Фишинг

Фишинг – это форма атаки с использованием методов социальной инженерии, в ходе которой злоумышленник, выдавая себя за доверенный объект, выманивает у жертвы конфиденциальную информацию.

5 минут на чтение

5 минут на чтение

Что такое фишинг?

Получали ли вы когда-либо электронное письмо, текст или другое электронное сообщение якобы от банка или другого популярного онлайн-сервиса, в котором вас просили «подтвердить» ваши учетные реквизиты, номер кредитной карты или другую конфиденциальную информацию? Если да, то вы уже знаете, как выглядит фишинг-атака. Цель данного вида мошенничества — получение ценных данных пользователей, которые могут быть проданы или использованы злоумышленниками для вредоносных целей, таких как вымогательство, похищение денег или кража личных данных.

Происхождение термина

Данная концепция была впервые описана в 1987 году Джерри Феликсом и Крисом Хауком в документе конференции под названием «Безопасность системы: взгляд хакера» (1987 Interex Proceedings 1:6). В документе описывалась техника злоумышленников, которая заключается в имитации надежного объекта или сервиса. Само слово является омофоном английского слова «fishing» (ловля) в отношении целевых объектов, поскольку используется та же логику «ловли на живца». «Ph-» («ф») в начале слова означает “phreaks” - группу хакеров, которые экспериментировали с телекоммуникационными системами и незаконно исследовали их границы в 1990-х годах.

Как осуществляется фишинг?

Фишинг существует на протяжении многих лет, и за это время злоумышленники разработали самые разнообразные методы атаки жертв.

Самый распространенный метод фишинга – выдать себя за банк или финансовое учреждение по электронной почте, чтобы жертва заполнила поддельную форму в самом электронном письме или в прикрепленном к нему файле либо посетила веб-страницу с запросом ввода реквизитов учетной записи или учетных данных для входа.

Раньше в этих целях киберпреступники часто использовали неправильно написанные или ложные доменные имена. Сегодня злоумышленники используют более изощренные методы, благодаря чему ссылки и поддельные страницы очень похожи на свои законные аналоги.

Подробнее

Похищенные данные жертв, как правило, используются для кражи средств с банковских счетов или продаются в Интернете.

Аналогичные атаки осуществляются также через телефонные звонки (вишинг) и SMS-сообщения (смишинг).

Целевой фишинг

Более продвинутый метод фишинга, при котором кажущиеся подлинными фишинговые сообщения попадают во входящую, почту определенных групп, организаций или даже отдельных лиц.
Авторы целевых фишинговых писем заранее хорошо изучают свою(и) жертву(ы), чтобы содержание письма вызывало как можно меньше подозрений.
Атаки, направленные на конкретных, в основном высокопоставленных представителей бизнеса, таких как топ-менеджеры или владельцы бизнеса, называются «уэйлингом» (англ. whaling – охота на китов) из-за возможной крупной суммы выкупа.

Как распознать фишинг

Электронное письмо или сообщение может содержать официальные логотипы или другие элементы авторитетной организации, отправляемые злоумышленниками. Вот несколько подсказок, которые помогут выявить фишинговое сообщение.

Подробнее

  1. Общие или неофициальные приветствия — письма без персонализации (например, «Уважаемый клиент») и формальностей, должны вызвать подозрения. То же самое касается псевдоперсонализации с использованием случайных, поддельных ссылочных номеров.
  2. Запрос личной информации – часто используется киберпреступниками, тогда как банки, финансовые учреждения и большинство онлайн-сервисов такие запросы направляют крайне редко.
  3. Грамматические ошибки – орфографические ошибки и опечатки, а также необычные фразы часто могут означать опасность (но отсутствие ошибок не является доказательством легитимности).
  4. Неожиданные сообщения – любой незапланированный контакт с банком должен вызывать подозрения.
  5. Срочность – фишинговые сообщения часто побуждают к быстрым и менее продуманным действиям.
  6. Предложение, от которого трудно отказаться – если содержание письма слишком хорошее, чтобы быть правдой, оно, вероятно, является фишинговым.
  7. Подозрительный домен – будет ли американский или немецкий банк отправлять письмо с китайского домена?

Как защититься от фишинга

Чтобы не попасться на удочку фишинг-мошенников, обращайте внимание на описанные выше признаки, с помощью которых можно выявить фишинговые сообщения.

Простые рекомендации

  1. Интересуйтесь новыми методами фишинга: читайте средства массовой информации, чтобы узнать новую информацию о фишинговых атаках, поскольку киберпреступники постоянно разрабатывают новые методы для выманивания данных пользователей.
  2. Не отправляйте учетные данные: будьте особенно внимательны, когда в электронном письме якобы надежная организация запрашивает ваши учетные или другие конфиденциальные данные. При необходимости свяжитесь с отправителем или организацией, которую они якобы представляют (используя достоверные контактные данные, а не сведения, указанные в сообщении).
  3. Не переходите по подозрительным ссылкам: если подозрительное сообщение содержит ссылку или вложение, не нажимайте на нее и не загружайте содержимое. В противном случае вы перейдете на вредоносный сайт или в ваше устройство проникнет вирус.
  4. Регулярно проверяйте свои учетные записи в Интернете: даже если у вас нет подозрений, что кто-то пытается украсть ваши учетные данные, проверяйте свои банковские и другие учетные записи в Интернете на предмет подозрительной активности. На всякий случай……
  5. Используйте надежное решение для защиты от фишинга. Соблюдайте данные рекомендации и обеспечьте свою цифровую безопасность.

Узнать больше о фишинге можно здесь и здесь.

Известные примеры

Систематические фишинг-атаки начались в сети AmericaOnline (AOL) в 1995 году. Чтобы похитить легитимные учетные данные, злоумышленники связывались с жертвами через AOL InstantMessenger (AIM), часто выдавая себя за сотрудников AOL, которые проверяют пароли пользователей. Термин «фишинг» появился в группе новостей Usenet, посвященной инструменту AOHell, который автоматизировал этот метод, а это название закрепилось. После того, как компания AOL в 1997 году ввела контрмеры, киберпреступники поняли, что могут использовать эту методику в других областях виртуального мира и начали выдавать себя за финансовые учреждения.

Подробнее

Одна из первых крупных, хотя и неудачных, попыток была осуществлена в 2001 году. Злоумышленники, воспользовавшись хаосом в результате террористических атак 11 сентября 2001 года, разослали электронные письма, в которых некоторых жертв просили пройти проверку личности для того, чтобы использовать полученные данные для кражи финансовых данных на сервисе цифровых валют e-gold.

Потребовалось всего три года, чтобы фишинг прочно закрепился в онлайн-мире, и уже к2005 году злоумышленники похитили у пользователей США более 900 миллионов долларов США.

Согласно Глобальному обзору фишинга APWG в 2016 году было зафиксировано более 250 тысяч уникальных фишинговых атак с использованием рекордного числа зарегистрированных злоумышленниками доменных имен (более 95 тысяч). В последние годы киберпреступники обратили свои взоры на банковские, финансовые и денежные услуги, пользователей систем электронной коммерции, социальных сетей, а также учетные данные электронной почты.

ESET обеспечит защиту от фишинга

ESET Smart Security Premium

Максимальная безопасность в Интернете для максимальной производительности.

ESET Smart Security Premium

Максимальная безопасность в Интернете для максимальной производительности.

ESET Smart Security Premium

Разработано для пользователей, которым необходимо комплексное решение.

СКАЧАТЬ БЕСПЛАТНО