Архів новин    Актуально    Шкільний екран    Зверніть увагу!    Соціальний захист     Гребінківська ОТГ    Лубенська РДА    Прес-реліз    Технології    Новини Полтавщини TV   


28.03.2024

Фішинг - одна з найпоширеніших шахрайським схем


Фішингові сайти можуть ховатися за спливаючими вікнами


Фішинг

За останні 20 років інтернет вріс в наше життя. Ми використовуємо електронні платіжні сервіси, оплачуємо комунальні рахунки за допомогою інтернет-банкінгу, ведемо ділове і дружнє листування. Якщо не дотримуватися елементарних правил обережності, наша конфіденційна інформація може стати здобиччю шахраїв.

Фішинг — це вид інтернет-шахрайства, який полягає в крадіжці конфіденційних даних користувачів. Простіше кажучи, зловмисники «розводять» користувачів на те, щоб вони самі розкрили свої особисті дані, наприклад, номери телефонів, номери та секретні коди банківських карт, логіни та паролі електронної пошти та облікових записів в соціальних мережах.

Для цього користувачам пропонують якусь послугу або можливість, яка приваблює їх до таких дій. Наприклад, користувачам соціальної мережі Instagram пропонують дізнатися, хто заходив на їх особисту сторінку (хоча насправді такої можливості сама соціальна мережа не надає), а клієнтам інтернет-магазинів пропонують товар з божевільною знижкою.

Інтерес зловмисників може викликати будь-яка інша конфіденційна інформація. Шахраї «вивуджують» дані користувачів під різними пристойними приводами: перевірка авторизації на сайті, необхідність «відписатися» від спаму в електронній пошті, оплата покупки за низькою ціною або з великою знижкою, необхідність встановити новий додаток.

Останніми роками кількість випадків фішингу зростає. Цьому сприяла пандемія — люди частіше купували в інтернеті і частіше траплялися шахраям.

Специфікою фішингу є те, що жертва шахрайства надає свої конфіденційні дані добровільно. Для цього зловмисники оперують такими інструментами, як фішингові сайти, e-mail розсилка, фішингові landing page, спливаючі вікна, таргетована реклама.

Користувач отримує пропозицію зареєструватися для отримання будь-якої вигоди або підтвердити свої персональні дані нібито для банківських або комерційних установ, клієнтом яких він є. Як правило, шахраї маскуються під відомі компанії, додатки соціальних мереж, сервіси електронної пошти.

Електронна адреса відправника дійсно схожа на адресу знайомої користувачеві компанії. Наприклад, щоб замаскуватися під інтернет-магазин Aliexpress, шахраї шлють листи з адрес, що містять слово Alliexpress або Aliexxpress. Працює та сама схема, яка змушує людей купувати дешеві китайські кросівки таких «всесвітньо відомих брендів», як Pumma або Abibas.

Зловмисники користуються низьким рівнем обізнаності користувачів, зокрема, незнанням елементарних правил мережевої безпеки. Перш за все, організаторів фішинг-атак цікавлять персональні дані, які дають доступ до грошей, тому жертвами фішингу можуть ставати не тільки окремі люди, а й банки, електронні платіжні системи, аукціони.

Найпопулярніші серед шахраїв схеми онлайн-фішингу

Розсилка підроблених електронних листів, з проханням підтвердити логін і пароль. Зловмисники можуть заспамити повідомленнями мільйони адрес електронної пошти протягом декількох годин. Для цього бази попередньо купуються. Однак за такі дії передбачена кримінальна відповідальність, а сервери, з яких розсилається спам, обчислюють і банять, тому цей спосіб повільно відходить у минуле.

Шахраї створюють електронні листи з підробленим рядком «Mail From:», використовуючи недоліки в поштовому протоколі SMTP. Коли відвідувач відповідає на фішингові повідомлення, лист з відповіддю автоматично пересилається шахраям електронною поштою.

Фішингові схеми популярні при проведенні інтернет-аукціонів. При цьому товари виставляються на продаж через легальний інтернет-аукціон, однак кошти перераховуються через підроблений вебвузол.

Фіктивні благодійні організації, які звертаються з проханням про пожертвування.

Створення фішингових інтернет-магазинів. Товари продаються за викидними цінами або з великими знижками. Це приваблює відвідувачів і вони надають дані своїх банківських карт, не підозрюючи, що стають жертвою шахрайства.

Як розпізнати фішинг

На електронну пошту приходить лист, який починається словами «Вітаємо! Ви виграли…». Вам повідомляють про перемогу в розіграші або лотереї, і щоб отримати приз, потрібно всього-то авторизуватися, залишивши на чужому ресурсі дані особистого облікового запису. Як не дивно, така примітивна стратегія обману досі діє, оскільки надія на краще і прагнення отримати подарунок лежать в природі людини.

Пропозиція залишити свої конфіденційні дані може виходити від ресурсу, який схожий на добре знайомий вам сайт, а насправді виявляється фішинговим. Шахраї створюють фішингові сайти з впізнаваним дизайном і схожим адресним рядком. Вони заманюють відвідувачів у фішингові інтернет-магазини шаленими знижками та низькими цінами. Після того, як людина вводить інформацію, необхідну для оплати товару за допомогою кредитної картки (номер кредитної картки, прізвище та ім’я користувача, термін дії карти та секретний код CVV), інформація потрапляє до зловмисників. Покупець залишається без товару і без грошей на карті.

Фішингові сайти можуть ховатися за спливаючими вікнами. На них може вести таргетована реклама. Бувають ситуації, коли в графі «логін» користувач вже бачить адресу своєї електронної пошти, і йому пропонується всього лише ввести свій пароль в нижній графі.

Велика ймовірність побачити посилання на фішингові сайти в коментарях на чужих сторінках або групах в соціальних мережах. Його також може надіслати вам друг або знайомий, чий акаунт вже зламали. Якщо посилання викликає хоч найменшу підозру, краще не ризикувати та не переходить за ним.

Джерела залучення аудиторії на фішингові сайти

Джерела залучення користувачів на фішингові сайти та додатки завжди різні. Це може бути розсилка в особисті повідомлення, спам на електронну пошту, реклама або навіть картинка, де показується функціонал програми/сервісу, а в коментарях вже дається посилання на фішинговий сайт. При цьому на фішинговому сайті може бути безліч коментарів нібито від реальних користувачів. Це так звана «прокладка». Шахраї часто працюють за схемою «Джерело -> Прокладка -> Фішинговий лендінг».

Як захиститися від фішингу

Захист від фішингу охоплює дотримання кількох елементарних правил безпеки в інтернеті:
  1. Перш за все, пам’ятайте, що нікому і ні за яких обставин не можна передавати такі конфіденційні дані, як пін-код банківської картки, пароль електронної пошти або акаунтів в соціальних мережах. Ні банк, ні соціальна мережа не стануть запитувати ці дані через електронну пошту.

  2. Встановіть хороший антивірус з останньої базою антивірусів. Як правило, у всіх сучасних антивірусах передбачений захист від шпигунських і шкідливих програм. Соціальні мережі та браузери також попереджають користувачів про перехід на підозрілий сайт. Не ігноруйте ці попередження. Якщо соціальна мережа рекомендує не переходити за посиланням, прислухайтеся. Якщо ваша електронна пошта відзначає лист як спам, швидше за все, у їх відділу безпеки є на те вагомі підстави.

  3. Завжди звертайте увагу на дизайн сайту. Якщо сайт або лендінг здається дивним, недопрацьованим, створеним нашвидкуруч або викликає якісь підозри, то дуже може бути, що це фішинговий сайт.

  4. Звертайте увагу на адресний рядок на посиланні переходу. Незначні зміни в електронній адресі можуть привести вас на абсолютно інший сайт (наприклад, замість gmail.com може бути gmeil.co, а замість twitter.com — twiter.co або tviter.com). Також будьте обережні зі скороченими посиланнями (на кшталт bit.ly), оскільки з першого погляду не можна розпізнати, що за ними ховається.

  5. При відвідуванні банківських сайтів, стежте, щоб було встановлено захищене з’єднання HTTPS. В адресному рядку повинен відображатися спеціальний символ — замок. Ви також можете перевірити сертифікат для HTTPS при кліці по цьому замку. Звертайте увагу на підтверджений сертифікат у спливаючому вікні.

  6. Листи з невідомих адрес, які «тиснуть на емоції» або мають екстрений характер, повинні в першу чергу викликати підозри. Листи, які починаються з таких заяв, як «Ваш акаунт зламано!» або «Ваш профіль буде заблоковано!» або, навпаки, оголошують вам про великий виграш, в більшості випадків є шахрайськими.

  7. Остерігайтеся заходити на банківські вебакаунти через точки доступу громадського Wi-Fi. Шахраї можуть перехопити ваші особисті дані. Краще скористатися мобільним інтернетом або захищеним з’єднанням.

  8. Якщо виявили фішинговий лист нібито від відомої вам компанії або сервісу, повідомте про це в відділення цієї компанії. Швидше за все, компанія вживе заходів для того, щоб надійніше захистити вас як клієнта. А ще ви можете зв’язатися з вебхостинг провайдером такого сайту і залишити скаргу. Більшість хостерів закривають фішингові вебсайти при отриманні подібних повідомлень. Цим ви допоможете іншим користувачам, які можуть стати жертвами фішингових атак.

А взагалі, краще ніколи не переходьте за підозрілими посиланнями. Часто бувають ситуації, коли вам на пошту або в особистому повідомленні приходить дивне посилання, яке складно ідентифікувати. За ним цілком може ховатися вірус або фішинговий сайт. Навіть якщо таке посилання прийшло нібито від вашого друга — варто бути напоготові. Акаунт вашого знайомого могли зламати і він навіть не здогадується, що від його імені йде шкідлива розсилка.

За матеріалами Оржицького відділу
Лубенської окружної прокуратури


Схожі матеріали:
👁 283
Категорія: Зверніть увагу!
Теги: фішинг, шахраї, зловмисник




Всього коментарів: 0
Додавати коментарі можуть лише зареєстровані користувачі.
[ Реєстрація | Вхід ]

СВІЖІ ПУБЛІКАЦІЇ