Вчимося протистояти шахраям в інтернеті та відмовляємося від спадщини нігерійського принца.
У 2023 році в українській мережі виявили 18 000 шахрайських сайтів, що мімікрують під популярні ресурси на кшталт ОLХ або Приватбанку. Якщо перейти на них і ввести свої особисті дані - логін і пароль або платіжну інформацію, - то можна втратити доступ до акаунту або гроші.
Хакерська атака, під час якої персональні дані та гроші викрадають за допомогою фейкових сайтів, акаунтів або електронних листів, називається фішингом. У цій статті редакція BiznesCat.com детально розбереться, у чому її сенс, як вона проводиться і які є способи від неї захиститися.
Що таке фішингові атаки
Фішинг (від англ. fishing - рибалити, вивуджувати) - це різновид кібератаки, під час якої зловмисник намагається отримати доступ до особистої інформації користувача, наприклад, до логіна і пароля від електронної пошти або даних банківської картки.
Фішинг відрізняється від інших видів хакерських атак тим, що шахраї активно маніпулюють базовими людськими емоціями, як-от цікавість і страх, а також використовують інформацію, яку змогли зібрати з відкритих джерел про людину.
Фішинг проходить електронною поштою, SMS, у месенджерах і в соціальних мережах. Атака виглядає так: людина отримує лист або повідомлення від сервісів, яким вона довіряє. Наприклад, від свого банку, інтернет-провайдера або магазину, де нещодавно зробила покупку. У цьому листі її просять терміново вказати особисті дані або оновити їх, інакше рахунок буде заблоковано або виникнуть інші проблеми. Це і є приманка, так зване "закидання гачка".
Якщо придивитися до такого "термінового" листа або СМС, можна помітити, що домен або номер телефону не збігаються з офіційними контактами сервісу, банку або магазину. А в самому листі або повідомленні буде посилання, що веде на копію офіційного сайту. Якщо користувач введе там свої дані, то вони потраплять до шахраїв.
Подивимося на приклади фішингових листів, сайтів і повідомлень.
Фішинговий лист маскується під запит від наявної компанії або сервісу. Наприклад, користувач може отримати лист, у якому вказано нешкідливий запит на підтвердження особистих даних. На перший погляд усе добре.
Людина може вирішити, що вона отримала запит від Google: є логотип компанії, офіційно написаний текст, підпис у листі та поштова скринька, що натякає на зв'язок із компанією. Але поштову скриньку з доменом gmail.com може зареєструвати будь-який користувач. Якщо навести курсор на текст, на який поставили посилання, то видно, що воно веде на сайт із доменом .ru, який не має нічого спільного з Google.
Виявляється, фішингові листи існували задовго до появи інтернету і поширювалися звичайною поштою. Як правило, шахраї просили в одержувача взяти участь у багатомільйонних операціях, а натомість обіцяли відсоток від угоди. Через те, що такий вид шахрайства був особливо популярним у Нігерії, листи стали називатися "нігерійськими", а неправдива вигода, яку обіцяли відправники таких листів, - "спадщиною нігерійського принца".
Фішинговий сайт роблять схожим на веб-сторінку популярного сервісу. Якщо не звернути уваги на його адресу, то можна й не помітити різниці.
Форма для авторизації виглядає так само, як і на офіційному сайті. Але замість звичної адреси в адресному рядку бачимо адресу з додаванням додаткових літер. Тут краще не авторизовуватися - логін і пароль потраплять до рук шахраїв.
Фішингове повідомлення працює так само. Це СМС або повідомлення в соціальних мережах, які змушують користувача вчинити необхідну шахраям дію - перейти за посиланням або передзвонити на їхній номер.
Рідше фішинг проводять телефоном, телефонуючи людині. У цьому випадку шахраї телефонують і представляються співробітниками компанії, наприклад служби безпеки банку. Але мета одна й та сама - отримати ідентифікаційні дані людини.
Цілі фішингу
Фішери, тобто шахраї, які займаються фішингом, переслідують різні цілі.
Крадіжка
Ідентифікаційні дані, наприклад номер телефону, можна використовувати для крадіжки грошей користувачів. Шахраї, представляючись співробітниками служби безпеки банку, повідомляють людині, що хтось намагається прив'язати до її картки інший номер телефону. І пропонують провести з картки ідентифікаційний переказ для підтвердження особи. Користувачеві потрібно повідомити "співробітникам банку" дані картки та код підтвердження, який прийде в СМС або пуш-повідомленні. Так фішери можуть викрасти гроші з картки.
Є й інші схеми, наприклад "переказ помилково". Шахраї надсилають фейкове повідомлення, маскуючись під банківський додаток, з нібито помилковим переказом, а потім від імені банку просять повернути гроші. Щоб це зробити, знову ж таки потрібно повідомити дані картки та код підтвердження операції.
Фішингу можуть піддаватися не тільки окремі люди, а й цілі компанії. У період з 2013 по 2015 рік шахраї обдурили "Фейсбук" і Google на 100 мільйонів доларів. Фішер скористався тим, що обидві компанії використовували тайванську компанію Quanta як постачальника. Зловмисник видав себе за представника компанії і відправив компаніям серію фальшивих рахунків, які оплатили і "Фейсбук", і Google.
У підсумку шахрайство було розкрито, а зловмисника заарештували. Але вдалося повернути лише 49,7 млн доларів зі 100.
Шантаж
Шахраї можуть зламати хмарні сховища людини, наприклад на "Гугл Диску", або отримати доступ до файлів її телефону. У такому разі кіберзлочинці шантажують жертву, наприклад, вкравши інтимні фотографії та погрожуючи викласти їх у відкритий доступ. Скандали зі зломом телефонів знаменитостей і поширенням особистих фотографій сьогодні не рідкість. Продаючи знімки таблоїдам, шахраї можуть добре заробити.
У 2017 році фішери викрали фільм Disney і вимагали за нього викуп. Disney не розголошувала інформацію про те, що це за фільм і скільки зажадали шахраї. Але, найімовірніше, йшлося про п'яту частину "Піратів Карибського моря". Хакери погрожували злити фільм у Мережу, якщо компанія не заплатить їм. У підсумку цього не сталося, а в інтернеті з'явилися тільки його окремі фрагменти. Мабуть, компанія змогла домовитися зі зловмисниками.
Помста
У 2014 році група кіберзлочинців із КНДР, які називають себе "Миротворцями", атакувала компанію Sony Pictures. Вони використовували фішингові листи, а також проникли в офіс Sony, влаштувавшись на роботу в якості IT-фахівців. Так їм вдалося заразити сотні комп'ютерів шкідливими програмами і викрасти понад 30 000 файлів: документів, імейлів і сценаріїв майбутніх фільмів. Причина кібератаки - плани кінокомпанії випустити в прокат фільм, що висміює північнокорейського лідера Кім Чен Ина.
Види фішингу
Фішинг - це не тільки посилання в електронних листах і СМС. Арсенал зловмисників постійно зростає, оскільки про старі способи дізнається все більше людей. Розберемо основні варіанти фішингових атак.
Соціальний фішинг
Це фішингові атаки, метою яких є акаунти в популярних соцмережах, як-от Фейсбук чи Інстаграм.
Шахраї створюють фейкову сторінку входу в соцмережу і запрошують людину перейти за посиланням. Для цього вони надсилають на її електронну пошту лист про те, що хтось намагається увійти в акаунт і потрібно терміново підтвердити пароль для його захисту.
Щойно людина вводить дані на фейковому сайті, фішери отримують доступ до її акаунта. Потім сторінка перенаправляє користувача на справжній сайт соцмережі, і він може навіть не помітити, що спочатку був не там. Інша небезпека в тому, що, якщо людина використовує одні й ті самі логіни та паролі в інших соцмережах і сервісах, то фішери отримають доступ і до них.
Зробити так, щоб повідомлення від шахраїв виглядали справжніми, не так вже й складно. Неуважний користувач може не помітити різниці. Наприклад, офіційний сайт LinkedIn має кілька доменів електронної пошти, включно з Ця електронна адреса захищена від спам-ботів. Вам потрібно увімкнути JavaScript, щоб побачити її. і Ця електронна адреса захищена від спам-ботів. Вам потрібно увімкнути JavaScript, щоб побачити її.. Тому складно перевірити, які домени насправді належать LinkedIn, а які ні.
Те саме стосується й інших мереж - потрібно уважно перевіряти адресу відправника листа та адресу сторінки, де ви вводите свої дані: facebook.com - це справжній сайт, а facebookom.com - підробка.
Фішинг-атаки на електронну пошту
Шахраї надсилають електронні листи з підробленими посиланнями, які мають вигляд офіційних листів від банків, онлайн-магазинів або сервісів. При переході за посиланням користувач потрапляє на підроблений сайт, де потрібно ввести інформацію для входу в акаунт. У підсумку шахраї можуть отримати доступ до особистих даних.
Такий вид шахрайства трапляється рідше, тому що сучасні поштові сервіси мають надійні спам-фільтри та відправляють підозрілі листи в папку зі спамом. Відкривати їх там точно не варто.
Байтінг
Байтінгові атаки спонукають жертв перейти за посиланням у листі чи повідомленні без залякування. Навпаки, вони обіцяють призи та вигідні пропозиції. Наприклад, користувачеві може прийти лист від Apple з привітанням і повідомленням про виграш нової моделі iPhone. Складно втриматися і не перейти за посиланням, щоб отримати приз.
Фармінг
Фармінг - це форма фішингу, яка спрямована на отримання особистих даних через підроблені сайти. Здається, що це схоже на класичний фішинг, але є відмінність. У фармінгу користувача автоматично перенаправляють на підроблений сайт, навіть якщо він зайшов за перевіреним посиланням. Це відбувається через вірус, який встановлює шкідливий код на DNS-сервер.
Для фармінгової атаки не обов'язково заражати комп'ютер через email. Хакери можуть "отруїти" сам DNS-сервер і атакувати відразу велику кількість жертв. При введенні пароля або даних карт шахраї легко їх викрадуть без підозр з боку користувачів.
Цільовий фішинг, або спірфішинг
Зазвичай фішинг має масовий характер. Але спірфішинг - це цілеспрямована спроба вкрасти конфіденційну інформацію у конкретної жертви. Часто цілями спірфішингу є топ-менеджери великих компаній, які можуть інвестувати великі кошти в кібербезпеку: хакерам не пробитися до них за допомогою технічних засобів. Але лазівка у вигляді людського фактора залишається завжди.
Для успішного цільового фішингу злочинцям потрібно вивчити жертву: з ким вона спілкується, де живе, працює, куди ходить відпочивати або займатися спортом. Потім зловмисники прикидаються другом або іншою важливою особою, наприклад начальником, щоб отримати конфіденційну інформацію, як правило, електронною поштою або через інші онлайн-повідомлення. Саме на спірфішингові атаки припадає 65% усіх успішних кібератак на компанії.
Наприклад, велика французька кінокомпанія Pathé втратила 19 млн євро, тобто 10% річного прибутку, саме через спірфішинг. Шахраї використовували особистий обліковий запис генерального директора Марка Лакана, щоб отримати схвалення на переказ великої суми. Переказ відбувся, а генерального директора зрештою звільнили.
Голосовий фішинг, або вішинг
Це фішингові атаки телефоном. Шахраї можуть видавати себе за представників банків і державних установ. Деякі з них використовують імітацію голосу рідних і друзів за допомогою штучного інтелекту. Так вішери намагаються виманити у жертви гроші напряму, наприклад через переказ на картку шахрая.
Хто частіше стає жертвою фішингу
Жертвами фішингу може стати будь-яка людина, незалежно від віку, статі або соціального статусу. Якщо ви відкриєте папку для спаму у своїй електронній пошті, то напевно виявите не один підозрілий лист.
Однак часто шахраї орієнтуються на людей, які гірше знаються на сучасних технологіях або не знають про фішинг-атаки, наприклад, на літніх людей і дітей. Тому важливо ділитися з близькими інформацією про те, що таке фішинг і що робити, щоб не попастися на виверти шахраїв.
Серед сервісів найчастіше страждають банки та електронні платіжні системи, тобто ті сервіси, які працюють із грошима.
Як захиститися від фішингових атак
Для захисту від фішингу важливо пам'ятати кілька базових правил.
Не відповідайте на підозрілі повідомлення
Фішингові атаки часто починаються через електронну пошту, повідомлення в соціальних мережах або месенджерах. Шахраї використовують різні способи, щоб переконати людину надати їм особисті дані або переказати гроші. Ніколи не відповідайте на підозрілі повідомлення і не переходьте за посиланнями, які ви не запитували.
Перевірте адресу відправника
Шахраї можуть підробити адресу відправника, щоб зробити лист більш правдоподібним. Однак якщо ви уважно подивитеся на неї, то виявите, що вона не відповідає офіційній адресі компанії. Якщо сумніваєтеся в достовірності листа, зверніться до служби підтримки компанії та уточніть інформацію.
Використовуйте антивіруси та ідентифікатори номерів
Антивірусне програмне забезпечення допомагає захистити комп'ютер від спам-повідомлень, а визначник номерів - від дзвінків, які використовують для фішингових атак. Оновлюйте своє антивірусне ПЗ регулярно, щоб захистити себе від нових видів загроз.
Використовуйте різні паролі для різних сайтів
Багато людей використовують один пароль для всіх сервісів. Це зручно, але, наскільки б він не був складним, дізнавшись його, зловмисники зможуть авторизуватися на всіх сайтах, якими користується людина.
Важливо, щоб паролі завжди були унікальними. Якщо вам складно їх запам'ятати, то використовуйте спеціальні додатки.
Налаштуйте двофакторну аутентифікацію
Поштову скриньку, для доступу до якої використовується мобільний телефон, теж може бути зламано. Шахраї можуть перехопити SMS-повідомлення і все одно увійти у ваш акаунт. Однак зробити це буде складніше, а далеко не всі шахраї технічно підковані.
Будьте обережні, здійснюючи онлайн-покупки
Під час купівлі товарів або послуг переконайтеся, що сайт використовує безпечний протокол передавання даних, - у рядку з адресою сайту має бути написано https, а не http. Такі сайти в адресному рядку браузера позначаються символом замка.
Якщо натиснути на нього, то можна побачити інформацію про сертифікат безпеки: найменування організації, якій він належить, і його термін дії.
Ніколи не вводьте свої платіжні дані на сайтах, яким ви не довіряєте. Заведіть окрему банківську картку для покупок в інтернеті і не зберігайте на ній велику суму грошей.
Оновлюйте програмне забезпечення
Оновлення операційної системи, браузера та інших програм дає змогу підвищити їхню захищеність. Як правило, в нових версіях усуваються виявлені вразливості.
Будьте обережні, коли використовуєте громадський Wi-Fi
Громадські Wi-Fi-мережі можуть бути небезпечними, оскільки шахраї часто використовують їх для доступу до особистих даних людей. Будь-яка операція через таку мережу може призвести до перехоплення інформації, наприклад даних банківських карт.
Читайте також: Як примножити гроші — 12 популярних способів і порад.
Автор фінансового журналу «БізнесКіт.сом», в минулому керівник відомого smm-агенства. У даний час коуч, інтернет-підприємець і маркетолог, інвестор. Розповідаю: як ефективно управляти особистими фінансами, вигідно їх примножувати і більше заробляти.
На сторінках сайту Ви знайдете багато корисної для себе інформації.
Підписуйтесь на наш канал в Telegram
