такую сеть может привести к перехвату информации, например данных банковских карт.
Жизнь можно сделать лучше!Освойте востребованную профессию, зарабатывайте больше и получайте от работы удовольствие. А мы поможем с трудоустройством и важными для работодателей навыками.
Типы и схемы фишинговых атак
К основным методикам и техникам фишинга относят:
Приемы социальной инженерии
Представляясь представителями известных компаний, фишеры чаще всего сообщают получателям, что им нужно по какой-либо причине срочно передать или обновить персональные данные. Такое требование мотивируется утерей данных, поломкой в системе или другими причинами.
Фишинг с обманом
Это самый распространенный тип фишинговых атак. Сообщениями, построенными на использовании этого метода, мошенники могут заспамить миллионы адресов электронной почты в течение нескольких часов. В данном случае фишер присылает фальшивое письмо от имени организации с просьбой пройти по ссылке и проверить данные учетной записи.
Для кражи личных данных создаются специальные фишинговые сайты, которые размещаются на домене максимально похожем на домен реального сайта. Для этого фишеры могут использовать URL с небольшими опечатками или субдомены. Фишинговый сайт оформляется в похожем дизайне и не должен вызвать подозрений у попавшего на него пользователя.
Cледует отметить, что фишинг с обманом — наиболее традиционный метод работы фишеров и при этом наименее безопасный для организаторов атак, поэтому в последнее время он постепенно уходит в прошлое.
«Гарпунный» фишинг
Объектами «гарпунного» фишинга выступают не широкие группы пользователей, а конкретные люди. Чаще всего этот способ является первым этапом для преодоления средств защиты компании и проведения целевой атаки на нее. Злоумышленники в таких случаях изучают своих жертв с помощью социальных сетей и других сервисов и таким образом адаптируют сообщения и действуют более убедительно.
«Охота на китов»
Охоту за конфиденциальной информацией топ-менеджеров и других важных персон называют «охотой на китов». В этом случае фишеры тратят достаточно много времени на определение личностных качеств целевой жертвы, чтобы подобрать подходящий момент и способы для кражи учетных данных.
Рассылка вирусов
Кроме кражи личных данных мошенники также ставят себе целью нанесение ущерба отдельным лицам или группам лиц. Ссылка фишингового письма при клике может загружать на ПК вредоносный вирус: кейлоггер, троянскую программу или программу-шпиона.
Фарминг
Это новая разновидность фишинга. Используя этот метод, фишеры получают личные данные не через письмо и переход по ссылке, а непосредственно на официальном сайте. Фармеры меняют цифровой адрес официального сайта на DNS-сервере на адрес подменного сайта, и в результате ничего не подозревающий пользователь перенаправляется на поддельный сайт. Такой фишинг опаснее традиционного, поскольку увидеть подмену невозможно. От подобных атак уже страдают аукцион Ebay, платежная система PayPal и известные мировые банки.
Вишинг
Вишинг — метод фишинга, использующий для получения информации телефонную связь. В уведомительном письме указывается номер телефона, по которому нужно перезвонить, чтобы устранить «возникшую проблему». Затем во время разговора оператор или автоответчик просит пользователя для решения проблемы назвать идентификационные данные.
Читайте по теме: Кардинг, фишинг и скимминг: что это и как защитить свои средства?
Фишинг в России
Сообщается, что всего авторы рейтинга проанализировали около 50 тысяч сообщений граждан и более 20 тысяч публикаций в СМИ и других открытых источниках.
В 2020 году во время пандемии коронавируса количество краж с банковских карт пользователей выросло в шесть раз, сообщала компания Group-IB, которая специализируется на предотвращении кибератак. По словам экспертов, мошенники заманивают пользователей на фишинговые сайты, где покупатели вводят платежные данные. Злоумышленники используют эти данные для обращения к публичным p2p-сервисам банков и перевода денег на свои счета.
Один банк в среднем фиксирует 400-600 попыток такого способа мошенничества в месяц. Средний чек одного перевода — 7 тысяч рублей. Часто злоумышленники создавали поддельные страницы онлайн-магазинов с масками, перчатками и санитайзерами.
История фишинга
Термин «фишинг» появился в 1996 году в новостной группе alt.online-service. America-Online сети Usenet. Первые упоминания о фишерах связаны с медийной компанией AOL, когда мошенники представлялись сотрудниками AOL, обращались к пользователям через программы мгновенного обмена сообщениями и от лица сотрудников компании просили предоставить им пароли от аккаунта. Получив доступ к аккаунту, его использовали для рассылки спама.
В начале 2000-х годов фишинг распространился на платежные системы, а в 2006 году фишинговой атаке подверглись пользователи социальной сети MySpace, в результате были украдены регистрационные данные.
Как можно защититься от фишинга
Специалисты в первую очередь советуют пользователям сервисов научиться распознавать фишинг самостоятельно.
В ответ на письмо с просьбой «подтверждения» учетной записи или любой другой схожей просьбой эксперты советуют пользователям связаться с компанией, от имени которой отправлено сообщение, чтобы проверить его подлинность. Кроме того, рекомендуется самостоятельно вводить URL-адрес организации в адресную строку вместо использования любых гиперссылок.
Практически все подлинные сообщения сервисов содержат в себе упоминание некой информации, недоступной для фишеров, например, упоминание имени или последние цифры номера счета. При этом подозрения должны вызвать любые письма, не содержащие какой-либо конкретной личной информации.
Борьба с фишерами происходит также на техническом уровне:
Михаил Терешков, руководитель направления информационной безопасности АО «ЭР-Телеком Холдинг», в колонке на Rusbase привел такие эффективные, но простые для пользователя способы защиты от фишинга:
Заключение
Кибератаки давно стали частью нашей жизни. Защита от мошенников — глобальная задача корпораций и стартапов, которые разрабатывают финансовые, e-commerce и другие сервисы. Но и пользователям нельзя забывать о простых шагах для того, чтобы не попасться на крючок злоумышленника.
Материалы по теме:
Как хакеры воруют популярные аккаунты в Instagram
Фото на обложке: Depositphotos.