По оценкам экспертов, количество кибератак на Россию в 2022 году по сравнению с предыдущим годом выросло в 10–15 раз. Одним из наиболее опасных видов киберугроз, по словам специалистов, остается фишинг. Количество фишинговых сайтов в доменных зонах .ru и .рф за январь — сентябрь 2022 года увеличилось на 15% в сравнении с аналогичным периодом прошлого года. Фишинговые сайты составляют 98–99% заблокированных ресурсов киберпреступников.
Жертвами мошенников становятся и обычные пользователи, и организации, а современные средства защиты не всегда способны противостоять меняющейся тактике злоумышленников, так как их механизмы основаны не на технических уязвимостях, а на человеческих слабостях и доверчивости пользователей. О том, что такое фишинг, и способах защиты от него рассказываем в наших карточках.
Что такое фишинг?
1
Фишинг (от англ. fishing — рыбалка) — вид интернет-мошенничества, цель которого — получить конфиденциальные данные пользователей от них самих. Сюда относится кража паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации. Наиболее частые жертвы фишинга — сотрудники банков, электронных платежных систем, онлайн-аукционов. Фишеров интересуют данные, которые дают прямой доступ к деньгам, а также личная информация пользователей, помогающая сделать достоверными фишинговые письма.
Виды фишинговых приманок
2
Подделка домена или имитация знакомого пользователя — сообщение может прийти с адреса знакомого вам отправителя или организации, который отличается от исходного какой-нибудь едва заметной деталью или символом (exapmle@mail.com вместо example@mail.com, supportonline@mail.com вместо support.online@mail.com).
Текстовые приманки — текстовое сообщение, поступающее от якобы доверенного источника, такого как банк, государственное учреждение или коммерческая компания. В сообщении пользователя просят предоставить личную информацию (имя пользователя, пароль или конфиденциальные финансовые данные). Изучите внимательно подобное письмо. Если информация требуется "срочно" или "в кратчайшие сроки" — это один из признаков фишингового письма.
Фишинговые ссылки — сообщение электронной почты содержит ссылку на страницу, похожую на страницу авторизации доверенного сайта и призывающую, например, срочно поменять пароль. Этим действием вы можете передать его непосредственно в руки злоумышленников.
Фишинговые вложения — сообщение электронной почты, которое содержит вредоносный файл, а также некий призыв, убеждающий его открыть.
Псевдовикторины — ресурсы в соцсетях и мессенджерах, которые имитируют розыгрыши ценных призов, крупных денежных сумм или колоссальные скидки на продукцию известных брендов. Применительно к России это особенно касается товаров марок, покинувших местный рынок.
Новые опасности
3
Последние годы помимо писем фишинговые сообщения стали поступать и через мессенджеры, а также социальные сети. Опасность заключается в том, что на первый взгляд сообщение приходит со знакомого телефонного номера, в подлинности которого усомниться гораздо сложнее, чем в подлинности адреса письма. Однако в случае получения подобного сообщения это скорее всего означает, что аккаунт вашего знакомого из списка контактов взломали злоумышленники.
Также распространение получили специально разработанные мобильные приложения. Мошенники размещают их в официальных онлайн-магазинах, проплачивают рекламу в других онлайн-проектах, а при скачивании или переходе по ссылке выводят на поддельные страницы, замаскированные под официальные ресурсы крупных компаний или СМИ, дублирующие их корпоративные цвета, шрифты и логотипы. Уже на этих ресурсах жертву обрабатывают, предлагая инвестировать деньги в якобы специально созданные финансовые структуры и обещая неслыханную и гарантированную доходность. А в качестве дополнительного стимула убеждают, что количество мест для подобных инвесторов в проекте ограничено и надо поторопиться с вхождением.
Под кого маскируются фишеры
4
В 2022 году наиболее подвержены атакам оказались "Сбер", "Авито", Ozon, "Додо Пицца", "Красное и Белое", Альфа-банк, ВТБ, BlaВlaСar, "Столото", "М.Видео" и "Эльдорадо". Именно от их имени киберпреступники пытались вымогать у граждан их личные данные и деньги. По словам руководителя направления аналитики интернет-угроз компании "РТК-Солар" Сергея Трухачева, на имитацию этих брендов пришлось до 80% от всех выявляемых фишинговых сайтов, ориентированных на российскую аудиторию. В качестве примера он рассказал ТАСС, как клиентам "Додо Пиццы" и сети магазинов "Красное и Белое" мошенники предлагали призы по результатам фейковых розыгрышей.
При этом фишеры, по его словам, использовали сложные закамуфлированные фишинговые схемы, благодаря которым вредоносный контент виден лишь тем, на кого он ориентирован. Впрочем, это им не помогло. "Мы успешно выявляем и блокируем подобные сайты, — подчеркнул Трухачев. — Минимальное время блокировки в этом году составило 12 минут с момента обнаружения"
Фишинг или вишинг?
5
Практически каждый обладатель мобильного телефона на сегодня хотя бы раз сталкивался с разновидностью фишинга, получившей название "вишинг", от англ. voice fishing (голосовой фишинг). Мошенники звонят жертве, представляясь различными официальными лицами (в основном представителями силовых ведомств или сотрудниками кредитных организаций), выманивая персональные данные, пароли или напрямую деньги.
Способы защиты
6
Главный принцип: не делать ничего автоматически, бездумно. Знакомый вид электронного письма не должен позволить адресату выполнить стандартное действие, не вчитываясь. Будьте бдительны: все ли в порядке с адресами, подписями? Нет ли в письме подозрительных вложений и открытого призыва их открыть? Опасайтесь сообщений с угрозами блокировки ваших учетных записей и предложений перехода по "спасительным" ссылкам для восстановления доступа.
Помните, что есть перечень данных, которые тот или иной сервис не вправе у вас запрашивать, — наиболее яркий пример — это CVV-код с оборотной стороны банковской карты. Но одновременно с этим у некоторых сервисов есть данные, которыми злоумышленники могут не располагать, — например, ваше имя и фамилия. Поэтому, если вам приходит не персонализированное письмо, это лишний повод задуматься о том, кто его прислал. Но даже упоминание личной информации, например обращение по имени, не гарантирует полной безопасности. Злоумышленники часто проводят подготовительную работу, получая информацию о жертве из соцсетей.
При возникновении любого рода сомнений нужно связаться с самой компанией-отправителем (отдельным письмом или по телефону) и проверить подлинность сообщения.
По возможности отказаться от переходов на проверенные ресурсы через гиперссылки из сообщений, отправленных незнакомыми отправителями.
В современном мире пароли не могут обеспечить необходимой защиты, особенно когда пользователи используют простые для запоминания комбинации, облегчающие хакерам процедуру взлома, а также единственный пароль для всех сервисов и приложений, увеличивая тем самым ущерб от компрометации. Важно усиливать защиту с помощью многофакторной аутентификации (подтверждение по нескольким каналам). В интервью ТАСС вице-президент, директор по информационной безопасности компании VK Алексей Волков назвал многофакторную аутентификацию одним из наиболее эффективных инструментов, позволяющим надежно защитить аккаунт. По его словам, подавляющее большинство попыток взломов, около 96–97%, — это взломы аккаунтов, у которых не подключен второй фактор.
При этом эксперты отмечают, что одноразовые коды по SMS, используемые в качестве второго фактора, также могут быть скомпрометированы: подтверждение по SMS всего лишь чуть более безопасно, чем простые пароли. Многие участники рынка уже не первый год предлагают клиентам многофакторную аутентификацию с помощью специальных приложений, использующих коды или биометрию (отпечаток пальца или лицо), а некоторые — возможность полностью отказаться от паролей, что радикально снижает вероятность успешной фишинговой атаки.
Обращайте внимание на предупреждение браузера о подозрительных сайтах — такие точно не стоит открывать.
Современные почтовые сервисы также заботятся о безопасности пользователей, создавая специальные "песочницы" для проверки подозрительных сообщений в изолированном контейнере, и не "выпускают" информацию в систему, пока не будет уверенности в безопасности. Прислушивайтесь к рекомендациям и сообщайте почтовому агенту о случаях фишинга.
Существуют специальные группы (PhishTank), собирающие целые базы фишинговых адресов, где можно проверить поступившее сообщение.
Крупные фишинговые атаки
7
Первой известной фишинговой атакой считается "бомбардировка" хакерами американского онлайн-гиганта AOL в 1995 году. Фишеры представлялись сотрудниками холдинга и убеждали жертв "подтвердить аккаунт", после чего получали доступ к личным данным. По некоторым сведениям, позднее эти данные использовались для атак на американские платежные системы.
1 марта нынешнего года было объявлено об утечке данных клиентов сервиса "Яндекс.Еда". Из-за "недобросовестных действий одного из сотрудников" говорилось о раскрытии 6,8 млн данных о клиентах и их заказах. При этом, по утверждению компании, утечка коснулась только ФИО клиентов, телефонов, а также составов заказов и времени их доставки. Логины, пароли, платежные реквизиты остались нераскрытыми.
В июле 2022 года стало известно об утечке сведений о клиентах крупнейшего оператора экспресс-доставки товаров СДЭК. По появившейся тогда информации, в Сеть могли утечь до 160 млн данных о пользователях доставщика и их контрагентах, включая ФИО, адреса электронной почты, названия компаний отправителя, идентификаторы отправителя/получателя, коды пунктов самовывоза, информацию о физических и юридических лицах, а также номера телефонов. В конце августа компания подтвердила факт утечки базы данных CDEK.Shopping и "СДЭК.Маркет", добавив, что в базу не попали номера документов, удостоверяющих личность, и данные банковских карт клиентов.