Фишинг как прием социальной инженерии, который работает даже против информированных пользователей
Режим самоизоляции и перевод на удаленную работу превратили большинство россиян в онлайн-покупателей. В то же время этот период стал драйвером распространения мошенничества в интернете. Аферисты воспользовались сложившейся ситуацией, чтобы заработать с помощью социальной инженерии: точнее, самого распространенного ее вида — фишинга. По данным «Лаборатории Касперского», за первую половину 2020 года количество фишинговых атак на российских пользователей возросло в 10 раз.
Рассказываем про инструменты фишинговых атак, которые нужно знать каждому. Среди них есть такие схемы, о которых еще в 2019 году никто не знал.
Современные инструменты фишинговых атак
Сегодня выделяют следующие виды фишинга:
- Email‑фишинг. Злоумышленники регистрируют почтовый адрес, имитирующий адрес известной организации или вашего знакомого, и рассылают с него письма. Внутри могут быть: ссылка на поддельный сайт, зараженные вложения или просьба выслать конфиденциальную информацию.
- СМС-фишинг. Аналогичная предыдущей схема с одним отличием — вместо email рассылается СМС. Например, вам может прийти сообщение от банка со ссылкой на фейковый сайт или запросом кода, который вы получили. Узнав код, мошенники смогут взломать ваш банковский аккаунт.
- Соцмедиа-фишинг. Мошенники могут связаться с вами через фейковые или взломанные аккаунты в социальных сетях ваших друзей или известных компаний.
- Телефонный фишинг. Злоумышленники могут вам позвонить. Обычно для этого используют интернет-телефонию. Звонящий может представиться специалистом службы поддержки вашего банка, например, и запросить для псевдо-проверки данные доступа к кошельку.
- Поисковый фишинг. Столкнуться с фишинговой атакой можно прямо в поисковике. Мошенники научились обходить фильтры поисковых систем. В результате, например, при запросе «погасить кредить» в поисковой выдаче на первых строчках оказываются именно фишинговые сайты.
- Pop‑up фишинг. Чтобы добиться своих целей, киберпреступники нередко используют всплывающие окна. Это может быть баннер на каком-нибудь сомнительном сайте, который обещает скидки или бесплатные товары якобы от имени известной компании. Кликнув по ссылке, вы попадете на ресурс злоумышленников.
Как это происходит в жизни
С технической точки зрения фишинговые инструменты прежние, но схемы их реализации постоянно совершенствуются. Так, в феврале 2020 года была выявлена многоступенчатая мошенническая схема под видом псевдо-премии «Лайк года 2020». «Жертв» заманивали обещанием крупного денежного выигрыша за случайный лайк в социальных сетях. Для привлечения желающих злоумышленники рассылали сообщения от имени «команды Rambler» и запрашивали данные банковских карт пользователей. Эту атаку отличали такие новые методики, как использование Google-календаря, через который мошенники могли отправлять приглашения поучаствовать в фиктивной премии любому пользователю Gmail.
А в мае общественность узнала о новой фишинговой схеме, появившейся в период самоизоляции россиян — аферы с курьерской доставкой онлайн-заказов. Злоумышленники размещают публикации о продаже товаров по соблазнительно низким ценам на сервисах бесплатных объявлений. Заинтересовавшемуся пользователю они предлагают перейти в мессенджер якобы для обсуждения покупки. Затем узнают контактные данные «для оформления доставки» и просят заполнить форму на странице, напоминающей сайт какой-нибудь известной курьерской службы. В результате к ним уходят данные банковской карты.
Как защититься от фишинга
Обязательные меры защиты от фишинговых атак:
- Соблюдайте осторожность. Если пришло письмо от неизвестного собеседника, не кликайте по ссылкам в нем и не открывайте вложения. Проверяйте контакты отправителей и адреса сайтов, которые посещаете. Если информацию у вас запрашивает представитель компании, свяжитесь с ее call-центром и сообщите о ситуации.
- Используйте пароли с умом. Придумывайте для каждого аккаунта уникальный и сложный пароль.
- Перейдите на многофакторную аутентификацию. Данная функция обеспечивает дополнительную защиту аккаунта, например, посредством одноразовых паролей, когда при входе в учетку с нового устройства нужно вводить не только пароль, но и код, присланный по СМС.
- Применяйте средства беспарольного входа. Везде, где это возможно, вместо паролей используйте аппаратные ключи защиты или аутентификацию через мобильное приложение. Используйте «умное» ПО для работы. К таким относится пакет Microsoft 365: в нем есть решения, необходимые для дома или бизнеса, и механизмы защиты информации пользователя, в том числе от фишинга.
- Используйте антивирусы. Вовремя обновляемый антивирус поможет защитить ваш компьютер или смартфон от вредоносных программ, которые играют роль проводников на фишинговые ресурсы или воруют логины и пароли.
Но главная ваша защита — соблюдение правил цифровой гигиены и следование рекомендациям по безопасности в сети. Важно, чтобы вы усвоили: обычным пользователям противостоят не одиночки-энтузиасты, а целая индустрия. Поэтому стоит относиться к мерам безопасности со всей возможной серьезностью.
Кроме того, важно понять, донести до близких или сотрудников, что любая информация, даже если она кажется неважной, имеет ценность. Даже незначительные данные о вас или ваших близких, которыми вы делитесь в соцсетях, можно использовать для монетизации или как ступень атаки с целью получения доступа к более «дорогостоящей» информации.
Помните: интернет-мошенники быстро подстраиваются под новостную повестку и умело играют на струнах человеческой доверчивости. Важно постоянно работать над повышением своей технической грамотности и быть в курсе методов, которые используют киберпреступники. Ведь предупрежден, значит вооружен.
Подробнее о критериях выбора антивирусов можно почитать в нашей статье Обзор антивирусов для Windows 10 - версии для дома.
Выбирайте программы-антивирусы в разделе Антивирусы. Безопасность