Фишинг-смишинг: как защититься от технологического мошенничества

Одна из самых распространенных угроз информационной безопасности в сфере цифровой экономики – фишинг. Проводим небольшой ликбез: рассказываем, как мошенники получают конфиденциальную информацию без взломов, и на что следует обращать внимание интернет-пользователям, чтобы не потерять деньги.

Фишинг – это попытка получить чужие персональные данные, такие как ФИО, пароли, данные банковских карт, под видом запроса от лица или организации, заслуживающих доверие, с целью извлечения прибыли незаконными способами. Фишеры списывают деньги с чужих банковских карт, занимаются шантажом и вымогательством, продажей персональных данных на черном рынке и проводят атаки, чтобы компрометировать компании и нанести вред их репутации.

Невнимательность, человеческие слабости, любопытство, а также незнание того, что данные банковских карт (номер, CVC код, имя владельца и пинкод) – ваша личная информация, которую лучше держать в тайне, помогают мошенникам процветать и множиться.

Рассказываем, какие каналы для общения с вами используют фишеры.

Почтовый фишинг

Вы не читаете письма от малознакомых адресатов, не переходите по сомнительным ссылкам и даже не скачиваете подозрительные программы, присланные вам почте. А что сделаете, если получите письмо от коллеги со ссылкой на рабочий документ в Google docs?

Пример из жизни

В мае 2017 года более миллиона пользователей Gmail стали жертвами фишинговой атаки: они нажали на ссылку, ведущую в Google docs, потому что она была прислана их друзьями или сослуживцами. Таким образом они открыли вредоносному ПО доступ к своим Gmail аккаунтам: программа-зловред продолжила рассылку сообщений от их лица далее по списку контактов. Через аккаунты Gmail мошенники получили возможность просматривать личные документы пользователей на Google disk и распоряжаться их учетными записями в Google Play, привязанными к банковским картам.

Случай №1

Как видите, почтовый фишинг может приобретать весьма изощренные формы. Многие попадаются на фишинговые письма, замаскированные под уведомления почтовых сервисов: предупреждения о необходимости подтвердить аккаунт, увеличить объем диска или сменить пароль, чтобы избежать блокировки сервиса. Часто приходят уведомления о необходимости получить недоставленные письма по причине проведения технических работ на сайте. Подобные уведомления содержат ссылки, которые либо сразу перенаправляют вас на вредоносные сайты либо предлагают ввести данные своего аккаунта (логин и пароль), которые впоследствии попадают к киберпреступникам.

Что делает вредоносное ПО, попав на ваш компьютер? Вирус может записать информацию, которую вы вводите на своей клавиатуре; присоединиться к системе вашего компьютера и при каждом выходе в сеть интернет передавать данные злоумышленникам. То есть злоумышленник может получить не только историю ваших покупок, но и данные вашей кредитной карты, когда вы в следующий раз будете делать покупки онлайн.

Случай №2.

Вам на почту приходит письмо от вашего банка или сервиса онлайн платежей. Письмо может выглядеть максимально правдоподобно: содержать логотипы банка, обращение к вам по имени, быть написано официальным языком со всеми правильными банковскими терминами. В письме вас могут информировать о списании или зачислении средств, блокировке карты. «Лжебанк» предложит вам пройти по ссылке и проверить остаток средств на карте или получить более детальную информацию о новых продуктах банковского сервиса.

По факту мошенники подменяют ссылку на официальный онлайн банк поддельной адресной строкой. Вы заходите на сайт, вводите данные своей карты – а дальше на ваших глазах мошенники начинают списывать кровно заработанные деньги. Пока вы оправляетесь от шока, баланс на карте стремительно движется к нулю.

Случай №3

Последние несколько лет для почтового фишинга активно используют вирусы-вымогатели: шифровальщики (шифруют ваши файлы на компьютере) и блокировщики (блокируют доступ к работе компьютера). Одной из самых ярких фишинговых атак прошедшего года стал нашумевший вирус Petya, от которого пострадали многие компании-лидеры. Вирус попадал на компьютеры сотрудников по почте: приходило письмо якобы содержащее резюме кандидата. После открытия письма вирус шифровал информацию на компьютере, полностью блокируя его работу. Чтобы восстановить данные, хранившиеся на диске, требовалось заплатить выкуп.

Что делать?

• Обращать внимание на почтовый адрес, с которого поступило письмо. Официальные организации, как правило, не имеют почтовых доменов на публичных почтовых сервисах вроде Yandex или Gmail.

• Не принимать файлы и не переходить по ссылкам, полученным от незнакомых контактов.

• Смотреть на адрес ссылки URL, полученной по почте. Адрес будет похож на оригинальный: ищите отличия в домене второго уровня. Например, вместо адреса https://online.sberbank.ru может быть использован http://online.sberbank.k.ru. На официальной странице банка можно через браузер проверить по адресу, отличается ли ссылка официального сайта от той, что прислали вам по почте.

• Обращать внимание на предупреждения браузера о сертификате безопасности сайта, на который вы собираетесь перейти.

• Проверить тип файла в файловом менеджере. Не скачивать файлы типа *.exe, *.scr, *.bat, *.vbs.

• Не вводить данные карты на сайте, в адресе которого нет https – это очень важно, потому что только сайты типа https могут обеспечить безопасную передачу информации.

• Не сохранять данные карты при оплате онлайн-покупок.

• Не реагировать на всплывающие предупреждения сайтов о заражении вашего компьютера и угрозах безопасности.

Онлайн фишинг

Мошенники выбирают жертв для обмана в социальных сетях. Они пользуются тем, что банки заводят аккаунты в соц. сетях и активно общаются напрямую со своими клиентами. Последние теряют бдительность, легковерно вступают в переписку с так называемыми представителями банка, сообщая свои банковские детали. Некоторые пользователи самостоятельно переходят на фейковые банковские кабинеты по онлайн ссылкам, размещенным на поддельных аккаунтах банков ВКонтакте или на Facebook.

Важно знать. Банковские служащие, а также другие представители крупных и уважаемых компаний ни при каких обстоятельствах не запрашивают конфиденциальную информацию и банковские детали своих клиентов в социальных сетях.

Что делать?

• Перед тем, как написать банку, убедитесь, что пишете на официальный аккаунт. Обычно на официальном сайте банка есть ссылки на профили в соц.сетях.
• Если вам пишет сотрудник банка в социальных сетях и у вас есть сомнения о том, можно ли ему доверять, - перезвоните в банк по официальному номеру службы поддержки, который указан на вашей карте.

• Принимая файлы даже от лучших друзей в соц. сетях, обращать внимание на подозрительную смену стиля и манеры общения. В переписке попросите описать содержимое файла или позвоните другу, чтобы уточнить, что именно он хочет вам отправить. То же самое касается любых поступающих от друзей просьб перечислить деньги на карту.

• Не ставить на все социальные сети одни и те же пароли.

Пример из жизни.

В связи с ростом популярности биткоинов появляются новые форматы фишинга. В социальных сетях действуют «продавцы» биткоинов: они предлагают обменять криптовалюту на фиатную по выгодному курсу, например, при помощи кошелька Qiwi. Мошенник может попросить по скайпу показать наличие средств на кошельке. Потом он просит сформировать ваучер. Ваучер представляет собой код, который позволяет перевести средства из кошелька после активации. Мошенник фактически в режиме онлайн по коду переводит на свой кошелек все ваши деньги.

Вишинг или голосовой фишинг

Случай №1.

Вам лично звонит сотрудник банка. Вежливо представившись, он может сослаться, например, на то, что в банк поступил запрос о списании средств с вашей карты где-нибудь в Африке. Банк считает это подозрительной активностью и просит сообщить, что вы не в Африке, а также хотел бы уточнить детали по вашей карте. Вы легковерно сообщаете номер и CVC код – и ваши средства моментально списываются со счета, возможно, где-то в пресловутой Африке.

Случай №2.

Вам приходит письмо или СМС с просьбой позвонить по номеру телефона банка, чтобы узнать остаток средств на вашей карте. Вы звоните, попадаете на стандартный автоответчик, в тоновом режиме пытаетесь попасть на голосовое окно, которое вам нужно. В итоге голос в автоответчике просит вас набрать номер карты и CVC–код, что вы и делаете, потеряв всякую бдительность. О дальнейшем можно не рассказывать.

Что делать?

• Не сообщать CVC-код и другие данные по карте позвонившему Вам «сотруднику» банка.

• Повесить трубку и перезвонить по официальному номеру телефона банка, который указан на вашей карте.

• Не скачивать приложения на мобильный телефон в непроверенных онлайн магазинах.

Пример из жизни.

Лично автору этой статьи однажды после того, как он разместил вещь на продажу на сайте Avito позвонила девушка. Она сообщила, что хочет купить вещь, и готова внести 100% предоплату по карте. Она спросила номер карты. Через несколько минут на смарфтон пришло сообщение от банка с кодом (такие сообщения приходят при верификации онлайн покупок). Еще через минуту перезвонила и лжепокупательница. Сетуя на то, что у нее не получается перевести деньги на карту и банк запрашивает код, девушка невинным голосом попросила продиктовать ей код из сообщения, пришедшего на мой смартфон.

Смишинг или СМС-фишинг

Случай №1.

В общем-то схема не меняется: приходит СМС от банка или любой другой организации, которая выглядит надежно. Например, сообщение о необходимости оплатить штраф ГИБДД или задолженность по коммунальным услугам. В СМС будет содержаться ссылка на сайт, через который можно провести оплату. После того, как пользователь вводит данные своей карты, происходит списание средств, которые пойдут вовсе не на оплату несуществующего штрафа. Бонусом могут быть списаны средства за оказание услуги посредством СМС. Отдельно стоит упомянуть MMS сообщения, приходящие с неизвестных номеров телефонов: загружая невинную MMS-открытку, вы рискуете получить на смартфон вирус. При перезагрузке смарфтона вирус считывает логин и пароль вашего мобильного банка и глушит от него СМС оповещения: то есть до вас не доходят сообщения о списании денег с вашей карты.

Случай №2.

Казалось бы, что может быть опасного в безобидных рассылках из серии «Отправь это сообщение 10 друзьям и в новом году ты встретишь свою любовь». Так называемые «письма счастья» пачками приходят в мессенджеры от наших друзей и знакомых. Оказывается, такие сообщения часто содержат вирусы: зловреды могут быть зашифрованы в самой картинке или в смайлике, вставленном в текст сообщения. Пользователи, сами того не подозревая, помогают злоумышленникам формировать базы с номерами телефонов или почтовыми адресами. Эти базы адресов в дальнейшем идут на продажу, используются для спам рассылки или проведения вишинговых атак на тех же банковских клиентов.

Что делать?

• Установить антивирус на мобильное устройство.

• Обратить внимание на номер, с которого отправлена СМС. Если вам пишут с частного номера телефона – берегитесь, это мошенники.

• Не переходить по ссылкам из СМС.

• Проверять штрафы и задолженности на официальном сайте госуслуг, а статусы покупок в интернет магазине - в личном кабинете на официальном сайте магазина.

• Не пересылать письма счастья. Свою любовь вы встретите и без рассылки десяти сообщений в Whatsapp.

Фарминг

Случай №1.

На ваш компьютер попадает вирусная программа: вирус делает скрытую переадресацию с любого сайта, который вы изначально собирались посетить, на сайт-подделку. Сайт-подделку сложно отличить от оригинала. И вот вы уже вводите данные своей карты, думая, что покупаете туфли в интернет-магазине.

Случай №2.

Мошенники коварно заражают целые сервера DNS. Представьте ситуацию: вы покупаете билеты на какой-нибудь международный музыкальный фестиваль, на сайте фестиваля размещены ссылки, например, на гостиницы, в которых можно остановиться. Но если гостиница по каким-то причинам не успела в срок оплатить домен своего сайта, им мог завладеть мошенник и заразить его вредоносной программой. Пройдя по ссылке и совершая бронирование номера, вы введете данные своей карты, которые автоматически станут доступны мошенникам.

Случай №3

При поиске сайта банка или электронного магазина в браузере даже в первых строках выдачи может находиться поддельный сайт. Отличить такой сайт от настоящего можно по домену второго уровня. Перед тем, как переходить на сайт, надо обратить внимание на адресную ссылку под его названием. Поисковые системы, конечно, чистят выдачу по запросам от мошенников, но им не всегда удается сделать это оперативно. Мошенники в сфере криптовалют даже покупают рекламу на страницах выдачи по поисковым запросам. Пользователи, клюнув на броское название очередного ICO, сами проходят на сайт и оказываются в руках злоумышленников.

Пример из жизни.

Только шесть лет назад прошло первое судебное дело о фишинге. Братья Попелыш из Санкт-Петербурга получили суровое наказание: шесть лет лишения свободы "условно" и штраф 450 тысяч рублей. На удочку хакеров попались клиенты российских банков из более чем 40 регионов РФ. Всего мошенники обманули 170 человек и заработали 13 миллионов рублей. Они использовали фарминг: заражали компьютеры своих жертв трояном. Программа делала переадресацию с системы онлайн-банкинга на поддельный сайт. Фальшивая интернет-страничка была почти полной копией официальной страницы интернет-банкинга, но помимо окон логина и пароля, также содержала окно CVC-кода.

Что делать?

• Если вы добрались до этого пункта статьи и все еще не установили антивирус на ВСЕ свои устройства (ПК, мобильные, планшеты) – сделайте это сейчас.
• И снова бдительность: надеюсь, вы поняли, что переходить по ссылкам надо с осторожностью.

• Заводите личные кабинеты на сервисах с двухфакторной аутентификацией. Иными словами, на сервисах, запрашивающих проверку захода в личный кабинет по двум параметрам: через логин, пароль и, например, по коду смс.

И последний совет – остерегайтесь мошенников в новых сферах цифровой экономики, которые еще не получили регулирование на законодательном уровне. Особенно это касается мира криптовалют, где скачанные кошельки зачастую оказываются носителями вирусов, а биржи обмена биткоинов – фишинговыми фальшивками.

Немного морали. В оффлайне мы заботимся о своей безопасности и два раза подумаем перед тем, как на каблуках в бриллиантах и мехах идти ночью по темным дворам Бирюлево. Подобную бдительность стоит проявлять и в сфере цифровой экономики, где за интернет-страничкой или профилем в социальных сетях может скрываться кто угодно.

Соавтор материала: Степан Карзаков, ведущий специалист службы безопасности компании "ОНЛАНТА" (входит в ГК ЛАНИТ).