Руководство по фишингу

Полное руководство по фишинговым атакам

С самого момента изобретения электронной почты фишинговые атаки преследуют как частные лица, так и организации, со временем становясь всё более изощренными и замаскированными. Фишинговая атака — один их распространенных способов, используемых хакерами для проникновения в учетные записи и сети своих жертв. По данным Symantec, каждое двухтысячное письмо является фишинговым, а это значит, что ежедневно совершается порядка 135 миллионов атак.

И хотя фишинговые атаки уже давно не редкость, в кризисные времена их количество резко возрастает. Мошенники пользуются хаосом и неразберихой, вызванной последними событиями. В такие времена многие ожидают писем из официальных источников, таких как экспертные организации, страховые компании или правительственные учреждения. Это дает преступникам отличную возможность маскировать свои вредоносные рассылки под письма из официальных источников. Эти, на первый взгляд, безобидные письма перенаправляют пользователей на мошеннические сайты, чтобы обманом побудить их ввести конфиденциальную информацию.

Что такое фишинг?

Простыми словами, фишинг — это тактика рассылки мошеннических электронных писем и попытка обманом заставить получателей нажать на вредоносную ссылку или скачать зараженное вложение, чтобы затем украсть их личную информацию. Эти письма могут выглядеть как сообщения из вполне респектабельных источников: торговых компаний, банков, а также лиц или команд в вашей собственной организации, например, из отдела кадров, от вашего руководителя или даже генерального директора.

Если ваши сотрудники не могут распознать признаки фишинга, под угрозой находится вся ваша организация. Согласно исследованию Verizon, среднее время, необходимое первой жертве широкомасштабной фишинговой рассылки, чтобы открыть вредоносное письмо, составило 16 минут, а на то, чтобы сообщить о фишинговой кампании в отдел информационной безопасности, ушло вдвое больше времени — 33 минуты.
Учитывая, что 91% киберпреступлений начинается именно с успешной фишинговой рассылки по электронной почте, эти 17 минут могут обернуться для вашей компании катастрофой.

Методы фишинговых атак

Как уже упоминалось, большинство, если не все фишинговые атаки начинаются с электронного письма, которое выглядит так, будто его отправил вполне законный источник, однако последующие способы атаки и проникновения могут быть различными. Некоторые способы достаточно просты и заключаются в том, чтобы обманом вынудить пользователя нажать на ссылку и ввести конфиденциальную информацию, другие же более изощренные, например, запуск исполняемого файла, который имитирует настоящий процесс и получает доступ к компьютеру и сети жертвы, чтобы незаметно запустить там вредоносную программу.

Обычно во время фишинговой атаки для обмана жертвы используется сразу несколько приемов. Например, нередко мошенники используют манипуляции с ссылками и подделку веб-сайтов, что в комбинации придает их действиям максимальную убедительность. Первое, что вы видите при получении фишингового электронного письма, — правдоподобно выглядящую ссылку, которая ведет на часто используемый и не вызывающий подозрений сайт, такой как Facebook, Amazon или YouTube, а также сообщение, под разными поводами призывающее вас перейти по этой ссылке. Эти сообщения будут предлагать пользователям ввести конфиденциальную информацию, утверждая, что с их учетной записью или заказом возникла проблема, которую необходимо решить. Именно на этом этапе в игру вступает следующий прием — подделка веб-сайтов.

Хотя на первый взгляд ссылка может выглядеть совсем как легитимный веб-сайт, скажем, «amazon.com», при внимательном рассмотрении можно обнаружить небольшие несоответствия или нестыковки, раскрывающие истинную природу ссылки. Создание таких мошеннических доменов, близких по написанию к известным сайтам, называется тайпсквоттингом. Эти вредоносные сайты во всем максимально похожи на реальные страницы, и ничего не подозревающие пользователи могут ввести на них свои учетные данные. Хакеры же получают возможность ввести украденные данные на настоящем сайте.

Также хакеры часто прикрепляют не вызывающий подозрений файл или добавляют ссылку, при нажатии на которую будет тайно загружено вредоносное программное обеспечение, которое внедрится в систему жертвы. Эти атаки часто внедряют вредоносную программу, маскирующуюся под настоящий исполняемый файл. Работая в фоновом режиме, такая программа будет перемещаться в сети пользователя с целью кражи конфиденциальной информации, такой как банковские счета, номера социального страхования, учетные данные пользователей и многое другое. Иногда вредоносное программное обеспечение включает программу-вымогатель, которая пробирается через сеть жертвы, шифруя и перемещая конфиденциальные данные для хранения с целью выкупа.

Типы фишинговых атак

Наиболее популярный среди фишинговых мошенников метод атаки заключается в создании максимально широкого охвата. Они рассылают стандартные электронные письма от имени известных сайтов максимально возможному количеству адресатов в надежде, что кто-нибудь клюнет на их уловки. Это эффективный, но не единственный метод поймать жертву на крючок. Некоторые киберпреступники для достижения своих целей используют более точные методы, например адресный (целевой) фишинг, клон-фишинг и уэйлинг.

Адресный фишинг и уэйлинг

Как и в обычных фишинговых атаках, в адресном (целевом) фишинге и уэйлинге для обмана жертв используются электронные письма из надежных источников. Однако вместо массовой рассылки множеству получателей адресный фишинг нацелен на конкретных лиц или выдает себя за вызывающее доверие лицо для кражи учетных данных или информации.

Подобно адресному фишингу, уэйлинг (дословно — «охота на китов») направлен на конкретное высокопоставленное лицо. Вместо того, чтобы нацеливаться на широкую группу, такую как отдел или команда, злоумышленники направляют своего внутреннего капитана Ахава на высокоуровневые цели — руководителей и влиятельных лиц — в надежде поразить своего белого кита.

«Охотники на китов» стремятся выдать себя за высшее руководство, например генерального директора, финансового директора или начальника отдела кадров, чтобы убедить членов организации раскрыть конфиденциальную информацию, представляющую для злоумышленников ценность.

Чтобы уэйлинг увенчался успехом, злоумышленники должны намного лучше изучить свою жертву по сравнению с обычным фишингом, чтобы выглядеть как можно достовернее. Злоумышленники рассчитывают воспользоваться авторитетом руководителя, за которого себя выдают, чтобы убедить сотрудников или других руководителей не проверять и не подвергать сомнению их запросы.

Во время работы в предыдущей компании я также стал целью уэйлинга: мошенник, выдававший себя за моего генерального директора, просил дать свой номер телефона, чтобы он мог позвонить мне и попросить об услуге. К счастью, в письме было много явных признаков мошенничества. Самым очевидным было то, что офис генерального директора находился всего нескольких шагах от моего стола, так что он мог бы легко подойти, если бы я ему понадобился!

Клон-фишинг

Клон-фишинг не такой изобретательный как адресный фишинг или уэйлинг, но от этого не менее эффективный. Этому методу атаки присущи все основные элементы фишингового мошенничества, а разница заключается в том, что вместо того, чтобы выдать себя за пользователя или организацию с конкретным запросом, злоумышленники копируют реальное электронное письмо, которое ранее было отправлено легитимной организацией. Затем хакеры используют манипуляции со ссылками для подмены реальной ссылки из исходного электронного письма и перенаправления жертвы на мошеннический сайт. Там они обманом пытаются заставить пользователей ввести учетные данные, которые злоумышленники будут использовать на реальном сайте.

Примеры мошенничества с электронной почтой

Мошенники часто подделывают официальные электронные письма от розничных продавцов, таких как Amazon или Walmart, утверждая, что пользователю необходимо ввести свои учетные данные или платежную информацию для выполнения заказа. Ссылки в электронном письме приведут вас на целевую страницу, выглядящую как настоящая, где вы сможете ввести конфиденциальную информацию.

С развитием электронной коммерции, а также в условиях пандемии количество интернет-покупок достигло невиданных масштабов, а значит у мошенников прибавилось работы. В период праздников, когда все массово покупают подарки, количество таких мошенников растет в геометрической прогрессии. Многие люди делают столько покупок, что перестают задумываться и замечать, что с их заказом что-то не так.

Примером фишингового мошенничества, которое набрало обороты в праздничный сезон 2020 года, является поддельное электронное письмо от Amazon, информирующее клиентов о необходимости войти в систему, чтобы обновить платежную информацию и адрес для выполнения заказа.

(Источник)

Лично я постоянно получаю электронные письма от Amazon о доставке, датах прибытия, подтверждениях и прочем. Если бы я не знал, на что обращать внимание для определения фишинга, я бы легко попался на уловки мошенников.

Анатомия фишинговых писем

Мы выделили наиболее распространенные элементы, присущие фишинговым письмам. Ознакомьтесь с нашей полной инфографикой, чтобы проверить свои знания.

Тема

Фишинговые рассылки обычно нацелены на создание ощущения срочности и используют напористые выражения и тактику запугивания, начиная с темы письма.

Отправитель / поле «От»

Мошенники будут создавать впечатление, что электронное письмо отправлено официальным лицом из известной компании, например службой поддержки клиентов. Однако при более внимательном рассмотрении можно увидеть, что и имя отправителя, и адрес электронной почты являются подделкой и не принадлежат этой компании.

Получатель / поле «Кому»

Фишинговые электронные письма часто обезличены, в них к получателю обращаются как к «пользователю» или «клиенту».

Тело письма

Как и в теме письма, в основном тексте зачастую используются выражения, создающие ощущение срочности. Они побуждают читателя действовать, не задумываясь. Фишинговые письма также часто содержат как грамматические, так и пунктуационные ошибки.

Вредоносная ссылка

Подозрительная ссылка — один из главных элементов фишинговых писем, их «полезная нагрузка». Эти ссылки часто сокращаются (с помощью bit.ly или аналогичной службы) или отформатированы, чтобы выглядеть как реальная ссылка от настоящей компании и соответствовать сообщению поддельного электронного письма.

Тактика запугивания

Помимо создания ощущения срочности в фишинговых письмах часто используется тактика запугивания, рассчитанная на то, что читатели перейдут по вредоносной ссылке из-за тревоги или замешательства.

Подпись в конце письма

Как и в случае с приветствием, подпись в конце фишингового электронного письма часто является безличной — обычно указано общее название службы поддержки клиентов, а не имя человека, и соответствующая контактная информация отсутствует.

Нижний колонтитул письма

Нижний колонтитул фишингового электронного письма часто содержит явные признаки подделки, включая неверную дату регистрации авторского права или адрес, не соответствующий расположению настоящей компании.

Вредоносный сайт

Как правило, нажатие на ссылку в фишинговом письме приведет вас на вредоносный сайт.

Как не стать жертвой атаки

Лучшая защита от фишинга — знания. Злоумышленники, занимающиеся фишингом, стремятся выглядеть как можно более убедительно, но зачастую их можно раскрыть по контрольным признакам. Обязательное регулярное обучение основам информационной безопасности и социальной инженерии — это отличный способ предотвращения, который поможет вашей организации выявлять признаки вредоносных электронных писем.

Вот на что нужно обращать внимание каждый раз, когда вы получаете электронное письмо с просьбой нажать на ссылку, загрузить файл или указать свои учетные данные, даже если кажется, что письмо пришло из надежного источника:

• внимательно проверьте имя и домен, с которого отправляется электронное письмо:
  большинство писем от легитимных компаний не приходит с почты gmail.com, live.com и т. д. Обычно официальные письма приходят с частных доменов;
• проверьте наличие явных орфографических ошибок в теме и тексте сообщения;
• обезличенные поля «От» и «Кому» могут быть признаком фишинга;
• не сообщайте свои учетные данные — законные отправители никогда их не попросят;
• не открывайте вложения и не загружайте подозрительные ссылки;
• сообщайте о подозрительных электронных письмах своей службе информационной безопасности.

При малейшем подозрении на то, что полученное письмо — фишинговое, не нажимайте на него и не открывайте какие-либо вложения. Вместо этого отметьте его и сообщите ответственным лицам. Это могут быть сотрудники отдела информационной безопасности вашей компании, представители компании, чей адрес электронной почты подделывается, или ваш провайдер домена электронной почты (например, Google, Microsoft и так далее).

Не попадайтесь на уловки

Знание — сила, особенно когда речь идет о защите от фишинга. Чтобы задумка мошенников увенчалась успехом, вы должны попасться на их уловки. Даже если вы считаете себя экспертом по выявлению фишинга, нельзя терять бдительности, ведь опасность может таиться за каждой ссылкой. С течением времени фишинговое мошенничество и электронные письма злоумышленников будут становиться все более изощренными и трудноотличимыми от настоящих.

Пока наша повседневная жизнь тесно связана с цифровыми технологиями и интернетом, хакеры всегда будут рядом, пытаться использовать невинных людей для получения финансовой выгоды. Лучший способ оставаться в безопасности и быть в курсе всех событий — продолжать изучать самые современные формы фишингового мошенничества.

Фишинг — это распространенный способ интернет-мошенничества. Хакеры используют его, чтобы получить доступ к конфиденциальной информации других людей: их учетным записям и данным банковских карт.

Фишинговые мошенники действуют по отработанной схеме: закидывают «наживку» — письмо, сообщение, ссылку на сайт — и пытаются «поймать» доверчивых пользователей. Поэтому неудивительно, что сам термин произошел от англоязычного phishing, которое созвучно со словом fishing — «рыбалка». Замена f на ph — отсылка к оригинальной форме хакерства фрикингу, или телефонному взлому (phreaking).

Фишинг становится популярнее с каждым годом. По статистике Google, в 2021 году компания обнаружила более 2 миллионов фишинговых сайтов — это на 27% больше, чем в 2020 году.

Виды фишинговых атак

Почтовый фишинг

Злоумышленники отправляют пользователям письма под видом известного бренда: подделывают адрес, чтобы он напоминал официальный. Получатель нажимает на ссылку и переходит на поддельный сайт или загружает документ с вирусом.

Одна из вариаций почтового фишинга — клон-фишинг. Мошенники определяют, какими программами и магазинами вы часто пользуетесь, а затем отправляют письма якобы от этих брендов.

Целевой фишинг

Его еще называют спеар-фишинг (spear phishing). Мошенники нацеливаются на конкретную компанию, изучают нескольких сотрудников по аккаунтам в соцсетях или информации на сайте.

Затем этим сотрудникам отправляют письма будто бы от коллег: используют реальные имена, должности, номера рабочих телефонов. Человек думает, что получил внутренний запрос, и следует указаниями из письма.

В 2020 году американская медицинская компания Elara Caring неделю останавливала утечку данных клиентов, после того как злоумышленники получили доступ к аккаунтам сотрудников и стали рассылать с них фишинговые сообщения. В результате атаки мошенники украли информацию о ста тысячах пациентов: имена, даты рождения, банковские данные, номера водительских прав и социального страхования.

У спеар-фишинга есть подвид — уэйлинг. Слово происходит от whailing — «охота на китов». Это целевой фишинг, который направлен на руководителей.

Телефонный фишинг

Этот тип атаки разделяется на два подвида: вишинг и смишинг. 

Голосовой фишинг, или вишинг (vishing) предполагает разговор по телефону. Преступник звонит жертве, давит на нее и создает повышенное чувство срочности, чтобы человек сообщил конфиденциальные данные.

Мошенники часто представляются сотрудниками банков: они сообщают о заявках на кредит или подозрительных переводах, угрожают блокировкой, а затем требуют сообщить смс-код или оформить подозрительный перевод.

В результате люди теряют все свои накопления. Так, в 2020 году с помощью голосового фишинга мошенники украли у одной женщины 400 миллионов рублей.

В смишинге (smishing) вместо звонков используют СМС-сообщения с вредоносными ссылками, которые маскируют под купоны и розыгрыши.

CEO-мошенничество

Через социальные сети или веб-сайты мошенники находят информацию о руководстве компании, например о генеральном директоре или главном бухгалтере. Затем подделывают почтовый ящик и рассылают письма другим сотрудникам от имени этого руководителя.

Яркий случай СЕО-мошенничества произошел в 2015 году, когда финансовый отдел австрийско-китайской аэрокосмической компании FACC перевел злоумышленникам 61 миллион долларов, следуя указаниям из поддельного письма от гендиректора.

Фишинг в социальных сетях

Такие мошенники создают поддельные аккаунты в Instagram*, ВКонтакте, Facebook*, Twitter. Хакеры выдают себя за знакомого жертвы или аккаунт известной компании. Они присылают сообщения со ссылками на поддельные сайты, запрашивают личную информацию через Facebook*-приложения, отмечают на изображениях с призывом перейти на сайт.

Смежный способ фишинга — мошенничество в мессенджерах: Telegram, WhatsApp и Viber. Через них хакеры рассылают сообщения якобы от популярных компаний в попытке завладеть вашими личными данными.

Один из крупных примеров — мошенничество, направленное на пользователей Booking.com. В 2018 году хакеры рассылали юзерам WhatsApp-сообщения, через которые получали доступ к аккаунтам. Завладев информацией о бронированиях, злоумышленники требовали оплатить проживание по поддельным счетам.

Компания не говорит, сколько денег потеряли клиенты, но, по данным CNN, от подобных типов мошенничества только за первый квартал 2021 года американцы потеряли 26 миллионов долларов.

Веб-фишинг

Главный метод этого вида — подмена сайта. Хакер создает страницу, практически не отличимую от сайта крупного бренда или компании, в которой вы работаете. Вы используете свою учетную запись для входа, и злоумышленник получает доступ к реальному аккаунту.

Хакеры либо присылают ссылку через email, либо перенаправляют пользователей на поддельный сайт при помощи фарминга. Злоумышленники взламывают систему доменных имен (DNS), и когда пользователь хочет зайти на сайт, сервер открывает страницу-подделку.

У веб-фишинга много вариаций.

• Фишинг через поисковые системы. Такие мошенники таргетируются на людей, желающих что-то купить: их просят ввести конфиденциальную информацию, которую перехватывает хакер.
• «Атака на водопое». Хакеры выясняют, какие сайты часто посещают сотрудники компании, и подменяют адрес или добавляют к нему вредоносный код для скачивания.
• Всплывающие окна или уведомления веб-браузера. Когда человек кликает на кнопку «разрешить», на устройство загружается вредоносный код.

Злой двойник

Фишинговая атака evil twin симулирует привычную точку доступа Wi-Fi. После подключения злоумышленники получают учетные данные для входа в систему и другую информацию.

В 2020 году хакеры при помощи такого способа и оборудования стоимостью 200 долларов взломали сети Министерства внутренних дел США. К счастью, хакеры оказались «белыми», то есть этичными. Они работали на управление генерального инспектора МВД и помогали надзорному ведомству устранить уязвимости в системе безопасности.

Как распознать фишинг-атаки и не попасться на удочку

Обучайтесь сами и обучайте сотрудников. Вот список подозрительных «флажков», которые указывают на фишинговое письмо:

• Письмо создает иллюзию срочности и вызывает тревогу.
• Письмо обезличено, к отправителю не обращаются по имени (этот пункт может не соблюдаться при использовании целевого фишинга).
• В письме есть грамматические и орфографические ошибки.
• Письмо пришло от подразделения или от сотрудника, который прежде с вами не общался, либо в письме содержится нехарактерная просьба.
• К письму прикреплен zip-файл или большое изображение.
• Адрес почты вызывает подозрения. Например, организация использует адреса в виде name@example.com, а письмо пришло с адреса name.example@gmail.com. Либо в имени сотрудника есть опечатки.
• Ссылки встроены в текст или сокращены, либо при наведении на ссылку отображается другой адрес.
• Отправитель пишет с личной электронной почты вместо рабочей.

А вот как определить фишинговый сайт:

• Веб-адрес написан с ошибками: например: appel.com вместо apple.com.
• В адресе сайта стоит http вместо https.
• У адреса неправильный домен верхнего уровня: например, .org вместо .ru.
• Логотип компании плохого качества.
• Браузер предупреждает, что сайт небезопасный.

Подключите двухфакторную аутентификацию. Двухфакторная аутентификация, помимо пароля, обычно требует:

• ввести код, который пришел на почту, в смс или в push-уведомлении;
• подтвердить вход на другом устройстве;
• подтвердить вход через биометрические данные — отпечаток пальца или сканирование лица.

Так как злоумышленники чаще всего охотятся за логинами и паролями, такая защита личных и рабочих аккаунтов пресечет многие попытки украсть данные.

Регулярно обновляйте софт. Злоумышленники часто используют уязвимости программного обеспечения. Чтобы избежать проблем, регулярно устанавливайте обновления, которые устраняют эти недостатки.

Установите надежный антивирус. Антивирусные программы сегодня не только сканируют загружаемые программы на предмет вредоносных кодов, но и могут определять фишинговые сайты.

Подключите почтовые фильтры. Фишинговые мошенники часто делают массовые рассылки, поэтому хороший почтовый фильтр пометит их как спам-рассылку.

Кроме того, киберпреступники часто прячут вредоносный код в активном содержимом PDF-файла или в коде — вы можете настроить почтовый клиент или антивирус так, чтобы сервис проверял такие вложения.

У разных почтовых клиентов фильтры настраиваются по-разному. Например, в почте Gmail можно помечать подозрительные письма ярлыками или сразу удалять их, а в Microsoft Exchange Online — основательно проверять вложения.

Чаще всего отрегулировать почтовые фильтры можно в настройках почтовых клиентов в разделах «Фильтры» или «Правила».

Главные мысли

Что это такое? Фишинг – это своеобразная «рыбалка» кибер-злоумышленников, где в качестве наживки применяют мошеннические письма или сайты, взаимодействуя с которыми, пользователь против своей воли передает важные личные или корпоративные данные.

Чем опасен? Если фишинг оказался успешным, то в руках мошенника оказывается информация о банковских картах, логинах и паролях от личных страниц в социальных сетях или учетных записей в корпоративном софте. Почти всегда удавшаяся фишинговая атака – это потеря денег у жертвы.

Понятие фишинга

Фишинг — это стратегия распространения электронных писем, цель которой – ввести в заблуждение пользователей, чтобы они нажали на вредоносную ссылку или скачали файл с вирусом, а злоумышленники получили доступ к их личной информации. Такие письма по ошибке можно принять за сообщения из авторитетных источников: известных брендов, банков и даже представителей вашей фирмы, например, кадровой службы, непосредственного начальника или главного управляющего.

Если работники организации не умеют отличать признаки фишинга от безопасных e-mail, то в зоне риска находится вся компания. Как показало исследование Verizon, требуется всего 16 минут, чтобы в ходе хакерской рассылки было открыто первое письмо. При этом обращение в отдел кибербезопасности происходит, в среднем, только через 33 минуты.

Принимая во внимание, что 91 % преступлений, совершенных через интернет, включают в себя фишинговую e-mail рассылку, то за эти 17 минут организация может понести огромные потери.

Методы фишинга

Как и в рыбалке (fishing в переводе с английского — «рыбалка»), стратегия имеет несколько способов коммуникации со своими жертвами.

«Официальные» запросы данных

Этот подход не всегда очевиден даже самому бдительному пользователю. Схема следующая: человек получает сообщение от якобы респектабельной компании, услугами которой вы пользуется (Windows, Yandex, Wildberries и т. д.). Содержимое имеет фирменные изображения, лозунги, а электронный адрес очень похож на настоящий. Но смысл обращения весьма сомнителен: вас просят прислать логин и пароль от учетной записи или подтвердить ее переходом по ссылке.

Скачать файл

Также в письме может говориться, что аккаунт скоро удалят, если подтверждение не последует. Получатель доверяет известному бренду и попадается на эту уловку. Как результат — мошенники получают доступ к личному кабинету или заражают компьютер вирусом, который находится в скачанном файле.

Фиктивные веб-сайты

Похож на предыдущий метод, только используются фишинговые сайты. Следует заметить, что такие ресурсы крайне редко попадают в топ и на первые страницы поисковой выдачи. Зато пользователь может допустить ошибку при введении url-адреса в браузере или встретиться с подделкой в WhatsApp или Telegram.

Вредоносная ссылка почти всегда похожа на официальную и отличается только 1-2 символами в названии сайта или же доменом первого уровня. Такую разницу не всегда можно заметить. Лендинг, на который вы попадаете после клика, выглядит как настоящий. Здесь есть и форма для ввода персональных данных. Но если вы их отправите, информацию получат мошенники.

Фальшивая форма для оплаты

На сайте может находиться форма для совершения платежа, которая ничем не отличается от обычной. Сложно понять, что вас хотят обмануть. На самом деле эти поля не имеют отношения к платежным системам и банкам — они созданы аферистами. Подобные схемы часто можно заметить на маркетплейсах, например, на «Вайлдберриз» и «Озон». Мошенники размещают ссылки на свои ресурсы под предлогом купить товар бренда, но это обман.

Провокационные сообщения

Речь снова пойдет о спаме по e-mail, только с другой схемой. Идея взломщиков заключается в том, чтобы вызвать у читателя чувства, которые спровоцируют его поступить неразумно — перевести мошенникам деньги или сообщить личные данные (логин и пароль от аккаунта или реквизиты банковской карты).

Пример. Вам поступает письмо на электронную почту якобы от адвоката из Нигерии, который вел дела у вашего однофамильца. «Тезка» был миллионером и недавно умер. Но нет родственников, чтобы получить наследство. Поэтому отправитель хочет, чтобы вся сумма досталась вам. Нужно лишь ответить на письмо и оплатить услуги адвоката.

Еще одна схема. Интернет-пользователю приходит письмо от человека, который утверждает, что у него есть доступ к веб-камере получателя и он хранит видеозаписи, как читатель сообщения развлекается при посещении сайтов с интимной тематикой. И за все видео злоумышленник требует приличную сумму в биткоинах.

Подобных способов фишинга довольно много. В одном предлагается получить выигрыш в лотерею, в другом — вступить в наследство. Иногда вместо обычного контента показывается баннер с провокационным содержанием. Все методы похожи. Мошенники всегда стремятся «задеть за живое», сыграв на страхе, жалости или алчности.

Схемы активно работают с начала появления интернета и уже давно стали банальными. Тем не менее такую рассылку по-прежнему получают многие юзеры, даже если не посещают сайты с сомнительным содержанием.

Телефонный фишинг

Способ точь-в-точь похож на «официальные запросы данных», но общение ведется по телефону. Он получил в последнее время широкое распространение — аферисты звонят и представляются сотрудниками банка. А дальше сообщают, что именно в эту минуту неизвестные получили доступ к банковскому счету и списывают с него средства. Абонент теряется, пытается понять, кто снимает деньги.

«Служащий банка» заверяет, что сможет вернуть их назад, если человек продиктует реквизиты карты — номер, срок действия и защитный код, а в конце — полученный код из СМС. Жертва боится потерять все свои деньги и понимает, что действовать нужно быстро. Сообщает данные и действительно теряет все, что было на карте.

Иногда злоумышленники допускают ошибку, когда называют сумму списания, превышающую ту, которая находится на счету. Или представляются специалистами банка, в котором человек не хранит деньги. Но если угадывают, то вероятность кражи возрастает, так как людей, склонных к доверию, достаточно.

Популярность фишинговых атак

Случаев интернет мошенничества с каждым годом становится все больше. В 2020 году количество установленных и заблокированных источников фишинга международной организацией по кибербезопасности «Group-IB» увеличилось на 118 %. Такая тенденция продолжается давно: годом ранее организация заблокировала более 14 тысяч сайтов, а в 2018 — почти 4,5 тысячи.

В большинстве случаев злоумышленники имитируют работу таких источников:

• сервисы онлайн — 39,6 %;
• почтовые сервисы — 15,6 %;
• финансовые организации — 15 %;
• облачные хранилища — 14,5 %;
• платежные сервисы — 6,6 %;
• букмекерские конторы — 2,2 %.

В сети преобладают те ресурсы, которые пользуются большей популярностью. Два года назад из всемирной паутины почти полностью пропали фейки, подделывающие криптовалютные сайты, поскольку интерес к этой теме заметно снизился.

С начала 2020 года хакеры энергично использовали тему коронавируса в своих фишинговых атаках. Например, жертвами становились работники организаций из России, США и Новой Зеландии, когда преступники получали доступ к e-mail.

В тот год Правительство РФ активно предоставляло гражданам различные компенсации, а банки разрешали переносить расчет по кредитам на более поздний срок. В нашей стране получить достоверную информацию по льготам и выплатам от государства можно на портале Госуслуг и в онлайн-банках. Но несмотря на это много людей попадалось на уловки мошенников, создававших фейковые веб-ресурсы.

Способы противодействия фишингу

Учитесь сами и обучайте персонал

Для начала ознакомьтесь с признаками, указывающими на фишинг в письме:

• Сообщение требует срочных действий и вызывает беспокойство.
• В нем нет персонализации, то есть, к вам обращаются не по имени.
• Текст написан с ошибками.
• Сообщение пришло из отдела или от представителя компании, с которым вы раньше не общались, и обращение носит нетипичный характер.
• Помимо сообщения имеется файл для скачивания.
• Адрес e-mail выглядит сомнительно. Пример: реальная компания имеет адрес в формате company@google.com, а отправитель использует company.google@yahoo.com. Или его ФИО содержит ошибки.
• Некоторые слова являются ссылками. Ссылки сокращены или показывают иной адрес при наведении.
• Письмо написано с личного e-mail, а не с корпоративного.

Признаки того, что ресурс создан мошенниками:

• Неправильное написание url-адреса, например, yandeks.ru, а не yandex.ru.
• Используется незащищенный протокол http, а не https.
• Домен первого уровня не такой, как у официального источника (например, ya.su, а не ya.ru).
• Низкое качество фирменного логотипа.
• Ваш браузер сообщает, что подключение не защищено, сайт небезопасный и т. п.

Используйте двухфакторную аутентификацию

Она защищает вход в аккаунт не только паролем, но и:

• кодом, отправленным на e-mail или телефон, либо пуш-уведомлением;
• подтверждением с другого устройства;
• подтверждением через биометрию.

Эти меры предотвратят большую часть фишинговых атак, поскольку хакеры обычно стремятся похитить персональные данные для входа в личный кабинет.

Постоянно обновляйте программное обеспечение

Взломщики могут воспользоваться слабыми местами вашего компьютера и гаджета. Чтобы этого не произошло, настройте автоматическую установку обновлений программ или делайте это самостоятельно.

Используйте качественный антивирус

Сегодня антивирусы помимо проверки скачиваемых файлов на наличие вирусов еще и определяют, занимается ли веб-ресурс фишингом.

Настройте фильтры для почтового ящика

Злоумышленники регулярно запускают массовые рассылки, поэтому после настройки фильтра сервис будет определять нежелательные сообщения и отправлять их в папку «Спам».

Нередко хакеры помещают вирус в файл с форматом PDF. Но настройка электронного ящика позволяет выбрать пункт проверки содержимого.

Почтовые сервисы отличаются между собой по настройке. У Gmail, к примеру, есть возможность обозначать сомнительные сообщения ярлыками или сразу отправлять их в корзину, а у Microsoft Exchange Online — полное сканирование вложений.

Как правило, установить параметры проверки входящих писем можно после открытия разделов «Фильтры» или «Правила».

Профилактика фишинга

Чтобы максимально обезопасить себя от фишинга, предприятия применяют технологии защиты и обращаются за помощью к специалистам. Помимо обычных методов, о которых мы рассказали выше, необходимо проводить тестирование с имитацией кибератаки, обучать сотрудников правилам кибербезопасности, чтобы они могли сообщать о попытках взлома в отдел IT-безопасности.

Важно и наличие открытых каналов коммуникации между персоналом и руководителями. В некоторых фирмах из-за специфики деятельности это является обязательным условием. Каждый работник должен быть уверен, что его внимательно выслушают, если возникнет подозрение на кибератаку.

При проведении профилактических мер не ограничивайтесь только подготовкой сотрудников, имеющих доступ к компьютерам. Служба безопасности тоже должна быть привлечена к постоянному контролю предприятия для защиты от интернет-угроз.

Вот рекомендации для того, чтобы другие люди не могли выдавать себя за управляющего фирмой или действующего контрагента. При совершении платежей сделайте обязательным наличие в документе подписи сразу от нескольких специалистов. Установите несколько этапов авторизации или подтверждение всех операций через звонок руководителю и т. п.

Если вы будете использовать для работы в интернет, с электронной почтой и платежными документами отдельные компьютеры, это значительно уменьшит риск появления вирусов, которые крадут банковские данные.

Фишинг — это один из наиболее популярных способов взлома среди интернет-мошенников. Несмотря на то, что настройка фильтра в почтовом сервисе хорошо защищает от получения спама и проникновения вредоносных программ, все равно следует сохранять бдительность. Будьте предельно внимательными, когда кто-то запрашивает личную или конфиденциальную информацию.

В таких ситуациях постарайтесь убедиться, что человек не выдает себя за другого, а предоставление данных не повлечет за собой нежелательных последствий. Не нажимайте на ссылки в письмах, которые вызывают подозрение, а если вам предлагается перейти на какой-нибудь сайт, то делайте это только на своих условиях. Также помните, что посещение ресурса является защищенным лишь при наличии протокола https в начале адресной строки.

Особую бдительность проявляйте при проведении операций с криптовалютами, так как от них нельзя отказаться, если продавец будет задерживать сделку. И позаботьтесь о сохранности паролей и приватных ключей. Их никому нельзя доверять.

Как фишинг может навредить вашему бизнесу

Помните нигерийского принца, который спамил всех и просил помочь ему вывести свое наследство из Нигерии? Так вот, эти ребята никуда не пропали и даже перевели свой «бизнес» на другой уровень. Последние несколько лет они активно атакуют коммерческие структуры. Так, например, на их удочку попался один из моих приятелей, владелец небольшой консалтинговой компании в Европе.

На момент инцидента они уже давно работали с одним корейским подрядчиком и заключали очередной договор на несколько десятков тысяч евро. После недели согласований по email подрядчик выставил компании счет. Буквально через полчаса после письма с инвойсом с того же адреса пришло еще одно, уточняющее письмо — с новыми реквизитами. Оно не вызвало ни у кого подозрений: все адресаты были на месте, письмо включало всю предыдущую переписку, шрифт был такой же. Компания оплатила счет. 

Пример поддельного письма с банковскими данными мошенников

Компания обратилась в полицию, но те развели руками и обещали связаться с отделением в Гонконге, куда были переведены деньги. Банк не смог предоставить никакой информации, сославшись на банковскую тайну. После этого приятель связался со мной и попросил посоветовать что-нибудь или хотя бы объяснить, как такое могло произойти. 

Виды фишинга

Классическая фишинговая атака — это электронное письмо от имени доверенного отправителя. Такое письмо содержит вредоносный файл или ссылку: если пользователь их откроет, запустится вредоносная программа, которая позволит атакующему удаленно управлять компьютером жертвы.

Чтобы заставить человека открыть вредоносное вложение или перейти по ссылке и ввести свои учетные данные на фейковом сайте, киберпреступники активно используют уловки из социальной инженерии. В основе любого фишинга — игра на эмоциях, страхах и рефлексах людей. Эксплуатируя слабости человека, мошенники вынуждают его на секунду отключить критическое мышление — а секунды вполне хватит, чтобы кликнуть по ссылке или открыть вложенный файл.

Например, злоумышленники могут использовать страх лишиться денег или, наоборот, жадность. В таких случаях отправитель может предупреждать вас о якобы существующей задолженности или предлагать получить неожиданную выплату. 

Примеры эксплуатации эмоций пользователя в мошеннических письмах

В некоторых случаях атакующий также может рассчитывать на раздражительность пользователя — «Чтобы отписаться, перейдите по ссылке» или любопытство — «Смотри, как ты отжигаешь на видео». Порой на руку злоумышленнику может даже сыграть простая невнимательность: ссылка ведет на сайт «microssoft.com» или «gmall.com». При этом мошенники не стоят на месте и постоянно придумывают новые сценарии. 

Атакующие всегда притворяются кем-то, кому мы привыкли доверять, — представителями банков, сотрудниками технической поддержки, а иногда и вовсе знакомыми или друзьями. В случае атаки на компанию сотруднику может прийти письмо или поступить звонок якобы от партнеров, подрядчиков или от коллеги из соседнего отдела. Под видом доверенных лиц мошенники получают необходимую информацию для заражения систем и взлома компаний.

Телефонные звонки (или голосовой фишинг) — один из самых эффективных методов атакующих. Согласно статистике наших проектов, за полтора года (с начала 2019 до середины 2020) 56% сотрудников компаний перешли по ссылке, которую им сообщили по телефону или отправили в письме перед звонком, 45% — загрузили файл с сайта и запустили вредоносную программу на своем компьютере.

Уязвимыми оказываются даже самые крупные технологические компании. К примеру, недавний громкий взлом Twitter был возможен благодаря голосовому фишингу. И тут напрашивается простой вопрос: если даже Twitter со своей армией специалистов безопасности пала жертвой простого фишинга, то что делать?

Как защититься

Способа защиты от фишинга два: реактивный, с помощью технических средств (типа антивирусов и файерволов) и проактивный — с помощью образовательных мероприятий. 

Нужно учитывать, что только лишь технические средства не защитят вас. Гораздо лучше работают непрерывное обучение и тренировка навыков. Причем экспертное сообщество признает, что один из самых эффективных способов обезопасить компанию — проводить регулярные симуляции фишинговых атак.

Так, технологический институт SANS, который готовит специалистов по кибербезопасности, рекомендует компаниям постоянно моделировать ситуации, связанные с социальным инжинирингом, включая фишинг. Такой метод обучения многократно повышает шансы сотрудников распознать фишинг и не поддаться обману.

В «Руководстве по обеспечению инфобезопасности» сотрудники института отмечают, что в большинстве компаний во время первых учений около 30% участников попадаются на фишинг. Со временем, благодаря учебным атакам, эта цифра снижается до 2% и ниже.

Как организовать учебный фишинг в своей компании

Учебный фишинг можно организовать самостоятельно. Для этого нужно подготовить IT-инфраструктуру, установить ПО для отправки почтовых сообщений, создать письма для рассылок, фишинговые страницы и вложения.

Можно воспользоваться автоматизированными сервисами для симуляции фишинговых атак на организации. В таком случае не придется самим внутри компании продумывать разные сценарии атак, настраивать домен и вручную отслеживать, кто открыл файл или прошел по ссылке. 

Начинать лучше всего с проведения тестовой атаки. Так вы сразу проанализируете текущую ситуацию и замерите уровень осведомленности ваших сотрудников в области кибербезопасности. Как показывает наша практика, примерно каждый третий попадется на фишинговое письмо. 

Следующий этап — обучение. Важно дать сотрудникам обратную связь сразу после учебной атаки. Сама по себе имитация фишинга не научит людей защищаться от злоумышленников, а лишь покажет уровень киберграмотности. Проинформируйте людей о том, чем чревата фишинговая атака для компании, и расскажите, как выявлять вредоносные письма и ссылки и что делать, когда они обнаружили фишинг. Нужно создать в компании атмосферу здоровой паранойи при общении через цифровые каналы. Особенно когда речь идет о взаимодействии с людьми за пределами компании — подрядчиками, партнерами и другими организациями.

Через некоторое время повторите атаку (для разных компаний могут быть уместны разные сроки перерыва — от трех недель до полугода). На этот раз все, кто попался, должны узнать о том, что они стали «жертвой» фишинговой атаки. Будет много разговоров и эмоций, но мы этого и добиваемся!

Теперь можно сравнить результаты двух атак и узнать, насколько эффективен был тренинг.

Проанализировав статистику, стоит уже более детально продумать следующую учебную атаку: кто будет ее целью, как адаптировать сценарий под риски конкретно вашего бизнеса. 

Проводя регулярный учебный фишинг, вы увидите значительный прогресс сотрудников: они будут все чаще распознавать приемы киберпреступников. 

Процесс непрерывного обучения и тренировки навыков сотрудников в области кибербезопасности

Чтобы добиться максимального результата, мы рекомендуем проводить симуляции фишинга ежемесячно. Обычно одна учебная атака занимает от двух до пяти дней в зависимости от размера организации. Этот период включает определение целей и сценария атаки, подготовку материалов (письма, фишинговой страницы, вложения) и рассылку.

Атаки должны учитывать психологический профиль сотрудника. С точки зрения особенностей личности самая уязвимая группа — это люди с такими чертами, как экстраверсия, эмоциональная неустойчивость, доброжелательность, импульсивность и открытость. Именно для таких сотрудников важно регулярно проводить обучение и тренировки.

Стоит отдельно продумать, кого вы будете включать в рассылки. Получат ли тестовые фишинговые письма ваши подрядчики и поставщики (в таких случаях нужно отдельно прописать возможность учебных атак в договоре), будете ли вы проверять удаленных сотрудников или сотрудников с частичной занятостью. В симуляциях фишинга обязательно нужно участвовать и топ-менеджменту. Если не тестировать устойчивость руководителей компании, теряется и смысл проводить учебные атаки по остальным сотрудникам.

Какие результаты дает симуляция фишинговых атак

Чтобы объективно оценить результативность учений в целом, мы проанализировали данные по учебному фишингу, который проводили у наших клиентов последние три года.

Выборку мы поделили на две группы:

• компании, в которых сотрудники столкнулись с учебным фишингом впервые;
• компании, в которых уже более двух лет проводятся подобные тренинги.

Согласно нашей статистике, тем организациям, которые регулярно обучают своих сотрудников, удается существенно снизить процент потенциально успешных фишинговых атак.

Как учебный фишинг влияет на бдительность сотрудников

Как показывает наша практика, именно те сотрудники, которые хотя бы однажды стали жертвами реальной атаки — самые защищенные. Они на собственном опыте убедились, как легко поддаться секундному импульсу и кликнуть по ссылке или открыть вложенный вредоносный файл, а также прочувствовали неприятные ощущения от того, что их обманули. Такие тренировки помогают пользователям быть бдительнее и настороженно относиться к любым ссылкам и файлам в письме, а компаниям — проактивно защищаться от фишинговых атак. 

На что обратить внимание, когда проводите учебный фишинг в своей компании:

1. Проводите учебные атаки на своих сотрудниках в разное время (по будням и выходным, утром и вечером) и по разным сценариям (письма от доверенных организаций, сообщения в соцсетях от коллег).
2. Учитывайте индивидуальные особенности людей (их род деятельности, психологические профили).
3. Запускайте учебные атаки по разным векторам (email, СМС и звонки, мессенджеры и соцсети, USB и Wi-Fi).
4. Постоянно давайте сотрудникам обратную связь по итогам учебных атак, проводите курсы и тренинги.
5. Собирайте аналитику: метрики помогут отследить прогресс и скорректировать план действий.

Фото на обложке: Shutterstock/The7Dew
Изображения в тексте предоставлены автором

«Здравствуйте, я Barrister Ekoue Dodji, и вас ждет огромное нигерийское наследство от умершего однофамильца». Примерно с такой фразы начинается классическое фишинговое письмо, целью которого является — обмануть и оставить в дураках. Как вы поняли, в этом материале будем разговаривать о фишинге. О том, что это за явление, какие формы оно умеет принимать и, что важнее всего, как с ним бороться. 

Что такое фишинг?

Фишинг — это набор методик, которые используют злоумышленники, чтобы стащить личную информацию, какой-нибудь логин с паролем или данные кредитных карточек. Эти техники отличаются от других вариантов взлома подходом к взаимодействию с жертвой. Внедрение вирусов или DOS-атака зачастую направлены на программное обеспечение. Фишинг же завязан на контакте с живым человеком, который, в силу отсутствия навыков работы с компьютером или банальной наивности, сам подставится под хакера и выдаст ему что-то конфиденциальное. 

Этимология термина

В английском языке это немного искаженное слово Fishing (пишется как Phishing), что переводится как «рыбалка». Ну и название тем самым обосновано. Фишинг — это своего рода рыбалка, где надо придумать для жертвы наименее подозрительную и наиболее заманчивую наживку. Дождаться, когда она клюнет. А после этого подсечь, чтобы рыбка не сорвалась. Только все это, используя реверсную инженерию вкупе с компьютерными технологиями.

Как работает фишинг?

Как и ловля рыбы, интернет-фишинг подразумевает несколько вариантов взаимодействия со своей добычей. 

«Официальные» электронные письма

Начнем с методики, которую не так-то просто распознать даже умеренному параноику. Как это работает: вам приходит письмо якобы от Apple, Google, Ozon или любой другой крупной компании, чьими услугами вы пользуетесь. В письме есть всякие логотипы, адреса, да и название ящика вроде тоже официальное. Но просьба странная. Просят либо отправить свой логин с паролем, либо пройти по какой-нибудь подозрительной ссылке для подтверждения учетной записи (еще иногда приписывают, что скоро ее удалят, если этого не сделать). Жертва не видит угрозы, доверяет крупному бизнесу и попадается на эту уловку. В итоге или «сливает» злоумышленникам персональные данные для входа в условный Apple ID, или скачивает на компьютер вирус собственными руками.

Подставные сайты

Что-то в духе тех же писем, только в ход идут веб-сайты. Сразу отмечу, что подставные сайты редко пробираются в выдачу поисковиков на адекватные позиции, и встретить их там непросто. А вот ошибиться при вводе адреса сайта вручную или наткнуться на фальшивку в мессенджере или почтовом клиенте можно. 

Зачастую ссылка выглядит как официальная. Ну, может, домен другой или один символ отсутствует. Кто станет на такое обращать внимание, верно? Страница тоже выглядит привычно, без изысков. Есть поле для ввода логина и пароля. Только это форма отправки логина и пароля злоумышленникам. 

А еще там может быть форма для ввода платежной информации. Тоже вполне стандартная. Даже и не подумаешь, что пытаются обмануть. Но это поле никак не связано с платежными системами и банками. Только с преступниками, решившими на вас поживиться. Такое крайне нередко встречается на торговых площадках в духе Авито и Юлы. Люди кидают ссылку якобы на официальный портал для оплаты отправки вещи, а там ловушка.

Провокационные электронные письма

И снова о письмах, но на этот раз несколько об иных. Выглядят они как типичный обман, ставящий читающего в эмоциональные условия, которые заставят его совершить необдуманное действие. Предоставить взломщику доступ личными данным или заплатить внушительную сумму. 

Письмо может выглядеть как послание от некоего нигерийского баристера, обнаружевшего в Уругвае человека с вашей фамилией, а у того на счету миллионы долларов, которые надо передать родственникам. Родственника нет, поэтому он хочет все перевести вам. Только надо сначала выйти на связь и сделать дополнительную оплату. 

Еще бывают варианты, когда от злоумышленника приходит письмо, в котором он заявляет, что подключился к веб-камере жертвы и записал видео, как та развлекается, посещая сайты для взрослых. Вместе с тем требует в среднем около 500 долларов в биткоинах.

И таких писем может быть много. Кто-то предлагает деньги. Кто-то лотереи. Вместо писем иногда попадается баннеры, в которых пишется примерно то же самое. Схемы идентичные. Во всех случаях преступник пытается надавить на самое больное. Либо опозорить, либо озолотить. Трудно отказаться, да?

Метод обмана стары, как сам интернет, но даже в 2020 году такие письма приходят с завидной регулярностью большому количеству людей, независимо от посещаемых страниц и ресурсов, на которых эти люди регистрируются. 

Телефонный фишинг

Почти то же самое, что и письма от официальных представителей, только голосом по телефону. Пожалуй, самое распространенное на текущий момент явление — звонки от сотрудников банка. Вам звонит персона, представляется банковским рабочим и говорит, что прямо сейчас, в эту самую секунду, кто-то списывает с вашего счета деньги. Жертва в растерянности не совсем понимает, какие деньги и за что списывают. «Сотрудник банка» заявляет, что готов все вернуть обратно, только вот надо назвать номер карты и другие клиентские данные. А потом код из СМС. На кону деньги. Возможно, последние, ну что еще делать? Люди говорят и остаются ни с чем. 

Гораздо проще, когда мошенники ошибаются и говорят о суммах, которых на счету нет. Или вовсе представляются сотрудниками банков, в которых человек не держит счетов. Но если попадут, то шансов на успех довольно много. Доверчивых хватает.

Как защитить себя от фишинга?

На самом деле, знание о том, что такое фишинг, уже в какой-то степени помогает себя защитить. Как минимум повысится бдительность и возникнет четкое понимание того, что в интернете слишком много персонажей, желающих стащить у вас персональные данные или деньги. Но мы все-таки рассмотрим и другие варианты. Итак, представьте, мы –потенциальная жертва фишинга, которая вовсе не желает такой быть. Вот что мы делаем прямо сейчас, чтобы себя спасти.

Изучаем техники фишинга

Да, самообразование крайне важно. Я, конечно, описал парочку популярных фишинг-методик, но этого недостаточно. Мошенники — смышленые ребята. У них R&D штаты похлеще топовых технологических компаний. Постоянно выдумывают что-то новое. Учатся обходить спам-фильтры, ищут новые пути добраться до почтовых ящиков людей. Все круче и круче оформляют подставные веб-сайты. Ищут подход к жертвам и натаскивают себя в психологии, чтобы увести побольше добычи. Поэтому лучше интересоваться темой и время от времени посещать новостные сайты о безопасности в интернете. Так можно побольше разузнать о проблеме и быть подготовленным.

Дважды думаем, прежде чем перейти по какой-либо ссылке

Оставайтесь бдительными и подозрительными до последнего. Увидели в письме ссылку? Подождите. Сначала убедитесь, что ящик действительно принадлежит компании, которая вам пишет. Покупаете что-то на Авито, а ссылку для оплаты товара почему-то отправляет продавец, а не сервис? Задумайтесь. Не факт, что тут нет обмана. Появилась возможность без усилий заработать огромную сумму денег в интернете? Не верьте. Ничего не дается просто так. Лотереи — ложь. Просто так деньги в интернете тоже не раздают. Так что всё, что хоть на долю секунду показалось подозрительным, надо подвергнуть серьезному анализу. И при необходимости отправить в спам.

Используем программы для защиты от фишинга

Есть утилиты, которые обязуются защищать клиента от фишинга. По большому счету, тот же браузер можно считать такой утилитой. Или же спам-фильтры, встроенные в серверную часть вашего почтового сервиса. Но это не совсем то. Есть специализированное программное обеспечение. Оно зачастую встроено в антивирусы. Установив условный «Касперский» или Avast, уже получите защиту от фишинга. Антивирус предупредит, если защитит мошеннический сайт или письмо. 

К сожалению, базы антивируса пополняются не так быстро. Их эффективность не всегда стоит оплачиваемых средств. Так что надеяться исключительно на программу не стоит. Подведет в самый неподходящий момент. 

Чтобы защищаться от всяких мошеннических объявлений в интернете, скачайте тот же AdBlock. Заблокируете рекламу и не увидите сообщений о том, что в интернете где-то дают миллион долларов за красивый IP-адрес.

Смотрим на содержимое адресной строки

Сразу скажу, что это не всегда помогает. Но бывает. Некоторые совсем отбитые мошенники клепают подставные страницы без зазрения совести, оставляя очевидные ошибки в адресе. vkantakte.ru, aple.net, netlixx.com. Бывают и более завуалированные. Те, кто похитрее, используют специальные символы, что похожи на английские буквы, но таковыми не являются. Поэтому спокойно регистрируют домен с названием популярной компании. Отличить почти нереально. 

Также стоит обращать внимание на наличие SSL-шифрования. В адресной строке должен отображаться значок в виде навесного замка. Но опять же это не показатель. Мошенники до того преисполнились в своем мастерстве, что заказывают сертификаты для своих подставных сайтов. И это работает.

Держим учетные записи под контролем

Понятное дело, за всеми созданными почтовыми ящиками и аккаунтами не уследишь. Но хотя бы за мало-мальски актуальными стоит приглядывать. Заходите на них. Иногда меняйте пароль. Не оставляйте фишерам пространства для поиска дополнительной информации о вас. Заходите в онлайн-банк и проверяйте счет регулярно. И обязательно в тот самый момент, когда вам позвонит преступник, который будет заявлять, что со счета снимают деньги. В общем, держите ситуацию под контролем, чтобы никто не мог вам навязать фальшивую версию происходящего.

Регулярно обновляем браузер

Как я уже писал выше, браузер тоже своего рода защита от фишинга. Браузеры умеют защищать пользователей, предупреждая об опасности, когда те заходят на сайты, которые уже были скомпрометированы ранее, но все еще функционируют и представляют угрозу для интернета. Чем свежее браузер, тем более серьезные методы защиты данных в нем используются. Соответственно, больше шансов избежать попадания на какую-нибудь фишинговую страницу.

Не забываем про брандмауэр

Тут тот же принцип, что и с антивирусом. Лучше не пренебрегать. Пусть блокирует входящие соединения и оповещает о них. Он, конечно, не убережет от писем, но вот какие-нибудь рекламные скрипты, жаждущие подключиться к компьютеру, остановить сможет.

Анализируем pop-up 

Внимательно читаем, что за информация всплывает на сайтах. Обычно все эти «Ура, вы выиграли миллион долларов, заберите прямо сейчас» как раз и появляются в качестве всплывшего уведомления. Старайтесь случайно не кликнуть по ссылке в pop-up-окне или по такому окну целиком. Наверняка там уже настроена переадресация на какой-нибудь подставной ресурс с вирусом или чем-то в таком духе. Если поп-апов с мошеннической информацией становится слишком много, можно использовать дополнение No Script для браузеров. Оно блокирует опасные всплывающие окна.

Не делимся ни с кем персональными данными

Важнейший из всех советов. Никому ничего не говорите в интернете. Сотрудник банка никогда не попросит у вас номер карты, CVV-код или другую личную информацию. Все, что специалисту такой структуры нужно для работы, у него есть. С незнакомцами в интернете тоже аккуратно. В частности, с теми, кто торгует на площадках Б/У-товаров. Там хитрых и жадных до чужих денег людишек почему-то сильно больше. 

Оставайтесь бдительными и не верьте никому в интернете. Изучайте тему фишинга. Не ведитесь на провокации и «халяву» в виде африканского наследства. Если вы не звезда, то ваши видео с веб-камеры никому не будут интересны, а бесплатный сыр сами знаете где.