Що таке фішинг і фішингова атака?

Інтернет міцно пустив коріння майже в кожну сферу життя сучасної людини. Щоб замовити товари в онлайн-магазині, необхідно вводити свої дані, для оплати комунальних послуг використовуються електронні платежі, листування по роботі чи чат з друзями — все це потенційні джерела небезпеки. Як тільки інтернет став доступним великій кількості людей, шахраї почали використовувати його як засіб для викрадення грошей, особистої інформації тощо.

Перша масштабна схема з’явилася в 1995 році в США. Шахраї розсилали повідомлення в онлайн-чаті найбільшого американського провайдера AOL, представлялися співробітниками та просили надати пароль від акаунта для «підтвердження даних» або «перевірки фінансової інформації». Якщо користувач повідомляв код, злочинці перехоплювали доступ до облікового запису та використовували його для розсилки спаму.

З тих часів злочинні схеми еволюціонували та множились, тому зараз інтернет наповнений різноманітними «пастками» для неуважних користувачів. Розглянемо поняття фішингу, як захистити від нього себе та близьких.

Що таке фішинг простими словами?

Фішинг — це різновид інтернет-шахрайства, коли зловмисник намагається обманом отримати доступ до важливої інформації: логінів і паролів, даних банківських карток і паспортів, кодів верифікації, інтимних фотографій, робочого листування — всього, що може допомогти йому отримати гроші.

Класичним фішингом заведено вважати шахрайство за допомогою електронних листів, повідомлень у месенджерах і підроблених сайтів. Найчастіше користувачу пропонують щось приємне, що його повинно зацікавити. Наприклад, виграш у розіграші, «космічні» знижки в інтернет-магазинах, різноманітні додаткові послуги в соціальних мережах тощо. Шахраї ніби закидають вудочки: розсилають повідомлення всім підряд і чекають, що хтось клюне та надішле свої дані.

Фішинговим атакам піддаються як звичайні громадяни, так і знаменитості, а також юридичні особи — від малого бізнесу до багатомільярдних корпорацій.

Як працює інтернет-фішинг: принципи та схеми

Фішингова атака завжди має на меті отримання особистих, зокрема платіжних, даних користувача. Шахраї мають низку методів для досягнення цієї цілі:

1. Соціальна інженерія — без використання спеціальних технічних засобів. Шахрай нікого не зламує, не підсаджує вірус і не перехоплює трафік. Усю інформацію людина видає сама — під дією обману, погроз і маніпуляцій. Наприклад, ті самі дзвінки від «служби безпеки банку» чи «мобільного оператора», коли абонента повідомляють про якісь проблеми з його акаунтом та вимагають від нього дані для авторизації.
2. Фішингові посилання — завдання шахрая полягає в тому, щоб переконати одержувача електронного листа або повідомлення в месенджері перейти за надісланим посиланням. Клікнувши, той потрапляє на фейковий сайт — майже точну копію справжнього. Однак є один нюанс — усі дані, які там введе жертва, у руках зловмисників.
3. Фейкові сайти — принцип аналогічний попередньому, однак злочинці не просто схиляють перейти на якийсь ноунейм-ресурс, а маскуються під популярні портали. Наприклад, на фейковому сайті Укрзалізниці можуть «продавати» квитки на поїзд зі знижкою, на сайті відомого ресторану просять внести кошти за бронювання столу тощо.
4. Фішингові застосунки — навіть під час завантаження на свій пристрій застосунка з офіційних маркетплейсів можна натрапити на фішинг. Шахраї маскуються під популярні застосунки (онлайн-магазинів, соціальних мереж, банків, месенджерів тощо), і необачний користувач їх завантажує. Найчастіше там просто показують рекламу, а злочинці отримують за це винагороду. Однак деякі застосунки вимагають надати їм доступ до фотографій або даних. Хакери сканують пристрій, знаходять чутливі дані, а потім використовують їх для шантажу або злому. Інші підробки обіцяють швидкий заробіток: наприклад, через соціальні виплати, інвестиції або майнінг криптовалют. Усі вони створені тільки для того, щоб викрасти гроші жертв.
5. Претекстинг — більш хитра схема, яка комбінує соціальну інженерію та фішингові посилання. Шахрай використовує обманний сценарій, щоб заманити жертву й виманити в неї конфіденційну інформацію. Зловмисник створює легенду (наприклад, представляється працівником служби підтримки або проводить опитування), жертва відповідає на запитання. Під кінець діалогу він пропонує заповнити невелику анкету, посилання на яку він надішле в приватні повідомлення або на пошту. Далі — вже знайомий сценарій.
6. Вейлінг — деякі шахраї замість масових атак віддають перевагу вузькоспеціалізованим та добре підготовленим. Такі схеми називають whaling phishing — «полювання на китів». Такі «мисливці» ретельно вивчають структуру компаній, щоб зрозуміти, кому та від чийого імені можна написати для швидкого та недозрілого викрадення даних чи коштів.

Розповсюджені приклади фішинга в інтернеті

Шахрайських схем безліч. Розглянемо 4 найбільш популярні сценарії, коли людина може попастись на фішинг, його приклади:

1. Фішинговий електронний лист від платіжної системи або банку:

• користувач отримує лист від системи електронних платежів чи фінансової установи, чиїми послугами він користується, з темою «Підтвердіть свою особу»;
• у листі є посилання на підроблений сайт, який виглядає як справжній онлайн-портал цього сервісу;
• користувача просять ввести свої дані для входу та інформацію про кредитну картку;
• на екрані нічого не відбувається, а зловмисники вже мають усі логіни, паролі та PIN-коди та оперативно виводять кошти собі на гаманці.

2. У соціальних мережах: 

• зловмисники створюють фейковий обліковий запис чи зламують чийсь та роблять розсилку;
• користувач отримує повідомлення від друга в соцмережі з посиланням на відео чи фото та підписом на кшталт «Заціни, як вчора погуляли», «Диви який мем» або товариш просить позичити йому кошти, при чому використовує незвичне звертання та стиль мовлення;
• гіперпосилання веде на підроблений сайт, де користувача просять увійти, використовуючи свої дані вибраної соціальної мережі. Наївна жертва думає, що цей якийсь збій і без вагань вводить логін і пароль;
• зловмисники отримують доступ до акаунту користувача та його персональної інформації.

3. Через SMS — принцип аналогічний email-розсилці. Тільки тут потенційна жертва отримує SMS, де зазвичай мало тексту і пояснень, зате є посилання та заклик діяти прямо зараз.

4. Телефонний фішинг:

• дзвінок з невідомого номера;
• на іншому кінці дроту людина представляється працівником служби безпеки банку й повідомляє про проблеми з рахунком, що потребують підтвердження даних;
• на номер надходить повідомлення з кодом, який просить надати «працівник»;
• жертва передає код, який виявляється одноразовим паролем для входу в акаунт чи скидання актуального пароля. Результат — ні коштів, ні доступу до картки.

Як розпізнати фішинг: поради спеціалістів з кібербезпеки

Такі шахрайські атаки розраховані на неуважність користувача, тому важливо ретельно перевіряти всі посилання та контакти, перш ніж щось робити в інтернеті. 

1. Перший дзвіночок, що зловмисники «підкинули» вам фішингове посилання — неочікуване повідомлення на електронну пошту або в месенджер, що вимагає негайних дій, зокрема авторизації чи підтвердження особи. Якщо лист містить інструкцію «що робити», зокрема із посиланням або файлом для завантаження, варто добре подумати, перш ніж на нього клацнути. Краще, що можна зробити в цьому випадку, — зв’язатись зі службою підтримку компанії, від імені якої надіслано це повідомлення. Звісно, персональні дані користувача бувають потрібні і чесним компаніям. Наприклад, під час оформлення квитків на літак. Однак, якщо ви нічого не реєструєте, а вимога надати інформацію застала вас зненацька, велика ймовірність того, що це закинутий гачок шахраїв. У випадку, коли вимагають назвати 3 цифри зі зворотного боку картки, код з SMS або пароль — це точно злочинці.
2. Друга підказка — граматичні та лексичні помилки. Придивившись уважно до тексту, можна помітити, що він дивно написаний, слова містять помилки, не збігаються географічні чи назви компанії тощо. Шахраї не дуже ретельно перевіряють текстовий контент, що розсилають потенційним жертвам. Також зловмисники часто не звертаються на ім'я. Якщо відправник називає вас «дорогим другом» або «шановним клієнтом», лист краще проігнорувати — і тим паче не завантажувати вкладення і не клікати на гіперпосилання.
3. Якщо пропозиція виглядає «занадто добре, щоб бути правдою», скоріш за все це «гачок», на який злочинець намагається вас спіймати. Уявіть ситуацію. Ви йдете вулицею у своїх справах і раптом до вас підходять і кажуть, що ви виграли мільйон гривень. Звучить максимально дивно. Так само, якщо ви не брали участь у жодних розіграшах та лотереях, не очікуєте рішення по кредиту, не оформлювали онлайн-покупок, такій пропозиції просто немає звідки взятись. Аналогічна ситуація з занадто дешевими товарами. Наприклад, невідомий онлайн-магазин пропонує придбати айфон за 15 000 гривень, при тому, що його ціна в фірмових магазинах та на маркетплейсах близько 30 000.
4. Підказка №4 — якість вебресурсу. Фішингові сайти робляться нашвидкуруч, адже довго вони не живуть. Якщо сторінка виглядає «кривувато», тобто відрізняється шрифт, сайт погано оптимізований, якісь елементи пропущені чи навпаки щось зайве — це максимально підозріло.
5. Важливо також звернути увагу на адресний рядок. Зазвичай шахрайські посилання не мають позначки HTTPS. Також у самій адресі може бути помилка. Наприклад, не «novaposhta.ua», а «nowaposhta.ua». Різниця лише в одній літері, а це вже зовсім інше посилання, що веде на шахрайський сайт.
6. Ще один дзвіночок — погрози та спонукання до термінових дій. Іноді шахраї спеціально залякують одержувача, щоб було легше домогтися свого. Наприклад, «у вас заборгованість за договором» або «підтвердіть ваш обліковий запис, інакше акаунт запис буде видалено» тощо. Головне, що варто запам’ятати, — гроші й поспіх несумісні. Коли вам телефонують чи пишуть з приводу грошей, і ви відчуваєте нервове напруження, варто взяти паузу, щоб вгамувати емоції та ретельно проаналізувати ситуацію.

Як захиститися від фішингу: правила безпечної поведінки інтернет-користувача

Для захисту від таких атак спеціалісти з кібербезпеки рекомендують дотримуватись низки правил. Пам’ятайте, що жертвою може стати будь-яка людина. Неважливо, ви директор великої компанії, блогер, молодий підприємець чи касир у супермаркеті, важливо вжити заходів безпеки. Зокрема:

1. Не відкривайте підозрілі електронні листи або повідомлення від невідомих відправників. Завжди перевіряйте адреси електронної пошти і посилання перед переходом.
2. Звіряйте URL-адреси перед введенням особистих даних. Потрібно переконатись, що сайт використовує захищене з’єднання (https://) та належить офіційній організації.
3. Ніколи не вводьте особисту інформацію (паролі або дані кредитної картки) у форми, надіслані через електронну пошту, повідомлення у соцмережах чи SMS.
4. Увімкніть двофакторну аутентифікацію (2FA) для додаткового захисту акаунтів.
5. Регулярно оновлюйте операційну систему, браузери та антивірусні програми, щоб захистити себе від різноманітних «троянців» і «червів», а також нових винаходів зловмисників.
6. Підвищуйте обізнаність про фішингові атаки й розповідайте колегам, родині, підлеглим тощо.
7. Зробіть динамічний CVV (три цифри на звороті банківської картки), що оновлюватиметься кілька разів на день.

Якщо ви стали жертвою фішингу:

• негайно змініть паролі для всіх облікових записів, для яких ви могли надати свої дані;
• повідомте про шахрайство в компанію, від імені якої діяли шахраї;
• якщо ви надали шахраям інформацію про свою кредитну картку, зверніться до свого банку і повідомте їм про шахрайство.

Пам’ятайте, що пильність — це ваш головний захист від фішингу, ваша зброя для протидії шахрайським схемам.

Висновки

Фішинг — це різновид інтернет-шахрайства, метою якого є виманювання конфіденційних даних користувачів. У небезпеці як фізичні особи, так і компанії. Шахраї використовують різні схеми, які не завжди можна розпізнати з першого погляду. Щоб захиститись від зловмисників, варто бути обережним з підозрілими повідомленнями, не переходити за неперевіреними посиланнями, використовувати двофакторну аутентифікацію та регулярно оновлювати антивірусне ПЗ.