Фишинг

Фишинговые атаки могут быть отправлены массово на множество адресов, но также могут быть очень целенаправленно нацелены на сотрудников конкретного человека или организации:

В массовом фишинге жертвам обычно рассылаются письма или сообщения со ссылками на фальшивые сайты, предназначенные для кражи данных. Данные, введенные на фишинговой странице, преступники могут использовать по своему усмотрению – например, вместо пользователя, который вошел через фишинговую страницу якобы интернет-банка, получить доступ к его реальному интернет-банку.

Количество фишинговых писем и сообщений по всему миру постоянно растет, и всё больше из них нацелены именно на жителей Эстонии. Технологические предприятия, почтовые сервисы и государственные структуры по кибербезопасности делают всё возможное, чтобы защитить пользователей, однако автоматические меры не способны полностью исключить угрозу. Чтобы не стать жертвой мошенников, важно, чтобы каждый человек сам умел распознавать признаки фишинга и знал, как правильно действовать в подозрительной ситуации.

Фишинговые письма, SMS, публикации и реклама

Цель фишинговых писем, SMS, публикаций и рекламы (далее обобщенно будем называть их словом фишинг) – направить жертву на фишинговую страницу и принудить ее ввести свои данные. Фишинг распространяется преимущественно через электронную почту и SMS-сообщения, но ссылки на фишинговые страницы скрываются и в рекламе, публикациях в социальных сетях или даже отправляются через мессенджеры.

Поскольку пользователь может получать фишинговые ссылки самыми разными способами, стоит уяснить общие признаки, чтобы избежать фишинга даже в новых каналах, которые преступники начнут использовать.

Обычно злоумышленник в фишинге пытается имитировать какое-либо предприятие, поставщика услуг или государственное учреждение. Сообщение чаще всего содержит ссылку на деятельность организации и веб-адрес (который может быть в виде короткой ссылки или QR-кода), при клике на который жертву направляют на фишинговую страницу.

Фишинговые сообщения часто составлены так, чтобы вызвать у человека сильную эмоцию – тревогу, страх, срочность или жажду выгоды. Это делается для того, чтобы он принял импульсивное решение, не успев подумать. Например, сообщение может сообщать о подозрительной активности на банковском счете и требовать срочного входа в личный кабинет по ссылке. Испугавшись за свои деньги, человек может тут же кликнуть.

Главное отличие SMS-фишинга от фишинга по эл. почте – в возможностях: электронная почта дает злоумышленникам больше способов имитировать подлинное письмо. Например, мошенники могут использовать в письме точно такой же дизайн, который применяется на предприятии, которое они имитируют (использовать логотип и другие элементы). Кроме того, они могут создавать адреса электронной почты, которые напоминают легитимный адрес организации.

Как распознать фишинг?

Большинство фишинговых атак отправляются по электронной почте или SMS, однако пользователя могут заманить на фишинговую страницу и другими способами. Ниже в таблице представлены признаки фишинговых сообщений и писем, которые в целом применимы и к другим способам передачи сообщений (например, реклама или публикация).

Действие	Признаки SMS-фишинга	Признаки фишингового письма
Проверьте данные отправителя соответствует ли содержание отправителю?	SMS может быть отправлен с подозрительного телефонного номера. Следует учитывать, что при SMS можно подделать имя/номер отправителя.	Письмо пришло не с официального адреса веб-сайта поставщика услуг. Добросовестные организации отправляют электронные письма только со своего домена, например, письмо от LHV должно иметь соответствующий адрес (то есть отправитель @lhv.ee, и никак иначе). Если письмо якобы от Swedbank, но адрес отправителя, например, blablabla@aafrika.com, это очевидный фишинг! Фишинговое письмо может быть отправлено с адреса, очень похожего на правильный, например, вместо @lhv.ee — @Ihv.ee (где вместо строчной латинской “L” стоит заглавная “i”).
Есть ли в сообщении признаки психологического воздействия? Например, не пытаются ли у вас вызвать тревогу, страх или интерес?	Сообщение может делать акцент на срочности, любопытстве или страхе. Например: «Мы пытались доставить посылку, но не смогли, немедленно введите свои новые данные».	Фишинговые письма часто стараются вынудить вас действовать быстро – войти в систему или зарегистрироваться. Например: «Кто-то пытается войти в ваш аккаунт» или «На вашем счету замечена подозрительная активность».
Есть ли в сообщении ссылка, перехода по которой от вас ожидают? Обратите внимание! Адрес фишинговой страницы может быть скрыт за короткой ссылкой (tiny url) или QR-кодом. Будьте с этим особенно осторожны и используйте онлайн-инструменты для раскрытия коротких ссылок.	В SMS просят перейти по подозрительной веб-ссылке, интернет-адрес которой не совпадает с официальным сайтом организации. Иногда веб-адрес отличается от настоящего всего одной буквой, которую сложно заметить с первого взгляда. Например, вместо настоящего адреса www.lhv.ee может использоваться www.Ihv.ee, где вместо строчной латинской буквы «L» стоит заглавная «I».	В письме просят перейти по подозрительной веб-ссылке, название которой не соответствует веб-сайту организации, от имени которой якобы отправлено письмо. Иногда веб-адрес отличается от настоящего всего одной буквой, которую сложно заметить с первого взгляда. Например, вместо настоящего адреса www.lhv.ee может использоваться www.Ihv.ee, где вместо строчной латинской буквы «L» стоит заглавная «I».

Что делать, если вы получили фишинговое письмо или сообщение?

Примеры фишинговых сообщений и писем

SMS-фишинг

Фишинговое письмо

Пример трех фишинговых писем, имитирующих Swedbank. Письма утверждают, что на банковском счете жертвы были проведены подозрительные переводы или кто-то пытался войти в аккаунт с неизвестного устройства.

Признаки опасности:

• Имя отправителя указано как Swedbank, но электронный адрес отличается. Письма от Swedbank должны иметь официальное окончание “@swedbank.ee” или “@swedbank.com”.
• Мошенники делают ставку на страх человека, что у него похитили деньги, и пытаются срочно направить жертву войти в интернет-банк, чтобы остановить якобы “подозрительный перевод”. Из-за этой манипуляции пользователь не замечает очевидных признаков мошенничества.
• В обоих письмах есть синие веб-ссылки, которые просят нажать. Хотя адрес ссылки не виден, вы можете посмотреть название веб-страницы (куда ведет ссылка), наведя на нее курсор. Обратите внимание! Не нажимайте на веб-ссылку.

Фишинг в виде публикации в Facebook

Фишинг в виде рекламы Google

Фишинговые сайты

Как правило, люди самостоятельно и случайно не попадают на фишинговые страницы. Обычно мы посещаем веб-сайты, куда изначально планировали пойти – читать новости идем на новостной портал, управлять финансами – на страницу банка, для чтения писем знаем точный адрес электронной почты. На фишинговые страницы мы обычно попадаем только через ссылки, которые поступают к нам по электронной почте и SMS, а также через рекламу, публикации в социальных сетях или комментарии.

Если вы кликнули по веб-ссылке в фишинговом письме, сообщении или публикации, вас перенаправят на фишинговую страницу. Цель фишинговой страницы – убедить жертву ввести свои данные (данные пользовательского аккаунта, данные карты и другое) или войти в «интернет-банк», чтобы мошенники могли использовать эти данные для входа на реальный веб-сайт или совершения платежей по кредитной карте.

Фишинговые страницы создаются автоматическими инструментами на основе кода настоящего веб-сайта, поэтому их дизайн и содержание обычно практически неотличимы от оригинального сайта.

Как распознать фишинговую страницу?

• Убедитесь, что веб-адрес в точности совпадает с оригинальным (сравните omniva.ee и omnivaaa.ee или 0mniva.eu). Обратите внимание, что в браузере мобильного устройства адресная строка обычно скрывается во время просмотра страницы – проверьте веб-адрес.
• Чтобы удостовериться в правильности веб-адреса, начните читать его в адресной строке слева от косой черты (исключая косые черты в “https://”), а не просто слева направо, как обычно.
  • Например, в веб-адресе “https://www.eesti.ee/” мы видим, что домен “eesti.ee” правильный.
  • В адресе “omniva.ee.popsi7.com/index.php” можно понять, что это вовсе не сайт Omniva, а страница “popsi7.com”.
  • Иногда адрес может содержать ссылку на конкретную страницу, например, страница осенней кампании “https://www.pank.ee/sugiskampaania”. В этом случае мы имеем дело с сайтом самого банка, поскольку первая косая черта / (исключая часть “https://”) указывает на страницу “pank.ee”.
  • При чтении слева направо первыми отображаются поддомены, например: “mail.google.com” обозначает почтовый сервис Google Gmail, “www.eesti.ee” указывает на веб-сайт (world wide web).
  • Итог:

• Если вы сомневаетесь, откройте в другом окне поисковый движок и введите название нужного бренда или среды. В поисковой выдаче сверху будет показан официальный сайт реального бренда (следите, чтобы это не был спонсорский, то есть купленный результат поиска).

Что делать, если вы попали на фишинговую страницу?

Что делать, если вы ввели данные на фишинговой странице?

Если вы ввели данные на фишинговой странице, дальнейшие действия зависят от типа «поддельной страницы» и введенных вами данных:

Примеры фишинговых страниц

Все фишинговые страницы можно распознать по странному веб-адресу. Для сравнения приведены также оригинальные веб-страницы, которые имитируются

Фишинговые страницы, имитирующие вход в LHV банк

Фишинговая страница, имитирующая отслеживание посылки Omniva

Фишинговая страница, имитирующая вход в MS Outlook