Что такое фишинг?
Получали ли вы когда-нибудь электронное письмо, текст или иную форму электронного сообщения, якобы исходящего от банка или другой популярной онлайн-службы, с просьбой «подтвердить» учетные данные вашей учетной записи, номер кредитной карты или другую конфиденциальную информацию? Если да, то вы уже знаете, как выглядит обычная фишинговая атака. Этот метод используется для получения ценных пользовательских данных, которые могут быть проданы или использованы злоумышленниками в неблаговидных целях, таких как вымогательство, кража денег или кража личности.
Происхождение термина
Эта концепция была впервые описана в докладе на конференции 1987 года Джерри Феликсом и Крисом Хауком под названием «Безопасность системы: взгляд хакера» (Interex Proceedings 1: 6, 1987). В нем обсуждалась техника, с помощью которой злоумышленник имитирует авторитетную организацию или службу. Само это слово является омофоном слова «рыбалка», поскольку в нем используется та же логика «ловли на наживку». «Ph-» в начале термина относится к "phreaks”, - группе хакеров, которые экспериментировали с телекоммуникационными системами и незаконно исследовали их на предмет поиска уязвимостей и возможности взлома в 1990-х годах.
Как работает фишинг?
Фишинг существует уже много лет, и за это время злоумышленники разработали широкий спектр методов воздействия на своих жертв.
Наиболее распространенный метод фишинга - выдать себя за банк или финансовое учреждение по электронной почте, чтобы заманить жертву для заполнения поддельной формы в сообщении электронной почты (или в прикрепленном приложении), либо для посещения веб-страницы с запросом ввода данных расчетного счета или учетных данных для входа в систему.
В прошлом для этой цели часто использовались неправильно написанные или вводящие в заблуждение доменные имена. Сегодня злоумышленники используют более изощренные методы, генерируя ссылки и поддельные страницы очень похожими на их легитимные аналоги.
Прочитайте больше
Информация, украденная у жертв, обычно используется для опустошения их банковских счетов или продается в Интернете.
Подобные атаки также могут быть выполнены с помощью телефонных звонков (vishing) и SMS-сообщений (smishing).
Спирфишинг
Более продвинутый метод фишинга, при котором кажущиеся подлинными фишинговые сообщения попадают в ящики входящих сообщений определенных групп, организаций или даже отдельных лиц. Авторы целевых фишинговых писем заранее проводят детальное изучение своих целей, что затрудняет идентификацию содержания как мошеннического.
Атаки, направленные на конкретных, в основном высокопоставленных представителей бизнеса, таких как топ-менеджеры или владельцы, обозначаются как «китобойный промысел» из-за размера потенциальной выгоды (плохие парни охотятся за «крупной рыбой»).
Как распознать фишинг
Электронное письмо или электронное сообщение может содержать официальные логотипы или другие признаки авторитетной организации и все равно исходить от фишеров. Ниже приведены несколько советов, которые помогут вам распознать фишинговое сообщение.
Подозрительные признаки
- Общие или неформальные приветствия. Если в сообщении отсутствует персонализация (например, «Уважаемый клиент») и формальное обращение, то, вероятно, что-то не так. То же самое относится и к псевдоперсонализации с использованием рандомизированных, поддельных справочных номеров.
- Запрос личной информации - часто используется фишерами, обычно избегается банками, финансовыми учреждениями и большинством онлайн-сервисов.
- Плохая грамматика - орфографические ошибки, опечатки и необычные формулировки часто указывают на подделку (но отсутствие любого из этих признаков не является доказательством легитимности)
- Неожиданная корреспонденция. Незапрошенный контакт от банка или поставщика онлайн-услуг выгляит весьма необычным и, следовательно, вызывает подозрения.
- Создание ощущения срочности - фишинговые сообщения часто пытаются побудить к быстрым и необдуманным действиям.
- Предложение, от которого нельзя отказаться? - Если сообщение звучит слишком хорошо, чтобы быть правдой, - почти наверняка так оно и есть.
- Подозрительный домен - будет ли американский или немецкий банк отправлять письмо с китайского домена?
Как защититься от фишинга
Чтобы избежать фишинговой приманки, помните о приведенных выше признаках, по которым фишинговые сообщения обычно выдают себя.
Следуйте этим простым шагам
- Помните о новых методах фишинга: следите за сообщениями в СМИ о фишинговых атаках, поскольку злоумышленники могут придумать новые методы заманивания пользователей в ловушку.
- Не разглашайте свои личные данные: всегда будьте начеку, если в электронном сообщении от, казалось бы, заслуживающего доверия лица запрашиваются ваши учетные данные или другие конфиденциальные данные. При необходимости проверьте содержимое сообщения у отправителя или организации, которую они, по-видимому, представляют (используя достоверные контактные данные, а не сведения, указанные в сообщении).
- Дважды подумайте, прежде чем перейти по ссылке: если в подозрительном сообщении есть ссылка или вложение, не кликайте на неё и не загружайте. Это может привести вас на вредоносный веб-сайт или заразить ваше устройство вредоносным ПО.
- Регулярно проверяйте свои учетные записи в Интернете. Даже если вы не подозреваете, что кто-то пытается украсть ваши учетные данные, проверяйте свои банковские и другие учетные записи в Интернете на предмет подозрительной активности. На всякий случай…
- Используйте надежное антифишинговое решение. Примените эти методы и «Наслаждайтесь более безопасными технологиями»
Известные примеры
Систематический фишинг начался в сети America Online (AOL) в 1995 году. Чтобы украсть учетные данные законных учетных записей, злоумышленники связывались с жертвами через AOL Instant Messenger (AIM), часто притворяясь сотрудниками AOL, проверяющими пароли пользователей. Термин «фишинг» появился в группе новостей Usenet, посвященной инструменту под названием AOHell, автоматизирующему этот метод, и название прижилось. После того, как AOL ввела контрмеры в 1997 году, злоумышленники осознали, что могут использовать ту же технику в других частях онлайн-сферы, и начали выдавать себя за финансовые учреждения.
Прочитайте больше
Одна из первых крупных, хотя и неудачных, попыток была предпринята в 2001 году, - злоумышленники воспользовались хаосом после террористических атак 11 сентября. Фишеры рассылали электронные письма с просьбой к некоторым жертвам пройти проверку личности, пытаясь неправомерно использовать полученные данные для кражи финансовой информации из сервиса цифровой валюты e-gold.
Потребовалось всего три года, чтобы фишинг прочно закрепился в онлайн-мире, и к 2005 2005 году он уже стоил пользователям США более 900 миллионов долларов США..
По данным глобального исследования фишинга APWG, в 2016 году было зафиксировано более 250 000 уникальных фишинговых атак с использованием рекордного количества злонамеренно зарегистрированных доменных имен, превысившего отметку в 95 000. В последние годы фишеры, как правило, фокусируются на банковских, финансовых и денежных услугах, клиентах электронной коммерции, социальных сетях и учетных данных электронной почты.
ESET предлагает вам отмеченный наградами антивирус
ESET HOME Security Premium
Мощная многоуровневая защита для шифрования конфиденциальных данных, простого управления паролями, защиты онлайн-транзакций и многого другого. Удобное решение для повышения конфиденциальности в Интернете. Защищает устройства Windows, macOS и Android
ESET HOME Security Premium
Мощная многоуровневая защита для шифрования конфиденциальных данных, простого управления паролями, защиты онлайн-транзакций и многого другого. Удобное решение для повышения конфиденциальности в Интернете. Защищает устройства Windows, macOS и Android