Игра слов в английском названии показывает, как именно: рыбалка будет fishing, а мошеннический метод называется phishing – пишется иначе, но читается так же. Суть фишинга – обмануть пользователя, чтобы он думал, что переходит на правильный сайт, а переходил на самом деле на фальшивый. Да, это та же идея, что и в подделке под «Adidas» – «Abibas», но с более неприятными последствиями.
Зачем нужен фишинг
Цель фишинга – добраться либо до ваших денег, либо до вашей личной информации, которую можно потом продать или использовать, чтобы украсть у вас деньги. Либо использовать вас в качестве ступеньки к тому, чтобы добраться до чьих-нибудь еще денег или ценной информации. Например, попросить у друзей денег от вашего имени.
В отличие от взлома вашего аккаунта или почты, фишинг использует не технические уязвимости в системе, а доверчивость пользователя. Задача злоумышленников – заставить вас поверить, что вы общаетесь с кем-то, кому можно и нужно доверять – вашим банком, интернет-магазином, государственным органом, налоговой инспекцией, другом, наконец. И что вы, проникнувшись доверием, сделаете что-то, чего делать не стоило – переведете деньги, отдадите важный пароль, установите вирус под видом «обновления приложения» или еще что-то.
Современные системы, если они своевременно обновляются, а еще лучше – имеют защитное решение, очень сложно взломать, и подавляющее большинство вирусов просто не сможет запуститься самостоятельно. Но они не могут защитить вас от самих себя. Фишинг – это способ вас обмануть, чтобы вы все-таки запустили вирус. Сами.
Наживка
Фишинг чаще всего идет с фальшивыми письмами якобы от лица своего банка или платежной системы, либо от интернет-магазинов. У нас еще очень популярны схемы, использующие названия госорганов и государства – задолженность по налогам или ЖКХ, штрафы и ГИБДД и т.д. Видимо, наши граждане настолько доверяют всему, что «от государства», что сразу бегут платить, не вникая, точно ли это государство. Не надо так!
Чаще всего фишинг проводится с помощью неразрешенной почтовой рассылки (спам). Это простой, быстрый и относительно дешевый для злоумышленников способ, поэтому к нему прибегают чаще всего.
Фишинговое письмо должно либо заставить вас щелкнуть по содержащейся в нем ссылке на фальшивый сайт (причем так, чтобы вы были уверены – и письмо, и сайт настоящие и им можно доверять), либо открыть содержащееся в нем вложение с вирусом.
Но это не единственный вариант. Очень часто фишинговые ссылки могут размещаться в виде рекламы на солидных площадках – я встречал фишинговую рекламу в Facebook, а также в системах Google и Яндекс. Кстати, иногда фишинговые сайты проникают даже в результаты поиска. «Солидная реклама в солидном месте» поднимает доверие к фальшивому сайту.
В последнее время набирает силу «мобильный фишинг», когда уведомления приходят на телефон с помощью SMS или сообщений мессенджеров. Это может быть реклама типа «поздравляем, вы выиграли новую BMW», может быть уведомление от государственных органов типа «У вас неоплаченные штрафы! Проверить по ссылке» и других долгах. Либо о том, что вам что-то пришло – причем что именно, можно узнать, кликнув на ссылку.
Многие кликнут из любопытства, а сайт, разумеется, будет поддельным, и попытается либо выудить какую-нибудь информацию, либо загрузить в смартфон вредоносную программу, либо подписать абонента на платные услуги.
Наконец, самое простое – «Вам пришла MMS, пройти по ссылке». Тут на руку мошенникам играют «короткие ссылки» – они действительно уменьшают количество знаков в сообщении, но зато пользователь не видит, куда именно ему надо перейти. Очень часто такие фальшивые сообщения пытаются использовать название оператора, чтобы поднять доверие к рассылке.
Зачастую фишинг может выходить из интернета в реальную жизнь. Например, приходит вам электронное письмо от банка с уведомлением о долге, в котором заботливо указан номер поддержки банка, где ответят на все ваши вопросы. Стоит ли по нему звонить? Не думаю.
Бывает, что фишинг совсем не завязан на использование интернета. Это такой «оффлайн-фишинг», когда вам в почтовый ящик, например, кидают уведомления о штрафах ЖКХ или необходимости уплатить какую-нибудь задолженность, но… не с теми реквизитами. Причем это, к сожалению, не такое уж редкое явление.
А вот еще случай был…
Например, однажды я увидел в Facebook рекламу магазина распродаж очков Rayban. Солидный бренд, солидный магазин, солидная реклама на солидной площадке – это вызывает доверие!.. на первый взгляд. Меня сразу сильно смутили цены – если в американских магазинах очки стоили около 120 долларов, то там – 10-12 с «гарантией оригинальности».
В моем случае помогла проверка сайта – он был зарегистрирован за день до «начала распродажи» в Китае. Видимо, оплатить онлайн в нем можно, а вот получить товар – вряд ли. Если вы не разбираетесь в технических тонкостях, то смотрите на другие признаки, например, слишком отличающиеся от рынка цены должны смущать всегда. Также обычно платежные агрегаторы типа Paypal более надежны для покупателя, чем просто перевод денег с карты.
Другой пример. Человек решил купить авиабилеты, увидел рекламу агрегатора в результатах поиска (на оплаченном рекламном месте), щелкнул. Попал на красивый, хорошо оформленный сайт. Указал, куда надо лететь, получил список рейсов, выбрал нужный. Далее открылось окно оплаты одного из ведущих банков, человек ввел свои данные. Пришло СМС с подтверждением и кодом проверки – оплатил билет, получил письмо с электронным билетом на почту и забыл об этом деле.
Разумеется, это оказался фишинговый сайт, где под форму оплаты была замаскирована форма перевода денег с карты на карту, в которой злоумышленники просто скрыли лишние поля, оставив видимой только часть с вводом карты отправителя. А данные о рейсах брались с крупного легального агрегатора. Получив деньги, мошенники создали фальшивый «билет», усыпив бдительность покупателя.
Особенностью такой схемы является, во-первых, то, что пользователь сам вводит код подтверждения из СМС (поэтому банк получает основание не возвращать деньги), а во-вторых, получив «билет», он успокаивается и не уведомляет своевременно банк, правоохранительные органы и т.д., то есть мошеннический сайт продолжает работать.
Однако в этом случае история получила продолжение: на следующий день внезапно с карты списалось 2 рубля, тут же вернулось, потом списалось еще раз… Если у вас внезапно начинаются такие проверки без вашего ведома (как правило, так интернет-сервисы, в том числе вполне легальные, проверяют доступность и работоспособность карты), необходимо очень быстро заблокировать карту, пока с нее не начали списывать деньги.
В нашем случае владелец заблокировать карту не успел, и через полчаса несколькими операциями с нее были сняты все деньги.
Что касается первой части, то стоит обращать внимание, на какой именно сайт вы заходите. Например, стать первым сайтом в поисковой выдаче долго, дорого и сложно, мошеннический сайт туда просто не успеет забраться. А вот в рекламе – плати больше, и встанешь выше.
Как правило, поддельные сайты также выдают ошибки и отсутствие шифрования соединения (хотя это, увы, уже научились обходить. Но это сложнее и дороже, поэтому во многих случаях проверка все равно помогает). Самое же главное – смотрите на СМС с кодом подтверждения от банка. Как правило, там указывается тип операции – покупка, перевод между картами или что-то другое. Информацию также видно в СМС с подтверждением покупки. Если что-то не так – уход денег можно попытаться остановить через ваш банк (хотя они крайне не любят этим заниматься).
Вторая часть немного грустнее – при определенных условиях некоторые онлайн-сервисы (в этом случае – яндекс.деньги) не требует подтверждений или двухфакторной аутентификации, просто списывая деньги с карты – то есть достаточно ее номера и срока действия (иногда – CVV2). Кстати, из средств, украденных таким образом, и оплачивалась рекламное продвижение этих мошеннических сайтов.
Дальнейшие поиски показали, что таких сайтов довольно много, дизайн у них немного отличается, но схема работы идентичная. Наверняка, эта или похожая схема работают до сих пор, поэтому будьте внимательны!
Железная защита?
В принципе, с фишингом стараются бороться все. Практически все современные защитные решения содержат компонент, который интегрируется в ваш веб-браузер и отслеживает подозрительные сайты.
Если сайт есть в его базе (или соответствует критериям подозрительности), то либо выводится соответствующее уведомление, либо доступ к сайту вообще блокируется. Современные браузеры также содержат алгоритмы проверки сайтов, и иногда даже блокируют их. Иногда за дело берутся и поисковики. Обращайте внимания на эти предупреждения, они пишутся не просто так.
Почтовые сервисы сканируют отправляемые и получаемые файлы, и если находят в них вирус – блокируют его. Даже в архивах. Поэтому если вам приходит странное вложение с архивом, который требует ввода пароля (такой архив антивирусный сканер не сможет прочитать), это повод насторожиться – а лучше не открывать его вообще.
Интернет-соединение с важными сайтами шифруется (в этом случае адрес начинается с https://, а щелкнув слева в адресной строке, можно посмотреть сертификат этого сайта – так вы точно убедитесь, что соединение установлено с нужным сайтом).
Шифрование соединения позволяет решить много проблем, но главное – так можно убедиться, что вы общаетесь именно с тем сайтам, с которым нужно. За редкими исключениями доверенный сертификат – отличный способ проверять достоверность сайта.
И тем не менее…
Попался!
Несмотря на кучу обучающих материалов, сертификаты, защитные системы и пр., фишинг не переводится. Иногда наличие защиты даже может сыграть злую шутку, потому что пользователь думает, что защищен техническими решениями и не хочет думать сам. Итак, что же делать?
Если вы куда-то «не туда» ввели свои учетные данные (например, имя пользователя и пароль от соцсети), то бегом менять пароли!
Впрочем, это не самое страшное – пароль от соцсети можно восстановить. Куда хуже, если вы не туда ввели пароль от почты, на которую зарегистрированы ваши учетные записи в разных местах. Тогда злоумышленники получат доступ ко всему сразу, если первыми успеют поменять пароль.
И вы же помните, что ни в коем случае нельзя использовать один и тот же пароль везде? Потому что, если он попадет не в те руки – взломают сразу все.
Если вы отдали личные данные… ну, не менять же паспорт или место жительства из-за этого? Но в некоторых случаях нужно быть готовым к тому, что их как-то попытаются использовать. Впрочем, такие случаи довольно редки.
Наконец, самое неприятное – деньги. Что делать, если вы отдали пароль от интернет-банка или данные карточки? Блокировать немедленно. То же самое, если вы увидели, что с карточкой или счетом происходит что-то подозрительное (как пример с двумя рублями выше). Просто даже если это все какая-то глупая ошибка, то лучше вы один раз сходите в банк для разблокировки или получения новой карты, чем потом будете ходить в банк писать заявления, потом в полицию писать заявления, потом опять в банк, а потом ждать, пока банк вернет деньги – ЕСЛИ он вернет деньги.
Как не стать рыбкой на крючке
Итак, суммируем. Суть фишинга – обмануть пользователя, чтобы он сам сделал то, что нужно злоумышленнику. Защитные решения, как общие, так и специализированные, действительно во многих случаях выручают, но тут, как и в случае с парашютом – достаточно, чтобы подвел всего один раз. Не поддавайтесь чувству ложной успокоенности. Помните, главное оружие – ваша бдительность.
Не запускайте все подряд из почты и соцсетей. Защитные решения не всегда эффективны против новых незнакомых вирусов, но большинство современных вирусов все равно не могут пробить защиту, им нужно, чтобы вы запустили их сами – и они начнут свою разрушительную деятельность. Будьте внимательнее, не давайте им шанса.
Проверяйте ссылки в письмах. Если вы видите «Нажми здесь» – не торопитесь, посмотрите, что это за ссылка. Многие почтовые клиенты показывают ссылку, если навести на нее мышь. Если же нет, щелкните по надписи правой кнопкой, скопируйте ссылку и вставьте в окно браузера (но не переходите). Если вы увидите, например, адрес «www.miloserdie.ru/main.html», как и планировалось, то все хорошо. А вот если адрес выглядит www. miloserdie.ru.mainhost.org» – это повод забеспокоиться.
Всегда смотрите на предпоследнее слово перед «/», это и будет основное доменное имя. В данном случае вас пытаются перевести не на «милосердие», а какой-то мейнхост. Вы уверены, что вам туда надо?
Аккуратнее относитесь к письмам, старайтесь проверять – а это точно письмо откуда надо? Как правило, магазины и банки стараются персонализировать письма и пишут что-нибудь типа «Уважаемый Иван Иванович». Спамеры обычно не имеют такой информации, хотя несколько эпидемий были успешны именно потому, что они перед рассылкой письма с трояном украли базу данных с именами клиентов.
Если письмо максимально общее, например, «смотри вложение» или «Ваши штрафы!» – это повод насторожиться.
Если при этом вся ценная информация «во вложении», а не в тексте – это еще один повод насторожиться.
Если архив при этом запаролен – это просто большая красная лампочка «Будь осторожен!». Особенно если расширение архива не zip, а rar – этот формат злоумышленники любят куда больше.
Помните, что письма от друзей, особенно со ссылками или вложенными архивами, и без комментариев (либо с односложными комментариями типа «посмотри!» или «прикольно») – это подозрительно. Уточните у друга, что это. Но лучше не через тот канал связи, откуда получили подозрительное письмо или сообщение – может быть, взломали почту и вам отвечает сам злоумышленник.
Будьте осторожнее в телефонных разговорах, не раскрывайте лишнюю информацию о себе и близких. Аккуратнее давайте информацию о банках и платежных картах. Например, часто покупатели с барахолки «жаждут» заплатить вам деньги на карту, еще не видя товара, и потихоньку выспрашивают все данные о карте. И уж точно ни в коем случае не называйте никому никакие проверочные коды, которые приходят к вам от банка через СМС, выдаются в банкомате и пр. Мало того, что это просто глупо – это железобетонное обоснование для банка не возвращать вам ваши деньги.
Учтите, что если был введен код или какая-то другая подтверждающая информация, которая не могла оказаться у злоумышленника случайно, то банк почти наверняка откажется возвращать вам деньги. Если операция не подтверждена PIN-кодом (например, в магазине просто вставили карту – почему-то некоторые магазины иногда дают совершить покупку без подтверждения), то есть все шансы получить деньги назад. Особенно если вы использовали кредитную, а не дебетовую карту.
Кстати говоря, когда вам приходит СМС с подтверждением платежа от банка – внимательно смотрите, что там написано. Например, некоторые мошеннические сайты (как в примере выше) вместо покупки переводят деньги с карты на карту, в этом случае в СМС от банка это должно быть видно.
Напоследок, пара советов по обращению с картами. Не платите через интернет и нигде не регистрируйте свою основную карту, на которую получаете зарплату! Для покупок и оплаты в интернете заведите другую карту, например, виртуальную (такие сейчас делает любой банк), и переводите на нее с основной минимально достаточное количество денег – когда денег на карте нет, то и красть нечего. В редких случаях карту могут увести «в минус», но это именно редкие случаи, да и оспорить можно.
Если этот вариант не подходит, то совершать покупки лучше с кредитной карты. Дело в том, что на дебетовой карте ваши деньги, а на кредитной – деньги банка. Банк, как и всякий пользователь, к своим средствам относится куда более щепетильно, чем к чужим, да и оспорить поддельную сделку будет проще.