Фишинг считается едва ли не самым древним интернет-промыслом: где есть личные данные, там есть и интерес в их раскрытии. Процессы автоматизируются, появляются готовые наборы инструментов для взлома, а к борьбе с этой проблемой подключаются государственные службы: до конца года планируется запуск системы жалоб на фишинг, мошенников и телефонный спам. Основатель селебрити-агентства Didenok Team и музыкального издательства DNK Music Кирилл Диденок рассказал о том, чем опасен фишинг и как максимально застраховать себя от утечки личных данных.
Фишинг — главная опасность в социальных сетях
Слово «фишинг» (англ. phishing) переводится как «рыбная ловля» или «выуживание». Так называют один из приемов социальной инженерии по похищению пользовательских данных, логинов и паролей от аккаунтов и платежных систем. Крючком с наживкой тут служит обычно поддельная страница с формами ввода данных, а добычей — информация, которую никому не следует разглашать.
Мошенники максимально точно имитируют сайты, социальные сети, онлайн-магазины, почтовые веб-клиенты. Пользователь вводит и раскрывает свой логин и пароль, после чего его перебрасывает на настоящую страницу, поэтому кража остается незаметной, а компания, от лица которой действовал мошенник, получит ущерб для бренда.
Фишинг остается самым простым способом взлома — все необходимые данные вы передаете самостоятельно: ввели логин, пароль, подтвердили отправку данных через кнопку входа на сайт.
Специализирующаяся на кибербезопасности международная компания CERT-GIB обнаружила в даркнете готовые наборы для создания фишинговых страниц. Ранее взломщикам требовалось больше времени и ресурсов, чтобы восстановить удаленный сайт. Сегодня фишинг-кит позволяет развернуть новую фишинговую страницу за минуты.
Премия молодых предпринимателей Young Awards 2021. Подать заявку.
Фишинг-киты продаются в виде наборов готовых инструментов, с помощью которых создаются и запускаются фальшивые веб-страницы, копирующие сайты конкретных организаций.
Всего было обнаружено 260 таких комплектов, имитирующих ресурсы российских и зарубежных компаний. Их опасность не только в автоматизации процесса взлома, но и в его упрощении. Такими наборами может пользоваться и неопытный пользователь без знания программирования.
Бороться с фишингом можно, если повысить собственную грамотность: больше внимания к деталям и бережное отношение к менеджменту приватных данных, будь то хранение паролей или иных доступов к информации.
Чем опасен фишинг?
Первое, за что возьмется взломщик — аккаунты в социальных сетях: Вконтакте, Instagram, Facebook, Twitter. В руках злоумышленников оказываются все ваши переписки, отправленные и полученные файлы, а также база подписчиков.
Тут открывается простор для разных видов шантажа, публикации провокационной информации и снова социальной инженерии: прикрываясь вашей личностью, мошенник свяжется с каждым из списка контактов — так может быть запущена цепная реакция скам-активностей.
Самый простой и популярный случай — с аккаунта вашего друга может прийти сообщение с просьбой денежного займа, голосования в конкурсе, ссылкой на «смешное видео».
Мошенник проведет рассылку по вашим подписчикам от вашего имени. В случае удачи он получит новые логины и пароли, и далее продолжит расширять фишинговую сеть с целью поиска наживы и новых данных. Нередко такие рассылки происходят в ночное время — мошенники зачастую работают по аутсорсу из других стран.
Во-первых, на иностранных фрилансерах можно сэкономить, особенно на «серых» и «черных» заказах.Во-вторых, другая юрисдикция усложняет процесс поиска мошенника правоохранительными органами.
Второе направление — интернет-магазины, кинотеатры, службы доставки, такси и каршеринги. Здесь целью становятся данные, позволяющие получить доступ к привязанным банковским картам. Согласно исследованию Group-IB, в 2020 году такие сервисы стали целью в 30,7% случаев атак. Отдельное внимание взломщики уделяют финансовым учреждениям — на них приходится чуть больше 20% от всех фишинговых атак.
Третье направление — почтовые сервисы и, прежде всего, аккаунты Google. Получение доступа к Google ID или Apple ID открывает мошенникам максимум информации на ваших устройствах, включая файлы, хранящиеся в облачных сервисах. Получив доступ к iCloud, преступник не только получит доступ к фотографиям и документам — у него будет контроль над вашей цифровой личностью и, например, доступам к сохраненным паролям от других сервисов.
Кто в зоне риска?
Все, у кого есть Интернет. Восстановить аккаунт или заблокировать банковскую карту можно быстро и без ущерба. При этом злоумышленник может успеть провести транзакцию с вашего счета или выгрузить из переписки в директе личные или даже компрометирующие вас данные.
Здесь подключается шантаж и требования выкупа: мы все помним скандальные «сливы» adult-фото с iCloud знаменитостей или требования денег за уничтожение копии неизданных музыкальных релизов.
Аккаунты с мощным социальным капиталом используются для размещения мошеннических офферов, ссылок, по которым может перейти лояльная аудитория известного блогера. И, более того, ввести свои платежные данные, пароли, снабдив мошенников новой ценной информацией.
В зоне риска находятся и те, кто вводит платежные данные в онлайн-магазинах: ошибившись с окном ввода, не проверив адрес в браузерной строки, вы рискуете отправить щедрый донат мошеннику. Тем более, что существуют сервисы имитирующие ошибку транзакции с целью ее повторения, например, чтобы провести транзакцию два раза подряд.
Для бизнес-аккаунтов ущерб от фишинга придется на репутацию личного бренда. Такой тип взломов может быть интересен конкурентам, чтобы скомпрометировать вас, создать провокацию, получить какую-то важную информацию под грифом коммерческой тайны в корыстных целях.
Как бизнес страдает от фишинга?
Фишинг — инструмент создания репутационных рисков. Если атака была спланирована конкурентом, он может опубликовать деструктивную для бренда информацию. Случайно доставшийся взломщику бизнес-аккаунт можно использовать, например, для размещения ссылок на фишинговые сайты, на которых вводятся платежные данные.
Факт взлома достаточно быстро вскроется, но от репутационных потерь это не избавит: аккаунт попадет в бан, вы потеряете время и деньги.
Другой риск, зачастую недооцененный, — получение контроля над аккаунтами ваших сотрудников. Мошенники могут узнать из переписок конфиденциальную информацию или начать рассылать подрывающие репутацию сообщения от имени одного из коллег или менеджеров. Даже если упредить шеринг такой информации документально в виду NDA контрактов, в минус сработает скорость атаки — как говорится, интернет помнит все.
Серьезность бизнес-рисков от фишинга подтверждают опросы компании GreatHorn: пользователи не могут идентифицировать до 50% фишинговых атак. Защититься от них сложно: здесь человеческий фактор побеждает технологии.
Какие схемы фишинга популярны в 2021 году
Фишинг — во многом психологическая манипуляция с использованием техник social engineering и решений по веб-разработке. Попавшего на поддельный ресурс человека убедят с помощью «знакомого» дизайна без каких-либо подозрений ввести свой логин и пароль.
Распространенная ситуация — на почту приходит письмо от технической поддержки Instagram. Письмо по своему содержанию и оформлению будет максимально идентично рассылкам сервиса.
Вот некоторые варианты конструируемых мошенниками ситуаций:
- сообщение о зафиксированной попытке входа из необычного места;
- фиксация нарушения авторских прав, при которой дается 24 часа на подачу апелляции, в противном случае аккаунт блокируется;
- требование о вводе своих данных для верификации (чаще предлагают пользователям с большой аудиторией;
- письмо из технической поддержки интернет-магазина;
- для Google — письмо с требованием смены пароля из-за подозрительной попытки входа.
Часто взломщики играют на чувствах и эмоциях: в чатах мессенджеров регулярно появляются сообщения с просьбой поддержать ребенка знакомого в творческом конкурсе. Главное — создать конверсию в нажатие ссылки и ее распространение от одного человека по цепочке его друзей и контактов.
При переходе на страницу голосования предлагается ввести логин и пароль страницы, похожей на главную Instagram, после чего аккаунт оказывается взломанным.
Одна из свежих схем использует рассылку фейковых офферов по работе с целью добычи данных у тех, кто регистрируется на LinkedIn. С помощью парсера из анкет претендентов злоумышленники узнают название должности жертвы, например, «Event-менеджер с релокацией», и отправляет ей фишинговый e-mail от имени LinkedIn.
К нему прикрепляется ZIP-архив, названный, например, «ваш контракт с указанием суммы». Когда пользователь открывает оффер, на его компьютер устанавливается вредоносная программа malware, которая будет показывать в браузере опять же мошеннические баннеры, похожие на типичный pop-up, на который пользователь мог подписаться, например, на новостном сайте.
Как уберечься от фишинг-атак
1. Внедрить ритуалы социальной гигиены. Как только вы узнали, что данные «ушли» или потенциально могли быть найдены третьей стороной, как можно быстрее меняйте пароли от социальных сетей, почт, платежных сервисов.
2. Будьте внимательны. Избегайте спешки в моменте ввода логина, пароля и платежных данных. Проверьте адресную строку, присмотритесь к элементам дизайна. Если что-то смущает, лучше обратиться в техническую поддержку ресурса.
3. Никогда не используйте одинаковые пароли. Правило «1 пароль, 1 сервис» поможет прервать запущенную фишинг-цепочку по проверке соответствия ваших логина и пароля другим популярным сервисам. Сегодня фишинг использует автоматические сервисы, позволяющие очень быстро проверить, куда еще могут подойти ваши данные.
4. Используйте двухфакторную идентификацию. Если ваши логин и пароль окажутся в руках взломщиков, для входа потребуется ввести полученный на телефон код, или использовать дополнительное приложение. Особенно тщательно нужно выстраивать защиту вокруг почтового ящика и аккаунта Google/iCloud — через них мошенники получат доступ ко всей вашей жизни.
5. Не доверяйте сомнительным офферам и ссылкам. Ссылка, скрытая сервисом коротких URL, подобным bit.ly, может привести к мошенникам. Конкурс, в котором скорее всего не участвует дочь ваших друзей, вряд ли является правдой. И, наконец, стилистика сообщений вашего коллеги в чате сменилась на непривычную — возможно, это повод ему позвонить.
Снизить вероятность стать жертвой фишинга можно, если добавить к своим ритуалам и привычкам больше сомнений и соблюдать своеобразную онлайн-гигиену.
Не верить удивительно выгодным предложениям, скидкам, а также сомнительным магазинам. В общем, техника работает просто — не заходить в «плохие районы», не верить незнакомцам и дважды, а то и трижды, проверять сетевую локацию, в которой вы решите расплатиться картой.
Автор Кирилл Диденок
Источник rb.ru