Что такое фишинг и как он работает?

Фишинг − это вид интернет мошенничества, который осуществляется с целью сбора конфеденциальных данных пользователей посредством массовых рассылок от имени популярных компаний или организаций.

Что действительно отличает фишинг, так это форма, которую принимает сообщение: злоумышленники маскируются под некое доверенное лицо или компанию, с которой жертва каким-либо образом связана. Фишинг является одним из старейших форм кибератак, которая берет свое начало в 1990-х. Термин фишинг возник в тот же период в среде хакеров.

В английском языке слово «Phishing» произносится так же, как и «Fishing», то есть «рыбалка» − аналогия заключается в том, что рыболов ловит рыбу на крючок, используя при этом наживку (фишинговая электронная почта).

Типы фишинга

Основной особенностью всех видов фишинговых атак, является маскировка. Внешне кажется, что фишинговые сообщения приходят от имени популярных организаций или компаний, однако на самом деле они являются поддельными.

Тем не менее, существует множество методов, которые подпадают под определение фишинга. Как правило, фишинговая кампания пытается заставить жертву сделать одно из двух:

Передача конфиденциальной информации

Эти письма направлены на то, чтобы путем обмана, раскрыть важные данные пользователя - часто имя пользователя и пароль, которые злоумышленник может использовать для взлома системы или учетной записи. Классическая версия этого мошенничества включает в себя отправку электронного письма, похожего на сообщение от крупного банка; рассылая спам сообщения миллионам людей, злоумышленники уверены, что по крайней мере некоторые из получателей будут клиентами этого банка. Жертва нажимает на ссылку указанную в письме и попадает на вредоносный сайт, внешне неотличимый от настоящего, а затем вводит учетные данные. Злоумышленник теперь может получить доступ к аккаунту жертвы, а за этим может последовать кража персональных данных или средств.

Загрузка вредоносного ПО

Подобно большому количеству спама, эти типы фишинговых писем направлены на то, чтобы заразить компьютер жервы вредоносным ПО. Часто сообщения имеют «мягкую направленность» − они могут быть отправлены сотруднику отдела кадров с приложением, которое, например, является резюме соискателя. Эти вложения часто представляют собой ZIP-файлы или документы Microsoft Office с вредоносным встроенным кодом.

Немного фишинговой статистики

Средняя финансовая стоимость взлома данных составляет 3,86 млн долларов

90% случаев утечки данных связаны с фишингом

Количество попыток фишинга за последний год выросло на 65%.

Около 1,5 миллионов новых фишинговых сайтов создаются каждый месяц

76% предприятий сообщили, что стали жертвами фишинг-атаки в прошлом году

1 из каждых 99 писем является фишинговой атакой

Как не стать жертвой фишинга?

Есть также ряд шагов, которые вы можете предпринять, чтобы защитить данные от фишинговых атак:

Думайте, прежде чем нажать!

Кликать по ссылкам, которые появляются в случайных электронных письмах и мгновенных сообщениях, не очень разумный шаг. Наведите указатель мыши на ссылку, в которой вы не уверены, прежде чем нажимать на нее, чтобы знать точно куда она ведет. В фишинговом электронном письме может быть запрошено заполнение или подтверждение персональной информации, но электронное письмо может не содержать вашего имени. Чаще всего в таких письмах используется обращение «Уважаемый клиент». В случае сомнений перейдите непосредственно к источнику, не пользуясь потенциально опасной ссылкой.

Установите антифишинговую панель инструментов

Большинство популярных интернет-браузеров можно настроить с помощью антифишинговых панелей инструментов. Такие панели инструментов выполняют быстрые проверки посещаемых вами сайтов и сравнивают их со списками известных фишинговых сайтов. Если вам попадется вредоносный сайт, панель инструментов предупредит вас об этом. Это еще один уровень защиты от фишинг-атак, и он абсолютно бесплатный.

Регулярно проверяйте ваши учетные записи в Интернете

Даже если технически в этом нет необходимости, регулярно проверяйте каждую из своих учетных записей в интернете и меняйте пароли к ним. Чтобы предотвратить мошенничество с кредитными картами, вам следует запрашивать ежемесячные выписки по своим финансовым счетам и тщательно проверять каждую запись, чтобы убедиться, что без вашего ведома не было совершено никаких мошеннических операций.

Держите ваш браузер в актуальном состоянии

Патчи безопасности для популярных браузеров выпускаются постоянно. Они создаются в ответ на лазейки безопасности, которые фишеры и другие хакеры неизбежно обнаруживают и используют. Никогда не игнорируйте сообщения об обновлении ваших браузеров. Как только обновление доступно, скачайте и установите его.

Остерегайтесь всплывающих окон

Всплывающие окна часто маскируются под настоящие элементы сайта. Однако в большинстве случаев они являются попытками фишинга. Многие популярные браузеры позволяют блокировать всплывающие окна; Вы можете разрешить их на индивидуальной основе. На многих окнах имеется кнопка «Отмена», которая часто ведет на фишинговый сайт. Вместо этой кнопки, рекомендуется нажать на маленькую «х» в верхнем углу окна.

Не распространяйте личную информацию

Старайтесь никогда не делиться личной или финансовой информацией в интернете. Это правило было актуальным в начале появления интернета и остается таковым по сей день. Если вы сомневаетесь в подлинности сайта, зайдите на основной сайт компании, получите их номер и позвоните им. В большинстве фишинговых писем вас вежливо попросят перейти на сайт, чтобы обновить или подтвердить персональную информацию. Никогда не отправляйте электронные письма с конфиденциальной информацией. Сделайте привычкой проверять адрес сайта. Безопасный веб-сайт всегда начинается с «https».