Що таке фішинг і чому він небезпечний

Фішинг — це тип кібератаки, при якій зловмисники маскуються під надійні організації чи людей, щоб вкрасти чутливу інформацію: паролі, номери кредитних карток, особисті дані. Зазвичай атака починається з електронного листа, текстового повідомлення або телефонного дзвінка, що спонукає жертву виконати певну дію — перейти за посиланням, завантажити файл, ввести свої дані на підробленому сайті.

За даними останніх досліджень, понад 90% успішних кібератак починаються саме з фішингу. І, що найважливіше, ці атаки стають все більш витонченими та складними для виявлення, оскільки хакери постійно вдосконалюють свої методи.

Увага!

Фішингові атаки націлені не лише на окремих осіб, але й на організації. Через одного співробітника, який попався на фішинг, може бути скомпрометована вся компанія.

Ознаки фішингових повідомлень

Існує кілька характерних ознак, які можуть допомогти вам розпізнати фішингові повідомлення:

  1. Невідповідність електронної адреси відправника: Фішери часто використовують адреси, які лише зовні схожі на офіційні. Наприклад, замість support@facebook.com вони можуть використовувати support.facebook@gmail.com або facebook-support@mail.com.
  2. Загальне, неперсоналізоване звертання: Справжні організації зазвичай звертаються до вас на ім'я. Якщо лист починається із загальних фраз на кшталт "Шановний користувач" або "Шановний клієнт", це може бути фішингом.
  3. Помилки у тексті: Фішингові повідомлення часто містять граматичні та орфографічні помилки, неправильну пунктуацію або дивне форматування.
  4. Нагальність або загроза: Багато фішингових повідомлень намагаються створити відчуття терміновості або страху, щоб ви діяли швидко, не встигнувши обдумати ситуацію. Наприклад, "Ваш акаунт буде заблоковано через 24 години, якщо ви не підтвердите свої дані".
  5. Пропозиції, які здаються занадто гарними: Якщо вам пропонують неймовірно вигідну пропозицію або повідомляють про несподіваний виграш — це часто фішинг.
  6. Дивні або замасковані посилання: Наведіть курсор на посилання (не натискаючи на нього), щоб побачити справжню URL-адресу. Якщо вона відрізняється від того, що написано в тексті, це підозріло.
  7. Запити на особисту інформацію: Легітимні організації рідко просять надіслати паролі, PIN-коди або інші чутливі дані через електронну пошту.
Приклад фішингового листа

Приклад фішингового листа з характерними ознаками: загальне звертання, невідповідність електронної адреси, граматичні помилки та вимога термінових дій

Типи фішингових атак

З розвитком технологій фішингові атаки стають все більш різноманітними. Ось основні типи, з якими ви можете зіткнутися:

Масовий фішинг

Найпоширеніший тип, коли зловмисники розсилають тисячі однакових листів, сподіваючись, що хтось "клюне". Такі повідомлення зазвичай менш персоналізовані і часто містять більше помилок, які допомагають їх розпізнати.

Спрямований фішинг (спірфішинг)

Більш витончений підхід, коли атака націлена на конкретну особу або організацію. Зловмисники збирають інформацію про жертву з соціальних мереж та інших джерел, щоб зробити повідомлення максимально переконливим. Наприклад, вони можуть надіслати лист, замаскований під повідомлення від вашого керівника або колеги.

Вейлинг (китобійний промисел)

Різновид спірфішингу, націлений на "велику рибу" — керівників високого рівня, які мають доступ до цінної інформації або повноваження для переказу коштів. Такі атаки ретельно плануються і можуть передбачати тривалу підготовку.

Клонований фішинг

Атака, при якій зловмисники копіюють легітимне повідомлення, яке ви вже отримували раніше, але замінюють посилання або вкладення на шкідливі. Такі листи можуть містити фрази на кшталт "повторно надсилаємо" або "оновлена версія".

Смішинг

Фішинг через SMS або інші месенджери. Повідомлення часто містять скорочені URL-адреси, які складно перевірити на мобільному пристрої.

Вішинг

Голосовий фішинг, коли зловмисники телефонують жертві, представляючись співробітниками банку, технічної підтримки або інших служб, щоб виманити конфіденційну інформацію.

Порада експерта:

Будьте особливо обережні з повідомленнями, які вимагають негайних дій, особливо якщо вони стосуються фінансових операцій. Перш ніж переходити за посиланням або надавати будь-яку інформацію, зв'яжіться з організацією безпосередньо через офіційні канали зв'язку (не через контакти з підозрілого повідомлення).

Приклади реальних фішингових кампаній

Розглянемо кілька прикладів фішингових атак, які були особливо поширені в Україні:

Атаки від імені банків

Одні з найпоширеніших фішингових атак маскуються під повідомлення від банків. Жертва отримує SMS або email про нібито підозрілу операцію, блокування картки або необхідність оновити дані. Перейшовши за посиланням, користувач потрапляє на фальшиву сторінку, яка виглядає як офіційний сайт банку.

Фішинг через служби доставки

Особливо активізувався під час пандемії. Користувач отримує повідомлення про доставку посилки, в якому є посилання на "відстеження" або сплату митних зборів. Посилання веде на фішинговий сайт, де просять ввести дані картки.

Податкові та державні служби

Зловмисники часто маскуються під податкові органи, надсилаючи повідомлення про податкові борги, штрафи або повернення податків. Такі атаки особливо активні під час податкового сезону.

COVID-19 фішинг

Під час пандемії з'явилося багато фішингових схем, пов'язаних з COVID-19: фальшиві повідомлення про державні виплати, вакцинацію, результати тестів тощо.

Приклад фішингового сайту

Приклад фішингового сайту, що імітує сторінку авторизації популярного банку. Зверніть увагу на URL-адресу, яка не відповідає офіційному домену банку

Як захистити себе від фішингових атак

Ось кілька ефективних стратегій для захисту від фішингу:

Будьте скептичні

Завжди перевіряйте повідомлення, які вимагають від вас певних дій, особливо якщо вони надходять несподівано. Не поспішайте переходити за посиланнями або відкривати вкладення.

Перевіряйте адресу відправника

Уважно перевіряйте email-адресу відправника, а не лише відображуване ім'я. Зверніть увагу на доменне ім'я (частина після @).

Наведіть курсор на посилання

Перш ніж натиснути на посилання, наведіть на нього курсор, щоб побачити реальну URL-адресу. Якщо адреса виглядає підозріло або не відповідає очікуваному домену, не переходьте за нею.

Використовуйте пряме введення або закладки

Замість переходу за посиланнями з повідомлень, введіть адресу сайту безпосередньо в браузері або використовуйте збережені закладки.

Включіть двофакторну автентифікацію

Двофакторна автентифікація (2FA) додає додатковий рівень захисту, навіть якщо зловмисники отримають ваш пароль.

Використовуйте спеціалізовані інструменти

Багато антивірусних програм та браузерів мають вбудований захист від фішингу, який попереджає про підозрілі сайти.

Регулярно оновлюйте програмне забезпечення

Встановлюйте всі доступні оновлення для вашої операційної системи, браузера та програм, оскільки вони часто містять патчі для виявлених вразливостей.

Навчайтеся і підвищуйте обізнаність

Регулярно ознайомлюйтеся з інформацією про нові типи фішингових атак та методи захисту від них.

Що робити, якщо ви стали жертвою фішингу

Якщо ви підозрюєте, що стали жертвою фішингової атаки, дійте швидко:

  1. Змініть паролі: Негайно змініть паролі до всіх акаунтів, які могли бути скомпрометовані, починаючи з найважливіших (банкінг, електронна пошта).
  2. Зв'яжіться з банком: Якщо ви надали дані банківської картки, негайно зателефонуйте до банку і заблокуйте картку.
  3. Перевірте пристрій: Запустіть сканування антивірусною програмою, щоб перевірити, чи не було встановлено шкідливе програмне забезпечення.
  4. Повідомте про атаку: Зв'яжіться з організацією, від імені якої діяли шахраї, та повідомте про фішингову атаку. Також можна звернутися до кіберполіції.
  5. Моніторте свої рахунки: Уважно перевіряйте виписки з банківських рахунків та кредитних карт протягом наступних місяців, щоб вчасно виявити несанкціоновані операції.

Висновок

Фішингові атаки стають все більш витонченими, але знання основних ознак та методів захисту дозволить вам ефективно протистояти цій загрозі. Пам'ятайте: краща зброя проти фішингу — це здоровий скептицизм та обережність при роботі з онлайн-повідомленнями.

Регулярно оновлюйте свої знання про кібербезпеку, використовуйте надійні інструменти захисту та завжди двічі подумайте, перш ніж переходити за посиланням або надавати особисту інформацію в Інтернеті. Безпека ваших даних — насамперед у ваших руках.

Теги: фішинг кібербезпека шахрайство електронна пошта соціальна інженерія