Главная » Советы

Статьи и публикации

На чтение: 26 мин Советы

Спам, фишинг и социальная инженерия

Хоть это уже и не совсем актуально, большинство людей, используя эти термины в разговоре, не всегда применяют данные понятия по назначению. Например, брутфорс и атака по словарю — метод один и тот же, но подходы разные.

Поэтому немного терминологии:

Спам — это любые рассылки сообщений, и не обязательно от злоумышленника. Любые нежелательные рекламные письма, на получение которых получатель не давал согласия. Они происходят массово и нецеленаправленно.

Фишинг — это кампании, нацеленные на получение выгоды от жертвы (аутентификационных данных, денег). Часто это понятие пересекается со спамом в сумме с социальной инженерией, но спам и фишинг существуют параллельно друг с другом. Например, создание поддельного сайта с перехватом учетных данных или cookie-сессий.

Социальная инженерия (СИ) — это некие психологические техники, которые используют хакеры. Они используется для убеждения жертвы в чем-либо или чтобы предвидеть ее действия. Профессиональные социальные инженеры практически «взламывают» людей, а обычным хакерам достаточно знать основные точки давления. Подробнее об этом мы писали здесь.

Как правило, для хорошей кампании необходимо использовать все три понятия. В данных техниках одно без другого не будет иметь положительного результата.

Приведенные техники описаны только для ознакомления. Ни автор, ни редакция не несут ответственности за вред, нанесенный описанными способами.

Техника устаревшая, 2014-2015 годов (до ввода двухфакторной аутентификации), в реальных примерах уже почти не встречается.

Есть множество хакерских форумов, где можно заказать, к примеру, взлом страницы социальной сети. Реальный взлом аккаунта vk.com посредствам фишинга выглядит так:

Рисунок 1. Код фишинговой валидации vk.com

 

Это реальный пример грамотного фишинга, в котором используется социальная инженерия и спам. Он направлен на одну жертву, поэтому все должно выглядеть правдоподобно. Внушается доверие от автора сообщения (это же администрация, ей можно доверять), и теряется бдительность, а дальше — дело техники.

Почтовый фишинг

Возможно, будучи самым распространенным типом фишинга, он зачастую использует технику «spray and pray», благодаря которой хакеры выдают себя за некую легитимную личность или организацию, отправляя массовые электронные письма на все имеющиеся у них адреса электронной почты.

Такие письма содержат характер срочности, например, сообщая получателю, что его личный счет был взломан, а потому он должен немедленно ответить. Их цель заключается в том, чтобы своей срочностью вызвать необдуманное, но определенное действие от жертвы, например, нажать на вредоносную ссылку, которая ведет на поддельную страницу авторизации. Там, введя свои регистрационные данные, жертва, к сожалению, фактически передает свою личную информацию прямо в руки мошенника.

Пример почтового фишинга

The Daily Swig сообщила о фишинговой атаке, произошедшей в декабре 2020 года на американского поставщика медицинских услуг Elara Caring, которая произошла после несанкционированного компьютерного вторжения, нацеленного на двух его сотрудников. Злоумышленник получил доступ к электронной почте сотрудников, в результате чего были раскрыты личные данные более 100 000 пожилых пациентов, включая имена, даты рождения, финансовую и банковскую информацию, номера социального страхования, номера водительских прав и страховую информацию. Злоумышленник имел несанкционированный доступ в течение целой недели, прежде чем Elara Caring смогла полностью остановить утечку данных.

Кто будет отвечать?

О том, как может выглядеть цепочка событий, рассказывает Людмила Харитонова — управляющий партнёр юридической фирмы «Зарцын & партнеры»: «Покупатель может обратиться в банк с заявлением о возврате средств — на это есть 180 дней с момента платежа». Харитонова добавляет, что, если срок прошёл, можно обратиться в суд или правоохранительные органы — правда, шансов на успех будет меньше, а сама процедура — сложнее. Что касается продавца, он должен обезопасить себя и доказать, что списание было правомерным. Для этого нужно понять, каким образом произошла оплата и какие доказательства имеет магазин, считает Харитонова.

«Если у фирмы есть договор купли-продажи в формате оферты и она корректно выстроила систему акцепта, логировала данные — есть шанс доказать правоту», — рассуждает она

Харитонова обращает внимание, что магазин может обратиться к получателю товара и взыскать с него сумму задолженности, даже если чарджбэк уже сделали.. «Для россиян опасность в том, что банки крайне неохотно принимают заявления о пропаже средств: вместо этого отправляют в полицию, а те, в свою очередь, в банк

И так по кругу, — комментирует Сергей Павлович. — Процент отказа по делам, где владелец карты не виноват, действительно большой».

«Для россиян опасность в том, что банки крайне неохотно принимают заявления о пропаже средств: вместо этого отправляют в полицию, а те, в свою очередь, в банк. И так по кругу, — комментирует Сергей Павлович. — Процент отказа по делам, где владелец карты не виноват, действительно большой».

Ещё одна вещь, которой стоит опасаться, — это утечка клиентских данных. Если магазин виноват, ему отвечать. В Евросоюзе, например, действует Общий регламент по защите данных (GDPR): он обязывает обезличивать и надёжно хранить данные пользователей. Упомянутую выше British Airways оштрафовали на 20 млн фунтов стерлингов — за нарушение этого закона.

Сайт, данные которого скомпрометировали, может получить санкции в интернете. Его могут включить в чёрный список поисковых систем: он перестанет индексироваться в выдаче, плюс браузер начнёт выдавать такое предупреждение:


Так выглядит предупреждение браузера об отсутствии защиты. Скриншот автора

В России случаи утечки регулируются 152-ФЗ «О персональных данных».

«Штрафы за нарушение 152-ФЗ в России предполагают десятки тысяч рублей за утечку данных каждого пострадавшего субъекта. Однако на практике Роскомнадзор и суды ограничиваются штрафами за факт утечки — независимо от количества субъектов, чьи данные были раскрыты. Штраф идёт в пользу государства. Лицу, чьи данные были раскрыты, ещё нужно доказать, что оно понесло ущерб от этого раскрытия. Оно может получить компенсацию, но, скорее всего, только через суд».

Фёдор Музалевский,
директор технического департамента RTM Group

Куда пожаловаться

Подать жалобу на обманные ресурсы можно разными способами:

  1. Через настройки браузера.
  2. В инструментах антивирусов или на их сайтах также есть возможность написать об фишинговом ресурсе.
  3. Используйте сервисы WHOIS: свяжитесь с владельцем хоста. Обратитесь к администрации через контакты на странице.
  4. Отправьте ссылку в вирусные лаборатории. Сделайте ее неактивной, напишите жалобу на английском и отправьте по известным электронным почтам лабораторий. Контактные данные есть на ресурсах компаний, занимающихся защитой информации.
  5. С помощью форм на сайтах:
    -Антивирусов: Касперского, Baidu Antivirus;
    -Поддержки соцсетей: Вконтакте и др.;
    -Поддержки поисковых систем: Яндекса, Google;
    -Авиры;
    -Тематических ресурсов, созданных специально для отслеживания подобного обмана;
    -Лиги безопасного интернета.
  6. С помощью специальных разделов на страницах государственных служб: МВД, Роскомнадзор.

Как распознать фишинговое сообщение?

Предугадать действия мошенников не всегда просто, но если мы не позволяем себе увлечься и спокойно подходим к каждому и особенно подозрительному сообщению, проверяем его несколько элементов, то у нас есть хороший шанс не стать жертвой фишинга. Ниже приведены некоторые примеры вредоносных сообщений. В них будут указаны основные элементы фишинговых атак, которые должны помочь вам их распознать.

Обратите внимание на отправителя сообщения

В большинстве случаев мошенники не пытаются скрыть адрес, откуда поступают опасные сообщения, или неумело выдают себя за доверенного поставщика услуг. Приведенный пример ясно показывает, что в поле «От» отсутствует адрес из домена банка, как утверждают киберпреступники. Вместо этого вы можете найти домен *.com.ua или *.org.ua вместо *.ua, который используется финансовыми учреждениями, действующими в Украине. Иногда мошенники более хитры и используют адреса, похожие на службы, которые они олицетворяют, но отличаются от оригинала небольшими деталями, такими как содержание письма или аннотации к ним.

Проверьте адрес страницы, на которую ведет ссылка

Особое внимание в сообщениях электронной почты следует уделять адресам страниц, на которые они ссылаются. Вопреки внешнему виду, вам не нужно нажимать на них, чтобы увидеть, куда они вас перенесут

Просто наведите указатель мыши на ссылку и подождите, пока браузер или программа электронной почты не покажет URL, скрытый под текстом. Особое внимание следует уделять сайтам, не имеющим отношения к предоставляемой услуге.

Не увлекайтесь

Спешка никогда не бывает хорошим помощником. Тоже самое касается анализа полученных сообщений, которые приходят на нашу почту. Преступники часто пытаются заставить потенциальных жертв поторопиться и, конечно же, для того, чтобы спровоцировать ошибку. Они всячески стараются ограничить промежуток действия акции или розыгрыша, когда вы получите свой приз или денежное вознаграждение.

В некоторых случаях мошенники даже угрожают блокировкой учетной записи в каком-либо сервисе. Не обманывайтесь этим и всегда тщательно проверяйте подозрительные сообщения. Помните, что бесплатный сыр бывает только в мышеловке. К тому же организаторы розыгрышей и акций вряд ли будут блокировать вашу учетную запись. Им нужны подписчики и поклонники для других подобных акций.

Запрос конфиденциальных данных — это всегда афера

Основной принцип безопасности при электронной связи поставщиков услуг и их клиентов состоит в том, чтобы не отправлять конфиденциальные данные в переписке. Если вас попросят ввести логин и пароль для службы, потому что ваша учетная запись заблокирована или нечто подобное, вы можете быть уверены, что сообщение было отправлено преступниками. Однако, если у вас есть сомнения, пожалуйста, свяжитесь с поставщиком, к примеру, услуг телефонной связи, который рассеет любые ваши сомнения. Помните, ни банки, ни мобильные операторы или иные службы не имеют права заставлять вас отправлять им персональные данные.

Читать также: Почему в наше время без VPN в Интернет лучше не заходить

Трудности перевода

Значительная часть фишинговых кампаний подготовлена ​​иностранными преступниками, которые не имеют представления о нашем языке. Они используют онлайн-сервисы для перевода содержимого электронных писем на русский или украинский языки, что часто оказывается довольно забавным. Такие сообщения не лишены грамматических ошибок, в них отсутствуют знаки препинания и куча неправильно написанных слов. Если вы заметили что-то подобное, можете без сомнений удалить сообщение.

Остерегайтесь вложений

Преступники также используют вредоносные программы для захвата конфиденциальных данных или взлома компьютеров и целых сетей. Механизм действия тот же и ограничен попыткой убеждения жертвы открыть вредоносное вложение. Чаще всего они скрыты в архивах ZIP или RAR и имеют форму исполняемых файлов EXE или BAT

Однако они также могут скрыть вредоносный код в макросах документов программ Microsoft Office или Google Docs, поэтому вам следует обратить на них внимание и выполнить сканирование с помощью антивирусной программы перед запуском

Если вы обращаете внимание на эти элементы при анализе подозрительных сообщений, скорее всего вас не одурачат преступники

Происхождение термина “фишинг”

Интересным является происхождение термина фишинг (phishing). Большая часть источников ссылаются на корни английского слова fishing, которое можно перевести как ловить рыбу, или выуживать, что и правда очень точно описывает интернет мошенничество. Единственно, что является непонятным, почему вместо первой буквы f стоит буквосочетание ph. Кстати не в каждом англо-русском словаре можно отыскать слово phishing, только достаточно новые современные словари имеют его в наличии, такой термин присутствует и переводят его просто как фишинг. Понятно, что когда речь идет о рыбной ловле, используют слово fishing, а когда подразумевают мошенничество в интернете в интернете, то применяется термин phishing.

Популярная интернет энциклопедия  «Википедия» этот факт объясняет это тем, что будто термин phishing ведет происхождение “от двух английских слов: password – пароль и fishing –выуживание, то есть выуживание паролей”. Выглядит достаточно логичным такое объяснение происхождения этого слово, если бы не одно “но”. Рasswоrd не имеет буквы «h», отсюда  становится неясно откуда она взялась в слове phishing.

Поэтому более правдоподобным кажется утверждение, что составными частями нового термина phishing, который используют чтобы определить шпионские действия по выуживанию личных финансовых данных, есть два английских слова:  phreaker и fishing.

Слово “phreaker” тоже сложно найти в словарях, потому, что  это специализированный термин, сленг, который применяют чтобы определить людей, досконально изучивших структуру телефонных линий связи и которые пользуются этими знаниями в незаконных операциях. Говоря на современном языке фрикеры это телефонные хакеры.

Еще чаще фишинг происходит в ходе атак, применяя методы социальной разработки. Фишеры могут попытаться напугать клиента, продумав критическую причину, чтобы он сообщил персональные данные. Содержание угроз передает сообщения. Например, заблокировать учетную запись в случае отказа выполнить получателем требований указанных в сообщении (если Вы не сообщите о своих данных в течение недели, Ваша учетная запись будет заблокирована). Часто,  причина, по которой пользователь предположительно должен выпустить конфиденциальную информацию по вызову Фишера, является улучшение системы антифишинга (если Вы хотите защитить себя от фишинга, перейти по этой ссылке и ввести вход в систему и пароль).

Веб-сайты фишинга, в среднем, существуют около 5 дней. Поскольку антифишинг фильтрует достаточно быстро полученную информацию о новых угрозах, Фишер должен регистрировать все новые и новые веб-сайты. Их появление постоянно, т.е. оно соответствует официальному сайту, под которым жулики пытаются подделать веб-сайт.

Посетив поддельный веб-сайт и произведя вход в систему с помощью логина и пароля в соответствующих строках – пользователи предоставляют данные спекулянтам, которые получают доступ в лучшем случае к его почтовому ящику в худшем — в электронную учетную запись. Кассовые счета жертв фишера, фишер обналичивает не самостоятельно так как практически трудно выполнить его не привлекая внимания к человеку, который занят обналичиванием их. Поэтому имея персональные данные, большинство фишеров перепродают их другим жуликам, занятым схемами денежных переводов из учетных записей.

Самые частые жертвы фишинга — банки, поставщики услуг электронного платежа, аукционы. Значит мошенников интересуют те самые персональные данные, которые предоставляют доступ к деньгам. Однако, кража персональных данных из электронной почты также популярна — эти данные могут быть полезны для тех, кто создает вирусы или создает сеть зомби.

Основные виды фишинга

Мошеннические схемы имеют разновидности, вот основные способы, с которыми может столкнуться каждый пользователь интернета:

Выуживание с обманом

Переход на поддельные сайты-клоны по ссылкам из полученных писем «счастья». Самый массовый и простой способ фишинга, но теряет свою эффективность, потому что технически часто распознаётся браузерами и антивирусами. Часто работают грубо, что людям не составляет труда их раскусить.

Вишинг

Приходит письмо или сообщение с просьбой перезвонить по указанному номеру для уточнения каких-либо учётных данных. Когда доверчивый пользователь звонит, с него выуживают информацию. Никогда не ведитесь на подобные послания, чистой воды «липа». Тем, кому надо — позвонят сами.

Появились звонки от роботов и он сообщает о подозрительных действиях на вашем банковском счёте. Если человек повёлся, его соединяют с оператором, а тот уж пытается выудить информацию.

Гарпун

Атака на конкретного пользователя или компанию. Для такого вида изучается объект по имеющейся информации в интернете, из соцсетей и имеет адресный характер, что более убедительно, чем безличный способ.

Социальная инженерия

Представляются представителями компаний и под предлогом срочного уточнения данных, восстановления доступа к счёту, которые вдруг потерялись или возникли неясности вытягивают нужную информацию.

Составляющие фишинга

Разберем механизм фишинга: что заставляет людей попадаться на удочку мошенников?

Психологические факторы

Фишинг используют, играя на чувствах и эмоциях, присущих большинству из нас. Это могут быть как отрицательные качества человеческой натуры: лень, жажда легких денег, любопытство и даже ревность, так и абсолютно естественные чувства честного человека: страх перед возможным банкротством или невозможностью погасить долг, боязнь быть обманутым и др.

Разумеется, подобный обман очень быстро вскроется, но фишинг-мошенники редко работают в долгосрочной перспективе. Их цель – несколько жертв, а в дальнейшем будет изобретено что-то другое.

Побуждение к действию

Вышеупомянутые эмоции побуждают пользователей пойти на поводу у фишеров. Что может стать причиной выдачи информации преступникам? Например:

Можно привести еще множество примеров фишинга. Все они имеют целью запугать человека либо соблазнить выгодным предложением, а после – выудить нужную информацию, а нередко и деньги.

Поддельные ссылки

Ссылки, используемые для фишинга, ведут на ложные интернет-страницы, которые максимально похожи на настоящие. Чтобы неопытный пользователь (к тому же, находящийся под влиянием эмоций) не мог распознать подделку, над созданием фейкового сайта трудятся программисты и дизайнеры.

Есть одна отличительная особенность фишинга, на которой я бы хотела акцентировать внимание: мошенники постоянно вас торопят. В их обращении довольно часто присутствуют такие слова – «скорее», «быстрее», «торопись, а то будет поздно» и т.д

и т.п. Это своего рода маркетинговый ход, который применяют и реальные компании в рекламных слоганах. Но согласитесь, солидная компания, банк, юридическая фирма и тем более государственный орган вряд ли будут использовать такие слова. Это один из факторов, который должен насторожить. Поторопиться злоумышленники призывают по нескольким причинам:

  • вы можете передумать;
  • вы проконсультируетесь с кем-то, кто укажет вам на фишинг;
  • фейковые ссылки, как правило, не живут долго.

Обход фильтров

Чтобы письмо не отправилось прямиком в папку «Спам», мошенники в области фишинга используют различные ухищрения. Например, заменяют текст картинкой, русские буквы – латинскими или цифрами. Так, мне неоднократно приходило в Вайбер сообщение от «Сбербанка», с очень похожим логотипом и номером отправителя «900». Однако если присмотреться, нули были заменены на заглавные буквы «О». К сожалению, многие люди, особенно пожилые, не обращают внимания на подобные нюансы.

Методы защиты от фишинга

Почтовые серверы и клиенты, а также браузеры имеют встроенные средства защиты от фишинга. Достаточно ли этих инструментов, чтобы защититься от атаки? Так ли нужны наложенные решения? Эти и другие вопросы Алексей Лукацкий предложил обсудить в следующей части дискуссии.

Как пояснили эксперты в студии, встроенные средства безопасности почтовых сервисов и браузеров предоставляют базовый уровень защиты, который злоумышленники способны обойти, поскольку имеют возможность протестировать соответствующие механизмы до начала атаки. Наложенные средства реализуют более сложные алгоритмы, которые также могут быть изучены киберпреступниками, однако это существенно увеличит стоимость атаки — ведь нападающим придётся приобрести соответствующие решения для проверки и тестирования. Далеко не во всех случаях злоумышленники пойдут на такой шаг; так образуется «окно безопасности», где наложенные средства будут обеспечивать эффективную защиту.

По мнению спикеров, современное решение для защиты электронной почты должно обладать следующими свойствами:

  • Регулярно обновляться.
  • Использовать методы машинного обучения для распознавания атак.
  • Уметь хорошо разбирать структуру и текст письма, «понимать» его содержание, распознавать текст на картинке, а также выявлять другие индикаторы.
  • Обладать механизмом оценки репутации отправителя и указанных в письме доменов.

Эксперты AM Live отметили, что машинное обучение используется в антифишинговых системах для сравнения страниц сайтов, а также определения подозрительных доменных имён. Эти действия нельзя автоматизировать при помощи сигнатур или статистических методов, однако искусственный интеллект хорошо справляется с этой задачей. Кроме того, при помощи машинного обучения можно анализировать действия пользователя, которые он пытается совершить после получения сообщения, и таким образом пресечь развитие атаки.

В качестве основы для машинного обучения разумно использовать поставляемую вендором базу, поскольку собственных данных организации может быть недостаточно — ведь они быстро устаревают. При этом специалист по информационной безопасности может дополнять её, а также вручную корректировать решения искусственного интеллекта для более точной настройки правил.

Зрители прямого эфира AM Live в своих компаниях чаще всего контролируют только канал доставки электронной почты. Об этом в ходе опроса рассказали 60 % респондентов. Ещё 15 % опрошенных защищают другие каналы, такие как мессенджеры или голосовые звонки, а 25 % наших зрителей вообще не используют технические средства защиты от фишинга.

Рисунок 3. Какие каналы доставки фишинга вы контролируете техническими средствами?

Дополнительно мы поинтересовались тем, настроены ли у зрителей встроенные механизмы защиты от фишинга в почте и браузерах. Как оказалось, у 36 % респондентов встроенная защита настроена только на почтовых серверах и клиентах, а у 8 % — только в браузерах. Защищают и почту и браузеры 30 % участников опроса, а у 26 % зрителей AM Live встроенные средства безопасности не настроены вообще.

Рисунок 4. Настроены ли у вас встроенные механизмы защиты от фишинга в почте и браузерах?

Существует ли защиты от фишинга?

Задумались о том, как защититься от фишинга? С учетом разнообразия методов, действительно хитрых схем фишинга, увеличивается необходимость в усилении применяемых мер безопасности. Основными способами защиты персональных данных от интернет-мошенников являются:

  • Спам-фильтры в электронной почте. Фильтры почтовых программ и сервисов автоматически блокируют фишинговые электронные письма, попадающие в почтовые ящики пользователей, и помещают их в специальную папку. В нее иногда попадает и реклама.
  • Привязка почтового аккаунта к номеру мобильного телефона. Многие сайты предоставляют возможность SMS-авторизации, то есть использования мобильного телефона в качестве дополнительного способа для входа в учетную запись, проверки и подтверждения проведения банковских транзакций. Для входа в аккаунт в случае смены IP-адреса пользователь вводит одноразовый код или пароль, приходящий на его мобильный телефон. Это существенно снижает риски: даже в случае успешной фишинг-атаки украденный киберпреступников пароль сам по себе не может быть повторно использован для дальнейшего проникновения.
  • Проверка ссылки на фишинг на специальных анти-фишинговых сайтах. Существуют организации, специализирующиеся на борьбе с фишингом, например, FraudWatch International, Millersmiles. Они публикуют сведения о подтвержденных фишинговых атаках, происходящих в Интернете.

Функция «антифишинг» в современных браузерах

Все наиболее популярные браузеры на сегодняшний день имеют встроенную функцию обнаружения и блокировки фишинговых сайтов, которая работает на основе черного списка.

Соблюдение мер предосторожности. Хотя власти разных стран, крупные IT-компании (Microsoft, Google, Amazon и другие) активно борются с фишингом и другими видами киберпреступлений, а соблюдение всех необходимых мер предосторожности позволяет не попасться на уловки мошенников

В целях безопасности не следует открывать подозрительные электронные письма, не переходить по ссылкам, не кликать по объектам, самостоятельно вводить URL-адреса сайтов компаний в адресную строку браузера вместо клика по любым гиперссылкам в сообщении, не вводить личные данные на неизвестных интернет-ресурсах. Кроме того рекомендуется «усложнить» процедуру авторизации, доступную на сайтах, своевременно обновлять антивирусное программное обеспечение на всех своих устройствах. А самое главное и простое правило – всегда помнить о том, что никакие интернет-сервисы, сотрудники банков или других организаций не будут спрашивать пароль, PIN-код банковской карты и другие конфиденциальные данные.

Фишинг – один из наиболее распространенных видов интернет-мошенничества, представляющий серьезную опасность для конфиденциальности персональных данных, что достаточно часто приводит к финансовым потерям. Знание и соблюдение правил сетевой безопасности позволяет значительно снизить или даже полностью исключить риск возникновения подобных проблем.

Пожалуйста, опубликуйте ваши отзывы по текущей теме материала. За комментарии, подписки, дизлайки, отклики, лайки низкий вам поклон!

ПРПолина Рогановаавтор

Spear Phishing (спеарфишинг или целевой фишинг)

Вместо того чтобы использовать технику «spray and pray», как описано выше, спеарфишинг включает в себя отправку вредоносных электронных писем конкретным лицам внутри организации. Вместо того, чтобы рассылать массовые электронные письма тысячам получателей, этот метод нацелен на определенных сотрудников в специально выбранных компаниях. Такие типы писем часто более персонализированы, они заставляют жертву поверить в то, что у них есть отношения с отправителем.

Пример спеарфишинга

Armorblox сообщила о спеарфишинговой атаке в сентябре 2019 года против руководителя компании, названной одной из 50 лучших инновационных компаний в мире. Письмо содержало вложение, которое, по-видимому, было внутренним финансовым отчетом, для доступа к которому требовалось пройти авторизацию на поддельной странице входа в Microsoft Office 365. На поддельной странице входа в систему уже было заранее введено имя пользователя руководителя, что еще больше усиливало маскировку мошеннической веб-страницы.

Петиции во «ВКонтакте»

Это относительно новая схема, при которой мошенники сначала просят просто выразить свое мнение по какому-то серьезному вопросу. Например, здесь могут просить о помощи матери с детьми, которую выселяют из квартиры, а также в некоторых случаях используют поводы, связанные с защитой животных, и другие предлоги

Здесь для мошенников самое важное — это вызвать какие-то ответные чувства у тех людей, по которым они делают рассылку, усыпив при этом бдительность жертвы

Сайты, в которых якобы можно поучаствовать в петиции, зачастую полностью скопированы с реальных аналогичных ресурсов (например, это может быть change.org). Когда пользователь попробует оставить свою подпись здесь, ему будет предложено зайти под своим профилем «ВКонтакте». Конечно же, это ненастоящая форма для входа, так как она просто собирает чужие логины и пароли.

Как можно защититься от фишинга

Специалисты в первую очередь советуют пользователям сервисов научиться распознавать фишинг самостоятельно.

В ответ на письмо с просьбой «подтверждения» учетной записи или любой другой схожей просьбой эксперты советуют пользователям связаться с компанией, от имени которой отправлено сообщение, чтобы проверить его подлинность. Кроме того, рекомендуется самостоятельно вводить URL-адрес организации в адресную строку вместо использования любых гиперссылок.

Практически все подлинные сообщения сервисов содержат в себе упоминание некой информации, недоступной для фишеров, например, упоминание имени или последние цифры номера счета. При этом подозрения должны вызвать любые письма, не содержащие какой-либо конкретной личной информации.

Борьба с фишерами происходит также на техническом уровне:

  • Об угрозах фишинга предупреждают браузеры, большинство из них ведет собственные списки фишинговых сайтов, после сверки с ними сервисы предупреждают пользователей о переходе на опасные сайты;
  • Почтовые сервисы борются с фишингом в сообщениях, совершенствуя свои спам-фильтры и анализируя фишинговые письма;
  • Крупные сервисы и компании также занимаются усложнением процедуры авторизации, предлагая пользователям дополнительную защиту личных данных.

Михаил Терешков, руководитель направления информационной безопасности АО , в колонке на Rusbase привел такие эффективные, но простые для пользователя способы защиты от фишинга:

Софт защитит от фишинга

Сегодня вы хорошо себя чувствуете и запросто отличите поддельный сайт от настоящего, но завтра вы придете с работы уставший и не будете столь внимательны.

В современные браузеры встроена защита от мошеннических сайтов, и они неплохо справляются со своей задачей. Большинство антивирусных программ и продуктов безопасности добавляют собственную защиту от фишинга.

Использование диспетчера паролей также убережет вас от мошенников. С помощью этой опции вы можете посетить безопасный сайт и войти в систему одним щелчком мыши. И если вам каким-то образом удастся попасть на мошеннический сайт, тот факт, что ваш менеджер паролей не предложит сохраненные данные для входа, наверняка вызовет тревогу.

Продвинутые пользователи используют виртуальную частную сеть или VPN для серфинга интернет-страниц. Использование VPN защищает ваши данные при передаче, поскольку данные передаются в зашифрованном виде на сервер VPN. Он также предлагает некоторую защиту от кибер-преследований, поскольку ваш трафик исходит от VPN-сервера, а не с вашего локального IP-адреса. Но маршрутизация веб-трафика через VPN совершенно не помогает от фишинга. Когда вы передаете свои учетные данные владельцам поддельного сайта, не имеет значения, как они туда попали. Фишинговые атаки нацелены на вас, а не на ваши устройства или системы связи.

Техника фишинга

Социальная инженерия

Человек всегда реагирует на значимые для него события. Поэтому фишеры стараются своими действиями встревожить пользователя и вызвать его немедленную реакцию

Поэтому, к примеру, электронное письмо с заголовком «чтобы восстановить доступ к своему банковскому счёту …», как правило, привлекает внимание и заставляет человека пройти по веб-ссылке для получения более подробной информации

Веб-ссылки

Большинство методов фишинга сводится к тому, чтобы замаскировать поддельные ссылки на фишинговые сайты под ссылки настоящих организаций. Адреса с опечатками или субдомены часто используются мошенниками.

Например http://www.yourbank.example.com/ похож на адрес банка Yourbank, а на самом деле он ссылается на фишинговую составляющую сайта example.com. Другая распространённая уловка заключается в использовании внешне правильных ссылок, в реальности ведущих на фишинговый сайт. Например, http://ru.wikipedia.org/wiki/Правда приведёт не на статью «Правда», а на статью «Ложь».

Один из старых методов обмана заключается в использовании ссылок, содержащих символ «@», который применяется для включения в ссылку имени пользователя и пароля. Например, ссылка http://[email protected]/ приведёт не на www.google.com, а на members.tripod.com от имени пользователя www.google.com. Эта функциональность была отключена в Internet Explorer, а Mozilla Firefox и Opera выдают предупреждение и предлагают подтвердить переход на сайт. Но это не отменяет использование в HTML-теге <a> значения href, отличного от текста ссылки.

Ещё одна проблема была обнаружена при обработке браузерами Интернациональных Доменных Имён: адреса, визуально идентичные официальным, могли вести на сайты мошенников.

Обход фильтров

Фишеры часто вместо текста используют изображения, что затрудняет обнаружение мошеннических электронных писем антифишинговыми фильтрами. Но специалисты научились бороться и с этим видом фишинга. Так, фильтры почтовых программ могут автоматически блокировать изображения, присланные с адресов, не входящих в адресную книгу. К тому же появились технологии, способные обрабатывать и сравнивать изображения с сигнатурами однотипных картинок, используемых для спама и фишинга.

Веб-сайты

Обман не заканчивается на посещении жертвой фишингового сайта. Некоторые фишеры используют JavaScript для изменения адресной строки. Это достигается либо путём размещения картинки с поддельным URL поверх адресной строки либо закрытием настоящей адресной строки и открытием новой с поддельным URL.

Злоумышленник может использовать уязвимости в скриптах подлинного сайта. Этот вид мошенничества (известный как межсайтовый скриптинг) наиболее опасен, так как пользователь авторизуется на настоящей странице официального сайта, где всё (от веб-адреса до сертификатов) выглядит подлинным. Подобный фишинг очень сложно обнаружить без специальных навыков. Данный метод применялся в отношении PayPal в 2006 году.

Для противостояния антифишинговым сканерам фишеры начали использовать веб-сайты, основанные на технологии Flash. Внешне подобный сайт выглядит как настоящий, но текст скрыт в мультимедийных объектах.

Новые угрозы

Сегодня фишинг выходит за пределы интернет-мошенничества, а поддельные веб-сайты стали лишь одним из множества его направлений. Письма, которые якобы отправлены из банка, могут сообщать пользователям о необходимости позвонить по определённому номеру для решения проблем с их банковскими счетами. Эта техника называется вишинг (голосовой фишинг). Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счёта и PIN-код. К тому же вишеры могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций, используя фальшивые номера. Чаще всего злоумышленники выдают себя за сотрудников службы безопасности банка и сообщают жертве о зафиксированной попытке незаконного списания средств с его счёта. В конечном счёте, человека также попросят сообщить его учётные данные.

Набирает свои обороты и SMS-фишинг, также известный как смишинг (англ. SMiShing — от «SMS» и «фишинг»). Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт, — входя на него и вводя свои личные данные, жертва аналогичным образом передаёт их злоумышленникам. В сообщении также может говориться о необходимости позвонить мошенникам по определённому номеру для решения «возникших проблем».

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
Люкс-хост
Вам также может быть интересно
.
Команды для командной строки windows: список
Разное 0
Что такое адресная строка, что такое поисковая строка браузеров
Что такое адресная строка и как ей пользоваться мы рассмотрим в этой статье. Эта
Люкс-хост
19 полезных возможностей файла .htaccess
Советы 0
Почему стоит использовать 301 редирект?
Зачем использовать 301 редирект? Правила, примеры (htaccess, nginx). Продвижение сайтов и влияние на SEO
Люкс-хост
Лучшие «облака» без регистрации, или как удобно передавать файлы между iphone, android, mac и windows
Разное 0
Бесплатные сервисы для хранения файлов в интернете
Хранить данные можно не только на компьютере но и в сети. Существуют специальные сервисы,
Люкс-хост
Продвижение группы вконтакте - полная инструкция
Разное 0
Как раскрутить группу в вк с нуля и без вложений
Раскрутка группы в ВК с нуля. Как сделать пиар и рекламу сообщества ВКонтакте. Способы
Люкс-хост
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.