[tds_warning]В рейтинге ФБР по распространённости видов киберпреступлений за 2019 год лидирует фишинг, последствия которого затронули сотни тысяч людей, потерявших вместе более 57 миллионов долларов. Удивляться этому «тренду», уверяют специалисты, не стоит: получение доступа к аккаунтам без использования дополнительных взламывающих программ — сильная сторона современных фишинговых техник. Обычно мошенники получают данные для авторизации в системе напрямую от не подозревающей обмана жертвы.[/tds_warning]
Интернет-мошенник, специализирующийся на фишинге, буквально выманивает номер банковской карты человека, его пароль или любую другую конфиденциальную информацию. Киберпреступления последних лет, по большей части, совершаются без обращения к взламывающим инструментам. Наоборот, цель злоумышленника — использовать данные, самостоятельно отданные жертвой по незнанию.
Привлекательность фишинга состоит в минимальных затратах на фоне крупной финансовой выгоды. Поэтому киберзлоумышленники по всему миру отдают предпочтение именно этой технологии.
Переключение многих мошенников на фишинг объясняется и его простотой: достаточно быть убедительным — и жертва, не почуяв обман, ненамеренно отдаст пароль сама. Никаких дополнительных знаний метод не требует.
Преступник может применить фишинговую тактику даже на популярных и кажущихся безопасными сайтах, например, в среде пользователей какого-либо сервиса Microsoft. Изобретение мошенниками новых способов фишинга и совершенствование старых идёт параллельно и постоянно, ведь цель хакеров — обход всех кордонов безопасности и выход на прямой контакт с жертвой.[ads_hr hr_style=»hr-fade»]
[tds_note]Последний «тренд» у занимающихся серьёзным фишингом — атаковать младший персонал крупных компаний, добираясь через него до руководителей.[/tds_note]
Аналогична схема осуществления атак по целым организациям: сначала идёт получение доступа к нужному e-mail-адресу, затем — проникновение через него в базу данных более крупной фирмы.
На сообщение, пришедшее с адреса gmail.com, серьёзная компания отреагирует с опаской или вовсе не заметит, но письмо отправлено мошенниками от имени бизнес-партнёра, что увеличивает доверие руководителей к его содержанию. Человек, занимающийся фишингом, полностью завоёвывает доверие жертвы, которая верит собеседнику настолько, что не раздумывает и кликает по ссылке, а при требовании личных данных, не колеблясь, отправляет их.
Снова становится популярным тайпсквоттинг: злоумышленники регистрируют доменное имя, практически полностью совпадающее с адресом подделываемого сайта. Киберпреступники пользовались этим методом со времён появления интернета, однако сейчас наблюдается слишком сильный рост интереса к нему мошенников, что говорит о его эффективности. Отличие фейкового домена от настоящего нередко сводится к одному знаку или букве, поэтому жертвы не замечают, как вводят свои данные на стороннем веб-сайте.[ads_hr hr_style=»hr-fade»]
[tds_note]Злоумышленник почти полностью копирует стартовую страницу, добиваясь отличного внешнего сходства, что запутывает её посетителей.[/tds_note]
Появляются нелегальные организации, предлагающие фишинг как услугу. Выгодность фишинга способствует быстрому развитию такой индустрии. Компании занимаются созданием сетей с ботами, генерирующими сайты-фейки, либо продажей готовых фишинг-инструментов.
Для человека, имеющего достаточно средств, покупка набора для фишинга будет лёгким делом. Есть и другой вариант — помощь специалиста, однако им пользуются мошенники, чей доход превышает оплату труда профессионала.
Рекомендации специалистов по информационной безопасности:
- Не открывать подозрительные электронные письма на рабочей и личной почте. Важна оценка стиля сообщения, наличия грамматических, орфографических ошибок: неаккуратность и небрежность — свидетельства спешки преступника, выдающей его. Пользователю, сомневающемуся в том, подлинно ли полученное письмо, лучше напрямую уточнить это у отправившей его компании.
- Опасно действовать автоматически: например, кликать по ссылкам. Практика показывает, что бывает достаточно одного перехода, чтобы данные пользователя оказались в руках злоумышленников.
- Посещая веб-сайт, следить за отсутствием ошибок в написании его адреса.[ads_hr hr_style=»hr-fade»]
Соблюдение этих простых правил не гарантирует полной безопасности, но поможет значительно увеличить надёжность сохранности данных.