Безопасность

Что такое фишинг и как его распознать

Как только интернет появился у большого числа людей, мошенники начали использовать его для кражи денег.

Первая массовая схема появилась в 1995 году в США. Мошенники рассылали сообщения в онлайн-чате крупнейшего американского провайдера AOL, представлялись сотрудниками и просили предоставить пароль от аккаунта для «подтверждения данных» или «проверки финансовой информации». Если пользователь сообщал пароль, мошенники перехватывали доступ к аккаунту и использовали его для рассылки спама.

В профильных журналах схему назвали phishing, от английского fishing — рыбная ловля, выуживание. Мошенники как бы забрасывают удочки: рассылают сообщения всем подряд и ждут, что кто-то клюнет и пришлет свои данные.

Что такое фишинг

Фишинг — это разновидность интернет-мошенничества, когда мошенник старается обманом получить доступ к важной информации: логинам и паролям, данным банковских карт и паспортов, кодам верификации, интимным фотографиям, важной переписке — всему, что может помочь ему получить деньги.

Акцент на похищении данных вместо денег отличает фишинг от других разводов, в которых мошенники лишь используют некоторые приемы из фишинга. Например, социальную инженерию, когда «майор ФСБ» уговаривает перевести деньги на «защищенный счет» или «сотрудник службы безопасности» просит сказать код из смс для отмены заявки на кредит.

Классическим фишингом принято считать мошенничество с помощью электронных писем, сообщений в мессенджерах и поддельных сайтов. Со временем для фишинга стали использовать и другие способы связи: например, телефон и смс. Для этих видов фишинга даже появились отдельные термины — «вишинг» и «смишинг».

Атакам на обычных людей способствовало развитие соцсетей. Мошенники предлагали пользователям «Вконтакте» бонусы, подарки и «секретные функции» — достаточно было оставить пароль на специальном сайте. Другие притворялись администраторами соцсети и пугали тем, что заблокируют страничку или удалят все фотографии, если пользователь не пришлет пароль «для проверки».

Более продвинутые мошенники охотились не за аккаунтами обычных людей в соцсетях, а за данными банковских служащих. В 2009 году сотрудник американского Comerica Bank открыл электронное письмо якобы от одного из клиентов. Он перешел по ссылке из письма и оказался на поддельном сайте, где ввел свой логин, пароль и токен безопасности банка.

Этот прецедент заставил многие банки пересмотреть свое отношение к информационной безопасности. Стало понятно, что если раньше их грабили вооруженные бандиты, то теперь это может сделать электронное письмо.

Какие цели у фишинговых атак и кого обычно взламывают

У фишинга два основных вектора атак: на компании и на частных лиц. Методы также зависят от размера компаний и известности людей.

Как атакуют крупные компании. Корпоративный фишинг требует тщательной и долгой подготовки, зато в случае успеха приносит хакерам очень много денег.

Хакеры создавали копию внутреннего корпоративного портала, а потом звонили сотрудникам, представлялись техподдержкой или коллегами и просили войти на этот портал под своими учетными записями. После этого с помощью похищенных паролей они заходили на настоящий внутренний портал — и через специальные инструменты публиковали сообщения от имени знаменитостей.

Как атакуют небольшие компании. Распространенная схема — письмо от поставщика или налоговой.

Представьте ситуацию. Сотрудник получает письмо на личную почту и пересылает его руководителю отдела кадров, чтобы тот проверил, все ли в порядке с налогами. Во вложенном документе оказывается вредоносный макрос — небольшая программка, которая автоматически запускается при открытии документа. Когда руководитель его открывает, макрос скачивает вредоносную программу, которая зашифровывает все файлы и показывает окно с требованием выкупа.

А через неделю со счетов фирмы исчезает полмиллиона рублей. Оказывает, когда бухгалтер скачал документ, на его компьютер загрузилась троянская программа. С ее помощью хакеры подменили платежное поручение и вывели со счета фирмы все деньги.

Как атакуют обычных людей. Мошенникам невыгодно создавать персональные схемы для кражи данных малоизвестных людей, так что это, как правило, массовые рассылки или обзвоны без особой подготовки. Расчет на то, что из огромного числа получателей фишингового письма хоть кто-то да перейдет по вредоносной ссылке или откроет документ во вложении.

Мошенники не знают, кто получит их письма, поэтому пишут их по тем же принципам, что и гороскопы, — чтобы каждый получатель мог сказать: «Ой, кажется, это про меня». А еще они вынуждены бороться с антивирусами и защитой от спама, поэтому их сообщения порой выглядят странно и нелепо.

Основная цель массовых атак — получить доступ к устройству или узнать что-то важное: номер карты, код из смс, данные паспорта, пароль от соцсети.

Какие бывают методы фишинга

Социальная инженерия. Это метод фишинга без использования специальных технических средств. Мошенник никого не взламывает, не подсаживает вирус и не перехватывает трафик. Все данные человек выдает сам — под действием обмана, угроз и манипуляций. Когда аферисты притворяются сотрудниками полиции, Центробанка и ФСБ — это как раз социальная инженерия.

Фишинговые ссылки. Задача мошенника — убедить получателя письма или сообщения, что нужно перейти по присланной ссылке. Этот метод особенно популярен на досках объявлений вроде «Авито». Скажем, покупатель пишет продавцу, что уже оплатил товар и доставку и тому надо лишь получить свои деньги на сайте avito-dostavka-msk.ru, avito-deiiveri.ru или что-то в этом роде.

По ссылке откроется фишинговый сайт — почти точная копия настоящего. С одним отличием: все данные, которые вы там введете, попадут в руки мошенникам.

Фишинговые сайты. Когда в России стала популярна социальная сеть «Вконтакте», мошенники освоили такой прием. Они писали людям с незнакомого аккаунта что-то вроде «Ну ты вчера и зажег на вечеринке! Фотки просто стыдоба, зацени!» — и кидали фишинговую ссылку на сайт, который полностью копировал окно входа в социальную сеть.

Многим было любопытно посмотреть, что же там за фото такие. Они думали, что во «Вконтакте» какой-то сбой, и без сомнений вводили логин и пароль от своего профиля. Разумеется, эти данные тут же утекали к мошенникам, которые меняли пароль и угоняли страничку. Этот развод жив до сих пор — вместе с остальными схемами, популярными в соцсетях.

Подделать можно любой сайт, но мошенники чаще всего копируют самые известные. Например, на поддельном сайте РЖД продают дешевые билеты на «Сапсан», а на сайте ресторана просят оставить предоплату за бронь столика.

Часто мошенники копируют сайты крупных компаний, которые обещают поделиться доходами со всеми желающими. Например, мы рассказывали про фальшивый сайт «Газпрома», на котором всем гражданам России обещали по 8500 $ в месяц. Пострадавших были готовы принять другие мошенники — из «Азиатского фонда защиты инвесторов», который маскировался под настоящий фонд.

Фишинговые приложения. Подделки в магазинах приложений были чуть ли не с самого их открытия. Но после того как из Google Play и App Store удалили приложения крупных российских банков и компаний, подделок стало в разы больше: появились мошеннические копии RuStore и RuMarket, приложений Сбербанка и ВТБ.

Зачастую там просто показывают рекламу, а мошенники получают за это вознаграждение. Но некоторые приложения требуют предоставить им доступ к фотографиям или данным телефона. Хакеры сканируют устройство, находят чувствительные данные, а затем используют их для шантажа или взлома.

Другие подделки обещают быстрый заработок: например, через социальные выплаты, сверхприбыльные инвестиции или майнинг криптовалют. Все они созданы для воровства денег.

Ловля «на живца». Редкий, но действенный метод, который обычно используется для атаки на компании. Например, хакер оставляет возле офиса флешку с надписью «Пароль от биткоин-кошелька» или диск «Зарплатная ведомость руководства». Расчет на то, что кто-то из сотрудников вставит носитель в свой компьютер, заразит его вирусом и тем самым предоставит хакеру доступ во внутреннюю сеть компании.

Претекстинг. Метод, когда мошенник сначала разыгрывает невинный спектакль, чтобы разогреть потенциальную жертву: например, проводит опрос про любимые музыкальные группы. А потом предлагает оставить данные банковской карты, чтобы получить вознаграждение. Или представляется службой технической поддержки работодателя, задает обычные вопросы, а потом просит логин и пароль от учетной записи, чтобы что-то обновить. Разводы с заполнением анкет и опросов тоже используют этот прием.

Как и большинство других мошеннических приемов, претекстинг нацелен не на взлом компьютера, а на использование уязвимостей нашей психики — чтобы сработал человеческий фактор.

Уэйлинг. Некоторые мошенники вместо массовых атак предпочитают узкоспециализированные и хорошо подготовленные. Такие схемы называют whaling phishing или whaling attack, дословно — «охота на китов».

«Охотники на китов» тщательно изучают структуру компаний и пытаются понять, кому и от чьего имени можно написать, чтобы быстро и без подозрений украсть деньги или данные.

Например, в 2015 году от такой атаки пострадала компания Mattel — производитель куклы Барби и других игрушек. Хакеры от имени нового главы компании прислали письмо в финансовый отдел и попросили перевести 3 000 000 $ на счет в китайском банке. Сотрудники не распознали подвох, подготовили перевод и даже получили согласие двух других руководителей — те тоже ничего не заподозрили.

Обман обнаружили лишь спустя три часа после того, как деньги ушли из компании.

А в 2016 году соцсеть Snapchat допустила утечку информации о зарплатах сотрудников. Хакеры написали письмо в отдел кадров от имени главы компании — и просто попросили прислать табличку со всеми данными.

Как распознать фишинговые письма и сайты

Профессионально выполненную фишинговую атаку вычислить практически невозможно. К счастью для нас, простых людей, такие атаки в основном совершают на крупные компании или известных персон.

А вот массовую атаку распознать довольно просто. Вот что ее выдает.

Общие или неофициальные приветствия. Если отправитель не обращается к вам по имени, а называет «дорогим другом» или «уважаемым клиентом», письмо лучше проигнорировать — и тем более не скачивать вложения.

Неожиданные привлекательные предложения. Мошенники обещают золотые горы: дорогой приз за прохождение опроса, компенсацию за просмотр рекламы в интернете, высокооплачиваемую работу, для которой не нужен опыт, или другой способ быстрого заработка по принципу «миллион за неделю — легко».

Подозрительные домены. Мошенники могут представиться крупной компанией, но адрес их сайта будет каким-то вроде w6world.space или investdohod28.online — никак не пересекающимся с названием. Настоящие компании обычно выбирают для доменов созвучные названия: например, yandex.ru у «Яндекса» или lenta.com у «Ленты».

Угрозы и запугивания. Иногда мошенники специально запугивают получателя, чтобы было легче добиться своего: «у вас задолженность по договору», «подтвердите вашу учетную запись, иначе аккаунт будет удален», «вам письмо из госорганов, срочно скажите код из смс, чтобы его получить, а то на вас подадут в суд за оскорбление власти».

Призывы поспешить. Главное, что стоит запомнить, — деньги и спешка несовместимы. Когда вам звонят по поводу денег и вы чувствуете нервное напряжение, стоит взять паузу, чтобы унять эмоции и не совершить ошибку.

Запрос личной информации. Фишеры охотятся за чувствительной информацией, например фотографиями паспортов или данными карт. Конечно, это бывает нужно и честным компаниям: скажем, если вы оформляете билеты на самолет. Но если вы ничего не оформляете, а требование предоставить информацию застало вас врасплох, возможно, вы столкнулись с фишингом. А если требуют назвать три цифры с обратной стороны карты, код из смс или пароль — это точно мошенники.

Ошибки и небрежности в оформлении сообщений. Даже в письме от настоящей компании может быть опечатка. Но если сообщение пистрит ошибкамми, лишними про белами,слипшимися знаками препинания,и страннbiми 3аменами букв — это мошенники пытаются обойти антиспам-защиту. Ну или просто плохо владеют русским языком.

Как защититься от фишинга по электронной почте

Не переходите по подозрительным ссылкам. Так на ваше устройство точно не попадет вирус, а хакеры не перехватят трафик. Но если очень любопытно, что ждет по ссылке, поступайте как профессионалы: используйте виртуальную машину или специальное устройство для тестов, на котором нет личных данных.

Используйте менеджер паролей. Это программа, которая запоминает и защищает пароли. Они хранятся в зашифрованном виде, так что даже разработчики такой программы не смогут их прочитать.

Установите антивирус. Он предупредит, если вы перейдете на подозрительный сайт, и заблокирует загрузку, если вы нечаянно скачаете зараженный файл. Но не стоит думать, что с антивирусом вы под стопроцентной защитой: мошенники постоянно совершенствуют методы обхода защиты и пишут новые вирусы. К тому же антивирус не поможет, если вы после всех предупреждений все-таки введете данные карты или пароль на фишинговом сайте.

Проверяйте адресную строку. Если между названием бренда и доменом верхнего уровня есть какие⁠-⁠то символы, кроме точки, — перед вами подделка. Сайт wildberries.ru — настоящий, сайт wildberries.id8987.ru — мошеннический.

Доменом верхнего уровня называют символы в конце адреса сайта, обычно они кодируют страну, к которой приписан сайт. Например, в России это .ru, .рф и .su, который раньше принадлежал СССР. А домены .com и .net — международные.

Даже если ссылку прислал близкий человек, внимательно прочитайте адрес, прежде чем вводить там какие-либо данные. Быть может, вашего знакомого взломали, а ссылка ведет на поддельный сайт.

Не игнорируйте непонятные символы в адресной строке: скорее всего, это не пыль на мониторе, а попытка вас обмануть.

Часто мошенники вместо случайных символов маскируют ссылки под названия услуг: avito.mega-dostavka.ru. Но суть не изменится: это все равно будет другой сайт, не avito.ru, и заходить на него опасно.

По материалам сайта www.tinkoff.ru