Фишинг мошенничество что это

Обновлено: 04.07.2024

Фишинг (phishing, от fishing – рыбная ловля, выуживание) – вид интернет-мошенничества, целью которого является получение идентификационных данных пользователей (логины и пароли к банковским картам, учетным записям).

В начале 2000-х годов фишинг распространился на платежные системы, а в 2006 году фишинговой атаке подверглись пользователи социальной сети MySpace, в результате были украдены регистрационные данные.

Какие цели преследует фишинг

Фишинговые атаки могут быть направлены как на частных лиц, так и на отдельные компании. Целью атак на физических лиц, организованных мошенниками, как правило, является получение доступа к логинам, паролям и номерам счетов пользователей банковских сервисов, платежных систем, различных провайдеров, соцсетей или почтовых сервисов. Кроме этого целью фишинговой атаки может быть установка вредоносного ПО на компьютер жертвы.

Не все фишеры самостоятельно обналичивают счета, к которым они получают доступ. Обналичивание счетов – сложно осуществимый процесс с практической точки зрения. К тому же человека, который занимается обналичиванием, легче поймать и привлечь преступную группу к ответственности. Поэтому, получив конфиденциальные данные, часть фишеров продает их другим мошенникам, использующим отработанные схемы снятия денег со счетов.

В случаях, когда фишинговые атаки направлены на компании, целью киберпреступников является получение данных учетной записи какого-либо сотрудника и последующая расширенная атака на компанию.

Типы фишинговых атак

К основным методикам и техникам фишинга относят:

Приемы социальной инженерии

Представляясь представителями известных компаний, фишеры чаще всего сообщают получателям, что им нужно по какой-либо причине срочно передать или обновить персональные данные. Такое требование мотивируется утерей данных, поломкой в системе или другими причинами.

Фишинг с обманом

Для кражи личных данных создаются специальные фишинговые сайты, которые размещаются на домене максимально похожем на домен реального сайта. Для этого фишеры могут использовать URL с небольшими опечатками или субдомены. Фишинговый сайт оформляется в похожем дизайне и не должен вызвать подозрений у попавшего на него пользователя.

Cледует отметить, что фишинг с обманом – наиболее традиционный метод работы фишеров и при этом наименее безопасный для организаторов атак, поэтому в последнее время он постепенно уходит в прошлое.

Кроме кражи личных данных мошенники также ставят себе целью нанесение ущерба отдельным лицам или группам лиц. Ссылка фишингового письма при клике может загружать на ПК вредоносный вирус: кейлоггер, троянскую программу или программу-шпиона.

Это новая разновидность фишинга. Используя этот метод, фишеры получают личные данные не через письмо и переход по ссылке, а непосредственно на официальном сайте. Фармеры меняют цифровой адрес официального сайта на DNS-сервере на адрес подменного сайта, и в результате ничего не подозревающий пользователь перенаправляется на поддельный сайт. Такой фишинг опаснее традиционного, поскольку увидеть подмену невозможно. От подобных атак уже страдают аукцион Ebay, платежная система PayPal и известные мировые банки.

Как можно защититься от фишинга

Специалисты в первую очередь советуют пользователям сервисов научиться распознавать фишинг самостоятельно.

Борьба с фишерами происходит также на техническом уровне:

Об угрозах фишинга предупреждают браузеры, большинство из них ведет собственные списки фишинговых сайтов, после сверки с ними сервисы предупреждают пользователей о переходе на опасные сайты;

Крупные сервисы и компании также занимаются усложнением процедуры авторизации, предлагая пользователям дополнительную защиту личных данных.

Материалы по теме:

Как хакеры воруют популярные аккаунты в Instagram

Самые популярные способы кражи корпоративных данных: как защитить свою компанию

Технологии кибербезопасности: какие решения перспективны и можно ли полностью защититься уже сейчас

Фишинг – это совокупность методов, позволяющих обмануть пользователя и заставить его раскрыть свой пароль, номер кредитной карты и другую конфиденциальную информацию. Чаще всего злоумышленники выдают себя за представителей известных организаций в электронных письмах или телефонных звонках.

Все о фишинге

Что такое фишинг?

История фишинга

С наступлением 2000-х годов фишинговые мошенники начали обращать свое внимание на уязвимости систем электронных платежей. Клиенты банков и платежных систем стали все чаще становиться жертвами фишинга, а в некоторых случаях – как показало последующее расследование – злоумышленникам даже удавалось не только точно идентифицировать своих жертв, но и узнавать, каким банком они пользовались. Социальные сети также стали одной из главных целей фишинга в силу своей привлекательности для мошенников: личная информация, публикуемая в социальных сетях, является отличным подспорьем для кражи идентификационных данных.

Киберпреступники регистрировали десятки доменов, которые настолько изящно имитировали такие ресурсы, как eBay и PayPal, что многие не слишком внимательные пользователи просто не замечали подмены. Клиенты системы PayPal получали фишинговые электронные письма (содержащие ссылки на подставной веб-сайт) с просьбой обновить номер кредитной карты и другие персональные данные. В сентябре 2003 года о первой фишинговой атаке против банка сообщил журнал The Banker (принадлежащий компании The Financial Times Ltd.).

В 2011 году фишинговые мошенники даже якобы нашли государственных спонсоров, когда китайские власти запустили предполагаемую фишинговую кампанию, которая была направлена против учетных записей Gmail, принадлежащих высокопоставленным чиновникам и военным в США и Южной Корее, а также китайским политическим активистам.

Возможно, самой известной фишинговой атакой стал случай, когда в 2013 году были похищены 110 миллионов записей кредитных карт и учетных данных, принадлежащих клиентам торговой сети Target. Виной всему оказалась скомпрометированная учетная запись одного субподрядчика.

В 2017 году была предпринята массированная фишинговая атака на Google и Facebook, вынудившая бухгалтерские службы этих компаний перечислить в общей сложности более 100 миллионов долларов на заграничные банковские счета хакеров.

Типы фишинговых атак

Несмотря на многочисленные вариации, общей чертой всех фишинговых атак является использование подлога с целью присвоения тех или иных ценностей. Вот лишь некоторые основные категории:

Адресный фишинг

В то время как большинство фишинговых кампаний предполагают массовую рассылку электронных писем как можно большему количеству пользователей, адресный фишинг отличается направленным характером. Этим способом злоумышленники атакуют конкретное лицо или организацию, часто применяя специально подобранный контент, который, как им представляется, окажет на жертву наибольшее воздействие. Для осуществления подобной атаки необходимо провести тщательную подготовку, чтобы узнать имена, должности, адреса электронной почты и другую сопутствующую информацию. Хакеры переворачивают вверх дном весь Интернет, сопоставляя эту информацию со всеми доступными сведениями о должностных отношениях жертвы: их, например, интересуют имена коллег и круг их обязанностей в соответствующей организации. Заполучив все эти данные, злоумышленники составляют правдоподобное письмо.

В частности, фишинговая атака может быть нацелена на сотрудника, чьи обязанности предполагают авторизацию платежей. Хакеры присылают ему письмо якобы от высокопоставленного должностного лица организации с указанием осуществить крупный платеж в пользу этого лица или в пользу поставщика компании (однако прилагаемая вредоносная ссылка ведет не к платежной системе, а на хакерский веб-сайт).

Адресный фишинг представляет значительную опасность для бизнеса (и государства), поскольку он может привести к значительным убыткам. Согласно отчету, составленному в 2016 году по итогам изучения этой проблемы с участием ряда предприятий, на адресный фишинг приходилось 38 % кибератак, которым они подвергались в течение 2015 года. Что касается компаний в США, ставших жертвами адресного фишинга, то средняя величина ущерба составила 1,8 миллиона долларов на одну успешную атаку.

Клоновый фишинг

Обман 419/нигерийские письма

Телефонный фишинг

Как распознать фишинговую атаку?

Вот еще несколько признаков фишинга:

В электронном письме получатель находит предложение, которое выглядит слишком выгодным, чтобы быть правдой. В нем может сообщаться, что Вы выиграли в лотерею, получили дорогой приз или какой-либо уникальный предмет.

Переход по ссылке приводит Вас к этой форме, предлагающей сообщить те данные, которые откроют злоумышленникам путь к похищению Ваших ценностей.

Как защититься от фишинга?

Как говорилось выше, фишинг представляет собой угрозу, которая с одинаковой вероятностью может появиться на настольном компьютере, ноутбуке, планшетном компьютере или смартфоне. Большинство интернет-браузеров проверяют ссылки на предмет благонадежности, однако первой линией обороны от фишинга должна стать Ваша способность оценивать ситуацию. Научитесь распознавать признаки фишинга и придерживайтесь элементарных принципов безопасности, когда проверяете электронную почту, читаете записи в социальной сети Facebook или играете в онлайн-игру.

Наш коллега Адам Куява сформулировал несколько самых важных правил, которые помогут Вам не попасться на крючок мошенников:

Как и всегда, мы также рекомендуем использовать программу, способную противостоять вредоносному ПО. Большинство программных средств кибербезопасности способны обнаруживать маскирующиеся опасные ссылки и вложения, так что Ваша информация не попадет в руки злоумышленников, даже если Вы вовремя не почувствуете неладное.

Все premium-версии продуктов Malwarebytes предоставляют надежную защиту от фишинга. Они могут распознавать мошеннические сайты, не давая открыть их, даже если Вы уверены в их законности.

Так что оставайтесь бдительны, соблюдайте осторожность и следите за признаками возможной фишинговой атаки.

Чтобы заполучить деньги, мошенники способны на многое, даже создать и внедрить на компьютер жертвы вредоносный код. Нередко данная манипуляция производится с согласия жертвы. Обман, который набирает обороты в сети, называется фишинг. Что представляет собой фишинг, и как противостоять интернет-мошенникам, которые его задействуют, разберем в статье.

Аналитический центр InfoWatch изучал данную проблему, результаты показали, что хищения преимущественно происходят по вине клиентов. Банки чаще всего ни при чем. Мошенники применяют разные вариации фишинга, а также программы-кейлоггеры.

Что такое фишинг?

Нарвались на мошенников? Сообщите нам!

Если у Вас возникли вопросы и Вы желаете проконсультроваться у нас, оставьте заявку и мы Вам перезвоним

Масштабный фишинг в Санкт-Петербурге

Виды фишинга

На сегодняшний день выделяют три вида фишинга:

Онлайновый фишинг предусматривает замену реальной страницы банка, услугами которого пользуется жертва, фейковой. Липовая страница практически на 100% схожа с оригиналом. Жертва, ничего не подозревая, заходит на фишинговую страницу под своим логином и со своим паролем. Таким образом секретные данные клиента попадают в руки злоумышленников, которые без труда сливают деньги с его счета на свой.

Вас обманули мошенники?

Расскажите нам и получите сегодня бесплатную консультацию.

Комбинированный фишинг требует создания липового банковского сайта, на который жулики завлекают жертв, используя психологическую обработку. Аферисты общаются с попавшими на удочку клиентами от имени банка, предлагая в тестовом режиме испытать интересные банковские продукты. Один из возможных вариантов развода: якобы банк открыл для клиента депозит на мегавыгодных условиях и предлагает ему лично перевести на депозит деньги. Таким образом данные для входа в личный кабинет пользователя оказываются у злоумышленников и они спокойно присваивают его деньги себя. Получатся, мошенники обворовывают жертв их же руками.

Как защититься от фишинга?

Вишинг, смишинг и фарминг

Вишинг или голосовой фишинг приводится в действие с помощью так называемых автонабиратейлей, а также автотелефонии. Эти технологии дают возможность воровать номера банковских карт, пароли и другую конфиденциальную информацию клиента. Как это происходит? Мошенники отправляют потенциальной жертве письмо, в котором указан телефонный номер для звонков с целью проверки баланса по карте. Звонок, естественно, бесплатный. Приятный голос на том конце пытается сбить жертву с толку и уговорить ввести номер своего счета и ПИН-код. Если она сделает это, мошенникам останется только забрать деньги. Использование компаниями для голосового общения IP-телефонию открывает аферистам неограниченные возможности для вишинга. Перед этим видом онлайн-мошенничества клиенты пока еще абсолютно беззащитны.

Узнайте вероятность возврата средств

Ваше дело оценит юрист с опытом оспаривания денежных переводов. Вы получите прогноз по чарджбэку.

Чтобы противостоять вишингу и смишингу следует запомнить одно: банки не спрашивают у своих клиентов логин, а тем более пароль для входа в онлайн-банкинг. Банковские сотрудники никогда не интересуются ПИН-кодом и тому подобными секретными данными. Такое могут делать только мошенники с целью грабежа.

Некоторые банки, которые работают онлайн, серьезно подходят к защите электронных платежей. Они задействуют следующую схему: по карте ограничивается лимит на электронные платежи, когда клиент превышает его, с ним связываются представители банка и просят назвать ранее установленное проверочное слово-код. Но у жуликов и на этот случай имеется своя стратегия, с помощью которой они узнают телефонный номер жертвы, а потом и проверочное слово-код.

Эксперты считают, что именно фишинг является более перспективным для преступников, нежели взлом системы безопасности банка. Во-первых, это проще. Во-вторых, банки косвенно помогают ворам, стремясь максимально обезопасить счета клиентов путем введения многоуровневых проверочных схем. Такая волокита напрягает клиентов, и они отказываются от сложной схемы подтверждения онлайн-платежей в пользу простоты. Такой подход делает счета клиентов уязвимыми для мошеннических атак.

Что касается банков, то для них фишинговые аферисты не опасны. Да и платить компенсацию пострадавшим от жуликов клиентам они не должны. Это первое, а второе, банки пока еще не имеют средств для защиты от онлайн-грабителей. Чтобы не попасться на удочку воришек, клиентам приходится полагаться только на себя и на свою бдительность. В этом случае доверчивость становится злейшим врагом, а вот излишняя подозрительность, наоборот, помогает избежать финансовых утрат.

Статьи

Кибер-преступники используют разные способы атак для получения ваших персональных данных, а фишинг-мошенничество – один из них.

Затем исполнители используют эту личную информацию для совершения кражи личных данных.

Киберпреступники могут сделать это, установив на ваш компьютер вредоносное программное обеспечение или украв личную информацию с вашего компьютера.

Киберпреступники также используют социальную инженерию, чтобы убедить вас установить вредоносное программное обеспечение или передать вашу личную информацию под ложными предлогами.

Как обнаружить фишинговую электронную почту?

• Правописание и плохая грамматика ► Кибер-преступники не известны своей грамматикой и орфографией. Профессиональные компании или организации обычно имеют штат редакторов копий, которые не позволят массовому электронному письму, подобному этому, обращаться к своим пользователям. Если вы заметили ошибки в письме, это может быть мошенничество.

• Обманывание популярных веб-сайтов или компаний ► Художники-мошенники используют графику в электронной почте, которая, как представляется, подключена к законным веб-сайтам, но на самом деле вы попадаете на фальшивые сайты мошенничества или законно выглядящие всплывающие окна. Киберпреступники также используют веб-адреса, которые напоминают имена известных компаний, но немного изменены.

Остерегайтесь фишинговых звонков тоже!

Киберпреступники могут позвонить вам по телефону и предложить решить проблемы с компьютером или продать лицензию на программное обеспечение.

Так что не попадайте в эти типы нежелательных телефонных звонков (также называемых холодными звонками), чтобы улучшить компьютерную безопасность или дляисправления программного обеспечения.

10 советов по устранению фишинговых атак:

Вот несколько советов, которые помогут избежать фишинговых мошенников, чтобы вы не принимали приманку и становились жертвой.

1. Займите активную позицию

Интернет-ссылки, телефонные звонки и электронные письма иногда страдают от намерений. Многие фиширисты пытаются обмануть вас, отказавшись от личной информации, такой как банковский счет и номера социального страхования. Очень важно быть осторожным при запросе информации по одному из этих способов. Например, если вы получаете телефонный звонок от кого-либо, претендующего на работу в вашем банке, повесьте трубку и позвоните по номеру на обратной стороне дебетовой карты.

2. Установите антивирусное программное обеспечение

Лучшие антивирусные программы, такие как Bitdefender и Kaspersky, обладают антифишинговой функциональностью, которая защищает вашу личность. Установите программное обеспечение на все ваши устройства и обновите его.

3. Избегайте всплывающих окон

Многие фишинг-мошенники используют всплывающие экраны, которые запрашивают информацию, такую как пароли и почтовые индексы. Во избежание кражи личных данных избегайте ввода личных данных в эти всплывающие окна.

4. Отфильтруйте свои письма

5. Соответствие по заявкам

Храните квитанции за каждую покупку, которую вы совершаете как в автономном режиме, так и в неавтономном режиме. Затем сравните их с банком и заявлениями о кредитных картах, если они к примеру приходят каждый месяц. Если вы обнаружите подозрительные обвинения, немедленно сообщите об этом в свое финансовое учреждение.

6. Сохраняйте личные данные из переписки

Не отправляйте свой банковский счет, номер социального страхования или информацию о кредитной карте по электронной почте. Если кибермошенник взломает вашу учетную запись электронной почты, он или она воспользуются неограниченным доступом ко всем отправленным вами электронным письмом. Кроме того, рекомендуется регулярно менять пароль электронной почты и использовать уникальные пароли для каждой учетной записи, а также использовать менеджеры паролей.

7. Вводите фейковые пароли

Чтобы проверить легитимность веб-сайта, сначала введите свое имя пользователя и поддельный пароль. Если сайт не указывает пароль как неправильный, вы знаете, что вы приземлились на мошенническом сайте, и создатели хотят захватить ваши настоящие данные. Выполняйте этот шаг только один раз, так как некоторые организации блокируют учетные записи после слишком многих неудачных попыток входа в систему.

8. Практика политики только для друзей [ friedns only ]

Когда вы получаете ссылки, вложения или другие подозрительные объекты, избегайте их, если вы не узнаете отправителя. Поскольку учетные записи электронной почты иногда становятся жертвами хакеров, вы можете спросить отправителя о легитимности подозрительного письма, прежде чем нажимать ссылки или загружать прикрепленные файлы.

9. Обновите браузер

Интернет-браузеры зависят от регулярных обновлений для защиты от последних известных угроз. Когда ваш браузер предложит вам обновить, не отключайте его, так как это снижает безопасность интернет-серфинга.

10. Проведите некоторые исследования

Когда на вашем телефоне появится незнакомый номер, запустите быстрый поиск Google, чтобы определить его происхождение. Если кто-то другой получил аналогичный телефонный звонок, он мог бы опубликовать его в Интернете. То же самое касается поиска на основе текста и фишинговой почты.

Читайте также:

  
• Может ли главный бухгалтер совмещать должность кассира
  
• С какого года получают паспорт с 14 лет в ссср
  
• Что мешает борьбе с коррупцией
  
• Как обжаловать решение пфр об отказе распоряжения материнским капиталом
  
• Как обеспечить приток крови в голове при обмороке