Що таке фішинг і як від нього захиститись?
Фішинг – вид інтернет-шахрайства, метою якого є отримання доступу до конфіденційних даних користувачів. Це схема, за допомогою якої шахраї, користуючись довірливістю або неуважністю людей, змушують їх самостійно розкривати особисту інформацію про себе для наступного її використання у зловмисних цілях.
Конфіденційною є така інформація:
- логін та пароль для входу в мобільний додаток;
- номер, термін дії, CVV2/CVC2, ПІН платіжної картки;
- одноразові паролі підтвердження операцій;
- адреса вашої електронної пошти;
- фінансовий номер вашого телефону;
- слово – пароль до картки, відповіді на секретні питання тощо.
Зазвичай для фішингу зловмисники підробляють електронні листи, оголошення або сайти, щоб вони були схожі на ті, яким ви вже довіряєте. Наприклад, зловмисник може надіслати вам електронний лист, який виглядатиме так, неначе його відправлено з вашого банку, щоб ви надали інформацію про свій банківський рахунок.
Розуміння суті цих атак і принципу їх роботи може допомогти виявити спроби фішингу, а також дізнатися про те, як діяти, щоб не потрапити у фішингову пастку.
Які існують основні схеми фішингових пасток?
1. Використання розсилок електронних листів (СПАМу) з певними пропозиціями купівлі товарів та послуг, листами-повідомленнями про блокування облікового запису пошти, доступу до системи клієнта банку.
2. Переадресування користувачів на підробні (шахрайські) сайти, які ззовні, або за доменним ім’ям, схожі до офіційних сайтів певних організацій.
3. Голосовий фішинг.
4. Фішингові СМС-повідомлення.
5. Фішинг в соціальних мережах тощо.
У світі кожні півхвилини створюються фішингові сайти, здатні вкрасти дані банківських карт або основний обліковий запис. Наприклад, отримавши незаконним шляхом інформацію про номер платіжної картки, термін дії, ім’я та прізвище держателя платіжної карти, CVV/CVC2-код – злочинці можуть використати дану інформацію для здійснення несанкціонованих списань грошових коштів з даної платіжної карти. Держатель платіжної картки дізнається про такі операції вже за фактом їх здійснення, шляхом отримання інформації про рух коштів за допомогою СМС-повідомлення від банку, або переглянувши інформацію про рух коштів в мобільному додатку, або у вебверсії додатку.
Банки часто використовують доставлення інформації клієнту через Viber, тому фішингові атаки проводяться саме через нього – шахраї блокують телефон і вимагають розблокування за гроші. Також атакують месенджер Facebook. І трохи менше на WhatsApp. Викрадення грошей відбувається тоді, коли ви вводите дані банківської картки на фішинговому сайті-копії.
Розуміння суті цих атак і принципу їх роботи може допомогти виявити спроби фішингу.
Для уникнення фішингу рекомендуємо:
1) користуйтесь лише захищеними офіційними сайтами та перевіреними платіжними сервісами;
2) якщо вас було переадресовано на невідомий сайт, з незнайомим, або іншим доменним іменем – не вводьте конфіденційну інформацію в запропоновані поля;
3) при відвідуванні банківських сайтів, стежте, щоб було встановлено захищене з’єднання HTTPS. В адресному рядку повинен відображатися спеціальний символ – замок. Ви також можете перевірити сертифікат для HTTPS при кліку по цьому замку. Звертайте увагу на підтверджений сертифікат у вікні що спливає.
Взагалі, краще ніколи не переходьте за підозрілими посиланнями. Часто бувають ситуації, коли вам на пошту або в особистому повідомленні приходить дивне посилання, яке складно ідентифікувати. За ним цілком може ховатися вірус або фішинговий сайт. Навіть якщо таке посилання прийшло нібито від вашого друга – варто бути напоготові. Обліковий запис вашого знайомого могли зламати та він навіть і не здогадується, що від його імені надсилається шахрайська розсилка.
Будьте уважні та обережні!