Что такое фишинг?
Это вид мошенничества, цель которого обманом завладеть персональными данными человека и получить доступ к его деньгам. Термин «фишинг» происходит от английского fishing – рыбная ловля. Злоумышленники, подобно рыбакам, забрасывают удочку в виде схем обмана, чтобы добраться до логина и пароля от личного кабинета жертвы в банке, на портале «Госуслуги» или другом сервисе, до реквизитов банковской карты, счета, паспортных данных и другой личной информации. Фишеры могут воспользоваться ею самостоятельно, а могут продать другим злоумышленникам, обнародовать в сети Интернет, шантажировать человека и требовать деньги.
В 2024 году одна только Лаборатория Касперского заблокировала более 125 млн фишинговых почтовых отправлений и предотвратила без малого 900 млн попыток перехода по поддельным ссылкам.
Какие типы фишинга бывают?
Преступники изобретают различные виды фишинговых атак:
- Смишинг (от англ. smishing – sms и phishing – смс и фишинг) – мошенничество по смс и сообщениям в мессенджерах.
Пользователь получает сообщение, например, о том, что его карта заблокирована, зафиксирован подозрительный перевод. Есть и другие легенды, например: выигрыш в лотерее, выплата от Социального фонда, предложение о работе с высокой зарплатой и минимальными временными затратами, просьба проголосовать в каком-нибудь конкурсе… Чтобы разобраться в ситуации или получить помощь, человеку предлагается пройти по ссылке из сообщения или позвонить по номеру, указанному в нем. Ссылка активирует на вашем устройство загрузку вредоносного ПО или уведет на фишинговый сайт, а звонок – на преступника, который выступит в роли организатора розыгрыша, работодателя или специалиста финансовой или государственной организации. Цель – выманить персональные данные, реквизиты карты и получить доступ к финансовым сервисам.
- Вишинг (от англ. voice и phishing – голос и фишинг), или мошенничество при помощи телефонного разговора.
Цель злоумышленника такая же, как и при фишинговой атаке по смс: заставить человека раскрыть конфиденциальную информацию, которая поможет украсть деньги (например, трехзначный код банковской карты, код для входа на портал «Госуслуги», данные паспорта). Часто с помощью психологических приемов аферисты под разными предлогами уговаривают человека перевести деньги им. Например, используют старую схему: «Снимите деньги с карты и переведите их на безопасный счет, чтобы спасти средства».
На самом деле, человеку звонит не врач, а аферист, который пытается войти в личный кабинет жертвы на «Госуслугах». Если он продиктует код из сообщения, то предоставит мошеннику доступ туда и, следовательно, к своим паспортным данным, ИНН, СНИЛС, адресу регистрации и пр.
Порой мошенники нацелены не только на простых граждан, но и на рыбку покрупнее. Вместо массовой рассылки множеству получателей злоумышленники охотятся за конкретной организацией, ее сотрудниками и даже отдельным человеком. Этот вид называется спирфишинг.
- Спирфишинг (от англ. spear phishing – целевой фишинг) – мошенническая атака с целью заполучить конфиденциальные данные организации, чтобы перепродать секретную информацию конкурентам либо украсть деньги со счета компании.
Разновидность целевого фишинга – уэйлинг (от англ. whaling – китобойный промысел). Эта схема мошенников нацелена на руководителей высшего звена. Мошенники выдают себя за гендиректора, финансового директора или начальника отдела кадров, чтобы застать подчиненного, которому пишут, врасплох.
Пример уэйлинга:
Главный бухгалтер компании по добыче нефти и газа получила сообщение в мессенджере якобы от руководителя организации. Мошенники создали поддельный аккаунт генерального директора и разместили его фотографию, поэтому девушка не обратила внимание на то, что номер телефона отличался. Преступники от имени руководителя отправили ей счет общей суммой около 3 миллионов рублей на оплату заказанного оборудования. Платежный документ не вызвал у сотрудницы подозрений, и она произвела транзакцию по переводу денежных средств. На следующий день ситуация повторилась, и бухгалтер отправила на оплату очередной счет. В это время ей позвонил директор организации. Он сообщил, что к нему обратились из банка и попросили подтвердить платеж. Как выяснилось, никаких сообщений он не отправлял, а все счета оказались поддельными.
- Всплывающие окна
Злоумышленники программируют всплывающие окна, размещая в них ложное предупреждение об опасности, например о взломе или блокировке устройства пользователя. Для решения вопроса тот должен кликнуть по всплывающему окну. Как только жертва нажмет на кнопку, на его гаджет будет загружено вредоносное ПО. Вирус, который запустят мошенники, похитит данные пользователя с этого устройства и других, подключенных к той же сети.
- Поддельные сайты
Аферисты подделывают оригинальные сайты государственных сервисов, известных компаний, популярных интернет-магазинов. Цель мошенника – заполучить логин и пароль, который оставляет жертва, попадая на фишинговый сайт, или деньги за несуществующий товар, который оплатит пользователь.Отличить фишинговый сайт от настоящего сложно:- домен похож на оригинальный, но с ошибками или небольшими изменениями – в одну букву или цифру,
- дизайн почти идентичен настоящему сайту, но могут быть небольшие неточности (размытые изображения, устаревшие логотипы, ошибки в текстах),
- большинство разделов, которые есть на настоящем сайте (новости, контакты, реквизиты), могут отсутствовать,
- HTTPS-соединение может отсутствовать или быть недействительным.
- Поддельные e-mail письма
Хакеры используют в качестве уловки электронные письма, похожие на официальные уведомления от государственных сервисов – портала «Госуслуги», СФР, ФНС и других. Но такие письма содержат ссылку на фишинговый сайт для захвата персональных данных пользователя.
Фишинговое письмо от настоящего поможет отличить только ваше внимание к деталям.
- Сначала посмотрите на адресата – если адрес или имя отправителя письма выглядят как набор букв, это уже причина для подозрений.
- После символа @, как правило, указано название компании. Проверьте почту для связи на официальном ресурсе организации, если сомневаетесь.
- В таких письмах может отсутствовать обращение к конкретному лицу и подпись.
- При этом в тексте вы, скорее всего, найдете грамматические и орфографические ошибки и неточности.
- Мошенники добавляют в «тело» электронного сообщения ссылки, которые ведут на фишинговые сайты, или прикрепляют вложения с вредоносным ПО.
На изображении – пример фишингового письма, замаскированного под сообщение от портала «Госуслуги»:
- письмо отправлено с поддельного адреса отправителя info@kassa-sklad.ru вместо официальной почты no-reply@gosusligi.ru;
- отсутствует обращение к пользователю;
- отправитель предлагает обратиться к юристу (?!) за получением выплаты. На самом деле информация о действующих выплатах отображается в личном кабинете человека на портале, а получение компенсации, как правило, не требует обращения к специалистам ресурса;
- ссылки в письме побуждают к действию – «активируйте», «проверьте», совершив которое пользователь прямиком попадет на фишинговый сайт.
Как защититься от фишинга:
- Возьмите паузу, прежде чем следовать инструкциям, которые получили от звонящего или из письма. Мошенники часто создают ощущение срочности, чтобы заставить жертву действовать немедленно и не задумываясь.
- Позвоните в организацию, из которой с вами связались, по номеру с официального сайта.
- Не переходите по ссылкам, присланным в подозрительных письмах, соцсетях и мессенджерах. Часто фишинговую ссылку может прислать и знакомый контакт, если его аккаунт в мессенджере или социальной сети взломали.
- Внимательно проверяйте адрес ресурса, на котором совершаете операции. Фишинговый сайт может отличаться от настоящего всего одной буквой, символом или доменом.
- Проверяйте информацию из рассылок на официальном сайте организации, от имени которой пришло письмо. Это касается не только рекламных предложений от маркетплейсов, но и ситуаций, когда вам сообщают о новых выплатах. Данные о льготах и пособиях есть на официальных сайтах органов власти и на портале «Госуслуги».
- Скачивайте приложения и программы только с официальных ресурсов. Обращайте внимание на количество скачиваний, рейтинг и отзывы.
- Не открывайте вложенные файлы из сообщений и писем от неизвестных отправителей.
- Не создавайте один и тот же пароль для всех сервисов.
- Для интернет-шопинга заведите отдельную банковскую карту и пополняйте ее только на сумму предстоящей покупки.
- Установите антивирус и регулярно проверяйте устройства на наличие вирусов.
- Будьте в курсе актуальных мошеннических схем, чтобы не попасться на удочку преступников.
Что делать если вы клюнули на удочку мошенников?
Выполните несколько шагов:
Шаг 1. Обратитесь в официальные органы или финансовые организации, от имени которых действовали мошенники.
Шаг 2. Постарайтесь оперативно поменять пароль, который мошенники могли раскрыть.
Шаг 3. Предупредите близких, что ваши данные в руках мошенников и они могут получить сообщения/звонки якобы от вашего имени.
Шаг 4. Просканируйте устройство на наличие вредоносных ПО.
Шаг 5. Обратитесь в правоохранительные органы, если в результате фишинга мошенникам удалось похитить ваши деньги.
