Фишинг-атаки называют преступлением XXI века. В переводе с английского слово «фишинг» означает «рыбалка» или «ловля на живца». Именно по такой схеме действуют мошенники. Они заманивают доверчивых пользователей на фальшивый сайт и похищают конфиденциальные данные: логины и пароли от аккаунтов, одноразовые коды из смс, срок действия «пластика», комбинацию CVV с обратной стороны карты. С помощью полученных сведений преступники получают доступ к счету и списывают все деньги. У фишинга много разновидностей, но цель всегда одна — заманить гражданина в ловушку и украсть его финансы.
Что такое фишинговые сайты
Фишинговые сайты — одна из самых распространенных схем, которые используют киберпреступники. Мошенники создают сайт-двойник, внешне практически ничем не отличимый от официального ресурса. Злоумышленники подделывают порталы Госуслуг, пенсионного фонда, налоговой, сайты крупных банков — такие интернет-площадки, где хранятся конфиденциальные данные клиентов, открывающие доступ к деньгам.
Как пользователи попадают на фейковые сайты? Киберпреступники применяют методы социальной инженерии: воздействуют на свои жертвы психологически. Представьте: по электронной почте вам пришло письмо от Госуслуг с информацией, что аккаунт взломан. Нужно срочно зайти на портал и сменить пароль, иначе паспортные данные, СНИЛС, ИНН попадут в руки мошенников. В большинстве случаев пользователи, получившие подобное сообщение, переходят по размещенной в письме ссылке. Вводят логин и пароль от личного кабинета и попадают в аккаунт. Мошенники тоже получают доступ к личной странице, ведь именно они прислали письмо. Когда гражданин указывает логин и пароль, преступники это видят и сохраняют сведения в базе данных. Впоследствии им ничто не помешает оформить по паспортным данным кредит.
Но как злоумышленники смогли отправить письмо с Госуслуг? Все просто: сайт не официальный, а фишинговый — полностью сымитированный под оригинал. Оформление такое же, расцветки практически не отличаются от настоящих. Даже адрес почти совпадает: разница в 1-2 символах.
Вместо Госуслуг сообщения могут прислать от имени банков, маркетплейсов, налоговой, ПФР. В письме сообщают не только о взломе аккаунта, но и о крупных скидках на товары, информируют о назначенном пособии или предупреждают о списании средств со счета. Главная цель — вызвать эмоции и побудить пользователя немедленно перейти по ссылке, размещенной в письме. Она-то и приведет на фишинговый сайт.
ВАЖНО:
Какие еще есть виды фишинга
Одна из разновидностей фишинга — вишинг. Это телефонные атаки на граждан. Преступник звонит и представляется сотрудником службы безопасности банка. Он сообщает: со счета списана крупная сумма, от имени клиента подан запрос на кредит, пластиковая карта заблокирована. Каким бы ни был предмет разговора, цель одна — вызвать беспокойство по поводу сохранности личных сбережений.
Финансово подкованные граждане сразу кладут трубку и правильно делают. Если есть сомнения, перезванивают на горячую линию своего банка и общаются уже с настоящими специалистами. Те, кто недостаточно хорошо ориентируются в мире финансов, сразу верят: с их счетом или картой случилось что-то плохое. Они готовы назвать любую информацию: логин и пароль от личного кабинета, номер «пластика» и одноразовый пароль из смс. Граждане хотят спасти свои деньги, но получается наоборот: предоставляют мошенникам полный доступ к средствам.
Впоследствии, когда гражданин понимает, что его обманули, он пытается отменить транзакцию: звонит в банк или в полицию. Однако время упущено, преступники уже перевели средства на другой счет. Найти мошенников в таких ситуациях практически нереально. Банк не возместит ущерб, так как хищение произошло с участием самого владельца денег.
Еще один вид фишинга — смишинг: атака через смс. Злоумышленники действуют через сообщения по тому же принципу. Уведомляют о списании суммы с карты, блокировке счета, взломе аккаунта. Вместо того чтобы зайти в банковское приложение и проверить состояние счета, пользователь следует инструкции из смс: отправляет коды подтверждений, указывает данные от аккаунта и тем самым развязывает преступникам руки.
Как защититься от фишинговых атак
Главное оружие против киберпреступников — внимательность и бдительность. Пришло тревожное сообщение по электронной почте? Не торопитесь его открывать. Перечислим признаки фишингового письма:
- нет имени и контактов отправителя;
- адрес состоит из бессмысленного набора символов;
- отправитель пишет с обычного адреса (yandex.ru, gmail.com), а не с корпоративного (у крупных компаний свой домен);
- у вложенных файлов непонятное название.
Получили сообщение в соцсетях от приятеля, который просит одолжить некую сумму? Не спешите отправлять деньги, вероятно, его страницу взломали кибермошенники. Свяжитесь с другом по телефону и уточните, все ли у него в порядке. Заодно предупредите о подозрительных действиях в его аккаунте.
Отвечая на телефонные звонки с незнакомых номеров, не верьте всему, что вам говорят. При любом сомнении вешайте трубку и сами перезванивайте по официальному номеру организации.
ВАЖНО:
Ежедневно в России рассылают около миллиона фишинговых писем. Их адресуют частным лицам и организациям. Мошенники постоянно совершенствуют схемы обмана и используют в качестве наживки острые проблемы. Так, в 2020 году 13% от всех фишинговых атак составили инциденты, связанные с темой коронавируса. Федеральные выплаты на детей, новые правила выплаты социальных пособий, прибавка пенсии — преступники делают акцент на том, что активно муссируют СМИ и о чем ежедневно слышат граждане по телевизору. Будьте бдительны и доверяйте только авторитетным источникам!