Многим уже известен термин "фишинг". Это когда человек получает сообщения якобы от израильской почты, PayPal и правительственных служб, но цель отправителя - выудить персональные данные, пароли и номера кредитных карт. По данным израильского национального центра киберзащиты, 40% пользователей хотя бы раз кликали по фальшивой ссылке. На удочку аферистов попадаются даже военные, полицейские и работники крупных компаний, не говоря уже о простых гражданах.
В 2021 году в Израиле поступило более 2500 сообщений о фишинговых атаках, а фактически израильским пользователям были разосланы сотни тысяч сообщений такого рода. Фишинговые атаки могут причинить серьезный ущерб гражданам и юридическим лицам. На их устройства может быть скачана вредоносная программа, у них могут украсть деньги и информацию, заблокировать аккаунты в соцсетях. Чтобы защититься, нужно знать о формах фишинга и о том, как можно с ними столкнуться.
1. Фишинг через сообщения - Smishing
Сам термин означает фишинг через sms, но сообщения с вредоносными ссылками могут передаваться также через WhatsApp и по электронной почте. Иногда простое кликание по ссылке позволяет хакеру проникнуть в устройство, иногда ссылка ведет на фальшивый сайт, где человека просят ввести личные данные, которые попадают к злоумышленникам.
2. Таргетированный фишинг - Spear Phishing
Это более продуманная атака на конкретного человека или группу людей, в которых заинтересованы злоумышленники. Хакеры заранее собирают о них сведения, обычно из открытых источников, и отправляют сообщения, соответствующие сфере их интересов или роду занятий, что придает им видимость достоверности. Так, просмотрев профиль человека в фейсбуке и узнав, что он интересуется винами, ему могут прислать фишинговую ссылку якобы о распродаже вина.
3. Фишинг по телефону - Vishing
Звонящий выдает себя за другого человека, например, за сотрудника банка либо представителя служб сервиса или техподдержки разных организаций. Злоумышленники пытаются завоевать доверие и уговорить жертву выполнить какие-то операции или сообщить сведения о методах контакта с организациями, о номере кредитной карты или пароле на сайтах поставщиков услуг. Иногда могут попытаться получить сведения, позволяющие подключиться к устройствам жертвы или организации, где она работает.
4. Голосовой фишинг - Deep Fake Phishing
Это сравнительно новый способ фишинга. Хакеры используют программы искусственного интеллекта для имитации голоса руководящих работников организации (для этого используется технология Deep Fake Audio). Они звонят сотрудникам и отдают им распоряжения на выполнение определенных действий, например, перевода денег на определенный счет или размещения опасного файла в корпоративной сети.
5. Фишинг через объявления
На малоизвестных сайтах или в соцсетях размещают соблазнительные объявления в виде всплывающих окон с информацией. Например, о возможности принять участие в лотерее и выиграть приз. Если кликнуть по прилагаемой ссылке, на компьютер или смартфон будет скачан вредоносный файл либо инсталлирован вирус. Иногда ссылка ведет на фальшивый сайт, где просят ввести личные данные, попадающие в распоряжение хакеров.
6. Фишинг при помощи фальшивых профилей в соцсетях
Хакеры изображают различные персоны или сотрудников техподдержки и выуживают персональные данные. Иногда притворяются администрацией или техслужбами фейсбука и добывают данные под предлогом угрозы блокировки аккаунта. Это довольно популярный метод работы хакеров.
7. Фишинг при помощи приложения для смартфона
На сайтах появляются сообщения о возможности скачать приложение, обладающее теми или иными полезными свойствами. Их предлагают не на официальных сайтах по распространению приложений, вроде Google Play, а где попало.
Эти приложения могут быть небезопасными или вредоносными. Есть большой риск, что после скачивания приложения хакеры получат доступ к устройству и хранящимся в нем сведениям.
8. Фишинг при помощи сайта, имитирующего другой сайт
Хакеры создают фальшивые сайты и продвигают их в поисковых системах для увеличения числа посетителей. Эти сайты могут быть похожими на настоящие сайты разных служб, по внешнему виду и по URL (например, вместо адреса israelpost.co.il, ведущего на настоящий сайт почтовых услуг, мошеннический сайт будет находиться по адресу iraelpost.co.il). Мошенники могут также имитировать самостоятельный сайт, предлагающий товары и услуги по привлекательным ценам. При посещении сайта могут потребовать введения сведений о себе, либо установить вредоносный файл на компьютер или смартфон.
►Как не попасться на крючок
Слово phishing, означающее этот вид мошенничества, звучит так же, как и fishing - рыбная ловля. И вот несколько правил поведения в интернете, помогающих избежать попадания на крючок к жуликам.
• Проверяйте идентичность путем прямого звонка: если поступила просьба по e-mail, sms или по телефону о переводе денег или сообщении личных данных, надо выяснить разными способами, кто связался с вами или самим позвонить ему (например, в банк или в кредитную компанию) по телефону.
• Не сообщайте сведений: допустим, вам позвонили из банка и утверждают, что на вашем счету есть запрос на необычную транзакцию, и что для ее отмены требуется номер кредитной карты или код верификации. Надо быть предельно осторожным к просьбам, поступившим при контакте, который вы не инициировали. Нельзя сообщать личные коды, пароли, номер удостоверения личности и т.п. К тому же, в реальной жизни банки этого не спрашивают, все, что им нужно для отмены транзакции, они знают и так, им требуется лишь подтверждение того, что клиент ее не совершал.
• Бережно относитесь к своей приватности: не стоит сообщать всем и каждому в соцсетях подробности о себе, либо надо ограничить доступ к этим сведениям группой личных друзей. Возможности подобной настройки есть во всех социальных сетях. Надо осторожно относиться к предложениям дружбы от людей с незнакомыми профилями: стоит, по крайней мере, убедиться в их подлинности. Фальшивые профили обычно имеют ограниченный список друзей, там размещены несколько фотографий и почти отсутствуют публикации.
• Скачивайте приложения для смартфона только из признанных магазинов, таких как Apple Store или Google Play, а не с разных сомнительных сайтов с бесплатными приложениями.
Перевод: Даниэль Штайсслингер