Що таке фішинг? Ось усе, що вам потрібно знати

Що таке фішинг? Як і на справжній риболовлі, бути на кінці гачка нецікаво. Але саме там кожен сучасний користувач Інтернету, швидше за все, опиниться в якийсь момент свого часу онлайн. Незалежно від того, чи то через фальшиву електронну пошту, яка обіцяє мільйони, чи через телефонного дзвінка, який видався вашим банком, чи через підроблену форму входу на веб-сайті, фішинг є всюди. Страшна річ? Це вигідніше, ніж будь-коли.

Зміст

Соціальна інженерія
Фальшиві форми
Цільовий фішинг

На відміну від багатьох сучасних загроз для нашого цифрового «я», фішингове шахрайство має існувала століттями в більш класичній формі і десятиліття в їх останніх. Сьогодні існують нові методи та вектори атак, але все, що вони роблять, це користуються перевагами нових комунікаційних засобів для здійснення тих самих давніх шахрайств, які завжди обманювали необережних людей.

Рекомендовані відео

Соціальна інженерія

Основною складовою будь-якого фішингового шахрайства є соціальна інженерія. Це практика обману, щоб переконати користувача, що особа, електронна пошта або веб-сторінка, з якими вони мають справу, є законними. Це психологічна маніпуляція з метою вчинення шахрайства. Цифрова форма класичних прийомів довіри для заохочення розголошення особистої інформації.

Найбільш класичне використання соціальної інженерії у фішингу – це електронна пошта. Афера з нігерійським принцом добре відома, але вона також має щось більше сучасні форми в соціальних мережах. Інші варіації на цю тему включають телефонні дзвінки, електронні листи чи повідомлення в соціальних мережах, нібито від вашого банку які хочуть, щоб ви натиснули посилання або електронний лист, який, здається, надійшов від колеги, який відчайдушно потребує, щоб ви відкрили вкладення. У деяких випадках це призводить до зловмисних сайтів, які продовжують фішингову атаку, але вони також можуть завантажувати зловмисне програмне забезпечення, яке зациклює зловмисне програмне забезпечення для комбінованої атаки.

У всіх випадках фішингові атаки, які спираються на соціальну інженерію, заохочують користувача до дії, яка є небажаною. Вони можуть використовувати мову, щоб стверджувати, що час має важливе значення, звертатися до доброї натури або натякати на знайомство для подальшого тиску на потенційну жертву.

Хорошим емпіричним правилом, щоб уникнути подібного шахрайства, є взяти до уваги старе прислів’я «це надто добре, щоб бути правдою», і ніколи не натискати на посилання в електронних листах. Що стосується вкладень, просити колег розповсюдити їх на платформах обміну файлами безпечніше та менш безпечно чутливі до маніпуляцій, ніж електронні листи, які можна легко підробити, щоб виглядати так, ніби вони надходять звідкись законним.

Фальшиві форми

Більш проста форма фішингу передбачає підробку не просто електронного листа. У деяких випадках цілі веб-сайти — або принаймні їхні сторінки входу — підроблюються, щоб створити ще більше відчуття легітимності. Вони можуть використовувати схожі веб-адреси, скопійовані ілюстрації та варіанти дизайну та навіть сертифікати безпеки, залежно від складності підробки.

Як і у випадку з шахрайством електронною поштою, фішингові веб-сайти створені для того, щоб спонукати жертву розкрити свою особисту інформацію. Фальшивий банківський сайт або соціальна мережа можуть викрасти ваші облікові дані для входу. Фальшива біржа біткойнів може спробувати вкрасти вашу криптовалюту.

Найскладніша форма підробки веб-сайту, хоча й менш поширена, передбачає використання діри в безпеці на законному веб-сайті для його викрадення. Коли жертви намагаються ввійти, вони фактично вносять свою інформацію у фальшиву форму входу або надають зловмисникам можливість увійти на цей сайт одночасно з ними.

Найкращий спосіб уникнути таких атак — завжди пересвідчуватися, що ви справді перебуваєте на правильному веб-сайті, а не на веб-сайті з подібною URL-адресою, і з підозрою ставитися до будь-яких несподіваних підказок входу. Якщо сумніваєтеся, введіть веб-адресу, яку ви знаєте як безпечну, у своєму веб-переглядачі, а не використовуйте посилання.

Цільовий фішинг

Фішинг, як правило, досить загальний і зловмисники прагнуть розкинути свою мережу, щоб спробувати зловити якомога більше потенційних жертв. Це особливо важливо зараз, коли більшість сучасних веб-переглядачів використовують засоби захисту від фішингу. Однак деякі з найефективніших фішингових атак були успішними, оскільки вони були цільовими. Практика використання конкретної інформації про людей, можливо, отриманої в результаті попередньої соціальної інженерії або атаки зловмисного програмного забезпечення, відома як фішинг.

Фішинг може використовуватися під виглядом електронних листів, телефонних дзвінків або миттєвих повідомлень майже так само, як і більш загальні атаки. Вони застосовуватимуть тактику роззброєння, як-от використання імені або бажаної особистої інформації, яка, здається, надходить лише з законного джерела. Це може бути з метою отримання грошової вигоди, але були також випадки, коли це використовується з метою промислове шпигунство та політичне маніпулювання.

За словами а Дослідження Keepnet, 2017 рік, середня успішна фішингова атака на бізнес приносить зловмисникам 1,6 мільйона доларів, що робить її набагато прибутковішою, ніж інші види цифрових атак.

Інша більш нішева форма фішингу, відома як «китобійний промисел», може бути навіть більш прибутковою. Він спеціально націлений на заможних осіб і компанії з метою шахрайства отримати у них гроші або отримати високорівневий цифровий доступ до організації.

Фішингові атаки за своєю природою набагато важче виявити та уникнути. Однак важливо пам’ятати, що вони покладаються на ті самі методи маніпулювання, що й інші фішингові шахрайства. Вони хочуть вашу інформацію. Якщо ви дуже уважно ставитеся до інформації, яку ви надаєте, і контексту, у якому її пропонуєте, ви повинні бути відносно захищені від усіх форм фішингу.

Ви можете додатково пом’якшити проблеми, пов’язані з фішинговою атакою, використовуючи унікальні паролі для всіх своїх служб і зберігаючи їх у надійний менеджер паролів.