Что такое фишинг простыми словами: виды, угрозы и защита

В современном цифровом мире, где личные данные имеют колоссальную ценность, существует серьезная угроза под названием "фишинг". Этот вид кибермошенничества нацелен на незаконное получение конфиденциальной информации пользователей, такой как логины, пароли и данные банковских карт. Используя психологические уловки и имитируя доверенные источники, фишеры рассылают обманные сообщения с целью заманить жертву на поддельные сайты для ввода секретных сведений.

Согласно отчету Anti-Phishing Working Group, только в первые шесть месяцев 2022 года было выявлено свыше 1 миллиона фишинговых атак. Эта угроза затрагивает как рядовых пользователей интернета, так и крупные компании, финансовые организации и государственные структуры. Наиболее активными целями преступников традиционно становятся сервисы, связанные с онлайн-платежами и денежными переводами.

Осведомленность о природе фишинга и умение распознавать его проявления являются ключевыми факторами цифровой гигиены и кибербезопасности в современную эпоху. Только понимая принципы работы мошенников, можно эффективно противостоять этой постоянно эволюционирующей угрозе. Данная статья призвана в доступной форме осветить феномен фишинга - его механизмы, цели злоумышленников, наиболее распространенные методы атак и проверенные способы защиты.

Что такое фишинг и как он работает

Фишинг (от англ. fishing - "рыбная ловля", phishing - "password hunting" - охота за паролями) представляет собой мошенническую схему, при которой злоумышленники выдают себя за доверенные организации или людей с целью нелегально получить личные данные жертвы, такие как учетные записи, пароли, номера банковских карт и т.д.

Классическая фишинговая атака начинается с обманного сообщения по электронной почте, в мессенджерах или SMS, якобы присланного от имени банка, интернет-магазина, платежного сервиса или другой авторитетной компании. В этих сообщениях используются разнообразные психологические триггеры и уловки:

• Предупреждение о срочной необходимости подтвердить или обновить личные данные для предотвращения блокировки счета/услуг.
• Запугивание возможными финансовыми потерями или юридическими последствиями в случае неисполнения "требований".
• Завлекательные предложения о выгодных акциях, бонусах или выигрышах для вовлечения жертвы.
• Создание ложного чувства доверия используя персональное имя/обращение жертвы.

В сообщении обязательно содержится ссылка, ведущая на тщательно скопированный и практически неотличимый от оригинала фишинговый сайт-подделку. Если пользователь по незнанию или рассеянности вводит на таком ресурсе свои конфиденциальные данные, они сразу же попадают в руки мошенников.

Основные цели фишеров

За фишинговыми атаками стоят различные мотивы и цели злоумышленников. Однако главным образом они сводятся к незаконному обогащению или нанесению вреда путем кражи данных, шантажа и других противоправных действий.

Кража личных данных

Наиболее распространенной целью фишеров является кража идентификационных данных - логинов, паролей, реквизитов банковских карт и прочих конфиденциальных сведений. Получив такую информацию, мошенники могут использовать ее для хищения денежных средств, несанкционированного доступа к учетным записям в интернет-сервисах, онлайн-банкинге и т.д.

Один из ярких примеров - взлом российской компьютерной компании «Ниме» в 2017 году. Сотрудники получили фишинговые письма с зараженными вложениями, в результате чего хакеры получили доступ к корпоративной сети и украли данные клиентов на общую сумму около 60 млн рублей.

Шантаж

Еще одна распространенная цель - шантаж на основе похищенных личных данных или компрометирующих материалов. Обычно это затрагивает индивидуальных пользователей, чьи частные фото, видео или переписка попадают в руки злоумышленников путем взлома облачных хранилищ или других атак. Фишеры требуют выкуп за неразглашение украденной информации.

В 2014 году группа хакеров под названием "Ревengers" провела массовую атаку на облачные хранилища знаменитостей, в результате чего в открытый доступ утекли интимные фотографии таких звезд, как Дженнифер Лоуренс, Кейт Аптон, Хайден Панеттьери и других. По оценкам экспертов, шантажисты могли получить от продажи данных фото таблоидам сотни тысяч долларов.

Месть и репутационный ущерб

В отдельных случаях мотивом фишеров может быть месть или нанесение репутационного ущерба организациям и известным личностям. Так, в 2014 году известная хакерская группировка "Guardians of Peace" провела масштабную кибератаку на студию Sony Pictures Entertainment, заполучив десятки тысяч внутренних документов и нераскрытых проектов компании.

Причиной атаки стала месть за планы выпустить в прокат сатирическую комедию "Интервью", высмеивающую лидера Северной Кореи Ким Чен Ына. Часть похищенных данных оказалась выложена в открытом доступе, что нанесло серьезный урон репутации продюсерской компании.

Вне зависимости от первоначальных мотивов, фишинг всегда имеет своей конечной целью незаконное получение выгоды путем обмана и краж. Поэтому критически важно уметь распознавать его проявления и использовать надежные способы защиты.

Виды фишинговых атак

Фишинг принимает множество форм, постоянно эволюционируя и используя новые технологии и психологические уловки. Ознакомьтесь с наиболее распространенными видами фишинговых атак:

Социальный фишинг

Этот вид нацелен на кражу учетных данных в популярных социальных сетях - Facebook, ВКонтакте, Instagram и др. Методы практически идентичны классическому фишингу - пользователю приходит сообщение, имитирующее официальное от соцсети, с требованием срочно подтвердить свои логин и пароль по указанной ссылке. При переходе он попадает на точную копию сайта соцсети, где и вводит данные для входа, передавая их мошенникам.

Особую опасность представляет тот факт, что многие пользователи используют одни и те же пароли для разных сервисов. Получив доступ к аккаунту в соцсети, злоумышленники могут рассчитывать на доступ и к другим учетным записям жертвы.

Фишинг по электронной почте

Наиболее распространенный классический вид фишинга посредством рассылки писем от имени банков, онлайн-магазинов, платежных систем и т.п. Письма, как правило, имитируют срочные уведомления о необходимости подтвердить/обновить личные данные, перейдя по вредоносной ссылке.

Несмотря на развитие спам-фильтров, этот вид все еще остается эффективным, особенно в сочетании с социальной инженерией - использованием имен, персональных данных жертв для создания большего доверия.

Байтинг

При байтинге, в отличие от запугивания жертв, используются приманки в виде обещаний вознаграждения, призов или дорогих подарков. Так, пользователь может получить сообщение о якобы выигрыше нового iPhone или крупной денежной суммы. Для получения "подарка" нужно просто перейти по ссылке и указать личные данные.

Фарминг

Более изощренная разновидность фишинга путем установки вредоносного кода и подмены DNS записей компьютера жертвы. В результате при вводе в браузере адреса легитимного сайта, пользователь автоматически перенаправляется на его поддельную копию, контролируемую злоумышленниками. Распознать фарминговую атаку гораздо сложнее, чем классический фишинг.

Спирфишинг (целевой фишинг)

Этот вид подразумевает тщательное изучение целевой жертвы - обычно высокопоставленного сотрудника организации или публичной персоны. Злоумышленники используют собранные данные о человеке, круге его общения, интересах и т.п. для максимально правдоподобного создания ситуации доверия.

Атакуемый получает обманные письма/сообщения якобы от имени коллег, друзей или руководства с просьбами, требующими передачи конфиденциальных данных. Спирфишинг требует значительных усилий, но может принести мошенникам доступ к ценнейшей информации крупных компаний.

Вишинг (голосовой фишинг)

При вишинге атака производится по голосовым каналам - телефонным звонкам. Злоумышленники представляются сотрудниками банков, госструктур или технической поддержки известных компаний и убеждают передать им конфиденциальные данные под благовидными предлогами. Иногда используются программы синтеза речи для имитации голоса реальных людей.

Этот вид считается наиболее сложным и дорогостоящим для организации, но может быть очень эффективным в случае доверчивости жертвы.

Все описанные виды фишинговых атак объединяет одно - использование психологических ловушек и обмана доверия для незаконного получения секретных сведений в корыстных целях. Крайне важно осознавать эту постоянно мутирующую угрозу и уметь своевременно ее распознавать.

Кто рискует стать жертвой

Фишинговые атаки представляют угрозу для широкого круга пользователей интернета и организаций. Потенциальной мишенью для злоумышленников может стать практически любой человек или структура, имеющие доступ к ценным конфиденциальным данным. Однако некоторые категории сталкиваются с повышенным риском.

Рядовые интернет-пользователи

Обычные пользователи сети, особенно технически неподкованные и не осведомленные об угрозах кибербезопасности, зачастую становятся легкими жертвами фишеров. Наиболее уязвимы пожилые люди, а также дети, не обладающие должным опытом работы в интернете.

Мошенники умело используют социальную инженерию, создавая максимально правдоподобные ситуации и играя на чувствах доверия, жадности, любопытства и т.п. В результате даже добросовестные граждане могут передавать свои личные данные и утекать деньги со счетов.

Сотрудники компаний

Представляют ценную цель в силу потенциального доступа к корпоративным базам данных, финансовой информации, интеллектуальной собственности и другим критически важным активам организаций. Получив учетные данные сотрудников, особенно руководителей высшего звена, злоумышленники могут проникнуть в любые системы компании.

Согласно исследованию Verizon, около 88% кибератак связано с фишинговыми рассылками, направленными на корпоративный персонал. Именно человеческий фактор остается самым уязвимым звеном безопасности большинства организаций.

Финансовые организации

Традиционно банки, платежные системы и другие структуры, связанные с движением денежных средств, являются излюбленными целями для фишеров. Похищенные данные доступа к счетам и финансовым операциям позволяют преступникам беспрепятственно хищение активов.

Так, в 2018 году российские банки подверглись массированной фишинговой атаке. Злоумышленники рассылали письма от имени Центробанка с ссылками на зараженные сайты, в результате чего выведены средства на сумму более 1 млрд рублей.

Популярные сервисы и бренды

Чем более известен и широко используем интернет-ресурс или торговая марка, тем чаще мошенники используют ее имя и стилистику для обмана доверчивых пользователей.

Популярные цели фишеров - сервисы онлайн-банкинга, интернет-магазины, платформы услуг такси, стриминговые сервисы и другие массовые онлайн-ресурсы. Создание правдоподобных фейковых сайтов и сообщений значительно облегчается общеизвестным брендом и стилем взаимодействия с аудиторией.

Как видно, фишинговые атаки затрагивают самые разные сферы и категории пользователей. Финансовый и репутационный ущерб может исчисляться миллионами и миллиардами единиц в зависимости от масштаба. Поэтому соблюдение базовых принципов кибергигиены критически важно как для рядовых граждан, так и для бизнес-структур и государственных организаций.

Практические советы по защите

Несмотря на постоянное совершенствование методов фишинга, существует ряд проверенных практик, которые помогут значительно снизить риски стать жертвой мошенников. Соблюдение следующих рекомендаций уже на базовом уровне способно обеспечить высокий уровень кибербезопасности:

Бдительность к подозрительным письмам/ссылкам

Первое и главное правило - ни при каких условиях не открывать вложения, не переходить по ссылкам и не вводить личные данные в ответ на непрошенные, вызывающие malпо́дозрение сообщения. Даже если отправитель внешне похож на знакомую организацию, лучше перестраховаться и связаться со службой поддержки для уточнения ситуации.

Проверка адресов/доменов

Внимательно проверяйте адреса электронной почты отправителей, не доверяйте именам/логотипам известных брендов. Даже минимальные отклонения в написании доменов должны вызвать настороженность. Используйте только официальные веб-сайты компаний, сохраненные в "белом списке" браузера.

Использование антивирусов и спам-фильтров

Современные антивирусные программы оснащены функциями определения фишинговых и спам-рассылок. Важно регулярно обновлять антивирус для противодействия новым кибератакам. Не игнорируйте предупреждения о подозрительных сайтах.

Уникальные пароли и 2ФА

Используйте разные сложные пароли для разных учетных записей, чтобы минимизировать ущерб в случае компрометации одних данных. Дополнительную защиту обеспечивает двухфакторная аутентификация путем привязки логина к вашему номеру телефона.

Осторожность при онлайн-покупках

Совершайте покупки только на проверенных сайтах, переходя по ссылкам из "белого списка". Обращайте внимание на наличие https протокола и знака "замок" в адресной строке для обеспечения безопасности платежей.

Обновление ПО

Своевременное обновление операционной системы, браузера, антивируса и другого программного обеспечения закрывает доступ киберпреступникам к новым выявленным уязвимостям.

Безопасность публичных Wi-Fi

Общественные беспроводные сети часто небезопасны и могут быть подконтрольны злоумышленникам. Рекомендуется использовать VPN или избегать передачу конфиденциальных данных через публичные хот-споты.

Осведомленность о рисках и соблюдение базовых правил кибербезопасности - ключ к успешной защите от разнообразных современных фишинговых угроз. Регулярное информирование сотрудников и обучение цифровой грамотности также должны быть неотъемлемой частью корпоративной стратегии безопасности.

Заключение

Фишинг остается одной из наиболее серьезных и распространенных кибер-угроз современности как для рядовых пользователей, так и для коммерческих и государственных структур. Ежегодные потери от действий злоумышленников в этой сфере измеряются миллиардами долларов, не говоря уже о репутационном ущербе и утечках критически важных конфиденциальных данных.

Изощренность и многоликость фишинговых атак таит опасность даже для технически подкованных и осведомленных пользователей. Ведь помимо подделки сайтов и обманных ссылок, злоумышленники активно используют социальную инженерию, детально изучают психологию жертв и внедряют новые технологии.

Однако соблюдение ряда базовых принципов цифровой гигиены может значительно снизить риск стать очередной мишенью фишеров. Бдительность, верификация источников, использование антивирусной защиты и практика безопасного серфинга в совокупности формируют надежный кибер-иммунитет.

Критически важно уделять первостепенное внимание кибербезопасности и постоянному повышению осведомленности и компетенций в этой сфере. Ведь благодаря распространению цифровых услуг, мы все чаще доверяем интернету ценнейшие персональные данные и финансовую информацию. Недосмотр или невежество же, как видно на примере фишинга, могут обернуться катастрофическими потерями.