Фишинг — один из самых популярных методов взлома аккаунтов, кражи данных и заражения устройств вредоносным ПО, вроде программ-вымогателей. Согласно отчёту о фишинге 2024 года от компании Zscaler ThreatLabz, в 2023 году число фишинговых атак по всему миру выросло на 58,2% по сравнению с 2022 годом. Это показывает, что фишинг не только не уменьшается, но и продолжает расти и развиваться.
Давайте более подробно узнаем, что такое фишинг, какие бывают виды фишинговых схем и как их распознать.
Что такое фишинговая схема?
Фишинг — это схема социальной инженерии, при которой киберпреступник пытается обманом заставить вас передать конфиденциальные данные. Это могут быть логины, данные кредитной карты и т.д. Или вас обманом уговаривают установить вредоносное программное обеспечение на свой компьютер. Название происходит от слова «рыбалка» (fishing): киберпреступник забрасывает приманку и надеется, что вы клюнете и не заметите, что попались на крючок.
Существует несколько видов фишинговых схем — приманки, крючки, цели могут различаться от одной схемы к другой. Суть при этом всегда одна и та же: вас хотят обмануть. Ниже описаны различные виды фишинговых атак и на что следует обращать внимание, чтобы случайно не стать их жертвой.
Фишинг по электронной почте
При фишинге по электронной почте злоумышленник отправляет вам поддельное письмо, очень похожее на официальное. Целью является обмануть вас и заставить кликнуть на ссылку или кнопку. Поддельные письма часто имитируют письма от популярных компаний, продуктами которых пользуются множество людей. Это компании уровня Google, Microsoft, Apple и т.д. Именно за Microsoft злоумышленники выдают себя чаще всего.
Такие письма могут пытаться вас запугать. Например, якобы ваш аккаунт заблокирован или со счёта сняли круглую сумму. Цель проста: если вы испугались, то можете начать действовать на эмоциях и не подумать. Это повышает вероятность того, что вы попадётесь на удочку.
Целевой фишинг (spear phishing)
Целевой фишинг — это особый вид фишинга по электронной почте. Он нацелен на определённого человека, а не на всех, кто подвернётся под руку. Применяется собранная информация об этом человеке, чтобы атака казалась более правдоподобной.
Например, злоумышленник может выдать себя за сотрудника IT-отдела вашей компании и попросить подтвердить свои учётные данные. Или он может отправить вам поддельный счёт для оплаты. Или, притворившись вашим начальником, запросить конфиденциальную информацию.
Используя в письме знакомые детали (вроде имён вашего начальника или клиента, с которым вы раньше работали), злоумышленники надеются, что вы снизите бдительность и поверите всему содержанию письма.
Whaling
Whaling — это особый вид фишинга с прицелом на высокопоставленных лиц с целью получения крупных вознаграждений. Обычно жертвами становятся старшие руководители, финансовые директора и генеральные директора, которые обладают достаточными полномочиями для доступа к конфиденциальной информации или управления большими суммами. Название выбрано не случайно: слово whale означает «кит».
Эти атаки должны быть более изощрёнными, чем обычные фишинговые атаки. Зато выигрыш для мошенников может быть колоссальным: кража коммерческих тайн, финансовые потери на миллионы долларов или даже доступ к защищённым системам и сетям.
Фишинг через календари
Вы когда-нибудь получали нежелательное приглашение на мероприятие в Google Календаре или Outlook? Тогда вы знаете, что столкнулись с фишингом через календари.
Фишинг через календари — это метод, который использует онлайн-приглашения на мероприятия, чтобы обманом заставить вас кликнуть на встроенные в эти приглашения вредоносные ссылки. Такой вид атак встречается реже, чем фишинг по электронной почте. При этом он опаснее, так как приглашения на мероприятия вызывают меньше подозрений.
Особенно опасно это, если вы используете приложение для календаря, которое добавляет приглашения автоматически. Никогда не нажимайте на ссылки в нежелательных приглашениях и обязательно отключите функции автоматического добавления.
Квишинг (фишинг с использованием QR-кодов)
Какова будет ваша реакция, если вы увидите QR-код где-то в публичном месте? Вам хочется его отсканировать и узнать, куда он вас приведёт? Не стоит этого делать, поскольку это может быть ловушка.
Квишинг (или фишинг с использованием QR-кодов) — это тип фишинга, который основан на людском любопытстве. Сканирование QR-кода ничем не отличается от перехода по ссылке. Риски те же, а вредоносные QR-коды могут быть где угодно.
Например, QR-код на парковочном автомате может быть заменён на поддельный. Он способен отправить вас на мошеннический сайт, где вас попросят ввести платёжную информацию. Или вы можете получить в свой физический почтовый ящик невинно выглядящую листовку с QR-кодом, который приведёт к вирусу.
QR-коды появляться в обычных фишинговых письмах вместо ссылок. При этом на них нельзя навести курсор, чтобы увидеть, куда они ведут. Именно поэтому квишинг становится всё более популярным среди хакеров.
Смишинг (или СМС-фишинг)
Хотя большинство фишинговых атак происходит по электронной почте, смишинг случается через текстовые сообщения. Авторы смишинга обычно имитируют доверенные источники, такие как банки, государственные учреждения или популярные розничные магазины. Вы получаете неожиданное сообщение с просьбой перейти по ссылке.
Одно из популярных смишинг-мошенничеств на Западе имитирует службу доставки USPS (или любого другого курьера). Пользователя просят кликнуть на ссылку для решения проблемы с неудачной доставкой. Другие схемы смишинга могут предлагать бесплатные товары, задавать личные вопросы или предупреждать, что ваш аккаунт будет закрыт, если вы не примете меры.
Чтобы защитить себя, игнорируйте сообщения с незнакомых номеров и никогда не переходите по ссылкам в СМС — даже от знакомых людей.
Вишинг (или голосовой фишинг)
Мошенники могут попытаться выманить жертву через автоматические телефонные звонки. Такая техника называется вишингом (или голосовым фишингом).
В случае вишинга вам может поступить нежелательный звонок — обычно с поддельного номера, который выглядит как реальный, — пытающийся напугать вас юридическими последствиями или финансовыми проблемами. Некоторые мошенники оставляют голосовые сообщения.
Одна из популярных тактик вишинга: вам звонят якобы из юридической фирмы и говорят, что против вас завели дело. Вам угрожают, говоря, что дело будет продолжено, если вы немедленно не перезвоните.
Большинство попыток вишинга направлены на то, чтобы запугать вас и заставить заплатить. Другие же могут пытаться выманить у вас персональные данные, но и здесь конечная цель состоит в том, чтобы поживиться вашими деньгами.
Дипфейк-фишинг
Дипфейк — это искусственно изменённое видео. На нём лицо одного человека меняют на лицо другого. Это поддельное видео, на котором человек делает что-то, чего он на самом деле не делает.
Реалистичные дипфейк-видео могут быть использованы для того, чтобы обмануть, запугать или заставить вас сделать что-то, чего вы не хотите делать (или раскрыть информацию, которую вы не хотите раскрывать). Это и называется дипфейк-фишингом.
Например, ваш начальник может отправить вам видео с просьбой произвести крупный платёж на новый счёт. На самом деле это не ваш начальник, а скрывающийся за дипфейком хакер. Некоторые хакеры могут делать дипфейки в реальном времени и обманывать вас через видеозвонки в Zoom. Другие умеют копировать голос кого-то из ваших знакомых или родственников и пытаться обмануть вас через телефонный звонок.
Англер-фишинг
Если вы активно пользуетесь социальными сетями, стоит знать об англер-фишинге. Это когда кто-то выдаёт себя за официальный аккаунт в соцсетях и пытается заставить вас перейти по ссылке или предоставить конфиденциальную информацию.
Например, если вы жалуетесь на какую-то компанию в Одноклассниках, мошенник может выдать себя за представителя поддержки этой компании и написать вам в личные сообщения с предложением решить проблему. На самом деле так пытаются заполучить ваши персональные данные или учётные данные для входа в аккаунт.
