Фішинг — це вкрай розповсюджена проблема сьогодні, котра призводить до численних небезпек та незручностей як для компаній, так і для приватних осіб.
Дізнайтеся, що таке фішинг, аби убезпечити себе та своїх близьких від витоку ваших даних та інших наслідків, що повʼязані з викраденням чутливої інформації про вас.. Щоб не стати жертвою фішингу у мережі, рекомендуємо ознайомитися з гайдом, який підготувала редакція OSINT-агенції Molfar. У публікації розповідаємо про типи фішингу, ризики та небезпеку, повʼязану з фішингом, а також як вберегтися від діджитал-обману.
Що таке “фішинг”? Пояснюємо своїми словами
Фішинг – це поширена в мережі шахрайська схема. Як приклад — кейс, коли шахраї намагаються "виловити" ваші особисті дані: паролі, номери кредитних карток або банківських рахунків. Шляхом обману вони видають себе за когось іншого: за ваш банк, інтернет-магазин або навіть людину, яку ви знаєте. Для цього використовують підроблені електронні листи, вебсайти або повідомлення.
Яку мету переслідує фішинг?
Загалом зловмисники можуть використовувати фішинг для:
- фінансового шахрайства. Зловмисники можуть отримати доступ до ваших грошей або інших цінних ресурсів. Популярні фішинг приклади спрямовані на отримання матеріальної вигоди: банківські махінації, кредитні схеми та шахрайство з використанням електронних платежів;
- крадіжка особистих даних. Інший популярний сценарій – шахраї хочуть використати інформацію про вас для шантажу вас же, торгівлі на “чорному ринку” або задля іншого неправомірного використання. В такому разі, зловмисники прагнуть отримати ваші контакти, паролі, документи, фото тощо;
- завантаження зловмисного ПЗ. Шахраї можуть переслідувати ціль заразити ваш пристрій зловмисним програмним забезпеченням. Це ПЗ може викрасти ваші дані, шпигувати за вами, або використовувати ваш пристрій для розповсюдження спаму чи здійснення кібератак. Ви можете навіть і не здогадуватися, що ваш девайс використовують, аби систематично обманювати інших людей.
- політичні маніпуляції. Цей вид інтернет-фішингу є особливо небезпечним для українців зараз через численні атаки російської агентури. Фішинг може бути використовують аби поширити ворожі фейки та ІПСО. Тож часто таке шахрайство є методом впливу під час інформаційної війни.
- корпоративні крадіжки та шпигунство. Такий вид атак є особливо небезпечним, якщо ви працюєте у державному секторі або маєте доступ до комерційних таємниць. Зловмисники можуть використовувати фішинг для порушення роботи компаній з метою крадіжки даних клієнтів чи працівників, фінансової інформації, важливих даних про виробництво продукту тощо.
Якою інформацією під час фішингу можуть скористатися зловмисники?
Ось деякі з найпоширеніших типів інформації, які можуть спробувати виманити зловмисники:
- Логіни та паролі соціальних мереж, додатків та сервісів. Це прямий спосіб втрутитися у ваш діджитал-простір, аби вкрасти дані.
- Історії пошуку, Cookies та дані про ваш девайс. Ця інформація дозволяє відстежувати вашу активність онлайн та підлаштовувати атаки під ваші особливості.
- Номери банківських карток, термін дії карти, CVV-код, SWIFT код. Доступ до додатку онлайн банкінгу, аби здійснювати транзакції та навіть оформлювати кредити.
- Ваші фото, які можуть бути використані для шантажу або створення фальшивих профілів.
- ПІБ, дата народження, ІПН, інші документи. Це базова інформація для крадіжки особистості.
- Біометричні дані, занесені у систему, для обходу системи захисту, наприклад, для розблокування пристроїв.
- Номер телефону та адреса електронної пошти, які корисні для спам та фішингових атак.
- Дані PayPal, Apple Pay, Google Pay для здійснення покупок.
- Корпоративні файли та внутрішні мережі компанії для промислового шпигунства.
- Медична інформація для шантажу чутливими даними.
Різні види фішингових атак
Тепер, коли ви знаєте, що таке “фішинг”, необхідно розібратися у тому, які бувають атаки, та у чому полягає загроза кожного такого виду зловмисного втручання.
Спам-фішинг
Це масове розсилання електронних листів з фішинговими посиланнями або вкладеннями. Це свого роду "ловля на живця" з надією, що хтось із отримувачів клюне на приманку. Тому дуже важливою є перевірка посилання на фішинг, аби уникнути комунікації із зловмисниками і випадково не завантажити вірус чи троян через ненадійне спам-посилання. Для цього завжди звертайте увагу на коректність кожної частини URL та чи сайт використовує незахищений тип з’єднання HTTP.
Спір-фішинг
Цей спосіб є цілеспрямованою атакою на конкретну особу або організацію. Злодії ретельно вивчають потенційну жертву, збирають інформацію з відкритих джерел або соціальних мереж, щоб створити більш переконливе повідомлення. Наприклад, фішери можуть дослідити співробітників компанії і зробити підробну пошту вашого менеджера, аби втертися у довіру і змусити вас натиснути на лист без жодних підозр. Метою цього типу фішингу є прагнення зловмисників захопити дані чи ресурси когось конкретного, наприклад, посадовця компанії. Оскільки ці атаки більш витончені, то таким чином жертви з більшою імовірністю відкриють такий лист та перейде за шкідливими посиланнями.
Голосовий фішинг або “вішинг”
У цьому разі зловмисниики проводять фішингові атаки через телефонні дзвінки. Злочинці видають себе за співробітників банків, державних установ або ваших близьких та рідних. Також поширений вид вішингу — клонування голосу за допомогою спеціальних засобів, аби змусити вас повірити, що вам телефонує родич, близька людина чи колега.
Фішери можуть використовувати спеціальні програми для підміни номера телефону, аби легко ввести жертву в оману, викликавши перед тим ще більше довіри до себе. Основний ризик голосового фішингу — це вплив на психіку людини. Шахраї створюють відчуття того, що справа — термінова, аби таким чином морально натиснути на жертву. Вони використовують емоційні маніпуляції для того, щоб змусити людину діяти ірраціонально та гарячково через страх за себе чи близьких.
“Фармінг”
Суть цього виду фішингу полягає у перенаправленні користувачів на підроблені веб-сайти, навіть якщо, на перший погляд, ця адреса сайту є коректною. Жертви можуть не помітити, що вони перебувають на підробленому сайті, і надати свої особисті дані, які згодом будуть викрадені зловмисниками. Це може призвести до викрадення даних та власних коштів, або до встановлення шкідливого ПЗ або ж повного захоплення девайсу.
Полювання на велику здобич або ж “whaling”
Однією із особливостей цього виду фішингу — це таргетування на керівників компаній, державних діячів чи інших осіб, чия професія повʼязана із публічністю. Whaling-атаки часто використовують складні методи соціальної інженерії, щоб переконати впливових людей віддати їм потрібну інформацію чи ресурс.
“Смсшинг”
Цей вид фішингу схожий на інший, проте основна відмінність — це використання коротких повідомлень як способу комунікації між зловмисником та жертвою. Майте на увазі, що смсшинг-повідомлення часто містять скорочені посилання, які приховують справжню адресу веб-сайту, куди перенаправляється користувач.
Найпоширеніші фішингові тактики у 2024 році та як їм протистояти
Наступний етап дослідження фішингу – розібратися у головних тактиках, які використовують зловмисники під час атаки. Перевірка сайту на фішинг або виявлення справжніх мотивів співрозмовника може бути складною задачею, тож варто запамʼятати деякі ознаки.
Відчуття нагальної необхідності
Якщо ви відчуваєте, що на вас тиснуть, щоб ви швидко прийняли якесь рішення, не дають часу проаналізувати та осмислити ситуацію – це типовий прийом фішингу. Зловмисники можуть атакувати вас психологічно. Наприклад, сказати, що ваші гроші зараз зникнуть з рахунку або ваш акаунт буде видалено, якщо ви терміново не віддасте потрібну інформацію. Головна ціль тактики – застати жертву фішингу зненацька, щоб вона не змогла критично оцінити ситуацію.
Фішинг за допомогою штучного інтелекту
Використання штучного інтелекту – новий великий “тренд” атак зловмисників, щоб ввести людей в оману, з використанням можливостей високих технологій. Наприклад, ШІ здатен створити переконливий текст, аудіо, відео матеріал чи зображення. Зловмисники можуть використовувати deep fake для створення фальшивих відеозвернень від керівників компаній або інших авторитетних осіб, щоб переконати жертв слідувати інструкціям. Інша сильна сторона ШІ фішингу – персоналізація атак, оскільки технологія може аналізувати відповіді жертви, аби дати якомога більш влучну відповідь.
Спроба викликати довіру
Зловмисники часто видають себе за відомі компанії та бренди: банки, платіжні системи, поштові служби, соціальні мережі, державні установи тощо. Вони використовують логотипи, фірмові кольори та стиль комунікації цих компаній, щоб зробити свої повідомлення більш переконливими. Аби уникнути фішингу в такому випадку необхідно ретельно перевіряти кожен підозрілий лист або ж дзвінок. За потребою не соромтеся звернутися до служби підтримки компанії чи установи. Так ви можете перевірити, чи це справді вони намагалися зв’язатися з вами, а не шахраї.
Використання емоцій
Шахраї, які займаються фішингом, часто тиснуть на страх, жадібність або ж тривожність своїх жертв. Зловмисники можуть сказати, що їм загрожує небезпека, вони виграли приз або ж надати привабливу комерційну пропозицію, аби зменшити вплив того, що хвилює жертву.
Якщо ви отримали повідомлення, яке викликає у вас різкі та сильні емоції, не поспішайте діяти. Зробіть паузу, заспокойтеся та подумайте, чи дійсно воно може бути правдивим.
Відповіді на популярні питання
Все ще не впевнені щодо кроків задля захисту себе від фішингу? Ми рекомендуємо розібратися у деталях та тонкощах, аби ви могли напевне розпізнати обман та захистити себе.
Як працюють фішингові посилання?
Фішингові посилання часто маскуються під справжні лінки, аби вони здавалися менш загрозливими. Коли ви натискаєте на фішингове посилання, вас перенаправляють на підроблений веб-сайт, який виглядає як справжній. Ці підроблені веб-сайти зазвичай містять форми для введення особистої інформації. Тому слід завжди звертати увагу на такі деталі посилання, як домен, скорочення, помилки тощо.
Які критерії вказують на нелегітимність фішинг листа?
Якщо вас цікавить як перевірити посилання з листа на фішинг, ось декілька “червоних прапорців”, які в жодному разі не можна ігнорувати:
- фішингові листи часто надсилаються із загальних адрес електронної пошти, таких gmail чи yahoo тощо, а не з корпоративних адрес;
- зверніть увагу на правопис, формальність стилю спілкування та переконливість формулювань тексту у листі;
- фішингові листи часто є масовими розсиланнями та не містять персоналізованої інформації. Наврядчи справжня компанія, яка має ваші дані, буде надсилати листа без офіційного звернення до вас;
- якщо пропозиція чи твердження здається надто привабливиою, швидше всього це приманка. До прикладу, шахраї можуть стверджувати, що ви перемогли у конкурсі чи лотереї, і вам треба заплатити невеликий депозит, аби забрати ваш приз.
- не варто вірити листам, які начебто надіслала відома людина чи політик. Це теж один із способів, за допомогою яких можна дотримуватися перевірки посилання на фішинг;
- зауважте тон листа та манеру подачі інформації. Чи ваш банк справді використовував би емоджі та емоційні вирази під час професійної комунікації?
Яка різниця між фішингом і вішингом?
Хоч ці терміни і звучать подібне, це два різновиди обману, які варто розділяти. Головна відмінніст — це канали комунікації зловмисників. Запам’ятайте: фішинг відбувається через текстові повідомлення або листи, у той час як вішинг роблять через голосові повідомлення. Фішинг схеми можуть включати підробку сайтів та зараження девайсів діджитал-вірусами, а вішинг спирається переважно лише на соціальну інженерію.
Фішинг можливий лише в електронних листах?
Ні, фішинг — це сукупність різних видів обману, де зловмисники вдаються до текстових повідомлень, такі як смс або повідомлення у соціальних мережах.
Чим відрізняється спам від фішингу?
Хоч фішинг та спам — це пов’язані речі, все ж існують ключові відмінності між цими поняттями. Основна мета спаму – реклама або просування товарів та послуг. Спамери розсилають масові повідомлення широкому колу отримувачів, сподіваючись, що хоча б деякі з них зацікавляться їхньою пропозицією. Тож потенційно спам може й не бути небезпечним, а просто нав’язливим. Фішинг же завжди є методом обману та спробою отримати інформацію чи ресурси незаконним чином.
Які є відомі фішинг приклади?
Перевірка сайту на фішинг є популярною тактикою, яка неодноразово мала реальне застосування на практиці. Ось деякі відомі фішинг приклади, аби ви впевнились у необхідності захисту від цієї загрози:
- “злив” даних Sony Pictures, які привели до збитків компанії на більш ніж 100 мільйонів доларів. Причина – працівники високого рангу відкрили фішинг-листи, бо не керувалися правилами інтернет-безпеки;
- масовий обман з Кубком Світу 2018 року, коли багато користувачів отримало несправжні листи з пропозицією отримати безкоштовні квитки. Люди ввели свої дані, аби забрати приз, а натомість стали жертвами фішингу;
- довготривала фішинг-атака 2013-2015 року була націлена на Facebook та Google. Зловмисники направили працівникам компаній підробні інвойси, що призвело до фінансових втрат на більш ніж 100 мільйонів доларів.
Які є ризики, пов'язані з фішинговими електронними листами?
Інтернет-фішинг це реальна загроза, яка може призвести до неприємних чи навіть трагічних наслідків. Вашу інформацію можуть продати на dark web або ж просто “злити” у мережу. Фішингові листи можуть виманити у вас логіни, паролі та дані кредитної картки, що дозволить зламати рахунки. Злочинці можуть загрожувати опублікувати ваші особисті дані, якщо ви не заплатите їм викуп.
Фішинг є особливо актуальною та небезпечною загрозою для публічних особистостей. Статус та дохід відомих людей часто привертають надмірну увагу зловмисників, які намагаються завдати шкоди репутації та публічному іміджу жертви. Тому знати, що таке фішинг і як можна захиститися від нього, є особливо необхідним заходом, якщо ви є публічнлю особою.
Що робити, якщо ви стали жертвою фішингу?
Якщо ви вже стали ціллю фішинг-атаки, ось декілька кроків, аби швидко мінімізувати негативні наслідки:
- негайно змініть паролі всіх облікових записів, які могли бути “хакнуті” під час атаки;
- зателефонуйте банку або ж напишіть в онлайн-підтримку, щоб заморозити ваші картки;
- зверніться до кіберполіції або іншого правоохоронного органу, щоб повідомити про фішингову атаку;
- запустіть повне сканування за допомогою антивірусної програми, аби впевнитися, що ваш девайс не було заражено шкідливим ПЗ;
- перевірте свою кредитну історію, щоб виявити будь-які підозрілі дії. Наприклад, відкриття нових рахунків або отримання кредитів без вашого відома;
- розкажіть про фішинг-атаку людям з вашого контактного листа, аби вони теж не стали жертвами діджитал-шахрайства.
Дослідження кейсів фішингу від Molfar
Якщо ви не впевнені, що працівники вашої компанії знають, як уникнути фішинг атаки, замовте послугу HUMINT перевірки від Molfar. Ми допоможемо зʼясувати наскільки ваша команда готова до сучасних кіберзагроз та вміє їм протидіяти. Переходьте за посиланням або ж зв’яжіться через пошту [email protected], аби дізнатися деталі.