Фишинг (англ. phishing, от fishing — рыбная ловля и password — пароль) – один из самых распространённых и коварных видов интернет-мошенничества. Его цель – выманить персональные данные пользователя (авторизационные данные, номера банковских карт и другую конфиденциальную информацию), и, в конечном счете, деньги.
Чаще всего сайты-подделки распространяются в виде ссылок по электронной почте или в мессенджерах. Мошенники мастерски подходят к оформлению сообщений, максимально копируя стиль реальных организаций. Они выбирают наиболее популярные компании и ресурсы — соцсети, интернет-магазины, банки, стриминговые сервисы или госструктуры. И затрагивают наиболее актуальные или массово применимые темы для пользователей.
Ещё один вариант фишинга – клоны аккаунтов друзей и коллег в социальных сетях и мессенджерах. В этом случае мошенники копируют всю общедоступную информацию и фотографии пользователя, а затем стараются привлечь его подписчиков на фейковую страницу, мотивируя это взломом прошлого аккаунта. Дальше –больше: подписчики получают сообщения с фишинговой ссылкой, по которой просят перейти и поддержать общего друга, например, в голосовании, а также распространить эту ссылку по своим контактам .
Основная проблема в том, что не существует программы или ПО, которые бы на 100% защитили от фишинга. Всё зависит от потенциальной жертвы — сможет ли она вовремя распознать фейк и не попасться на удочку мошенника.
Как распознать фишинг?
В фишинговых рассылках используют приемы социальной инженерии, а это значит, что получателя будут завлекать подарками и бонусами, устрашать срочностью или авторитетом, давить на больное или вызывать любопытство. Даже если сложно сразу понять, какую эмоцию вызывает сообщение, не спешите отвечать или выполнять инструкции из него – сначала обратите внимание на важные детали. Такие как:
● Тема письма максимально привлекает внимание. Например, небывалые скидки, акции, компенсации, взлом или блокировка учётной записи.
● Призыв срочно что-то сделать. Основные слова-маркеры – это «срочно», «быстрее», «скидка только сегодня».
● Странный адрес отправителя. Нагромождение случайных букв и цифр или странный домен в адресе отправителя письма.
● Ссылка в письме на какой-то непонятный доменный адрес или наличие вложенного документа с популярными расширениями (например, установочные файлы (.exe, .scr, .msi, .com, .dmg, .apk), документы Microsoft Office (.doc,.docx, .xls,.xlsx, .ppt, .pptx, .rtf), архивы (.jar, .zip, .rar) и файлы .pdf).
Если вы заметили несколько или даже одну из таких “наживок”, то скорее всего это фишинговое письмо массовой рассылки.
Как себя защитить?
Если вы получили неожиданное письмо от организации, интернет-магазина или сообщение от друга, который давно не писал, стоит насторожиться. По возможности проверьте свои аккаунты, свяжитесь с отправителем любым альтернативным способом и уточните, действительно ли он написал сообщение подобного содержания. Например, уведомление из банка можно проверить, позвонив по телефону на обратной стороне карты. В социальную сеть зайти, набрав адрес вручную. Информацию о розыгрыше проверить на официальном сайте компании. Но! Ни в коем случае не переходите по ссылкам и не открывайте вложения до тех пор, пока не убедитесь, что они подлинные.
Особенно стоит быть внимательным в период каких-то массовых событий, вызывающих ажиотаж и повальный интерес. С сайтом-фальшивкой можно также столкнуться и в поисковике, например, при введении очень популярных запросов на товары или услуги. Поэтому обращайтесь только к проверенным ресурсам, не ведитесь на сверхзаманчивые предложения и низкие цены. Старайтесь всегда анализировать ссылки (URL) – обращайте внимание на наличие протокола безопасности https и значок замка, которые используют проверенные ресурсы. Хотя это не является 100% гарантией безопасности ресурсов, отсутствие «s» на конце протокола http и значка замка – явное предупреждение об отсутствии повышенных мер защиты.
При оформлении онлайн-покупок самый главный совет – не совершайте предоплату на непроверенных сайтах, а также используйте специальную банковскую карту для интернет-платежей.
И запомните, даже если вы перешли по ссылке и вовремя поняли, что это фишинговый сайт, ни в коем случае не вводите свои личные данные и не пытайтесь авторизоваться на этом сайте. Одна из самых лучших практик по защите от фишинга – переход на беспарольные способы входа в аккаунты. Например, для VK ID рекомендуем использовать OnePass как единственный способ входа.
В случае, если вы продолжаете использовать пароль для входа в сервис, то используйте надежные пароли (больше 12 символов с использованием цифр, знаков и букв разного регистра, без использования имен, дат рождения и последовательности чисел), храните их в парольных менеджерах и обязательно подключите двухфакторную аутентификацию. И помните, что, если вы вдруг заметили подозрительную активность в вашем аккаунте, – мгновенно смените пароль и/или завершите сторонние сессии, чтобы пресечь любые попытки злоумышленников.
Мошенничество в интернете — это преступление, которое регулируется Уголовным кодексом, и за которое предусмотрено наказание. В Уголовном кодексе нет отдельной статьи с описанием состава преступления мошенничества в интернете, но...
Интернет настолько неотделим от привычных повседневных действий, что мы не так часто задумываемся об онлайн-безопасности. А зря. По данным МТС RED только с начала 2023 года...