Что такое фишинг и как не попасть на крючок

Что такое фишинг

Фишинг – это разновидность социальной инженерии, при которой злоумышленник, выдавая себя за авторитетное лицо или организацию, пытается «выудить» у жертвы личные данные, такие как пароли, финансовую информацию или PIN-коды. Для этого он может отправить электронное письмо, смс или сообщение в социальных сетях, которое будет выглядеть как полученное из официального источника, чтобы вызвать у жертвы доверие.

Обычно фишинговые атаки апеллирует к сильным эмоциям человека с целью затуманить его способность мыслить трезво. Хотя фишинговые тактики применяются с первых дней существования Интернета, они до сих пор остаются одной из самых распространенных форм кибермошенничества. По данным на 2024 год, мошенники ежедневно совершают не менее 31 000 фишинговых атак, в результате чего ежедневно рассылается 3,4 миллиарда фишинговых электронных писем. И это без учета фишинга в социальных сетях и через текстовые сообщения.

Конечной рыбкой, которую таким образом пытаются поймать злоумышленники, обычно является денежная нажива. Фишинговые схемы обманом заставляют жертв переводить деньги на счет киберпреступника. Однако некоторые фишеры используют вредоносное ПО для получения определенной информации о человеке или компании, которую потом можно будет продать онлайн. Электронные письма – самая популярная форма фишинга. Некоторые из них настолько хорошо сделаны, что порой бывает трудно распознать фальшивку.

Как фишеры обманывают своих жертв

Суть фишинговой схемы заключается в создании правдоподобных причин, убеждающих жертву предоставить конфиденциальную информацию. Создаются такие причины различными методами, однако основные этапы, лежащие в основе каждой фишинговой атаки, аналогичны тем, которые наблюдаются при атаках с использованием социальной инженерии.

• Этап 1. Информация (наживка). Первым этапом организации фишинговой атаки является создание наживки. Ею может быть электронное письмо или текстовое сообщение, имитирующее стиль общения известных и пользующихся доверием организаций (таких как банки, компании и государственные службы). Поскольку цель приманки – вызвать доверие пользователя, мошенники используют официальные логотипы компаний, похожие адреса электронной почты, а также слова и выражения, свойственные данному отправителю.
• Этап 2. Обещание (крючок). Как только наживка готова, фишерам необходимо придумать, как простимулировать жертву отреагировать на сообщение и съесть приманку. Для этого обычно используются сильные эмоции. Например, обещание вознаграждения, выигрыш приза или возврат денежных средств. Сообщение также может вызывать страх, например предупреждение о приостановке действия счета, о совершении с ним мошеннических действий или ещё какая-либо угроза. Подобные сообщения вызывают чувство срочности или любопытства, побуждая жертву быстро реагировать, не задумываясь о том, что ее разводят.
• Этап 3. Атака (подсечка). Атака, или подсечка, – это суть мошенничества, с помощью которой фишеры достигают своей цели. Как только приманка насажена на крючок, жертва начинает действовать, либо переходя по вредоносным ссылкам, либо посещая поддельные веб-сайты. Обычно такие действия приводят к тому, что жертва выдает свои учетные данные для входа или на ее устройство загружается вредоносная программа.

Почему фишинг так распространен

Жертвами фишинга ежегодно становятся миллионы людей по всему миру. Этот факт объясняется тем, что фишинг чрезвычайно эффективен, и при минимальных усилиях приносит мошенникам значительную финансовую наживу. Эксперты по кибербезопасности отмечают постоянный рост числа попыток фишинга, определяя их как одну из наиболее распространенных угроз кибербезопасности как для отдельных пользователей, так и для компаний.

Чем фишинг опасен для отдельных пользователей

Для пользователей последствия успешной фишинговой атаки могут быть следующими:

• Кража личных данных. Если фишеру удастся выудить личную информацию, он может использовать ее для кражи личных данных пользователя и совершения финансовых махинаций.
• Потеря денег. Фишеры могут обманом получить от жертвы доступ к банковским счетам или кредитным картам, что позволит им списать деньги или совершить несанкционированные покупки.
• Установка вредоносного ПО. Некоторые фишинговые атаки заканчиваются установкой на устройство жертвы вредоносного ПО, которое может привести к краже информации.
• Вторжение в частную жизнь. С помощью фишинга мошенники получают доступ к личной информации, взламывают системы изнутри и даже могут отказать пользователю в доступе к некоторым его личным файлам (таким как фотографии или видео).

Чем фишинг опасен для компаний

Для компаний последствия успешной фишинговой атаки могут быть следующими:

• Ущерб репутации. Выманив у жертвы конфиденциальную информацию, злоумышленник может использовать ее для нанесения ущерба репутации компании или частного лица.
• Потеря конфиденциальных данных. Фишеры также могут охотиться на корпоративную информацию, такую как коммерческая тайна или интеллектуальная собственность.
• Финансовые убытки. Компании, пострадавшие от фишинговых атак или взлома деловой переписки, могут понести ущерб на миллионы долларов из-за потери инвесторов, штрафов, раскрытия коммерческой тайны, программ-вымогателей и многих других неприятностей.
• Взломанные системы. Успешные фишинговые атаки иногда лишают сотрудников доступа к важным файлам и информации, что приводит к хаосу и дальнейшим неприятностям для компании, ее сотрудников и клиентов.

Остерегайтесь ловушек фишинга и пользуйтесь интернетом ответственно. Не переходите на вредоносные веб-сайты и избегайте загрузки файлов из неподтвержденных источников. Устанавливайте надежные и уникальные пароли, а главное – будьте бдительны.

Наиболее распространенные виды фишинговых атак

Различные методы, которые мошенники используют, чтобы выманить у жертв личную информацию, даже имеют свои названия. Приведем основные виды фишинга:

• Фишинг по электронной почте. Email фишинг – это кибермошенничество по электронной почте. Целью таких атак может быть заставить получателя перейти по ссылке (URL-фишинг), посетить поддельный веб-сайт или предоставить личную информацию. Подобные письма похожи на спам, хотя спам и фишинг – разные вещи. Фишинг по электронной почте также включает в себя такие атаки, как целевой фишинг, фишинг «по-крупному» и клонирование.
• Вишинг. Вишинг, или голосовой фишинг, основан на социальной инженерии и создании стрессовой ситуации, вынуждающей жертву действовать бездумно. Злоумышленники часто звонят своим жертвам и запугивают их, утверждая, что кто-то пытался воспользоваться их кредитной картой или что они забыли оплатить штраф. К сожалению, подобные атаки часто достигают своей цели. Позволив эмоциям затуманить разум, жертвы выдают реквизиты онлайн-банка и другие личные данные, даже не задумываясь об опасности подобных действий.
• Смишинг. Смишинг, или SMS-фишинг, – это метод фишинга, при котором мошенник отправляет SMS-сообщение от якобы авторитетной организации. В сообщении может содержаться просьба перейти по ссылке, чтобы предоставить личную информацию или подтвердить данные учетной записи. Ссылка в сообщении будет вести на веб-сайт, который очень похож на официальный, но на самом деле является фишинговым, предназначенным для кражи личной информации (спуфинга).
• Фишинг в социальных сетях. Это новый метод фишинга, при котором злоумышленники выдают себя за агентов службы поддержки социальной сети, чтобы выманить у жертв личные данные или реквизиты аккаунта.

Реальные примеры фишинговых атак

Фишинговым атакам подвергались многие компании и отдельные пользователи. Одни получали фишинговые электронные письма и переходили на поддельные веб-сайты, другие стали жертвой фишинговых писем якобы от Amazon и вредоносных ссылок в социальных сетях. Приведем несколько примеров реальных фишинговых атак.

• Фишинговые письма от службы безопасности Facebook. В 2018 году пользователи Facebook получали фишинговые электронные письма якобы от службы безопасности Facebook, содержащие ссылку, по которой нужно было перейти для защиты своего аккаунта. Ссылки вели на поддельную страницу входа в Facebook, где пользователям предлагалось ввести свои учетные данные. После ввода информации Facebook-аккаунты жертв попадали в руки злоумышленников. Facebook – не единственная социальная сеть, подвергшаяся фишинговым атакам. Фишинг в Instagram через личные сообщения и фишинговые атаки на LinkedIn на протяжении многих лет наносили значительный ущерб пользователям.
• Афера с аккаунтами Coinbase. В разгар пандемии COVID-19 пользователи платформы массово получали фишинговые электронные письма якобы от Coinbase с предупреждением, что в их аккаунт кто-то пытался войти. В электронном письме содержалась ссылка на поддельный веб-сайт Coinbase, где посетителю предлагалось войти в систему и подтвердить свою личность. Как только пользователь вводил свои учетные данные, злоумышленники получали доступ к его аккаунту Coinbase.
• Афера службы безопасности Bank of America. В 2021 году фишеры рассылали электронные письма якобы от Bank of America, в которых утверждалось, что на счете получателя наблюдалась подозрительная активность и поэтому он был временно заблокирован. Но можно было перейти по ссылке, чтобы подтвердить свою личность и разблокировать счет. Излишне говорить, что ссылка вела на поддельный веб-сайт, где пользователи передавали мошенникам свою регистрационную информацию, открывая им доступ к взлому счетов, краже средств и несанкционированным покупкам. Клиенты других банков, государственных учреждений и крупных компаний на протяжении многих лет тоже подвергались фишинговым атакам. Мошеннические письма USPS и фишинговые атаки Wells Fargo – лишь некоторые из подобных примеров.

Как распознать попытки фишинга

Хитростью фишеры заманивают жертв перейти по ссылке или загрузить вредоносные файлы. Но если быть внимательным, можно на шаг опередить киберпреступников. Приведем признаки, по которым можно распознать фишинговую атаку:

• Сообщение вызывает чувство срочности. Большинство фишинговых атак построены на том, что из-за страха что-то пропустить, не успеть, многие люди начинают действовать бездумно. Выгодное предложение от любимого бренда, доступное только ограниченное время, рассчитано на то, что пользователь перейдет по ссылке, не задумываясь о том, куда она ведет.
• Наличие орфографических и грамматических ошибок. Есть ли в сообщении грамматические ошибки? Не кажется ли вам странным общий тон письма? Такие признаки указывают на потенциальную фишинговую аферу. Реальные компании и организации обычно отправляют хорошо написанные сообщения без ошибок. Кроме того, всегда проверяйте, нет ли в тексте самой ссылки слов и названий с ошибками. Атака социальной инженерии, называемая тайпосквоттингом, нацелена на людей, которые допускают ошибки при вводе доменных имен.
• Сомнительные вложения и ссылки. Известные компании вряд ли будут рассылать информационные бюллетени, электронные письма с предупреждениями или другие сообщения с вложениями – как правило, у них нет для этого причин. Используйте инструменты проверки ссылки, если сомневаетесь в её надежности. Будьте осторожны с вредоносными ссылками, особенно если вы не ожидали получить электронное письмо. Никогда не загружайте и не открывайте их.
• Общие приветствия. Вредоносные электронные письма часто рассылаются большому количеству людей, поэтому содержат общие приветствия вроде «Уважаемый клиент», а не персональное имя.
• Незнакомый отправитель. Если какой-то малоизвестный сервис присылает вам специальное супервыгодное предложение или предупреждает о срочной смене пароля, скорее всего, это мошенничество. Не отвечайте на такое письмо, сначала перепроверьте информацию, связавшись с отправителем напрямую по официальному электронному адресу или номеру телефона, который можно найти в Интернете.

Мошенники постоянно учатся и становятся все хитрее, поэтому всегда относитесь с осторожностью к неожиданным электронным письмам, сообщениям и звонкам, какими бы реалистичными они ни казались.

Что делать в случае фишинга

Если вы подозреваете, что стали жертвой фишинга или мошенничества, важно действовать как можно скорее. Ниже описано, что делать, если вам на почту пришло фишинговое электронное письмо, и как действовать, если вы попали на удочку мошенников.

Если вы получили электронное письмо или сообщение с просьбой перейти по ссылке или загрузить вложение, убедитесь, что вы знаете отправителя или компанию, приславшую сообщение, и действуйте только после предварительной проверки.

Если вы получили электронное письмо от знакомой вам компании, попробуйте связаться с ней другими способами. Найдите их номер телефона или официальный адрес электронной почты и спросите, действительно ли они присылали вам сообщение.

Если вы не имеете никакого отношения к компании, отправившей вам сообщение, поищите в нем признаки фишинговой атаки. В случае их обнаружения, обязательно сообщите о попытке фишинга, а затем удалите его. Если вы случайно открыли фишинговое письмо, не переходите ни по каким ссылкам, сообщите сервису об инциденте и сразу же удалите его.

Если вы перешли по фишинговой ссылке, было бы разумно сменить пароль к учетным записям в наиболее важных сервисах (таких как электронная почта, банк, облачные сервисы и социальные сети). Кроме того, внимательно следите за своими финансовыми счетами, чтобы фишеры не списывали с них деньги.

Если же вы проглотили наживку и ввели свои банковские данные на поддельном веб-сайте – реагируйте немедленно! Обратитесь в службу поддержки клиентов своего банка и сообщите о случившемся. Они примут меры против незаконного использования ваших персональных данных.

Если вы предоставили личную информацию, такую как номер социаль ного страхования, контактные данные или домашний адрес, обязательно смените пароли, сообщите об этом правоохранительным органам и внимательно следите за своими финансовыми счетами.

Как защитить себя от фишинга

Фишинговые атаки никуда не денутся. Даже если вы никогда с ними не сталкивались, нельзя исключать такую возможность в будущем. Поэтому приведем несколько советов, следуя которым, можно обезопасить себя от пагубных последствий фишинга.

• Используйте программу-антивирус. Большинство надежных антивирусных сервисов предоставляют инструменты для защиты от фишинга. Воспользуйтесь ими или выберите такой сервис, как NordVPN, который имеет сертификат защиты от фишинга, подтверждающий его эффективность в борьбе с фишинговыми атаками.
• Включите двухфакторную аутентификацию (2FA). Защита учетной записи с помощью 2FA значительно затруднит ее взлом. Включите 2FA на всех важных аккаунтах и не реагируйте ни на какие подозрительные запросы на подтверждение подлинности.
• Используйте спам-фильтры. Лучший способ избежать фишинговых писем – предотвратить их попадание в почтовый ящик. Спам-фильтр защитит вас от случайного открытия электронного письма с вредоносными ссылками и вложениями. Дополнительные инструменты безопасности, созданные для защиты от фишинга, будут автоматически идентифицировать и блокировать опасный контент.
• Установите фильтр вложений. Функция Threat Protection Pro™ компании NordVPN предназначена для выявления попыток фишинга. Она защищает пользователя во время пребывания в Интернете от вредоносных программ. Функция сканирует файлы во время загрузки и блокирует вредоносный контент, прежде чем он попадет на устройство.
• Научитесь распознавать фишинг. Немного потренировавшись, можно научиться легко распознавать фишинговые письма. Важны даже мелочи: если ваш менеджер всегда подписывает свои электронные письма словами «Спасибо!», но ни с того ни с сего пишет «С наилучшими пожеланиями», лучше еще раз все проверить. В вопросах, касающихся корпоративной тайны или крупной суммы денег, невозможно быть слишком осторожным.
• Постоянно обновляйте свое программное обеспечение. Поддержание программного обеспечения в актуальном состоянии имеет важное значение для защиты от кибератак и уязвимостей в системе безопасности. Обновления программного обеспечения обычно включают защиту от новейших угроз.
• Используйте менеджер паролей. Создавайте сложные, уникальные пароли для каждой из своих учетных записей и храните их в надежном месте.
• Проявляйте бдительность. Не будьте доверчивы и всегда проверяйте подлинность любого электронного письма или веб-сайта. Для подтверждения свяжитесь с компанией или отправителем другим способом.

Часто задаваемые вопросы

Как фишеры выбирают своих жертв?

Фишеры используют утечки данных, такие как несанкционированный сбор электронных адресов, для получения информации о жертве (адрес электронной почты, номер телефона или учетная запись в социальных сетях). Мошенники используют украденные данные для выявления групп повышенного риска и определяют наилучший метода атаки (например, массовый фишинг, целевой фишинг, фишинг «по-крупному» и т.д.). Поэтому, если вы узнаете, что у какого-либо сервиса, клиентом которого вы являетесь (будь то потоковая платформа, приложение для социальных сетей, компания по каршерингу или что-то еще), произошла утечка данных, будьте настороже – скорее всего, вскоре вы получите несколько сомнительных электронных писем.

В чем разница между фишингом и мошенничеством?

Разница между фишингом и мошенничеством заключается в том, что одно является частью другого. Мошенничеством называют любые действия, направленные на то, чтобы обманом заставить людей отдать деньги, товары или услуги. А фишинг – это особый вид кибератаки (или онлайн-мошенничества), который приводит к таким последствиям. Другими словами, все фишинговые атаки являются мошенничеством, но не все мошенничество связано с фишингом.

Является ли фишинг преступлением?

Да, иногда это даже строго наказуемое преступление. В большинстве стран фишинг классифицируется как киберпреступление и может повлечь за собой штрафы, судебное разбирательство (в ЕС) или федеральные обвинения (в США).