Что такое фишинг? 8 правил которые нужно знать чтобы не стать жертвой мошенников
Мошенничество с картами в интернете предполагает использование различных схем, позволяющих получить конфиденциальную информацию о реквизитах платежных инструментов. Злоумышленники часто полагаются на невнимательность жертв, поэтому главной мерой предосторожности сотрудники правоохранительных органов и служб безопасности финансовых организаций называют внимательное изучение сведений о получателе данных. Настоятельно не рекомендуется передавать конфиденциальную информацию посторонним лицам, даже если речь идет о сотрудниках обслуживающего банка. Пароли и ПИН-коды всегда следует держать в секрете.
Суть фишинга
На банковском рынке фишинг представляет собой одну из популярных мошеннических схем, позволяющих злоумышленнику заполучить конфиденциальную информацию о клиенте финансового учреждения. Этот способ воровства персональных данных предполагает применение почтовой рассылки, телефонных звонков и фиктивных сайтов для получения секретных сведений о пользователях. В частности, мошенники нацелены на кражу логинов, паролей, ПИН-кодов и реквизитов банковских карт. С помощью перечисленных данных можно совершать транзакции в обход держателя платежного инструмента.
Обычно аферист, в руках которого нахохлятся персональные данные жертвы, использует исключительно безналичные расчёты. Тем не менее зная номер, срок действия и код CVV, можно воссоздать пластиковый носитель, с помощью которого удастся снять хранящуюся на счету сумму.
Фишинг грозит:
- Появлением скомпрометированных конфиденциальных данных.
- Потерей личных или кредитных средств клиента.
- Снижением потребительского спроса на отдельные виды кредитных продуктов.
- Временной блокировкой счетов, по которым замечена подозрительная активность.
- Продолжительным расследованием со стороны банка и правоохранительных органов.
- Массовым взломом личных кабинетов клиентов в системах интернет-банкинга.
- Ухудшением репутации учреждения, которое неспособно защитить интересы клиента.
Поскольку методы обмана заемщиков, связанные с использованием возможностей интернета, не позволяют сотрудникам служб безопасности банков предотвратить факт хищения, фишинг на текущим момент времени является одним из самых популярных способов мошенничества в отрасли кредитования. Вопреки высочайшей степени защиты безналичных транзакций, использование прокси-серверов позволяет аферистам с легкостью скрывать информацию о своем реальном местонахождении. Раскрываемость уголовных дел по искам от столкнувшихся с фишингом жертв крайне низкая, поэтому банки зачастую самостоятельно возмещают убытки.
Разновидности фишинга
Обычно под термином «фишинг» (phishing) широкая аудитория понимает использование фальшивого сайта, замаскированного визуально под оригинальную и крайне надежную виртуальную платформу, например, систему интернет-банкинга или известный интернет-магазин. Однако на практике рассматриваемая форма мошенничества затрагивает также иные формы обмана клиентов финансовых организаций, применяемые злоумышленниками исключительно в удаленном режиме.
Виды фишинга:
- Создание фальшивых порталов, замаскированных под официальные сайты банковских учреждений.
- Использование рассылки по электронной почте с требованием передать отправителю секретные сведения.
- Осуществление телефонных звонков (вишинг), во время которых аферист получает конфиденциальные данные.
Повышение уровня доверия потребителей к обслуживающей организации – это основная причина эффективности каждого из методов фишинга. На удочку злоумышленников попадаются клиенты банков, которые не отличаются финансовой грамотностью или имеют доверчивый характер. Речь часто идет о людях преклонного возраста, хотя на фиктивных сайтах оставляют персональные данные и любители онлайн-шопинга или лица, не лучшим образом разбирающиеся в функционировании платежных систем. Для этих граждан визуальное сходство официального сайта и фишинговой площадки является достаточным основанием, чтобы оставить конфиденциальные данные. Хотя на практике оригинал от фальшивки можно отличить с первого взгляда, изучив адресную строку браузера.
Схема фишинга
По своей сути фишинг является разновидностью мошенничества на доверии. Это крайне распространенный и, пожалуй, самый эффективный способ осуществления финансовых афер. Граждане, которые плохо осведомлены в особенностях работы современных финансовых учреждений, могут с легкостью передать конфиденциальную информацию лицу, представляющемуся сотрудником обслуживающей организации. От злоумышленника понадобится только умение вести беседу.
Работать с фишинговыми сайтами мошенникам намного проще, поскольку здесь не предусматривается прямое общение с будущей жертвой, в отличие от вишинга. Фактически, нужно потратить немного времени и средств на создание сайта, имитирующего дизайн веб-страниц финансового учреждения.
Схема фишинга выглядит следующим образом:
- Злоумышленник создает фиктивный сайт, копируя дизайн оригинальной веб-площадки, которая вызывает доверие среди клиентов финансового учреждения. Если используется метод рассылки по почте, нужно собирать базу данных адресов e-mail. Для вишинга злоумышленникам приходится использовать номера телефонов потенциальных жертв. Кроме звонков этот метод мошенничества предполагает также рассылку по SMS.
- Создается текст обращения для уведомлений и наполняется контентом сайт с окном для ввода данных.
- Мошенник связывается с клиентом финансового учреждения. Потерпевшие отмечают, что на сайты фишинга они переходили по прямым ссылкам из социальных сетей и форумов. В свою очередь рассылка писем и SMS часто выполняется с помощью новых почтовых адресов и телефонов, которые напоминают контактные данные обслуживающего банка. Злоумышленники представляются сотрудниками финансовых учреждений, требуя клиента предоставить конфиденциальные сведения для срочной проверки.
- Получив секретную информацию, мошенники крадут денежные средства с карт и расчетных счетов.
- После нескольких успешных ограблений во избежание дальнейшего уголовного преследования преступник удаляет фишинговые сайты и избавляется от используемых для звонков номеров телефонов.
Поисковые системы активно борются с мошенничеством, поэтому со страницы результатов выдачи моментально исключаются сайты, заподозренные в противозаконной деятельности. Распространение ссылок на вредоносные фишинговые страницы выполняется с помощью использования различных площадок, отличающихся высокой посещаемостью. В социальных сетях можно без особых проблем нарваться на мошенников, поскольку комментарии и посты здесь оставляют зарегистрированные пользователи.
Технологии фишинга
Актуальный механизм фишинга базируется на нескольких основополагающих принципах, в частности мошенниками активно используются возможности черной оптимизации сайтов (black SEO). Например, для привлечения жертв для сбора конфиденциальных данных могут применяться методы ссылочного спама и сайты с автоматическим перенаправлением. В итоге роботы поисковых систем довольно быстро обнаруживают злоумышленников.
Санкции поисковиков позволяют лишь устранить фишинговые сайты со страницы выдачи по ключевым словам. Удалить страницы целиком можно только по решению суда. Следует отметить, что современное антивирусное программное обеспечение в большинстве случаев имеет встроенные алгоритмы противодействия фишингу, блокируя опасные сайты. Однако существует несколько технологий, которые способны защитить мошенника от возможных санкций.
Основные техники фишинга:
- Маскировка поддельных сайтов, номеров телефонов и адресов электронной почты под оригинальные веб-страницы и контактные данные финансовых учреждений. При подборе доменных имен и адресов для рассылки e-mail делаются умышленные опечатки или добавляются лишние символы.
- Смишинг – применение рассылки сообщений по SMS с просьбой перезвонить или ссылкой на подставной сайт.
- Социальная инженерия – психологическое влияние в попытках встревожить жертву, вызывая немедленную реакцию. Речь идет о привлечении внимания путем использования вызывающих интерес текстов. Злоумышленники вынуждают жертву с помощью запугивания перейти по ссылке или предать секретные данные.
- Обход антифишинговых фильтров почтовых клиентов благодаря использованию в e-mail изображений вместо текста.
- Активное использование спама, включая распространение платных ссылок на фишинговые сайты.
- Комбинирование нескольких подходов к осуществлению афер. Например, в процессе распространения ссылок на фиктивные сайты и номеров телефонов для вишинга (голосовой фишинг) применяется рассылка по e-mail.
- Применение JavaScript для изменения адресной строки путем размещения изображения с поддельным URL.
- Межсайтовый скриптинг – поиск и использование уязвимых мест современных систем безопасности подлинных сайтов для сбора данных о клиентах.
Откуда преступники получают базы данных e-mail и номера телефонов жертв? Как это ни прискорбно, но от самих финансовых учреждений. Крупные банки и МФО надежно защищают конфиденциальные данные клиентов, ведь от качества обслуживания зависит репутация этих организаций. Однако часто отмечаются утечки информации по банальной невнимательности сотрудников IT-отделов этих учреждений.
Банковские организации поменьше, как правило, подвергаются частым хакерским атакам, а сотрудники некоторых компаний сами «сливают» данные, получая часть от украденных мошенниками средств. В первых двух случаях банки и прочие финансовые учреждения признают свою вину, предоставляя клиентам компенсацию. Если сотрудник организации подозревается в пособничестве злоумышленникам, его ждет немедленное увольнение и последующее уголовное преследование.
Защита от фишинга
Как правило, мошенники привлекают внимание жертв необходимостью решения несуществующих проблем с банковскими счетами. Чтобы защититься от действий злоумышленников, достаточно запомнить, что финансовые учреждения никогда не запрашивают персональную информацию по электронной почте или SMS. Сотрудники служб безопасности банковских организаций советуют проверять сайты, на страницах которых приходится оставлять секретные сведения, а пароли и ПИН-коды не рекомендуется передавать посторонним лицам.
Способы защиты от фишинга:
- Установка и регулярное обновление антивирусного программного обеспечения.
- Использование современных браузеров и почтовых клиентов с антифишинговыми фильтрами.
- Сохранение конфиденциальной информации в тайне от посторонних лиц.
- Размещение реквизитов на защищенных сайтах, домены которых начинаются с «https».
- Обучение и информирование клиентов, пользующихся безналичными переводами.
- Умышленное усложнение процесса авторизации с использованием подтверждения операций по SMS.
- Мониторинг надежности сайтов на специализированных площадках.
- Повышение уровня технической безопасности официальных сайтов банковских учреждений.
Актуальные методы фишинга зависят от качества маскировки поддельных ссылок и сайтов. Внимательность – основное средство защиты от мошенников. Поисковые системы и разработчики антивирусных утилит оказывают неоценимую помощь в борьбе со злоумышленниками, однако безопасность клиентов финансовых учреждений во многих случаях повышается за счет обучения потребителей. Клиенты банков и прочих организаций, работающих с денежными средствами, должны получать простейшие инструкции, повышающие финансовую грамотность.
Заключение
В итоге различные виды фишинга действительно являются крайне опасными способами мошенничества. Часто речь идет о рассылке уведомлений, с помощью которых злоумышленники привлекают своих жертв на фиктивные сайты. Когда на почту приходить письмо с требованием предоставить персональные данные, «чтобы восстановить доступ к счёту» или «получить бонус от обслуживающей организации», скорее всего, речь идет об афере.
Если злоумышленник обманом получил личные данные, жертве следует немедленно обратиться в банк, подав заявление в правоохранительные органы. Расчетные счета временно блокируются до выяснения обстоятельств. В случае потери сбережений или хранящихся на счету кредитных средств, учреждение может компенсировать часть убытков. При отсутствии подозрительных операций на расчетных счетах работник обслуживающей организации во избежание проблем в будущем, скорее всего, порекомендует клиенту изменить скомпрометированные логины, пароли и ПИН-коды.