Фишинг: что это такое простыми словами. Подробно о мошеннических атаках и защите от кражи данных
Фишинг — распространенный вид интернет-мошенничества. Кража важных данных происходит практически незаметно. Разбирались, как не попасться на уловки мошенников и защитить свои логины и пароли от кражи.
Что такое фишинг?
«Фишинг» (Phishing) в русском языке появился от сочетания сразу двух английских слов — Fishing (рыбалка) и Phony (подделка).
И аналогия вполне очевидная: мошенники выступают в качестве рыбаков, забрасывающих удочку с наживкой в океан (интернет) для ловли рыбы — то есть, зазевавшихся пользователей. Наживкой выступают и массовая рассылка сообщений на e-mail, и фейковые сайты, и всплывающие окна на страницах социальных сетей.
И во время каждой «рыбной ловли» мошенники полагаются не на сложные (отсюда низкотехнологичные) и многоэтапные кибератаки, а на психологические манипуляции. Жертву запугивают потерей денег, завлекают фейковыми акциями или необычными предложениями. И рыба быстро клюет — из-за страха, любопытства или алчности. А мошенники большего и не ждут.
Впервые похожий термин стали применять еще в конце 1990-х годов, когда сотрудники корпорации AOL добровольно выдали преступникам через электронную почту сотни логинов и паролей. С тех пор идея фишинга не поменялась — как и раньше основа кражи — человеческие эмоции.
Обновились лишь цели для атак: если в XX веке киберпреступники с помощью собранных аккаунтов проводили спам-атаки, то сейчас атаки направлены на банковские сервисы и системы электронных платежей. Жертвы переводят собственные деньги или передают реквизиты банковских карт вместе одноразовыми код-паролями, подтверждающими проведение транзакций.
Как работает фишинг?
Порой фишинг сложно описать словами — на бумаге поверить в то, что жертвы собственноручно передают конфиденциальные сведения достаточно сложно. А потому наглядный пример не повредит — к тому же, практически на любом почтовом ящике достаточно сообщений в папке со «спамом», так или иначе, связанных с психологическим обманом.
Вот классический пример — регистрация на сайте TIH («Тинькофф инвестиции»), после которой появится шанс зарабатывать от 60 000 рублей каждую неделю. Предложение заманчивое, но логотип неоригинальный, доходность практически фиксированная (а уж в инвестициях такое не встретить), а ссылка, скрывающаяся за сообщением об «активации», ведет на сайт со странным доменным именем.
Подозрения начнут появляться и дальше: например, достаточно сложно привыкнуть к тому, что специалисты «Тинькофф» не способны правильно составить несколько предложений. Вишенка на торте — поле для ввода конфиденциальной информации. Уже через пару минут телефон начнет разрываться от сообщений, а неизвестный «менеджер» предложит сначала подписаться на рассылку через e-mail сообщение, а уже после инвестировать деньги на подставном сайте, скопированным с «Тинькофф инвестиции».
Альтернативный пример: мошенники обещают от 90–100 тысяч рублей после оформления заявки на банковском сайте. Казалось бы, легкие деньги — всего-то достаточно ввести номер собственной карты, да подтвердить транзакцию о списании 1 рубля (конечно же, с целью подтвердить «реальность» карты) с помощью одноразового код-пароля. Но деньги никто не пришлет — только спишет.
Встречаются в сети и сообщения, связанные с налоговым вычетом, который, как подсказывают мошенники, сгорит уже через несколько дней. Получить деньги несложно — понадобится авторизоваться через поддельный сайт «Госуслуг», а после — провести парочку транзакций, оплатив государственную комиссию в размере 2 000 рублей.
Виды фишинговых атак
Хотя мошенники во время кражи конфиденциальной информации и отталкиваются лишь от человеческих эмоций, с жертвами киберпреступники связываются разными способами.
Психологическая манипуляция
Наиболее распространенный вариант обмана, основанный на методах социальной инженерии. Мошенник воздействует на жертву сообщениями с неожиданным и даже шокирующим содержимым. Кого-то напугает неожиданно образовавшаяся задолженность, кого-то обрадует победа в розыгрыше, а кто-то оцепенеет от мысли потерять доступ к личным фотографиям в социальных сетях. Чем выдуманная преступником история ближе по отношению к жертве, тем выше вероятность добраться до конфиденциальной информации.
Фишинговые ссылки
Идея достаточно предсказуемая: мошенник составляет развернутое письмо от официальной службы интернет-магазина (например, Apple, Ozon или Wildberries) или даже государственной организации и предлагает получить скидку или активировать купон. Предложение не выглядит странным, да и текст письма составлен правильно. Подозрение вызывает лишь необычная просьба — необходимо авторизоваться на сайте из-за внутренней ошибки сервиса. Но стоит перейти по ссылке и ввести конфиденциальные данные, как мошенники сразу же перехватят ко всем сведениям доступ.
Сайты-подделки
Способ полностью вытекает из фишинговых ссылок, по которым пользователи и попадают на сайт-подделки. Такие фейковые веб-страницы почти не отличаются от оригинала — тот же дизайн, схожие меню и кнопки, даже поле для ввода сведений одинаковое. Разница заметна лишь в названии домена (вместо apple.com, например, в адресной строке appie.com). Но разве у пользователей возникнут хоть какие-то подозрения, если как раз на сайте-подделке обещают скидку в 50% на новенький iPhone?
Рассылка вредоносного ПО
Менее распространенный, но до сих пор актуальный вариант фишинга. Мошенники периодически вкладывают в сообщения, передаваемые на почту, документы, файлы и даже картинки, содержащие вирусы — кейлоггеры, трояны или программы-шпионы. Заражение компьютера или мобильной техники происходит незаметно, а у мошенников появляется практически полный доступ к операционной системе.
Вишинг/Смишинг
Фишинг периодически выбирается и за пределы интернет-среды — банковские специалисты уже столкнулись с вишингом (голосовой фишинг), основанным на передаче конфиденциальных данных по телефону. Жертва называет PIN-код, пока общается с автоответчиком, подготовленным мошенниками.
Альтернатива вишингу — смишинг: идея та же, но вместо общения с автоответчиком, жертва в «срочном порядке» пересылает важные данные через SMS. Похожей системы придерживались многие преступники, в начале 2010-х годов рассылавшие сообщения пожилым людям о скорой потере пенсионных отчислений из-за ошибки в банковской системе. Дескать, единственный способ исправить неполадки — передать через SMS реквизиты банковской карты, PIN-код и прочие сведения.
Как проверить ссылку на фишинг?
Теоретически распознать ссылку, ведущую на фишинговый сайт, вполне реально и без посторонней помощи: достаточно проанализировать состояние URL-адреса. Если в адресной строке вместо привычных комбинаций (например, https://vk.com) появились дополнительные символы, буквы или цифры, а вместе с тем изменилась доменная зона), то с вероятностью в 100% сайт поддельный.
Часто загрузку подозрительных веб-страниц прерывают браузеры в автоматическом режиме: тот же Google Chrome предложит проверить не допущены ли ошибки в имени хоста. Схожего сценария придерживается и Mozilla Firefox, и «Яндекс.Браузер».
Но порой ни личная, ни автоматическая проверка ссылок не способны защитить от потери данных. Всему виной — специальные скрипты, скрывающие настоящую адресную строку и отображающие поддельный URL. Раскрыть столь технологичный обман без помощи специальных сервисов практически не возможно, а потому, если ссылки вызывают подозрение, то лучше сразу провести дополнительную проверку.
Те же сайты (или конкретные веб-страницы) достаточно подробно сканирует сервис XSEO, автоматически отслеживающий репутацию URL-адресов (складывается из жалоб и рецензий, найденных на доверенных площадках), а заодно собирающий статистику от Google или Yandex. Часть проверок положительно проходят даже фишинговые сайты — например, репутация у update-apple.com близка к стопроцентной, хотя Google предупреждает о наличии скриптов, перенаправляющих на вредоносные веб-страницы.
Альтернатива XSEO — платформа VirusTotal, анализирующая ссылки, а вместе с тем и содержимое веб-сайтов — выпадающие меню, текстовые поля или подгружаемые вместе с HTML, CSS и картинками скрипты. Проверка занимает от 1 до 5 минут: в зависимости от объема сканируемых файлов. Результат появится в виде списка с проведенными тестами. Сверху появится информация об итоговой репутации веб-сайта, а чуть ниже — развернутая статистика.
Хотя VirusTotal не раскрывает сведения слишком подробно (после проверки появятся лишь восклицательные знаки со словами Malicious или Phishing), зато ведет подробную статистику рекомендаций от сообщества. Те же сайты vk.com или apple.com обладают положительной репутацией и подтверждают действующую безопасность.
Как защититься от фишинга?
Кроме проверки ссылок, специалисты по кибербезопасности рекомендуют придерживаться целой коллекции правил, связанных с безопасностью личных данных:
Сайты не требуют логины и пароли
Даже социальные сети «ВКонтакте» и «Одноклассники» не мешают просматривать видеоролики или обращаться к поисковой строке для поиска друзей без предварительной регистрации. Но, если после перехода на какой-то сайт появляется лишь поле для ввода логина и пароля, а другие кнопки, меню или разделы полностью заблокированы, то незачем делиться конфиденциальной информацией — возможно, веб-странница подделана.
Переходить по ссылкам в письмах на e-mail — рискованно
Если в сообщении информация о «выгодном предложении» (купон, баллы) и ссылка на личный кабинет, приглашающая сразу активировать накопившиеся бонусы, то вместо перехода по прикрепленному к письму URL-адресу, намного безопаснее лично открыть такой сайт в браузере.
Антивирус не помешает
Даже бесплатная версия Avast Free Antivirus в реальном времени сканирует информацию на сайтах, а вместе с тем проверяет загружаемые файлы и переносит в карантин подозрительные документы. Кроме Avast, похожая защита реализована в Dr. Web, Kaspersky и даже специальных сервисах, вроде AdGuard. А еще антивирусы способны блокировать баннеры-вымогатели, предотвращать доступ к онлайн-банкам по поддельным ссылкам и даже проверять содержимое писем, появляющихся на электронной почте.
Необязательно везде вводить реальный e-mail
Если сайты все же требуют зарегистрироваться перед доступом к некоторым функциям (или информации), то незачем сразу оформлять реальный аккаунт. Почему бы ради проверки не подготовить временный профиль, воспользовавшись сервисом, предоставляющим ту же электронную почту на 5 или 10 минут. Даже если временный профиль взломают, то у мошенников появится доступ лишь к бесполезным данным и уже неактивному e-mail.
Платить на сайтах без SSL сертификата — небезопасно
Браузеры активно помечают сайты, обеспечивающие для пользователей безопасное подключение. Специальная иконка в виде закрытого замочка в том же Google Chrome появляется справа от адресной строки.
Если же вызвать контекстное меню и нажать на пункт «Безопасное подключение», то браузер отобразит информацию о действующем сертификате — какой организацией выдан и как долго действует. Перед проведением транзакций желательно проверить наличие подобного сертификата, а заодно просмотреть дополнительные рекомендации, подготовленные браузеры под уже знакомой иконкой закрытого замочка.
Многие подробности лучше выяснять лично
Странные письма о победах в розыгрышах часто пересылают и друзья, и даже коллеги. И даже в таком случае нельзя доверять собственную безопасность чьим-то советам. Лучше позвонить друзьям или коллегам и выяснить дополнительные детали, а уже после — провести личную проверку.
И еще: даже без глубоких технических познаний распознать обман легче, чем кажется. Достаточно довериться интуиции и положиться на здравый смысл, и вся сила фишинга сразу развалится. Взять хотя бы в качестве примера сообщение о выигрыше в лотерею: звучит слишком уж заманчиво, не правда ли? Особенно, если в лотерее даже не приходилось участвовать. И о какой победе речь?
По схожему принципу желательно разбирать и сторонние сообщения — например, те, которые пытаются внушить страх. Если какой-то сайт срочно призывает поменять пароль или связаться с администрацией и написать PIN-код от банковской карты, то спешить уж точно некуда — ни банки, ни иные организации не просят клиентов передавать конфиденциальную информацию по сети.
Кстати, о фишинге часто предупреждают и почтовые ящики: если навести курсор на изображение в письме, то в левом нижнем углу появится ссылка, ведущая на какой-то сайт.
Если присмотреться, то вместо названия банковского сайта отобразится странный URL-адрес с несколькими сокращениями, да еще и вынуждающий сразу поделиться логином и паролем, а заодно ввести еще и одноразовый код-пароль, высылаемый через SMS. Переход по такой ссылке тот же Mail или Gmail сразу заблокирует, а письмо автоматически перенесет в категорию «Спам». И все же лучше не рисковать лишний раз.
Заключение
Фишинг нацелен на пользователей, практически незнакомых с правилами сетевой безопасности. И мошенники с радостью пользуются чужой неосведомленностью — запугивают потерей денежных средств, вынуждают «менять» пароли на фейковых банковских сайтах и активировать купоны в социальных сетях. Все ради доступа к чужой конфиденциальной информации.
А потому важно сразу запомнить несколько прописных истин: банки не требуют от клиентов ни логинов, ни паролей, а любые призывы в сообщениях на e-mail лучше сразу игнорировать.
Если же заманчивое предложение, найденное на сайте, не дает покоя, то не помешает хотя бы подготовиться к встрече с фейковым сайтом: во-первых, полезно проверить наличие SSL-сертификата, а во-вторых, для регистрации лучше использовать временную почту — так шансы потерять данные будут сведены к нулю. А еще желательно проверять ссылки на специальных сайтах и не отключать «Защитник Windows».