Що таке фішинг? Поради, правила безпеки та особливості у 2024 році
9.3.2024
9.3.2024
Фішинг — це вкрай розповсюджена проблема сьогодні, котра призводить до численних небезпек та незручностей як для компаній, так і для приватних осіб.
Дізнайтеся, що таке фішинг, аби убезпечити себе та своїх близьких від витоку ваших даних та інших наслідків, що повʼязані з викраденням чутливої інформації про вас.. Щоб не стати жертвою фішингу у мережі, рекомендуємо ознайомитися з гайдом, який підготувала редакція OSINT-агенції Molfar. У публікації розповідаємо про типи фішингу, ризики та небезпеку, повʼязану з фішингом, а також як вберегтися від діджитал-обману.
Фішинг – це поширена в мережі шахрайська схема. Як приклад — кейс, коли шахраї намагаються "виловити" ваші особисті дані: паролі, номери кредитних карток або банківських рахунків. Шляхом обману вони видають себе за когось іншого: за ваш банк, інтернет-магазин або навіть людину, яку ви знаєте. Для цього використовують підроблені електронні листи, вебсайти або повідомлення.
Загалом зловмисники можуть використовувати фішинг для:
Ось деякі з найпоширеніших типів інформації, які можуть спробувати виманити зловмисники:
Тепер, коли ви знаєте, що таке “фішинг”, необхідно розібратися у тому, які бувають атаки, та у чому полягає загроза кожного такого виду зловмисного втручання.
Це масове розсилання електронних листів з фішинговими посиланнями або вкладеннями. Це свого роду "ловля на живця" з надією, що хтось із отримувачів клюне на приманку. Тому дуже важливою є перевірка посилання на фішинг, аби уникнути комунікації із зловмисниками і випадково не завантажити вірус чи троян через ненадійне спам-посилання. Для цього завжди звертайте увагу на коректність кожної частини URL та чи сайт використовує незахищений тип з’єднання HTTP.
Цей спосіб є цілеспрямованою атакою на конкретну особу або організацію. Злодії ретельно вивчають потенційну жертву, збирають інформацію з відкритих джерел або соціальних мереж, щоб створити більш переконливе повідомлення. Наприклад, фішери можуть дослідити співробітників компанії і зробити підробну пошту вашого менеджера, аби втертися у довіру і змусити вас натиснути на лист без жодних підозр. Метою цього типу фішингу є прагнення зловмисників захопити дані чи ресурси когось конкретного, наприклад, посадовця компанії. Оскільки ці атаки більш витончені, то таким чином жертви з більшою імовірністю відкриють такий лист та перейде за шкідливими посиланнями.
У цьому разі зловмисниики проводять фішингові атаки через телефонні дзвінки. Злочинці видають себе за співробітників банків, державних установ або ваших близьких та рідних. Також поширений вид вішингу — клонування голосу за допомогою спеціальних засобів, аби змусити вас повірити, що вам телефонує родич, близька людина чи колега.
Фішери можуть використовувати спеціальні програми для підміни номера телефону, аби легко ввести жертву в оману, викликавши перед тим ще більше довіри до себе. Основний ризик голосового фішингу — це вплив на психіку людини. Шахраї створюють відчуття того, що справа — термінова, аби таким чином морально натиснути на жертву. Вони використовують емоційні маніпуляції для того, щоб змусити людину діяти ірраціонально та гарячково через страх за себе чи близьких.
Суть цього виду фішингу полягає у перенаправленні користувачів на підроблені веб-сайти, навіть якщо, на перший погляд, ця адреса сайту є коректною. Жертви можуть не помітити, що вони перебувають на підробленому сайті, і надати свої особисті дані, які згодом будуть викрадені зловмисниками. Це може призвести до викрадення даних та власних коштів, або до встановлення шкідливого ПЗ або ж повного захоплення девайсу.
Однією із особливостей цього виду фішингу — це таргетування на керівників компаній, державних діячів чи інших осіб, чия професія повʼязана із публічністю. Whaling-атаки часто використовують складні методи соціальної інженерії, щоб переконати впливових людей віддати їм потрібну інформацію чи ресурс.
Цей вид фішингу схожий на інший, проте основна відмінність — це використання коротких повідомлень як способу комунікації між зловмисником та жертвою. Майте на увазі, що смсшинг-повідомлення часто містять скорочені посилання, які приховують справжню адресу веб-сайту, куди перенаправляється користувач.
Наступний етап дослідження фішингу – розібратися у головних тактиках, які використовують зловмисники під час атаки. Перевірка сайту на фішинг або виявлення справжніх мотивів співрозмовника може бути складною задачею, тож варто запамʼятати деякі ознаки.
Якщо ви відчуваєте, що на вас тиснуть, щоб ви швидко прийняли якесь рішення, не дають часу проаналізувати та осмислити ситуацію – це типовий прийом фішингу. Зловмисники можуть атакувати вас психологічно. Наприклад, сказати, що ваші гроші зараз зникнуть з рахунку або ваш акаунт буде видалено, якщо ви терміново не віддасте потрібну інформацію. Головна ціль тактики – застати жертву фішингу зненацька, щоб вона не змогла критично оцінити ситуацію.
Використання штучного інтелекту – новий великий “тренд” атак зловмисників, щоб ввести людей в оману, з використанням можливостей високих технологій. Наприклад, ШІ здатен створити переконливий текст, аудіо, відео матеріал чи зображення. Зловмисники можуть використовувати deep fake для створення фальшивих відеозвернень від керівників компаній або інших авторитетних осіб, щоб переконати жертв слідувати інструкціям. Інша сильна сторона ШІ фішингу – персоналізація атак, оскільки технологія може аналізувати відповіді жертви, аби дати якомога більш влучну відповідь.
Зловмисники часто видають себе за відомі компанії та бренди: банки, платіжні системи, поштові служби, соціальні мережі, державні установи тощо. Вони використовують логотипи, фірмові кольори та стиль комунікації цих компаній, щоб зробити свої повідомлення більш переконливими. Аби уникнути фішингу в такому випадку необхідно ретельно перевіряти кожен підозрілий лист або ж дзвінок. За потребою не соромтеся звернутися до служби підтримки компанії чи установи. Так ви можете перевірити, чи це справді вони намагалися зв’язатися з вами, а не шахраї.
Шахраї, які займаються фішингом, часто тиснуть на страх, жадібність або ж тривожність своїх жертв. Зловмисники можуть сказати, що їм загрожує небезпека, вони виграли приз або ж надати привабливу комерційну пропозицію, аби зменшити вплив того, що хвилює жертву.
Якщо ви отримали повідомлення, яке викликає у вас різкі та сильні емоції, не поспішайте діяти. Зробіть паузу, заспокойтеся та подумайте, чи дійсно воно може бути правдивим.
Все ще не впевнені щодо кроків задля захисту себе від фішингу? Ми рекомендуємо розібратися у деталях та тонкощах, аби ви могли напевне розпізнати обман та захистити себе.
Фішингові посилання часто маскуються під справжні лінки, аби вони здавалися менш загрозливими. Коли ви натискаєте на фішингове посилання, вас перенаправляють на підроблений веб-сайт, який виглядає як справжній. Ці підроблені веб-сайти зазвичай містять форми для введення особистої інформації. Тому слід завжди звертати увагу на такі деталі посилання, як домен, скорочення, помилки тощо.
Якщо вас цікавить як перевірити посилання з листа на фішинг, ось декілька “червоних прапорців”, які в жодному разі не можна ігнорувати:
Хоч ці терміни і звучать подібне, це два різновиди обману, які варто розділяти. Головна відмінніст — це канали комунікації зловмисників. Запам’ятайте: фішинг відбувається через текстові повідомлення або листи, у той час як вішинг роблять через голосові повідомлення. Фішинг схеми можуть включати підробку сайтів та зараження девайсів діджитал-вірусами, а вішинг спирається переважно лише на соціальну інженерію.
Ні, фішинг — це сукупність різних видів обману, де зловмисники вдаються до текстових повідомлень, такі як смс або повідомлення у соціальних мережах.
Хоч фішинг та спам — це пов’язані речі, все ж існують ключові відмінності між цими поняттями. Основна мета спаму – реклама або просування товарів та послуг. Спамери розсилають масові повідомлення широкому колу отримувачів, сподіваючись, що хоча б деякі з них зацікавляться їхньою пропозицією. Тож потенційно спам може й не бути небезпечним, а просто нав’язливим. Фішинг же завжди є методом обману та спробою отримати інформацію чи ресурси незаконним чином.
Перевірка сайту на фішинг є популярною тактикою, яка неодноразово мала реальне застосування на практиці. Ось деякі відомі фішинг приклади, аби ви впевнились у необхідності захисту від цієї загрози:
Інтернет-фішинг це реальна загроза, яка може призвести до неприємних чи навіть трагічних наслідків. Вашу інформацію можуть продати на dark web або ж просто “злити” у мережу. Фішингові листи можуть виманити у вас логіни, паролі та дані кредитної картки, що дозволить зламати рахунки. Злочинці можуть загрожувати опублікувати ваші особисті дані, якщо ви не заплатите їм викуп.
Фішинг є особливо актуальною та небезпечною загрозою для публічних особистостей. Статус та дохід відомих людей часто привертають надмірну увагу зловмисників, які намагаються завдати шкоди репутації та публічному іміджу жертви. Тому знати, що таке фішинг і як можна захиститися від нього, є особливо необхідним заходом, якщо ви є публічнлю особою.
Якщо ви вже стали ціллю фішинг-атаки, ось декілька кроків, аби швидко мінімізувати негативні наслідки:
Якщо ви не впевнені, що працівники вашої компанії знають, як уникнути фішинг атаки, замовте послугу HUMINT перевірки від Molfar. Ми допоможемо зʼясувати наскільки ваша команда готова до сучасних кіберзагроз та вміє їм протидіяти. Переходьте за посиланням або ж зв’яжіться через пошту info@molfar.com, аби дізнатися деталі.