Что такое фишинг и как не попасть на удочку мошенника

Здравствуйте, уважаемые читатели блога KtoNaNovenkogo.ru. Сегодня хочу поговорить про такое явление, как фишинг, которое стало неотъемлемой «теневой» частью жизни в интернете (так же как вирусы, спамм, взлом аккаунтов, фейки и т.п.).

Фишинг — это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом.

Это слово очень похоже по звучанию на английское слово fishing, означающее рыбалку, но в нашем случае за основу берется выдуманное слово phishing, означающее выуживание паролей и прочих ценных сведений в основном методами социальной инженерии.

Пароль от вашего электронного кошелька или данные кредитки вовсе не обязательно красть — можно довольно просто смоделировать ситуацию, когда вы сами его с готовностью сообщите фишеру. Нет, правда. К примеру, я сам (хорошо знакомый с методами) на чистом глазу отдал злодеям пяток тысяч рублей со своего Яндекс Кошелька. Сам! Уже потом, задним умом я понял, что наделал, а так даже в мыслях не было...

Фишинг — это по большей части искусство управления действиями жертвы с очень высокой долей вероятности выполнения того, что требуется злоумышленнику. Есть, конечно же, и технические моменты (подложные сайты, рассылка писем, подмена адреса и т.п.), но в первую очередь это социальная инженерия. Однако, есть методы, позволяющие чуть ли не на сто процентов защититься от фишинга, о которых мы сегодня и поговорим.

Фишинг — это когда вас водят за нос, а вы и рады

Правда, сразу оговорюсь. Выражение «предупрежден — значит вооружен» в этом случае не всегда срабатывает, ибо фишеры используют методы, которые позволяют вывести жертву на время из равновесия (например, сообщением «Блокировка счета» и т.п.). В большинстве случаев жертва начинает сначала «делать», а уже только потом «думать». Посему, если вы знаете о фишинге, это вовсе не означает, что вы на их удочку не попадетесь.

Но тем не менее, если выработать в себе навыки правильного поведения, то еще до того момента «как включится голова» можно будет «на автомате» сделать все правильно. Как это правильно? Ну, об этом чуть ниже, а сейчас все же стоит познакомиться с врагом поближе и понять те основные схемы, которые используют злоумышленники пытаясь поймать нас на удочку.

Итак, как и в обычной рыбалке тут есть приманка, которая насажена на тщательно скрытый крючок. В качестве приманки чаще всего выступает сообщение отправленное по электронной почте (что это такое, надеюсь, вы знаете). Хотя вам вполне может и фишинговое SMS-сообщение прийти. В любом случае, оно будет замаскировано под «официальное», чтобы не вызвать у вас лишних подозрений еще на стадии «прикормки».

Например, это может быть «как бы» сообщение от вашего банка, сервиса электронных денег (в середине нулевых была эпопея активной фишинг-атаки на пользователей кошельков в Пейпале) или какого-то еще сервиса, где «есть что украсть».

В этом сообщении обязательно будет содержаться что-то такое, что вас обязательно должно сподвигнуть перейти на указанный в сообщении сайт (заголовок может содержать слова: «счет заблокировали», «аккаунт взломали», «деньги перевели с карты без вашего ведома») и авторизовавщись (введя свои логин и пароль), проделать там «якобы необходимые» манипуляции для разрещения придуманной для вас фишером проблемы.

Меня, например, на такую вот приманку подцепили:

В предыдущем абзаце я подчеркнул слово «авторизовавшись». Почему? Да потому что, если фишеры нацелились на ваш электронный кошелек или аккаунт в соцсети, то уже одной авторизации иногда им бывает достаточно. Почему?

Да потому, что пароль и логин вы будете вводить на поддельном (один в один похожем на настоящий), но все же фишинговом сайте (это тот самый крючок, искусно спрятанный под не вызывающей у «рыбки» подозрения наживке в виде присланного сообщения). После авторизации ваши пароль и логин «тю-тю», а вы, если оперативно не подсуетитесь, то лишитесь чего-то ценного, что у вас можно выцепить.

Однако, сейчас многие платежные системы и прочие сервисы повышают безопасность и деньги со счета просто так не выведешь — нужно подтверждение по телефону. Не проблема. На фишинговом сайте вас запросто могут попросить ввести код из присланной SMS на мобильник.

Я, например, ввел даже не усомнившись. Сайт-то был, ну точь в точь похож на Яндекс Деньги, а уж там ничего плохого не попросят. Точно так же из вас выманят и данные кредитки, и вообще все что угодно, ибо доверие к «официальному» сайту очень велико. Социальная инженерия — место, где работают знатоки человеческих душ. Чем более талантлив мошенник, тем более он богат, посему они стараются, совершенствуются, учатся...

Какие виды и методы фишинга могут использоваться

Сейчас дело не ограничивается только поддельными сайтами, ибо о них уже многие знают и осторожничают. Очень часто фишеры устраивают многоходовки. Они запросто могут использовать в качестве крючка не письмо, а общение по телефону.

Например, в присланной СМС могут попросить вас позвонить по определенному номеру якобы для разрешения срочновозникшей проблемы. После общения с автоответчиком вы на чистом глазу выложите не только номер кредитки, но и пин-код от нее, что равносильно добровольной отдачи всех лежащих на ней денег. Фишинг по телефону вызывает больше доверия у «рыбки» на него попавшейся, ибо считает его более защищенным каналом общения.

Сами же номера телефонов могут собираться опять же с помощью поддельных сайтов, например, таких:

Или таких:

Обратите внимание, что на первом скриншоте фишинговый сайт, хоть и похож один в один на Яндекс, но если приглядеться к адресной строке, то заметите, что это Урл адрес никакого отношения к Яндексу не имеет. Есть такая штука, как поддомены, т.е домены третьего уровня. Это не сложно, смотрите.

Мой домен ktonanovenkogo.ru (он считается доменом второго уровня). Я его купил и другого такого же в интернете быть не может. То же касается и yandex.ru. Но смотрите, что я могу! Абсолютно бесплатно и в неограниченном количестве я могу создавать поддомены на основе своего домена, т.е. могу создать сайт с таким вот адресом: yandex.ktonanovenkogo.ru (или даже домен четвертого уровня — yandex.ru.ktonanovenkogo.ru). Увидев такую конструкцию в адресной строке, не каждый пользователь поймет, что его обманывают, ибо есть упоминание yandex.

Еще больше пользователей путает то, что у самого yandex.ru имеется целая куча официальных поддоменов — они лишь выглядят чуток иначе. Например, сервис direct.yandex.ru. Это официальный сайт сервиса. Но если вы не вебмастер, то вы не заметите разницу, например, с таким доменом yandex.direct.ru, а этот сайт к Яндексу уже никакого отношения иметь не будет. Поняли? Смотрите, чтобы в Урл адресе все было чики-пуки (как я вас научил).

Однако, не всегда глазами получается увидеть подлог в адресной строке. Как так? А вот так:

1. В Урл адресе может быть заменена только одна буква, да так, что визуально заметить это очень сложно (буква похожа по начертанию — методов и рабочих наработок масса)

   
2. На фишинговом сайте с помощью такой штуки как JavaScript (скрипт выполняемый в браузере пользователя — совершенно официальная и по большей части довольно-таки полезная технология) может идти подмена содержимого адресной строки на то, что должно быть на официальном сайте сервиса. Сделать это можно разными способами (картинку с нарисованным Урлом подкладывать, обычную подмену делать или еще как). Вы увидите то, что вам хотят показать.
3. Как я уже упоминал чуть выше, фишинг не обязательно осуществляется через поддельный сайт. Вас могут попросить позвонить по телефону, а там еще сложнее понять фейковый этот номер или нет (тем более, что есть варианты использования фальшивых номеров). А возможности по вытягиванию данных голосовой обман предоставляет ничуть не меньше
4. Очень часто ссылка на фейковый сайт приходит в СМС сообщении, а в мобильном браузере не всегда получится досконально изучить Урл адрес сайта, куда вы попали после перехода

Кроме почтовых сообщений, ссылка на фишинговый сайт может содержаться где угодно. Например, на посещаемом вами ресурсе или в соцсети. Тут еще сложнее распознать подвох.

Например, фишинг в соцсетях имеет КПД 70%, ибо «родной» сети доверяют. А в это время ссылка может вести на сайт интернет-магазина, где что-то продается ну просто по бросовой цене. Причем это будет брендовый магазин (а точнее его подделка) и вы запросто передадите ему данные своей карты надеясь на удачную покупку.

Цели злоумышленников могут быть и не столь амбициозны. Довольно часто по ссылке из соцсети вы попадаете на сайт этой же сети (только фейковый) и там вас попросят авторизоваться, чтобы что-то сделать. Причем мало кого удивляет, что заходя на сайт той же сети из-под того же браузера почему-то требуется повторно авторизовываться. После этого аккаунт ваш уводят или незаметно используют в своих «гнусных целях». Такие вот варианты фишинга бывают.

Как сделать так, чтобы не попасться на фишинг-атаку

В принципе, проблема фишинга сейчас волнует многих и с ней стараются по мере сил бороться. Например, большинство современных браузеров предупреждают вас при попадании на фейковый сайт (если он уже имеется в их базе). То же самое можно сказать про популярные сервисы электронной почты — при появлении в вашем ящике подозрительных писем, при их открытии вы можете увидеть предупреждение о таящейся в них возможной опасности.

Но фишеры тоже не спят и их письма (либо SMS сообщения) все равно пробивают и успешно падают на благодатную почву, принося им, наверное, приличный доход. Однако, можно и самому заметить, что, например, ссылка из письма со «страшным заголовком», принуждающем к быстрому действию, ведет не на официальный сайт (для этого достаточно подвести к ссылке курсор мыши и посмотреть в нижнем левом углу окна браузера на появившийся Урл):

То есть адрес в тексте ссылки указан правильный, но вести он будет на поддельный сайт. Реализуется это тривиально. Например, эта ссылка: Yandex.ru приведет вас не на оф.сайт Яндекса, а на мою статью про эту поисковую систему. Если понимаете как работают гиперссылки в языке Html, то это для вас не секрет.

Точно так же можно проверить куда приведет вас нажатие по кнопке из электронного письма, ибо кнопка — это тоже гиперссылка, но вместо текста в ней используется картинка (изображающая кнопку):

Но проблема в том, что злоумышленники не стишки рассылают, а письма, которые должны вас обязательно взволновать и принудить к немедленным действиям. Думать при этом не очень получается, ибо нервная система получила встряску. Посему такую мелочь, как проверить ссылку, по которой вы совершаете переход, мы просто забываем (на себе проверено). А в случае СМС сообщения, так вообще это будет сложно сделать, равно как и номер присланного телефона проверить на фейк.

Однако, есть стопроцентно рабочий совет — выработать привычку при получении любых писем и СМС от сервисов не пользоваться имеющимися там ссылками и номерами телефона, а переходить на их официальный сайт (из закладок браузера или из поисковой системы), чтобы уже там найти нужный вам раздел или узнать контактный телефон. Да, так сложнее, но зато когда фишинг доберется до вас, то их «заброс» не принесет никакого результата, ибо вы защищены рефлексами.

Да, и в любом случае стоит помнить, что банк никогда не попросит вас указать свой Пин-код, а попав по ссылке в популярный интернет-магазин с удивительно низкими ценами, не спешите платить за них с помощью своей карты, а лучше зайдите в него через поиск и найдите десять отличий от того, что вам подсовывали.

Кстати, знаете как найти официальный сайт любой компании, сервиса, интернет-магазина и т.п. Если точно не уверены, то перейдите по указанной ссылке и прочтите пару абзацев. Так-то оно всегда надежнее будет...