1. Чому фішинг працює?
2. Технічно фішинг постійно вдосконалюється
3. Для злочинців це по-справжньому прибутково
4. Як уберегтися від фішингу?

Фішинг-атаки можна назвати злочином XXI століття. Засоби масової інформації щодня публікують списки організацій, чиї клієнти зазнали фішингових атак. Засоби phishing-шахрайства з кожним днем ​​зростають не тільки кількісно, ​​але і якісно. У той час як спам тільки відволікає одержувачів від роботи, фішинг часто веде до реальних фінансових втрат. Загроза цілком серйозна, так чому ж люди досі не навчилися її уникати?

Чому фішинг працює?

Є маса способів зіграти на довірі користувача

Причин, за якими онлайн-шахрайство працює, насправді досить багато. Почати слід з того, що злочинці досить вміло грають на психології своїх жертв: є маса способів обдурити користувача, і всі вони йдуть в хід.

Обіцянка халяви - найпростіший і ефективний спосіб роздобути масу жертв

Наприклад, можна заманити його обіцянкою який-небудь халяви - чи треба говорити, що це цілком ефективний варіант, адже любителі «безкоштовного сиру» завжди знайдуться. Також можна зіграти на ажіотажі, що виник навколо якоїсь теми. Хорошим прикладом в цьому відношенні може служити ціла епідемія мережевого шахрайства, пов'язана з минулим недавно чемпіонатом світу з футболу.

Наприклад, влітку 2014 року було виявлений фішингових сайтів , Який імітував сайт FIFA, на якому користувачеві пропонувалося підписати петицію на захист Луїса Альберто Суареса, нападника національної збірної Уругваю. Щоб підписати петицію, користувачеві необхідно було заповнити форму, ввівши в неї своє ім'я, країну проживання, номер мобільного телефону та адресу електронної пошти.

Інший шахрайський сайт пропонував відвідувачам скачати електронний квиток на чемпіонат. Насправді замість квитка користувач отримував банківського троянця - пробравшись в систему, зловредів перехоплював особисті дані, перш за все фінансового характеру.

Для тих, кому в дитинстві батьки все-таки пояснили, що привабливим обіцянкам незнайомців довіряти не варто, у фішерів є інший інструмент - розсилки від імені друзів жертви. Наприклад, в соціальних мережах. За даними «Лабораторії Касперського», в 2013 році у користувачів наших продуктів більш 35% всіх спрацьовувань компонента «Антифішинг» довелося на фішингові сторінки, що імітують сторінки соціальних мереж. З 600 мільйонів зафіксованих нами спроб заходу користувачів на фішингові сайти 22% випадків припали на сторінки, що імітують Facebook.

Ще один ефективний метод - застати жертву зненацька і залякати. Наприклад, загрозою блокування облікового запису або навіть банківської карти. У зв'язку з цим доречно буде згадати «вішинг» (голосовий фішинг, тобто фішинг по телефону). Не всім людям просто зорієнтуватися і відмовити напористому «співробітнику відділу безпеки банку», вимагає повідомити дані картки для запобігання її блокування.

Технічно фішинг постійно вдосконалюється

Чималу роль в тому, що багато людей стають жертвами онлайн-шахраїв, грає той факт, що з технічної точки зору інструменти фішингу постійно змінюються і стають все більш і більш витонченими.

Фішинг - по-справжньому універсальна загроза, працює на всіх платформах

Підроблені сайти вже не так легко відрізнити від справжніх - деякі з них мають цілком переконливі адреси, іноді на них навіть працює захищене з'єднання (HTTPS), причому з справжніми сертифікатами. Все більшого поширення набуває мобільний фішинг - в силу технічних особливостей смартфонів і планшетів розпізнати підроблений сайт часто складніше, ніж на комп'ютері або ноутбуці.

При цьому слід мати на увазі, що в разі фішингу кіберзлочинці зовсім не обов'язково проникати в систему вашого пристрою. Тому «вродженої» захисту від фішингу немає ні в однієї платформи - це по-справжньому універсальна загроза .

Для злочинців це по-справжньому прибутково

Але в першу чергу популярність фішингу зростає тому, що це дійсно вигідний вид злочинної діяльності. Інструменти існують і порівняно легко доступні, охоплення надзвичайно широкий, в тому числі і в соціальних мережах (пам'ятаєте - 600 мільйонів переходів!), Більшість дій фішерів повністю автоматизовано.

Тому навіть при невеликому відсотку попалися шахраї можуть цілком пристойно заробляти. Причому, оскільки в більшості випадків полювання йде за банківськими даними, для монетизації навіть не треба придумувати якісь складні схеми.

Втім, фішинг добре поєднується і з іншими видами цікавою діяльності, прекрасно існуючи з ними в симбіозі. Через спам ви отримуєте фішингові повідомлення, що дозволяє злочинцеві отримати доступ до ваших контактів і розіслати «лист щастя» далі. За набраної базі в подальшому може бути здійснена розсилка шкідливого ПО - подальше використання зібраного таким чином ботнету може бути абсолютно будь-яким.

Тому не слід думати, що єдина інформація, яку необхідно захищати від шахраїв, - це дані банківських карт і платіжних систем. Багато фішери будуть цілком задоволені за недостатністю майна доступом до вашого облікового запису в соціальній мережі або поштовому сервісі.

Як уберегтися від фішингу?

Що запропонувати користувачам в якості інструменту протидії шахраям? Перш за все, природно, здоровий глузд.

В першу чергу слід зберігати спокій і не піддаватися на провокації - це однаково корисно і в разі онлайн-шахрайства, і в разі «вішинг». Необхідно як слід перевіряти всі посилання і сайти, на які ці посилання ведуть.

Якщо ви отримали підозрілу посилання від колеги або друга, перш ніж по ній перейти, варто переконатися, що на іншому кінці дроту саме той, хто повинен там бути. У разі «вішинг» також корисно пам'ятати про те, що дані, наприклад, банківської карти жоден справжній співробітник банку просто не має права у вас вимагати.

В ідеалі на сайти, що вимагають введення особистих даних, ходити по посиланнях взагалі не варто - краще набрати адресу вручну. Зрозуміло, відвідування подібних ресурсів повинно здійснюватися через надійні пристрої і мережі.

Не забудьте використовувати і регулярно оновлювати антивірусні продукти, особливо якщо вони представляють вам і антифішинговий рішення. Наприклад, модуль «Антифішинг», вбудований в Kaspersky Internet Security, вміє не тільки звірятися зі списком вже відомих шахрайських сайтів, а й пізнавати потенційно небезпечні по більш ніж 200 критеріями.