Курс ЦБ на: 22.08.2019
66,2630 руб.
73,4989 руб.
Описание финансового термина: Фишинг

Что нужно знать о фишинге, чтобы защититься от мошенников

Вторник, 21 мая 2019
61

Фишингом называют разновидность интернет-мошенничества, целью которого является получение конфиденциальных пользовательских данных жертвы (паролей, логинов, данных банковских карт). Термин фишинг впервые появился в 1996 году, его применили относительно медийной компании AOL. Мошенники представлялись ее сотрудниками, обращаясь к гражданам, и требуя их логин и пароль от личного кабинета. После этого пострадавшие начали активно получать спам.

Суть мошенничества

Чаще всего пользователи ПК сталкиваются с фишингом в формате массовой рассылки писем на электронные почтовые ящики. Отправителем корреспонденции могут быть известные банки, социальные сети, платежные системы и пр. Внешне их логотип или наименование ничем не отличается от оригинального, но, если присмотреться, видны неточности и становится ясно – это подделка.

По данным «Лаборатории Касперского» в 2013 году у пользователей этого продукта было зафиксировано свыше 600 миллионов попыток входа на фишинговые сайты, из которых 22% составили сайты, имитирующие Facebook. Цель мошенников всегда одна – пригасить перейти на сайт сервиса, где под любым предлогом ввести свой логин и пароль

С технической точки зрения фишинг постоянно совершенствуется. Проверенные сайты, заботящиеся о безопасности посетителей, имеют сертификаты подлинности и используют исключительно защищенное соединение HTTPS. Поэтому все большую популярность набирает мобильный фишинг. С небольшого экрана смартфона сложнее увидеть все мелочи и сразу понять, что сайт – подделка.

Цели фишинга

Целью фишинга может быть атака на простых пользователей или на целые компании. Задача – получить доступ к логинам и паролям социальных сетей, платежных систем, к номерам банковских карт и счетов, почтовых сервисов и пр. Как вариант, задачей атаки может быть установка зловредного программного обеспечения на компьютер жертвы.

В случае с атакой на компанию основная цель – получение данных от учетной записи какого-то сотрудника, что дальше будет использовано для более масштабной атаки. Полученные данные фишеры обычно продают другим мошенникам, поскольку использовать их с целью наживы сложно, плюс всегда есть риск попасться в руки правоохранительных органов.

Разновидности фишинговых атак

Техник и методик фишинга существует несколько:

  1. Использование социальной инженерии. Мошенник сообщает жертве о необходимости срочно уточнить или передать персональные данные по причине поломки, утери и пр. Человеку свойственно реагировать на значимые события. Никто не хочет остаться без денег, поэтому заголовки электронных писем формата «Перейдите по ссылке для восстановления доступа к банковскому счету» все еще работают;

  2. Фишинг с обманом. Традиционный метод, который с развитием технологий уходит в прошлое. Для кражи данных мошенникам приходится создавать сайты, копирующие основные ресурсы, создавая новые URL с опечатками или регистрируя субдомены;

  3. Охота на китов или «гарпунный» фишинг. Атака ведется против конкретного человека, чаще всего менеджера крупной компании. Атаке предшествует подготовительная работа, в рамках которой жертву всесторонне изучают и оценивают, чтобы действовать более убедительно. Задача – найти уязвимости и на втором этапе атаковать уже саму компанию, причинив больший ущерб;

  4. Вирусная рассылка. В ссылку, отправленную на электронную почту, вшивается троян или любой другой вредоносный вирус (шпион, кейлоггер и пр.), заражающий ПК жертвы;

  5. Вишинг. Альтернатива фишинга, только ориентирована на мобильную связь. Мошенники связываются с жертвой по телефону или отправляют на ее номер смс якобы от банка или платежной системы. Цель – помочь предотвратить «сомнительную» операцию, для чего у пострадавшего выманивают пин-код.

В любом случае важно понимать, что финансово-кредитные учреждения не связываются с клиентами по почте и не требуют ввести личные данные в форму. Сотрудники банков не звонят с просьбой сообщить им пин-код – это делают исключительно мошенники.

Способы защиты от фишинга

Специалисты рекомендуют научиться отличать сомнительные предложения, поступающие по любым каналам связи. В случае с письмом на электронную почту, в которой некая компания предлагает подтвердить учетную запись или обновить персональные данные, стоит внимательно изучить ее URL. Не рекомендуется переходить по гиперссылке в письме, даже если сайт кажется обычным, лучше прописать ссылку вручную. Письмо со ссылкой запросто может прийти от коллеги или близкого друга, почта которого уже скомпрометирована. Если это вызывает сомнения – его лучше вообще не открывать.

Типичное письмо от фишера обычно не содержит в себе персональных данных жертвы, поскольку рассылка массовая и ФИО потенциальных жертв еще неизвестны. Стоит с подозрением относиться к письмам, в которых нет четкой и конкретной личной информации.

Современные браузеры учатся помогать пользователям узнавать о фактах фишинга:

  1. При переходе по сомнительному URL появляется предупреждение. Обычно браузеры ведут свой список фишинговых сайтов, уведомляя заранее о возможной опасности;

  2. Почтовые сервисы добавляют новые настройки и расширяют возможности спам-фильтров. Входящие письма анализируются по ряду критериев, после чего могут быть автоматически перемещены в «Спам»;

  3. Крупные компании усложняют процесс авторизации, предлагая двухфакторную аутентификацию, оповещение о входах с незнакомых адресов и дополнительно защищая пользовательские данные.

Обязательная мера защиты – установка на ПК специальных антивирусных программ с опцией защиты от фишинга.

Читайте также

Поиск по словарю