Що таке фішинг та як захистити від нього свої особисті дані

Кількість людей, які зайняті віддаленою роботою, стрімко зростає, як і кількість потенційних цифрових загроз. Одним із найнебезпечніших і найпоширеніших видів інтернет-шахрайства є фішинг.

Редакція MC.today розібралася, що це таке, вивчила його цілі, сучасні методи та засоби захисту.

Що таке фішинг

Фішинг – це вид інтернет-шахрайства, який полягає у крадіжці конфіденційних даних користувачів (логінів, паролів, облікових записів, банківських карток) за допомогою електронних листів, підроблених сайтів та методів соціальної інженерії.

Його особливість у тому, що жертва шахрайства надає свої дані добровільно. Фішингові атаки відбуваються за стандартною схемою: зловмисники закидають наживку – це може бути лист, повідомлення, посилання на сайт. А потім намагаються упіймати на неї довірливих користувачів.

Весь цей процес нагадує риболовлю. Тож не дивно, що англомовний термін phishing співзвучний зі словом fishing — «рибалка». Масштаби фішингу зростають з кожним роком, тому що «зламати» користувача набагато простіше, ніж його комп’ютер.

Цілі та завдання фішингу

Фішинг є одним із найбільш поширених та небезпечних видів кіберзлочинів. Його цілі та завдання можуть змінюватись в залежності від конкретної ситуації та намірів зловмисників. Ось деякі з найбільш типових.

Викрадення особистих даних

Однією з основних цілей фішингу є отримання особистих даних користувачів. Зловмисники можуть використовувати фішингові методи, щоб отримати доступ до логіну, паролів, номерів кредитних карток, соціальних страхових номерів та інших важливих особистих даних. Їх можуть використовувати для скоєння крадіжки особи, шахрайства чи інших злочинних дій.

Крадіжка фінансових даних

Фінансовий фішинг спрямовано на отримання банківських даних користувачів: рахунків, кредитних карток і даних платіжних систем. Зловмисники можуть використовувати їх для несанкціонованих транзакцій, переказів грошей або навіть вимагання викупу.

Отримання корпоративних даних

У світі бізнесу фішинг може бути спрямований на отримання конфіденційних даних компанії, таких як бізнес-секрети, плани розробки чи інформація клієнта. Їх можуть продавати конкурентам або іншим сторонам, що може призвести до фінансових втрат та шкоди репутації компанії.

Розповсюдження шкідливих програм

Деякі фішинг-атаки можуть бути спрямовані на поширення шкідливих програм, таких як троянські коні, шпигунські агенти або ransomware. Зловмисники можуть використовувати обманні методи, щоб змусити користувачів завантажувати та запускати шкідливі файли, що може призвести до зараження комп’ютерів та крадіжки даних.

Типові приклади фішингових листів та веб-сайтів

Фішингові листи та вебсайти можуть виглядати настільки правдоподібно, що навіть досвідчені користувачі потрапляють у пастку. Наприклад, ви отримуєте лист, в якому говориться, що пароль до вашої поштової скриньки в сервісі Gmail зламаний і його рекомендується змінити.

Ситуація тривожна, і треба діяти негайно. Тому ви переходите за посиланням у листі, щоб змінити пароль. Але потрапляєте на підроблену вебсторінку, після чого доступ до вашої пошти перебуває в руках хакерів. 

Саме так невідомі викрали 50 тис. електронних листів голови виборчого штабу Гілларі Клінтон Джона Подести. Багато з них містили інформацію, що компрометує. В результаті Клінтон програла президентські вибори 2016 року Дональду Трампу та історія пішла іншим шляхом.

Або ще приклад: ви отримуєте лист від інтернет-магазину, в якому часто робите покупки. У ньому йдеться, що вам нараховані бонуси і для їх отримання потрібно терміново підтвердити дані облікового запису. 

Ви переходите за посиланням, вводите свої особисті дані та номер банківської картки. Насамкінець вас просять зробити «пробний платіж» в 1 грн. При оплаті ви вводите тризначний код безпеки картки і невдовзі дізнаєтеся, що з вашого рахунку списали не одну, а, наприклад, 10 тис. грн. 

Іноді фішинговий лист може містити посилання або прикріплені файли, при відкритті яких на комп’ютер користувача встановлюється шкідливе програмне забезпечення. 

Так, у 2020 році співзасновник австралійського хедж-фонду Levitas Capital відкрив лист із підробленим посиланням у Zoom, яке заразило шкідливим кодом усю корпоративну мережу його фонду та передало хакерам контроль над системами електронної пошти.

Злочинці використали цей доступ, щоб розіслати від імені Levitas Capital підроблені рахунки на суму понад $8 млн. Частину грошей пізніше вдалося повернути, проте репутаційні втрати та відхід основних клієнтів фонду призвели зрештою до його закриття. 

У всіх цих випадках, як і при лові на гачок, злочинці насамперед намагаються зачепити людину за живе: приваблюють великою вигодою, лякають втратою грошей, тиснуть на терміновість чи важливість вчинення потрібної їм дії.

За статистикою одного зі світових лідерів у сфері інформаційної безпеки компанії Symantec, більшість фішингових листів містить у назві одну з цих п’яти тем:

• Терміново!
• Запит.
• Важливо!
• Оплата.
• Увага!

Методи фішингу

Зловмисники використовують різноманітні методи фішингу задля досягнення своїх цілей. Це може бути електронна пошта, соціальні мережі, месенджери або телефонні дзвінки. Завдання завжди одне: створювати ситуації, які змушують вас розкривати особисті дані.

Соціальний фішинг та його особливості

Соціальний фішинг – це хитромудрий спосіб шахрайства, який використовує людський чинник з метою отримання доступу до особистих даних та виконання небажаних дій. Пильність, обережність та знання особливостей цього методу допоможуть вам уникнути попадання у його пастки.

• Листи від колеги чи начальника. Зловмисник може надіслати електронного листа від імені вашого колеги, в якому буде прохання надати певні корпоративні дані. Наприклад, «колега» може попросити вас надіслати копію документа на певну адресу. Цей вид фішингу ґрунтується на довірі до колег і може призвести до витоку конфіденційної інформації.
• Фішинг у соціальних мережах. Зловмисники можуть створювати підроблені профілі у соціальних мережах, видаючи себе за друзів, родичів чи навіть колег. Вони починають спілкування з вами, отримують доступ до ваших особистих даних та використовують їх у своїх цілях. Наприклад, “друг” може попросити вас поділитися персональною інформацією чи грошима.
• Дзвінки від служби підтримки. Зловмисники часто надаються службою підтримки вашого банку або провайдера послуг. Вони можуть попросити вас підтвердити особисті дані або надати пароль для перевірки. В результаті ви можете розкрити важливу інформацію, яка буде використана з шахрайською метою.

Spear Phishing, або спірфішинг: що це і як працює

Як ми вже знаємо, фішинг – це шахрайська операція, під час якої хакери масово розсилають електронні листи, сподіваючись, що хтось із одержувачів розкриє свої облікові дані. Це нагадує рибалку, коли рибалка закидає наживку і не знає, хто потрапить на гачок.

Спірфішинг, навпаки, має чітку мету. Зазвичай нею є людина або група людей з привілейованим доступом, контактні дані яких дозволять зловмисникам досягти значно більшого результату. Це більше нагадує не рибалку, а полювання зі списом, коли мисливець точно бачить, на кого він полює.

Для спірфішингу потрібні більш ретельна підготовка та винахідливіші методи. Нерідко інформацію про жертв збирають у соцмережах, щоб включити до фішингових листів справжні імена друзів та колег, згадки про реальні місця та події. 

Все це потрібно, щоб приспати пильність жертв, змусити їх повірити, що вони знають відправника. Погодьтеся, що якщо до вас прийде лист від вашого начальника зі згадкою колег і поточних робочих питань, то ви найменше схильні будете шукати в ньому якісь дива і недоліки.

Фармінг: типові схеми та методи атак

Термін фармінг (pharming) походить від поєднання англійських слів phishing і farming – заняття сільським господарством. Виходить щось подібне до фішингової ферми, де крадіжка особистих даних поставлена ​​на потік.

Для цього зловмисники використовують спеціальне програмне забезпечення, яке перенаправляє звернення до заданих сайтів на їхні фальшиві копії. Таким чином досягається висока швидкість атак фішингу, а участь користувача зводиться до мінімуму.

Наслідки фішингу

Наслідки фішингу можуть бути катастрофічними. Ваші кошти можуть бути викрадені, ваша особиста інформація може бути продана на чорному ринку, а ваші облікові записи можуть бути використані для здійснення інших шахрайських дій.

Як захиститися від фішингу

Захист від фішингу включає дотримання декількох елементарних правил безпеки в інтернеті.

1. Не розкривайте особисті дані. Пам’ятайте, що нікому не можна передавати таку конфіденційну інформацію, як PIN-код банківської картки, паролі електронної пошти або облікові записи в соцмережах. Ні банк, ні соцмережа ніколи не запитуватимуть ці дані по e-mail.
2. Оновлення програмного забезпечення. Встановіть хороший антивірус із оновлюваною базою. Як правило, у всіх популярних антивірусах є захист від шпигунських програм.
3. Будьте обережні. Соціальні мережі та браузери попереджають про перехід на підозрілий сайт. Не ігноруйте такі сповіщення. 
4. Звертайте увагу на дизайн сайту. Якщо він зроблений нашвидкуруч, містить помилки та викликає підозри, то такий ресурс може виявитися фішинговим.
5. Уважно вивчайте адресний рядок. Навіть незначні зміни в URL можуть призвести до абсолютно іншого сайту. Уважно перевіряйте адреси електронної пошти відправників та посилання у листах.
6. Будьте обережні зі скороченими посиланнями на кшталт bit.ly, на їхній вигляд неможливо сказати, куди вони вас перенаправлять. Якщо ви отримали листа з коротким посиланням від невідомого відправника, не відкривайте його, доки не дізнаєтесь, куди воно веде.
7. Використовуйте захищене з’єднання. Під час відвідування банківських сайтів та здійснення фінансових операцій в інтернеті слідкуйте, щоб було встановлено захищене з’єднання https:// . На це вказує буква s перед двокрапкою та значок закритого замка в адресному рядку. При кліку по цьому замку можна перевірити безпеку з’єднання. Звертайте увагу на сертифікат: він має бути дійсним.
8. З підозрою поставтеся до електронних листів, які тиснуть на емоції або вимагають якихось термінових дій. Якщо лист починається зі слів «Ваш обліковий запис» або «Ви отримали великий виграш», то в більшості випадків це фішинг.
9. Намагайтеся не заходити у свої банківські облікові записи з громадських точок Wi-Fi. В цьому випадку шахраї можуть легко перехопити ваші особисті дані.
10. Якщо в листі сказано, що потрібно виконати ті чи інші дії у вашому поштовому, банківському або іншому обліковому записі, не варто заходити туди через посилання, яке прикріплено до листа – воно може вести на підроблену сторінку. Краще вручну введіть адресу офіційного сайту та перевірте інформацію там.
11. Використовуйте двофакторну автентифікацію, яка додасть додатковий шар захисту до ваших облікових записів.

Часті питання (FAQ)

Запитання: Які кроки слід зробити після отримання підозрілого листа?
Відповідь: Ніколи не клацніть на посилання в підозрілих листах. Краще вручну введіть адресу офіційного сайту та перевірте інформацію там.

Запитання: Які методи захисту ефективні проти фішингу?
Відповідь: Використання двофакторної автентифікації та уважна перевірка електронних листів можуть значно зменшити ризики фішингу.

Питання: Які наслідки фішингу для бізнесу?
Відповідь: Бізнес може зіткнутися з витоком конфіденційних даних, фінансовими збитками та втратою довіри клієнтів.

Питання: Які галузі найбільш схильні до фішингу?
Відповідь: Фінансовий та банківський сектор, а також сфера електронної комерції зазвичай стають цілями фішингових атак через цінну інформацію, яку вони зберігають. Згідно з дослідженням Tessian, найчастіше для здійснення фішингових атак у 2021 році імітували сайти популярного маркетплейса Amazon, сервісу для відеоконференцій Zoom, розробника програмного забезпечення Adobe та техногіганта Microsoft.

Висновок

Фішинг – це не тільки технічна атака, але й психологічний обман. Зловмисники активно використовують маніпуляції та соціальну інженерію, щоб обдурити користувачів та отримати доступ до їх особистих та фінансових даних. Тому розуміння цілей та завдань фішингу дозволяє бути більш пильними та захищеними у сучасному цифровому світі.