Защита от фишинга – как заметить крючок?

Стремление добиваться максимальной отдачи минимумом средств характерно не только для легального бизнеса. Преступники тоже стремятся получить как можно больше прибыли и поменьше при этом трудиться. Один из самых популярных методов получить чужие данные и доступ к чужим деньгам называется «фишинг» и работает так, что жертва сама делает за мошенников большую часть работы.

Что такое фишинг

Термин «фишинг» происходит от английского fishing, «рыбалка», только в оригинале вместо f там используют похоже звучащее сочетание ph. Такое коверкание слов было популярно у интернетчиков в 90-е, как дань термину phreak – сленговое название «обмана» автоматики АТС, чтобы получить бесплатные междугородние звонки, чем занимались еще «доисторические» хакеры.

Название очень удачно иллюстрирует суть метода: обманутая жертва сама заглатывает приманку и надевается на крючок, требуется только верно подобрать наживку и вовремя подсечь. По механике, фишинг – один из вариантов социальной инженерии, построенный на «запрограммированных» реакциях жертвы. Мошенник создает очень похожую на реальную ситуацию и обманом выведывает у жертвы пароли от почты, банковских приложений или «Госуслуг». Характернейший признак - вам предлагают «подтвердить данные», «разблокировать счет/карту», «подтвердить место в очереди» или «пройти аутентификацию» и для этого обязательно просят поделиться личными данными, которые той стороне в принципе знать не положено.

Кто особенно уязвим для фишинга?

Профессиональные мошенники любят хвастаться, что нет людей абсолютно устойчивых к фишингу, есть только обманщики, которые не умеют верно подобрать «наживку». В действительности, у типичной жертвы фишинга есть несколько характерных черт:

• Малый жизненный и/или сетевой опыт
• Низкая подкованность в сфере интернета и технологий
• Доверчивость
• Неосведомленность о методах мошенничества.

В зоне риска – дети, подростки, пенсионеры. Но допустить оплошность может каждый, как было сказано выше, вопрос только в подборе «наживки».

Как работает фишинг в разных каналах

Фишинг классифицируют по каналам, через которые орудуют мошенники. Конечная цель у них одна, но различается техническая реализация в зависимости от особенностей канала.

• Почтовый фишинг. Считается преступной классикой. Жертве приходит письмо, очень похожее на послание от его банка, магазина, маркетплейса, государственного учреждения и т.п. В письме есть ссылка, по которой предлагается обновить данные аккаунта, подтвердить подписку, получить приз, пособие, наследство – любой предлог, чтобы по ссылке перешли. В действительности на том конце – форма, в которую жертва введет свои данные для доступа или вредоносный софт, который проникнет на устройство и начнет сам снабжать мошенников нужной информацией.
• Фишинг через мессенджеры. Мессенджеры сегодня едва ли не популярнее электронной почты. Механика та же: «из ниоткуда» или с какого-то поддельного аккаунта приходит сообщение со ссылкой, на которую призывают непременно кликнуть.
• Фишинг в соцсетях. Отправителем сообщений становится либо фальшивый аккаунт, или аккаунт какого-то реального человека, который перехватили злоумышленники. Чаще всего просят проголосовать за него самого или его друзей/детей в каком-то конкурсе - а в реальности это фальшивая форма, куда «для подтверждения личности» жертва сама вводит ценные данные или продиктовать номер, который он/она не может получить на своем устройстве – а в реальности это код подтверждения от аккаунта в банке или на «Госуслугах».
• Смишинг. Название от скрещенных слов SMS и «фишинг». Суть примерно та же: приходит короткое сообщение со ссылкой, по клику на которую обещают призы или требуется подтвердить данные, внести оплату за какие-то товары/посылки/пошлины/услуги. По ссылке, разумеется, либо поддельная форма, куда жертва сама вводит информацию, либо вредоносный код.
• Телефонный фишинг. В просторечии – «развод по телефону». Мошенники маскируются под силовиков, сотрудников банка, служб доставки и т.п. и просят сообщить какие-то важные данные. Поскольку с телефонами такие трюки провернуть все сложнее, звонят обычно с подменных номеров через мессенджеры.
• Фишинг с помощью фальшивых мобильных приложений. Мошенники создают и размещают в онлайн-магазинах приложения, очень похожие на настоящие полезные программы. В действительности, скачав такое приложение, жертва сама себе запускает на устройство безотказного шпиона, который будет воровать ценные данные.

Массовый и целевой фишинг

В большинстве случаев фишинговые схемы берут количеством, а не качеством. На 100 тысяч «забросов» 2-3 «поклевки»? Ура, удача! При малейшей доле внимательности и здорового скепсиса со стороны потенциальной жертвы, замысел становится очевиден. Но это - «общепит», схема, рассчитанная на невнимательного обывателя и удачу, она по умолчанию рассчитана на 99% отказов. Однако, поскольку количество попыток исчисляется миллионами и даже больше, небольшой процент удачных случаев с небольшим заработком в итоге складывается во вполне существенный доход преступников.

Другое дело, когда светит крупный куш, и мошенники занимаются целевым фишингом. Это уже высокая кухня мошенничества, «наживка» готовится с такой же тщательностью, как операция спецслужб, с проработкой легенды и подходов под конкретную жертву. Изучаются интересы цели, ее сетевое поведение, типичная манера пользования онлайн-ресурсами, детали деловой жизни и биографии. Подобные схемы строятся, наоборот, только для одного-двух клиентов, с расчетом на большой процент удачи. К счастью, большинству из нас такое внимание не светит: целями такого «спирфишинга» становятся фирмы, точнее какие-то ключевые сотрудники в них (руководство, главный бухгалтер, начальник подразделения и т.п.) или просто очень богатые люди. Загарпунить такого «кита» будет огромной удачей для мошенников, ведь на кону могут быть миллионы от одной успешной операции.

Как защититься от фишинга?

Основное, на что рассчитывают на «рыбалке»:

• Невнимательность. Пользователи могут не обратить внимания на неправильный адрес, нетипичный дизайн поддельного сайта, явно написанное роботом письмо или просто бездумно щелкнуть по ссылке.
• Внушаемость. Испугать жертву, заставить действовать впопыхах или под влиянием жажды неожиданной выгоды – половина успеха для мошенников.
• Незнание. Банки, магазины, маркетплейсы, сервисы доставки и МВД никогда не запрашивают пароли, коды из SMS или реквизиты карт.

Поэтому лучшим средством от того, чтобы попасться на крючок к жуликам были и остаются здоровая доля недоверчивости, внимательность и знание того, как работают мошеннические схемы.