Фішинг вважається чи не найдавнішим інтернет-промислом: де є особисті дані, там є й інтерес в їх розкритті. Процеси автоматизуються, з’являються готові набори інструментів для злому, а до боротьби з цією проблемою підключаються державні служби. Чим небезпечний фішинг і як максимально застрахувати себе від витоку особистих даних розповімо у статті.
Фішинг — головна небезпека в соціальних мережах
Слово «фішинг» (англ. Phishing) перекладається як «рибний лов» або «вивудження». Так називають один з прийомів соціальної інженерії з викрадення даних користувача, логінів і паролів від облікових записів і платіжних систем. Гачком з наживкою тут служить зазвичай підроблена сторінка з формами введення даних, а здобиччю — інформація, яку нікому не слід розголошувати.
Шахраї максимально точно імітують сайти, соціальні мережі, онлайн-магазини, поштові вебклієнти. Користувач вводить і розкриває свій логін і пароль, після чого його перекидає на справжню сторінку, тому крадіжка залишається непомітною, а компанія, від імені якої діяв шахрай, отримає збиток для бренду.
Міжнародна компанія CERT-GIB, що спеціалізується на кібербезпеці, виявила в даркнеті готові набори для створення фішингових сторінок. Раніше хакерам потрібно було більше часу і ресурсів, щоб відтворити сайт. Сьогодні фішинг-кіт дозволяє розгорнути нову фішингову сторінку за хвилини.
Фішинг-кіти продаються у вигляді наборів готових інструментів, за допомогою яких створюються і запускаються фальшиві вебсторінки, що копіюють сайти конкретних організацій.
Всього було виявлено 260 таких комплектів, що імітують ресурси різних компаній. Їх небезпека не тільки в автоматизації процесу злому, але і в його спрощенні. Такими наборами може користуватися і недосвідчений користувач без знання програмування.
Боротися з фішингом можна, якщо підвищити власну грамотність: більше уваги до деталей і дбайливе ставлення до менеджменту приватних даних, будь то зберігання паролів або інших доступів до інформації.
Чим небезпечний фішинг?
Перше, за що візьметься шахрай — облікові записи в соціальних мережах: Facebook, Instagram, Twitter. В руках зловмисників виявляються всі ваші листування, відправлені та отримані файли, а також база підписників.
Тут відкривається простір для різних видів шантажу, публікації провокаційної інформації та знову соціальної інженерії: прикриваючись вашою особистістю, шахрай зв’яжеться з кожним зі списку контактів — так може бути запущена ланцюгова реакція скам-активностей.
Найпростіший і популярний випадок — з облікового запису вашого друга може прийти повідомлення з проханням грошової позики, голосування в конкурсі, посиланням на «смішне відео».
Шахрай проведе розсилку по ваших підписниках від вашого імені. У разі успіху він отримає нові логіни та паролі, і далі продовжить розширювати фішингову мережу з метою пошуку наживи та нових даних. Нерідко такі розсилки відбуваються в нічний час — шахраї часто працюють по аутсорс з інших країн.
- По-перше, на іноземних фрилансерах можна заощадити, особливо на «сірих» і «чорних» замовленнях. По-друге, інша юрисдикція ускладнює процес пошуку шахрая правоохоронними органами.
- Другий напрямок — інтернет-магазини, кінотеатри, служби доставки, таксі. Тут метою стають дані, що дозволяють отримати доступ до прив’язаних банківських карт. Згідно з дослідженням Group-IB, у 2020 році такі сервіси стали метою в 30,7% випадків атак. Окрему увагу зловмисники приділяють фінансовим установам — на них припадає трохи більш як 20% від усіх фішингових атак.
- Третій напрям — поштові сервіси та, перш за все, облікові записи Google. Отримання доступу до Google ID або Apple ID відкриває шахраям максимум інформації на ваших пристроях, включаючи файли, що зберігаються в хмарних сервісах. Отримавши доступ до iCloud, злочинець не тільки отримає доступ до фотографій і документів — у нього буде контроль над вашою цифровою особистістю і, наприклад, доступам до збережених паролів від інших сервісів.
Хто в зоні ризику?
Всі, у кого є доступ до Інтернету. Відновити обліковий запис або заблокувати банківську карту можна швидко і без шкоди. При цьому зловмисник може встигнути провести транзакцію з вашого рахунку або вивантажити з листування особисті або навіть компрометуючі вас дані.
Тут підключається шантаж і вимагання викупу: ми всі пам’ятаємо скандальні «зливи» adult-фото з iCloud знаменитостей або вимагання грошей за знищення копії невиданих музичних релізів.
Облікові записи з потужним соціальним капіталом використовуються для розміщення шахрайських пропозицій, посилань, за якими може перейти лояльна аудиторія відомого блогера. І, більш того, ввести свої платіжні дані, паролі, забезпечивши шахраїв новою цінною інформацією.
У зоні ризику знаходяться і ті, хто вводить платіжні дані в онлайн-магазинах: помилившись з вікном введення, не перевіривши адресу в браузері, ви ризикуєте відправити гроші шахраєві. Тим більше, що існують сервіси, які імітують помилку транзакції з метою її повторення, наприклад, щоб провести транзакцію два рази поспіль.
Для бізнес-акаунтів збиток від фішингу може негативно вплинути на репутацію бренду. Такий тип зломів може бути цікавий конкурентам, щоб скомпрометувати вас, створити провокацію, отримати якусь важливу інформацію під грифом комерційної таємниці в корисливих цілях.
Як бізнес страждає від фішингу?
Фішинг — інструмент створення репутаційних ризиків. Якщо атака була спланована конкурентом, він може опублікувати деструктивну для бренду інформацію. Також бізнес-аккаунт можна використовувати, наприклад, для розміщення посилань на фішингові сайти, на яких вводяться платіжні дані.
Факт злому досить швидко розкриється, але від репутаційних втрат це не позбавить: обліковий запис потрапить в бан, ви втратите час і гроші.
Інший ризик, часто недооцінений, — отримання контролю над обліковими записами ваших співробітників. Шахраї можуть дізнатися з листувань конфіденційну інформацію або почати розсилати повідомлення, що підривають репутацію від імені одного з колег або менеджерів. Навіть якщо запобігати поширенню такої інформації документально на увазі NDA контрактів, в мінус спрацює швидкість атаки — як то кажуть, інтернет пам’ятає все.
Серйозність бізнес-ризиків від фішингу підтверджують опитування компанії GreatHorn: користувачі не можуть ідентифікувати до 50% фішингових атак. Захиститися від них складно: тут людський фактор перемагає технології.
Які схеми фішингу популярні в 2021 році
Фішинг — багато в чому психологічна маніпуляція з використанням технік social engineering і рішень по веброзробці. Потрапивши на підроблений ресурс людину переконають за допомогою «знайомого» дизайну без будь-яких підозр ввести свій логін і пароль.
Поширена ситуація — на пошту приходить лист від технічної підтримки Instagram. Лист за своїм змістом і оформленням буде максимально ідентичний розсилці сервісу.
Ось деякі варіанти ситуацій, якими користуються шахраї:
- повідомлення про зафіксовану спробу входу з незвичайного місця;
- фіксація порушення авторських прав, при якій дається 24 години на подачу апеляції, в іншому випадку обліковий запис блокується;
- вимога про введення своїх даних для верифікації (частіше пропонують користувачам з великою аудиторією;
- лист з технічної підтримки інтернет-магазину;
- для Google — лист з вимогою зміни пароля через підозрілу спробу входу.
Часто зловмисники грають на почуттях і емоціях: в чатах месенджерів регулярно з’являються повідомлення з проханням підтримати дитину знайомого у творчому конкурсі. Головне — створити конверсію в натисканні посилання і її поширення від однієї людини по ланцюжку його друзів і контактів.
При переході на сторінку голосування пропонується ввести логін і пароль сторінки, схожою на головну Instagram, після чого обліковий запис виявляється зламаним.
Одна зі свіжих схем використовує розсилку фейкових пропозицій по роботі з метою видобутку даних у тих, хто реєструється на LinkedIn. За допомогою парсера з анкет претендентів зловмисники дізнаються назву посади жертви, наприклад, «Event-менеджер з релокації», і відправляє їй фішинговий лист від імені LinkedIn.
До нього прикріплюється ZIP-архів, названий, наприклад, «ваш контракт із зазначенням суми». Коли користувач відкриває пропозицію, на його комп’ютер встановлюється шкідлива програма malware, яка буде показувати в браузері знову ж шахрайські банери, схожі на типовий pop-up, на який користувач міг підписатися, наприклад, на сайті новин.
Як уберегтися від фішинг-атак
- Впровадити ритуали соціальної гігієни. Як тільки ви дізналися, що дані «пішли» або потенційно могли бути знайдені третьою стороною, як можна швидше міняйте паролі від соціальних мереж, пошти, платіжних сервісів.
- Будьте уважні. Уникайте поспіху в момент введення логіна, пароля і платежів. Перевірте адресний рядок, придивіться до елементів дизайну. Якщо щось бентежить, краще звернутися в технічну підтримку ресурсу.
- Ніколи не використовуйте однакові паролі. Правило «1 пароль, 1 сервіс» допоможе перервати запущений фішинг-ланцюжок з перевірки відповідності ваших логіна і пароля іншим популярним сервісам. Сьогодні фішинг використовує автоматичні сервіси, що дозволяють дуже швидко перевірити, куди ще можуть підійти ваші дані.
- Використовуйте двофакторну ідентифікацію. Якщо ваші логін і пароль потраплять до рук хакерів, для входу буде потрібно ввести отриманий на телефон код, або використовувати додатковий додаток. Особливо ретельно потрібно вибудовувати захист навколо поштової скриньки та облікового запису Google/iCloud — через них шахраї отримають доступ до всього вашого життя.
- Не довіряйте сумнівним пропозиціям і посиланням. Посилання, приховане сервісом коротких URL, подібним bit.ly, може привести до шахраїв. Конкурс, в якому швидше за все не бере донька ваших друзів, навряд чи є правдою. І, нарешті, стилістика повідомлень вашої колеги в чаті змінилася на незвичну — можливо, це привід їй зателефонувати.
Знизити ймовірність стати жертвою фішингу можна, якщо додати до своїх ритуалів і звичок більше сумнівів і дотримуватися своєрідної онлайн-гігієни
Не вірити дивно вигідним пропозиціям, знижкам, а також сумнівним магазинам. Загалом, техніка працює просто — не заходити в «погані райони», не вірити незнайомцям і двічі, а то і тричі, перевіряти мережеву локацію, в якій ви вирішите розплатитися карткою.
БІЛЬШЕ ЦІКАВОГО: