Що таке фішинг і як не потрапити на гачок

Що таке фішинг

Фішинг – це тип шахрайства в Інтернеті, коли зловмисники, видаючи себе за авторитетну особу чи організацію, намагаються «вивудити» з жертви особисті дані, як-от паролі, фінансову інформацію або персональні ідентифікаційні номери (PIN-коди). Щоб обдурити жертву, зловмисники надсилають електронний лист, смс чи повідомлення в соціальних мережах, яке виглядає як отримане з офіційного джерела, але насправді є підробкою.

Цей тип шахрайства зазвичай апелює до сильних емоцій, які затуманюють тверезе судження людини. Хоча фішингові тактики застосовуються аж з перших днів існування Інтернету, вони й досі залишаються однією з найпоширеніших форм кібершахрайства: лише у 2022 році було здійснено понад 225 мільйонів фішингових атак на електронну пошту.

Зазвичай кінцевою рибкою, яку зловмисники намагаються спіймати за допомогою фішингу, є грошова нажива. Деякі фішингові схему обманом змушують жертв переказувати гроші на рахунок кіберзлочинця. В інших схемах використовуються шкідливі програми для отримання певної інформації про людину або компанії, яку вже згодом можна було б продати онлайн. Електронні листи – найпопулярніша форма фішингу. Деякі з них настільки детально підроблені, що часом буває важко розпізнати фальшивку.

Приклади фішингових тактик

В арсеналі фішера безліч способів, щоб вивудити з жертви конфіденційну інформацію чи отримати доступ до її пристрою. Один з них – URL-фішинг, де жертву підштовхують перейти за посиланням або завантажити вкладення зі шкідливим чи шпигунським ПЗ, яке надасть злочинцям доступ до пристрою жертви. Інший спосіб – змусити користувача ввести свою конфіденційну інформацію на підробленому вебсайті, який виглядає як оригінальний, але контролюється зловмисниками.

Тому завжди пильнуйте, коли отримуєте незвичні запити щодо особистої інформації або коли незнайома людина просить вас перейти за посиланням чи завантажити вкладення.

Наведемо приклади маніпулювання, якими користуються фішери, щоб “зачепити рибку на гачок”:

• Соціальна інженерія. Атаки соціальної інженерії – це своєрідна форма психологічної маніпуляції, яка має на меті обманом змусити людину порушити стандартні правила безпеки та видати конфіденційні дані.
• Оманливе посилання. Цей тип атаки з метою витоку даних охоплює випадки маніпулювання зовнішнім виглядом шкідливого посилання. Воно маскується під щось цікаве, і спантеличена людина зрештою переходить за посиланням, за яким інакше б ніколи не перейшли.
• Ухилення від фільтрів. Шахраї винаходять способи обходити фільтри, які блокують чи обмежують доступ до певного вмісту в Інтернеті.

Небезпеки фішингу

Кількість небезпечних фішингових атак зростає з кожним роком. Цей факт пояснюється тим, що фішинг надзвичайно ефективний і не вимагає особливих зусиль, але при цьому приносить значну фінансову вигоду.

Розгляньмо небезпеки фішингу детальніше:

• Крадіжка особистих даних. Отримавши особисту інформацію людини, шахрай намагатиметься використати її для здійснення фінансових махінацій.
• Втрата грошей. Якщо фішерам вдасться отримати від жертви доступ до її банківських рахунків або кредитних карток, вони вкрадуть гроші або здійснять несанкціоновані покупки.
• Шкода репутації. Виманивши з жертви конфіденційну інформацію, зловмисник може використати її для зіпсування репутації компанії або приватної особи.
• Втрата конфіденційної інформації. Метою полювання фішерів також є приватна чи корпоративна інформація, як-от комерційна таємниця та інтелектуальна власність.
• Установка шкідливого ПЗ. Метою деяких фішингових атак є завантаження на пристрій жертви шкідливого програмного забезпечення, яке потім можна використати для отримання доступу до її пристроїв та крадіжки інформації.

Остерігайтеся пасток фішингу та користуйтеся інтернетом відповідально. Бережіться посилань на шкідливі вебсайти та уникайте завантаження файлів з непідтверджених джерел. Завжди використовуйте надійні та унікальні паролі й будьте пильні.

Хитрістю фішери змушують своїх жертв переходити за посиланням або завантажувати шкідливі файли. Але якщо бути уважним, можна на крок випередити кіберзлочинців. Наведемо ознаки, за якими можна розпізнати фішинг-атаку:

• Повідомлення викликає відчуття терміновості. Більшість фішингових атак базуються на страху людей щось пропустити, не встигнути, що підштовхує їх до сумнівних рішень. Вигідна пропозиція, яка доступна протягом обмеженого часу, націлена на те, що затятий шанувальник бренду перейде за посиланням в електронному листі або SMS, не замислюючись про те, чи веде воно на офіційний вебсайт бренду.
• Наявність орфографічних та граматичних помилок. Чи є в повідомленні граматичні помилки? Чи не здається вам дивним загальний тон повідомлення? Такі ознаки вказують на потенційну фішингову аферу. Реальні компанії та організації зазвичай надсилають добре написані повідомлення без помилок. Крім того, завжди перевіряйте, чи немає саме в посиланнях слів та назв з помилками. Атака соціальної інженерії, яка називається тайпосквоттінгом, націлена на людей, які припускаються помилок при введенні доменних імен.
• Сумнівні вкладення та посилання. Компанії навряд чи розсилатимуть інформаційні бюлетені, електронні листи з попередженнями або інші повідомлення з вкладеннями – у них немає на це причин. І будьте обережні зі шкідливими посиланнями, особливо якщо ви не очікували отримати електронний лист. Ніколи не завантажуйте і не відкривайте їх.
• Загальні привітання. Шкідливі електронні листи часто розсилаються великій кількості людей, тому містять загальні привітання на кшталт “Шановний клієнт”, а не персональне ім’я.
• Незнайомий відправник. Якщо якась служба ніколи раніше не зв’язувалася з вами з попередженнями про зміну пароля чи зі спеціальною супервигідною і терміновою пропозицією, швидше за все, і зараз вони з вами не зв’язуються.

Варто зазначити, що шахраї постійно вчаться і стають все хитрішими, тому надані методи розпізнавання не дають 100-процентного захисту. Завжди ставтеся критично до неочікуваних електронних листів, повідомлень та дзвінків, як би реалістично вони не виглядали. Як додатковий арсенал кіберзахисту можна використовувати інструменти виявлення фішингу.

Різновиди фішингових атак

Різні методи, які шахраї використовують, щоб обдурити своїх жертв й змусити їх видати особисту інформацію, навіть мають свої назви. Наведемо основні види фішингу:

Фішинг електронною поштою

Email фішинг – це різновид кібератаки, яка здійснюється електронною поштою. Метою таких атак може бути змусити одержувача перейти за посиланням, завантажити вкладення або надати особисту інформацію.

Цільовий фішинг

Як і полювання з гарпуном, яке має ціллю уразити одну велику рибину, цільовий фішинг націлений на конкретну людину. Перш ніж надіслати фішинговий електронний лист, зловмисник вивчає свою жертву. Він збирає інформацію з публічних облікових записів, соціальних мереж та всюди, де можна знайти інформацію про людину та компанію, в якій вона працює. Озброївшись добутою інформацією, кіберзлочинцю буде легчше видати себе за колегу, старого друга або представника популярного сервісу, яким часто користується жертва.

Фішинг по-крупному

Фішинг по-крупному чи «полювання на китів» – це різновид цільового фішингу, коли зловмисник видає себе за високопоставленого співробітника компанії: генерального директора, члена правління, великого акціонера тощо. Видати себе за начальника складніше, тому кіберзлочинцю доводиться ретельно готуватися, аби атака виглядала правдоподібною. Однак, оскільки старші працівники мають більший вплив у компанії, улов, як правило, окупить всі зусилля з лишком. Якщо розпорядження виходить від начальника, його підлеглі переказують кошти або видають конфіденційну інформацію без зайвих питань.

Клонування

В цій схемі фішингу зловмисник винаходить спосіб відстежувати вхідні повідомлення жертви. А потім переробляє нещодавно отриманий електронний лист (бажано з посиланням чи вкладенням), створюючи його клон. Більша частина тексту залишається незмінною, але вкладення містить шкідливий код або посилання, яке переспрямовує на підроблений вебсайт.

Вішинг

Вішинг-атаки базуються на соціальній інженерії, створюючи стресові ситуації, які змушують людей діяти бездумно. Зловмисники лякають своїх жертв, стверджуючи, що хтось намагався скористатися їх кредитною карткою, що вони забули сплатити штраф і т. д. На жаль, подібні атаки часто досягають своєї мети. Дозволивши емоціям затуманити розум, жертви видають реквізити онлайн-банку та інші особисті дані, навіть не замислюючись про небезпеку таких дій.

SMS-фішинг

Смішинг, або SMS-фішинг, відбувається, коли шахрай надсилає SMS-повідомлення від нібито авторитетної організації. У повідомленні може міститися прохання до одержувача перейти за посиланням, щоб надати особисту інформацію або підтвердити дані облікового запису. Посилання в повідомленні вестиме на вебсайт-двійник, який дуже схожий на офіційний, але насправді є фішинговим, призначеним для крадіжки особистої інформації.

Фішинг в соціальних мережах

Це новий метод фішингу, де зловмисники видають себе в соціальних мережах за агентів служби підтримки, щоб виманити у жертв їх особисті дані або реквізити облікового запису.

Календарний фішинг

У календарному фішингу зловмисники розсилають адресатам запрошення з календаря, захід в якому буде містити посилання на шкідливий вебсайт. Перейшовши за посиланням, жертва потрапить на фішинговий вебсайт або сайт, який інфікує пристрій шкідливою програмою.

Що робити у випадку фішингу

Якщо ви підозрюєте, що стали жертвою фішингу чи шахрайства, важливо діяти якомога швидше. Нижче описано, що робити, якщо вам на скриньку прийшов фішинговий електронний лист, і що діяти, якщо ви потрапили на вудку шахраїв.

Що робити у разі фішингової атаки

Якщо ви отримали електронний лист чи повідомлення з проханням перейти за посиланням або завантажити вкладення, переконайтеся, що знаєте відправника або компанію, і дійте лише після ретельної перевірки.

Якщо ви отримали електронний лист від відомої вам компанії, спробуйте зв’язатися з ними іншими способами. Знайдіть їх номер телефону або офіційну адресу електронної пошти та запитайте, чи намагалися вони з вами зв’язатися.

Якщо ви не маєте ніякого відношення до компанії, яка надіслала вам повідомлення, ознайомтеся з наведеним вище параграфом «Як розпізнати фішинг-атаку» і пошукайте в повідомленні її ознаки. Якщо електронний лист має ознаки шахрайства, обов’язково повідомте поштову службу про спробу фішингу, а потім видаліть його. Якщо ви випадково відкрили фішинговий лист, не переходьте ні за якими посиланнями, повідомте сервіс про інцидент і відразу ж видаліть цей лист.

Що робити, якщо ви стали жертвою фішингу

Навіть знаючи ознаки фішингу, деякі підроблені вебсайти настільки схожі на оригінал, що можна випадково видати свою особисту чи фінансову інформацію, не усвідомлюючи, що це шахрайство.

Якщо ви проковтнути наживку та ввели свої банківські дані на шкідливому вебсайті – реагуйте негайно! Зверніться в службу підтримки клієнтів свого банку і повідомте про те, що трапилося. Вони вживатимуть заходів проти незаконного використання ваших персональних даних.

Якщо ви надали особисту інформацію, як-от номер соціального страхування, контактні дані або домашню адресу, перейдіть за посиланням IdentifyTheft.gov. Там надано інформацію про те, як діяти далі.

Як убезпечити себе від фішингу

• Використовуйте спам-фільтри. Найкращий спосіб уникнути фішингових електронних листів – це запобігти їх потраплянню у вашу поштову скриньку. Спам-фільтр захистить вас від випадкового відкриття електронного листа зі шкідливими посиланнями та вкладеннями. Додаткові безпекові інструменти, створені для захисту від фішингу, будуть автоматично ідентифікувати та блокувати небезпечний вміст.
• Встановіть фільтр вкладень. Функція Threat Protection Pro компанії NordVPN призначена для захисту від спроб фішингу. Вона захищає користувача під час перебування в Інтернеті від шкідливих програм. Функція сканує файли під час завантаження та блокує шкідливий вміст, перш ніж він потрапить на пристрій.
• Навчіться розпізнавати фішинг. Трохи потренувавшись, можна навчитися легко розпізнавати фішингові листи. Важливі навіть дрібниці: якщо ваш менеджер завжди підписує свої електронні листи словами «Дякую!», але ні з того ні з сього пише «На все добре», краще ще раз все перевірити. Коли йдеться про корпоративну таємницю чи велику суму грошей, неможливо бути занадто обережним.
• Постійно оновлюйте своє програмне забезпечення. Підтримка програмного забезпечення в актуальному стані має важливе значення для захисту від кібератак та уразливостей в системі безпеки. Оновлення програмного забезпечення зазвичай включає захист від найновіших факторів загрози.
• Використовуйте менеджер паролів. Створюйте та зберігайте складні, унікальні паролі для кожного онлайн облікового запису.
• Пильнуйте. Ретельно перевіряйте справжність будь-якого електронного листа та вебсайту. Зв’яжіться з компанією або особою, від якої отримано електронний лист, іншими способами для підтвердження.