Фішинг став одним із найпоширеніших видів шахрайства в інтернет мережі. Якщо простими словами, він є методом, за допомогою якого зловмисники намагаються виманити у вас конфіденційну інформацію – паролі, дані банківських карток, логіни, особисті дані тощо. Як це працює, які є види фішингу та як захиститися від нього – розбираємося разом в цій статті.
Що означає термін «фішинг»?
Слово «фішинг» (phishing) походить від англійського «fishing» – риболовля. Ідея в тому, що шахраї «закидають наживку», сподіваючись, що хтось «клюне» як на ловлі риби. У інформатиці фішинг визначають, як вид кібер-шахрайства, при якому зловмисники обманом змушують користувачів розкрити конфіденційну інформацію. Він є одним із видів соціальної інженерії, що використовує психологічні прийоми для викрадення особистих даних громадян або комерційної інформації юридичних компаній чи державних установ. Аферисти маскуються під банки, компанії чи служби підтримки, щоб викрасти важливі дані. Інструментом такого інтернет шахрайства може бути підроблений лист від банку або контрагента, повідомлення з посиланням на підроблений сайт, флешка з “вірусом” або навіть звичайний телефонний дзвінок.
Як працює фішинг?
Phishing працює за простим принципом – зловмисники створюють фальшивий сайт або надсилають підроблені електронні листи, які виглядають, як справжні. Наприклад, вам може прийти лист нібито від вашого банку з проханням «терміново оновити дані». Ви переходите за посиланням, вводите свій логін і пароль – і ці дані одразу потрапляють у руки шахраїв. Часто фішингові атаки використовують соціальну інженерію – маніпуляцію людською психологією, коли людину змушують діяти в паніці або під тиском. У багатьох випадках шахраї додають елемент терміновості, повідомляючи, що ваша картка буде заблокована або що відбувся підозрілий вхід у ваш обліковий запис.
Які бувають види фішингу
Виманювання конфіденційних даних буває різних типів, залежно від способу обману та його кінцевої мети. Класичним фішингом є підроблені електронні листи, що містять фальшиві посилання на ресурси або вкладення зі шпигунськими або шкідливими програмами. Також доволі популярним є таргетований phishing, коли атака спрямована на конкретну людину або компанію, використовуючи персоналізовану інформацію. Давайте детальніше розглянемо кожен окремий вид такого обману:
Найпопулярніші фішингові шахрайські схеми:
- Підроблені електронні листи від банків – Шахраї надсилають листи, що імітують повідомлення від банку, із закликом оновити пароль або підтвердити транзакцію. Посилання веде на підроблений сайт, де користувач вводить свої дані.
- Фішингові сайти – Створюються копії популярних сервісів (банки, соцмережі, маркетплейси). Користувач заходить, вводить логін і пароль, які одразу потрапляють до зловмисників.
- Фальшиві акції та розіграші – Жертві пропонують виграти приз або отримати знижку, якщо вона введе свої персональні дані або дані картки.
- Обман у соцмережах (Соціальний фішинг) – Шахраї можуть писати від імені знайомих або компаній, просячи допомогти грошима чи підтвердити акаунт через підозріле посилання.
- Фішинг через месенджери та SMS (смішинг) – Повідомлення з фальшивими посиланнями нібито від служб підтримки, операторів мобільного зв’язку чи кур’єрських служб.
- Phishing у корпоративному середовищі (спірфішинг) – Шахраї видають себе за керівництво компанії чи партнерів, змушуючи співробітників розкрити секретну інформацію або переказати гроші.
- Вішинг (голосовий фішинг) – Телефонні дзвінки від нібито офіційних представників банку, держустанов або компаній, які намагаються виманити конфіденційні дані.
Щоб уникнути фішингу, слід уважно перевіряти URL-адреси, не переходити за підозрілими посиланнями та не вводити конфіденційні дані на ненадійних ресурсах.
Приклади фішингових атак
Один із найвідоміших випадків – фішингова атака на працівників компанії Google та Facebook. Зловмисники створили підроблені рахунки та листи, які виглядали як офіційні запити від партнерських компаній. У результаті шахраї змогли виманити у співробітників дані доступу та вкрали понад 100 мільйонів доларів. Інший поширений приклад – електронні листи нібито від банків із закликами підтвердити особисті дані. Люди переходили за посиланням на підроблений сайт, вводили свої паролі, після чого шахраї отримували повний доступ до їхніх рахунків. Також існує варіант, коли зловмисники надсилають повідомлення нібито від служби підтримки популярних онлайн-сервісів, пропонуючи користувачам змінити пароль через підозрілу активність. Насправді такі запити спрямовані на викрадення облікових записів.
Відповідальність за фішингові атаки
Фішингові атаки є злочином у більшості країн світу. У багатьох юрисдикціях шахрайство в інтернеті карається великими штрафами або навіть позбавленням волі. Наприклад, у США за кіберзлочини, пов’язані з фішингом, можуть засудити до кількох років ув’язнення. В Європейському Союзі діють жорсткі правила щодо захисту персональних даних, і шахраї, які займаються фішингом, можуть отримати значні терміни ув’язнення. В Україні за подібні дії передбачена кримінальна відповідальність відповідно до статей про шахрайство та несанкціоноване втручання в роботу інформаційних систем. Крім того, великі компанії та банки впроваджують механізми протидії таким атакам і співпрацюють із правоохоронними органами для виявлення шахраїв.
Як розпізнати фішинг і захиститися від нього?
Ознаками фішингового листа є підозрілі відправники, граматичні помилки у тексті, заклики до термінових дій, вкладені файли або посилання, що ведуть на невідомі ресурси. Фішингові сайти мають змінені адреси, часто з відсутністю SSL-сертифіката (немає замочка біля адресного рядка), трохи спотворений дизайн і вимогу вводити особисті дані без очевидної причини. Щоб захиститися від кібер-шахрайства, варто ніколи не переходити за підозрілими посиланнями, перевіряти адресу сайту перед введенням особистих даних, використовувати двофакторну автентифікацію, не відкривати вкладення від невідомих відправників та встановити антивірусне програмне забезпечення.
| Характеристика | Фішинговий лист | Фішинговий сайт |
|---|---|---|
| Відправник | Невідомий, адреса схожа на справжню, але містить зайві символи | URL містить помилки або зайві слова |
| Мова | Є граматичні помилки, надмірна терміновість | Текст може містити дивні формулювання |
| Заклик до дії | Прохання терміново перейти за посиланням або завантажити файл | Вимагає введення паролів, PIN-кодів або банківських реквізитів |
| Захист | Перевіряти адресу відправника, не відкривати підозрілі вкладення | Завжди перевіряти URL, використовувати двофакторну автентифікацію |
Тож розпізнати фішинг можна за низкою характерних ознак, і головне – бути уважним до деталей. Несподівані листи з проханнями про термінові дії, сумнівні сайти та підозрілі посилання завжди повинні викликати настороженість. Використання двофакторної автентифікації, перевірка URL-адрес та ігнорування невідомих вкладень значно знижують ризик стати жертвою шахраїв. Кібербезпека починається з особистої пильності – довіряйте лише перевіреним джерелам.
