Фишинг, вишинг, смишинг, фарминг — как защититься?

В современных реалиях многие сферы нашей жизни перешли в онлайн. Мы привыкли заказывать различные вещи, одежду, продукты и технику в интернете, покупать билеты в кино или театр через онлайн-кассы, перешли на электронные книги, оплачиваем через интернет различные услуги, активно пользуемся онлайн-банкингом и прочее. Это просто, быстро, удобно, но… не всегда безопасно. К сожалению, интернет-мошенники тоже не дремлют, они разработали и успешно внедряют множество различных схем, позволяющих буквально-таки выудить ваши персональные данные и использовать их в корыстных целях. О каждом из таких механизмов далее расскажем подробнее.

Фишинг: ловись рыбка большая и маленькая

Название fishing переводится с английского как рыбная ловля, выуживание. Мошенники готовят своеобразные информационные удочки, забрасывают их и ждут подходящую рыбку – потенциальную жертву. В основе таких разводов лежат базовые принципы социальной инженерии.

Что пытаются выудить? Персональные данные, номер телефона, номер банковской карты, логин и пароль онлайн-банка, электронного кошелька, платежной системы или другого сервиса. На что клюют? На специально прописанное фишинг-письмо. Такое послание “счастья”, как правило, влияет на эмоции получателя. А какие эмоции у нас самые сильные? Правильно, восторг и страх. На это и давят. Фишинг-письмо может содержать информацию о большом выигрыше, счастливом случае, супервыгодном предложении от банка или какой-то финансовой организации. Или же наоборот, пишут о взломе или попытке взлома аккаунта с последующей блокировкой. Дабы получить прибыль или спасти любимый аккаунт нужно перейти по представленной в письме ссылке и ввести свои данные, и сделать это необходимо как можно быстрее. Таким образом мошенник быстро и беспроблемно получает доступ к необходимой информации в ту же секунду, когда ошарашенный новостью пользователь нажмет кнопку ввода.

Основные схемы фишинга выглядят следующим образом:

1. На почту приходит письмо от известной организации с просьбой подтвердить логин и пароль. При переходе по предложенной ссылке клиент попадает на страницу точь в точь похожую на настоящую. Но если присмотреться, то можно заметить, что адрес URL отличается парой символов, а периферийные страницы сайта либо не работают вовсе, либо выглядят не слишком аккуратно. Оно и понятно, сайт-то – подделка.
2. Используются изъяны в протоколе SMTP, расходятся письма с поддельной строчкой «Mail From». Невнимательный пользователь отвечает на письмо, передавая таким образом мошенникам всю необходимую им информацию.
3. В интернет-аукционах или онлайн-магазинах продажу настраивают так, что товары распространяются через легальный ресурс, а вот оплату – через поддельный. После традиционного указания номера банковской карты, срока ее работы, пароля дело мошенникам остается за малым.
4. Поддельные благотворительные организации, принимающие денежные пожертвования.
5. Фиктивные онлайн-магазины или кассы с супервыгодными предложениями.

Вариантов много, задача одна – выманить информацию.

Вишинг: разговоры, которые не заканчиваются ничем хорошим

От предыдущей схемы вишинг отличается лишь инструментом: voice+phishing - возможность заполучить информацию с применением голоса, то есть по телефону. Этот тип развода заключается в том, что для получения нужной информации мошенники звонят непосредственно клиенту.

Приманка точно такая же: предложение о выгодной сделке, выигрыш, большое везение или блок аккаунта, сложности и т. д. В любом из вариантов пользователю нужно ввести персональные данные, чтобы получить выгоду или решить проблему.

В этом случае может также сыграть более тесный контакт с клиентом, убеждения и уговоры, эмоциональное влияние.

Как уберечься? Все всегда нужно проверять. После такого звонка вы можете попрощаться с оператором и загуглить информацию, которую вам навязывали, проверить работает ли доступ к сервису, о котором идет речь, позвонить на горячую линию и попросить разъяснения. Это позволит понять, кто на вас вышел: мошенники или реальные представители компании.

Смишинг: смс-развод

Несмотря на “смешное" название, веселого в смишинге, конечно, мало. Расшифровка простая - sms+phishing, то есть возможность заполучить данные посредством смс. На номер телефона поступает сообщение от банка, финансовой или какой-либо другой компании, новость о внезапном выигрыше в лотерею или уникальное акционное предложение. Сложность в том, что выявить смс-развод несколько сложнее, нежели при вишинге или фишинге, так как сообщения короткие и лаконичные, содержат мало информации, помимо самой ссылки. В смс могут попросить:

• перезвонить и предоставить информацию;
• пройти по ссылке и указать необходимые мошенникам данные в специальной форме;
• отправить ответное смс, указав там логин и пароль от платежной системы, номер карты и код, другие данные.

Любые похожие сообщения должны вас настораживать и вызывать вопросы.

Фарминг: апгрейд классического фишинга

Суть фарминга в том, что пользователь попадает на мошеннический сервис случайно. Ссылку на сайт-подделку ему подсовывают посредством использования DNS-кэша на устройстве или сетевом оборудовании провайдера. Проще говоря, на пользовательский ноутбук или смартфон пробирается вирус, который активизируется, когда осуществляется переход на интересующую страницу:

• онлайн-банкинг;
• платежная система;
• электронный кошелек и похожие.

Интерфейс страницы ничем не отличается от реального, но стоит только пользователю пройти авторизацию, как его данные оказываются у мошенников и далее используются для снятия всех средств со счета.

Это, пожалуй, тот вариант мошенничества, избежать которого особенно сложно. Дело в том, что подмена производится незаметно. Чтобы избежать фарминга, нужно вовремя узнавать мошеннические письма, не переходить по подозрительным ссылкам и беречься от интернет-вирусов.

Заключение

Фишинг, вишинг, смишинг, фарминг, как и другие виды мошенничества, построены на невнимательности и доверчивости пользователей. Дабы избежать неприятностей, описанных выше, достаточно следовать нескольким простым правилам:

• никому и никогда не давайте логинов и паролей от своего интернет-банкинга, не предоставляйте номер карты, дату окончания срока действия и CVV код;
• обращайте внимание на имя отправителя, тему письма, почтовый адрес и общее оформление. Если что-то выглядит подозрительно, просто удаляйте сообщение;
• обращения от имени банка или компании, услугами которой вы ранее успешно пользовались, старайтесь проверять у официальной службы поддержки этой организации, в действующем личном кабинете;
• не переходите по ссылкам в письмах от неизвестных (сомнительных) отправителей;
• не отвечайте на письма, запрашивающее личную информацию, банковские данные;
• обращайте внимание на ошибки в тексте, серьезные организации не позволяет себе грамматических или пунктуационных огрехов;
• не загружайте себе незнакомые файлы с расширением .exe, .msi, .bat, .pif, .com, .vbs, .reg, .zip, они могут содержать вирусы;
• не игнорируйте сообщения от антивирусных программ, встроенных в ваши браузеры — они содержат антифишинговые системы со списком вредоносных сервисов;
• используйте двухфакторную идентификацию в сервисах, кошельках, банкинге. Если злоумышленники и получат доступ к логину, то сложная система входа может если не остановить их, то немного притормозить.

Одним из лучших средств защиты от мошенников является критическое мышление, скептицизм и привычка все всегда перепроверять. Вооружитесь этими тремя орудиями — и шансов у финансовых преступников станет гораздо меньше.