Коли "ловлять" твої дані на гачок: що таке фішинг і як українцям уберегтися від нього
Тільки в січні цього року Національний координаційний центр кібербезпеки зареєстрував 400 000 фішингових атак. Тому проблема фішингу вкрай серйозна і вимагає обачності з боку кожного користувача інтернету.
Основа будь-яких цифрових сервісів — безпека і зручність, адже вони допомагають користувачам зекономити свій час, ресурси та сили, і при цьому почуватися захищеними, перебуваючи в онлайні.
Зі свого боку, розробники, держава, роблять цифрові послуги максимально безпечними, але користувачі теж повинні відповідально ставитися до своїх персональних даних. Зокрема, щоб не потрапити "на гачок" шахраїв. Неуважне ставлення до персональних даних — це те саме, що ходити з відкритою сумкою ринком, виблискуючи гаманцем перед злодіями.
Гадаю, ви часто потрапляли в таку ситуацію. Вам телефонують з незнайомого номера. На тому кінці слухавки приємний голос називає себе працівником служби підтримки якогось банку. Вам кажуть: "Ваш рахунок намагалися зламати. Утім, ми попередили цей випадок, але нам треба перевірити, чи все гаразд. Назвіть, будь ласка, номер вашої картки і код безпеки".
Переважно, все працює так, що людина не встигає зорієнтуватися через паніку й повідомляє свої персональні дані. Лише потім з'ясовується, що це були зловмисники. А співробітники банку в жодному разі не запитують ніякої інформації, яка могла б допомогти викрасти ваші гроші.
Цей шахрайський метод називається фішингом. Він доволі поширений серед інтернет-злочинців. Наприклад, з початку пандемії СOVID-19 у світі відбулося понад 18 мільйонів фішингових атак. Здебільшого, шахраї пропонували безкоштовні маски в обмін на заповнення анкети з персональними даними. Чи пропонували пройти платну вакцинацію, але вимагали надати дані банківської картки.
Що стосується України, то тільки в січні цього року Національний координаційний центр кібербезпеки зареєстрував 400 000 фішингових атак. Тому проблема вкрай серйозна і вимагає обачності з боку кожного користувача інтернету.
Що таке фішинг?
Фішинг — вид шахрайства, метою якого є виманювання у довірливих або неуважних користувачів мережі їхніх персональних даних.
Використовуючи необізнаність громадян у питаннях кібергігієни, шахраї збирають інформацію. Наприклад, для зняття грошей з вашої картки, проведення фінансових або інших операцій від вашого імені, на які ви не давали свою згоду. Шахраї використовують різні механізми впливу (електронного лист, SMS-повідомлення) для того, щоб користувач самостійно розкрив про себе якусь приватну інформацію.
Як він працює?
Ви отримуєте електронного листа на особисту електронну адресу. Наприклад, лист прийшов від якогось ЦНАП, що доступ до вашого аккаунту на порталі "Дія" був скомпрометований, тому вам потрібно перевірити логін і пароль. Зазвичай у таких повідомленнях намагаються писати тексти так, щоб збентежити користувача, а в деяких випадках і налякати, що хтось намагається зламати сторінку.
Також зараз поширений фішинг від імені банків. Наведу один з останніх прикладів. Зловмисник знайшов уразливість на сайті компанії plantmatic.net і розмістив там свою фішингову сторінку, з якої робив масову розсилку.
Людям приходив лист нібито від банку "Райффайзен". У ньому йшлося про те, що хтось намагається зламати акаунт, а також просили перевірити безпеку облікового запису за посиланням, нібито на офіційній сторінці банку.
Зовні все начебто зрозуміло. Користувач, отримавши такий лист, якщо він не є клієнтом банку, просто видалить його. Утім, потенційні клієнти банку можуть повірити, зайти на сторінку та ввести свої дані, нічого не підозрюючи. Але треба розуміти, що фішинг — це приховане полювання. У посиланні приховане гіперпосилання #HTML саме на зламаний сайт plantmatic.net
Це і є яскравий приклад фішингу. Людина натискає ніби на посилання від банку і потрапляє на скомпрометований сайт. Далі в цифровій формі він вводить свої особисті дані та очікує потрапити в свій кабінет, а насправді нікуди не потрапляє. Шахрайський алгоритм вже зібрав дані, а зловмисник їх використає на цій сторінці банку.
Чи є інші приклади фішингу?
Сьогодні механізми фішингу значно еволюціонували: шахраї підробляють зовнішній вигляд сайтів максимально правдоподібно. Наприклад, роблять схожі назви сайтів — доменні імена. Ви можете отримати повідомлення на "Вайбер" від нібито "Нової пошти" з відповідним доменом https://novaposhta.at/, але не приділите увагу маленьким деталям: замість UA маємо AT https://novaposhta.ua/.
Варто пам'ятати, що фішинг завжди роблять виключно для того, щоб заволодіти персональними даними, за допомогою яких зловмисник зможе отримати ваші гроші або від вашого імені виконати певні дії в цифровому просторі. Але не всі шахраї починають діяти відразу: дехто збирає певну кількість даних користувачів і продає їх на закритих майданчиках у даркнеті за сотні тисяч доларів.
Досить часто шахраї підганяють користувача, щоб той не встиг помітити обман. У листах можуть написати, що ваш акаунт зламали. Щоб зупинити шахрая, вам необхідно зайти за посиланням і ввести особисті дані ще раз.
Так як же вберегтися?
Дуже просто. Треба дотримуватися кількох простих порад:
- Якщо ви отримуєте листи на вашу скриньку в HTML-форматі, завжди звертайте увагу на гіперпосилання, перевіряйте його і тільки тоді переходьте. Я користуюся поштовою програмою, яка приймає листи не у форматі HTML, а виключно як TXT, ігнорує скрипти або вихідний код.
- Застосовувати двофакторну ідентифікацію завжди і скрізь.
- Якщо ваш браузер повідомив, що ресурс скомпрометований, не переходьте за посиланням. Банки досить ретельно відстежують питання сертифікатів.
- Звертайте увагу на домен. Наприклад, ось скомпрометований домен, який ви бачите в браузері http://plantmatic.net/secured/aval/ibank/, а ось оригінал https://raiffeisen.ua/privatnim-o…/rahunok/potochni-rakhunky банку "Райффайзен".
- Користуйтеся банками, які мають власний додаток.
- Також звертайте увагу, як до вас звертаються в листі. Наприклад, лист від банку без персоналізації зі словами "Шановний клієнт банку". Будь-які подібні підозрілі листи і повідомлення повинні викликати у вас занепокоєння. Завжди краще зателефонувати за офіційними телефонними номерами відповідних установ.