Что такое фишинговая ссылка и как проверить сайт на её наличие

Содержание

Что такое фишинговый сайт?

Фишинговый сайт – это один из видов интернет мошенничества, цель которого обмануть зрение пользователя и сыграв на его доверие собрать  конфиденциальную информацию.

Давайте разберемся чуть подробнее, у каждого действия есть логика. Поэтому начинается все с того, что  взломщик тщательно продумывает какие данные он хочет собрать. Допустим, захотелось ему получить ваши логин и пароль от социальной сети одноклассники.

На втором этапе он думает над реализацией своей идеи, сегодня мы разбираем метод фишинга, поэтому взломщик делает полную копию сайта, данные которого он хочет собрать. В нашем случае создает копию социальной сети одноклассники. Его задача сделать сайт идеально, а значит, он не будет отличаться  от оригинала внешне ну совсем никак.

BlackEye для фишинга в социальных сетях

Пользователи доверяют своим аккаунтам в социальных сетях. Если у цели не включена 2FA, легкость, с которой злоумышленник может получить к ним доступ, может удивить. BlackEye – это подтверждение концепции, которая показывает, что эти фишинговые страницы не должны быть сложными или сложно настраиваемые для эффективной работы.

BlackEye – это простой bash-скрипт, представляющий несколько шаблонов на выбор, позволяющий вам выбрать, какой веб-сайт для социальных сетей эмулировать. Оттуда он создает на вашем устройстве функциональный фишинговый сайт с возможностью перенаправления портов или других подключений к машине вашей цели.

Введение

Очень часто на корпоративные и личные почтовые ящики приходят фишинговые письма. Название атаки одно (фишинг), но реализаций у данной техники множество. Обычно в корпоративную среду доставляются зловреды: вирусы, трояны, кейлоггеры, бэкдоры или шифровальщики. Цели у этих мероприятий разные.

В отношении же личной почты, о чем и пойдет речь дальше, практически любые уловки направлены на получение экономической выгоды. Спамеры используют фишинговые сайты, угрозы, просьбы о помощи и любые другие средства социальной инженерии, лишь бы получить перевод или данные банковской карты.

Тема уже давно не новая, и, казалось бы, маловероятно, что кто-то купится на такую уловку, однако только спрос рождает предложение — раз это еще используется, значит, работает.

Фишинг в интернете – что это?

Слово «фишинг» является англоязычным и в буквальном переводе обозначает «ловля на приманку» или «выуживание». Отсюда проясняется главная концепция действия. Итак, фишинг в интернете – это вариант мошенничества в виртуальном пространстве, ключевая задача которого состоит в обретении доступа к персональным данным какого-то пользователя. Преступники (фишеры) охотятся за разными сведениями, начиная от паролей и логинов электронной почты, заканчивая кодами от банковских счетов или даже корпоративными секретами.

Наиболее часто фишинг в интернете представляет собой электронные письма, а также оповещения, предупреждения, рассылаемые от имени известных сервисов, банков, платёжных систем, популярных брендов и т.п. Письма обычно оформлены презентабельно, содержат грамотный текст, составленный в строго-деловом стиле, логотип, подпись либо иные детали. Внешне фактически нельзя его отличить от действительно реального сообщения, направленного серьёзной организацией. Обязательно присутствует ссылка, ведущая на веб-сайт, тоже с виду неотличимый от фирменного ресурса. Написано требование перейти по указанной ссылке, причём предлоги бывают совершенно разные, однако, всегда они очень убедительные. И как раз тут кроется инструмент, посредством которого нечестные люди совершают обман.

Доверчивый, легкомысленный пользователь переходит по такому линку, и заполняет поля представленной формы, в которой помимо обычной информации необходимо указать определённые данные конфиденциального плана. Зайдя на сайт, он, возможно, прочитает какой-то маловажный текст или просмотрит рекламу – это несущественно. После его ухода мошенники заполучают указанные сведения, и применяют их.

Так, люди, попавшись на «крючок» фишеров, теряют деньги с карточек, дают доступ к своим аккаунтам в соцсетях и проч. Встречаются другие разновидности методики, хотя схематический принцип и замысел везде идентичные.

фишинг в сети

Кого атакуют фишеры и как часто 

Масштабы фишинговых атак набирают обороты с каждым годом. Согласно исследованию Positive Technologies, в первом квартале 2020 года киберинцидентов стало больше на 20% по сравнению с предыдущим кварталом. Многие мошенники решили сыграть на главном страхе 2020 года — коронавирусе: с этой темой было связано примерно 13% фишинговых атак.

Мы писали отдельную статью о том, как на фоне пандемии мошенники обманывают людей. Помимо прочих ловушек и схем, в списке опасностей есть и рассылки с фишинговыми ссылками.

Ещё одно исследование провели эксперты «Лаборатории Касперского». Они выяснили, что в первом квартале 2020 года больше всего фишинговых атак пришлось на организации категории «Онлайн-магазины» — 18,12%. Диаграмма показывает, как распределились остальные проценты:

Данные исследования «Лаборатории Касперского»

Какие сайты подделывают мошенники?

Фишинг направлен на кражу персональных данных пользователей под предлогом оплаты или регистрации в качестве клиента. Так подделывают сайты:

  • авиакомпаний;
  • банковских и микрофинансовых организаций;
  • платежных систем;
  • страницы авторизации и оплаты интернет-магазинов.

С 1 января по 1 сентября 2017 года Центр мониторинга и реагирования на компьютерные атаки в финансовой сфере ЦБ РФ заблокировал 84 ресурса, которые маскировались под P2P-сервисы денежных переводов. Владельцы сайтов могли узнать данные платежных карт пользователей: имя владельца, номер, срок действия, код подлинности карты (CVV2). А также заблокировали сайты 45 «страховых компаний», 44 лжебанка, около 20 «авиакомпаний» и «микрофинансовых организаций». Служба кибербезопасности Сбербанка отчиталась о блокировке 600 доменов, которые использовались для фишинга.

hi-tech.mail.ru

Фото: depositphotos

Составляющие фишинга

Фишинг — это не простое мошенничество, а целый комплекс элементов, собранных вместе. Именно из-за подобного симбиоза сложно победить фишинг раз и навсегда.

Психологические факторы

Главная цель мошенников — вывести человека из эмоционального равновесия. Для этого могут использоваться различные трогательные истории, оповещения о самой выгодной распродаже, запугивания блокировкой и так далее.

Суть в том, что если перейти по ссылке, то равновесие будет возвращено — например, пользователь якобы купит что-то выгодно или не допустит блокировки аккаунта или карты.

Под подобным психологическим давлением человек и переходит по необходимой мошенникам ссылке.

Побуждение к действию

Самое привычное побуждение к действию, с которым, наверняка, сталкивался каждый — получение огромного наследства от далекого родственника.  Надо только перейти по ссылке и подтвердить родство.

Другим побуждением может быть — кредит с повышенной ставкой, блокировка аккаунта, проблемы с налоговой службой, беспрецедентные скидки, необходимость пройти тест, голосование или опрос и так далее.

Поддельные ссылки

Без этого не обойдется ни один фишинг. Поскольку эти поддельные ссылки, которые максимально похожие на настоящие, ведут на поддельные сайты, которые так же максимально похожи на настоящие.

Обход фильтров

Почтовые системы имеют отдельную папку под названием «Спам». Обычно все подозрительные фишинговые письма попадают туда, и пользователь о них даже не догадывается.

Но есть один способ обхода этого фильтра безопасности — использование картинок с текстом, а не чистого текста.

Фильтр не может просканировать изображение, поэтому отправляет письмо напрямую к пользователю.

Как работает интернет-фишинг

Расскажем, что значит фишинговый сайт и для чего это нужно. Жертва, ничего не подозревая, сама предоставляет все личные данные. Используя всплывающие окна, таргетированную рекламу или вирусные landingpage, фишеры выманивают любую информацию.

Проявляйте бдительность, так как названия известных брендов могут быть записаны в неправильной форме.

Например, замаскированное сообщение от интернет-магазина Aliexpress выглядит как Alliexpress или Aliexxpress.

Низкий уровень осведомленности пользователей позволяет с мошенникам с легкостью получать доступ к любым персональным данным. Вирусным атакам могут подвергаться не только единичные пользователи, но и крупные компании, банки или платежные системы.

Спам, фишинг и социальная инженерия

Хоть это уже и не совсем актуально, большинство людей, используя эти термины в разговоре, не всегда применяют данные понятия по назначению. Например, брутфорс и атака по словарю — метод один и тот же, но подходы разные.

Поэтому немного терминологии:

Спам — это любые рассылки сообщений, и не обязательно от злоумышленника. Любые нежелательные рекламные письма, на получение которых получатель не давал согласия. Они происходят массово и нецеленаправленно.

Фишинг — это кампании, нацеленные на получение выгоды от жертвы (аутентификационных данных, денег). Часто это понятие пересекается со спамом в сумме с социальной инженерией, но спам и фишинг существуют параллельно друг с другом. Например, создание поддельного сайта с перехватом учетных данных или cookie-сессий.

Социальная инженерия (СИ) — это некие психологические техники, которые используют хакеры. Они используется для убеждения жертвы в чем-либо или чтобы предвидеть ее действия. Профессиональные социальные инженеры практически «взламывают» людей, а обычным хакерам достаточно знать основные точки давления. Подробнее об этом мы писали здесь.

Как правило, для хорошей кампании необходимо использовать все три понятия. В данных техниках одно без другого не будет иметь положительного результата.

Приведенные техники описаны только для ознакомления. Ни автор, ни редакция не несут ответственности за вред, нанесенный описанными способами.

Техника устаревшая, 2014-2015 годов (до ввода двухфакторной аутентификации), в реальных примерах уже почти не встречается.

Есть множество хакерских форумов, где можно заказать, к примеру, взлом страницы социальной сети. Реальный взлом аккаунта vk.com посредствам фишинга выглядит так:

  1. Арендуется VDS и доменное имя 4 уровня типа www.vk.com.tg. На web-сервере vds размещаются темплейты, в точности похожие по оформлению на сайт-оригинал, с содержимым, что от лица пользователя/жертвы очень много спама, и ему необходимо пройти валидацию.
  2. Создается группа от лица администрации, которая оповещает пользователя о блокировке аккаунта, и просит пройти по ссылке, и доказать, что он не робот, введя логин/пароль.
  3. Введенные данные перехватываются злоумышленником посредством встроенного скрипта.

Рисунок 1. Код фишинговой валидации vk.com

 Код фишинговой валидации vk.com

Это реальный пример грамотного фишинга, в котором используется социальная инженерия и спам. Он направлен на одну жертву, поэтому все должно выглядеть правдоподобно. Внушается доверие от автора сообщения (это же администрация, ей можно доверять), и теряется бдительность, а дальше — дело техники.

Что необходимо

BlackEye – чрезвычайно простой инструмент, но лучше всего работает на Kali Linux. Это из-за количества зависимостей, но они могут быть установлены по мере необходимости на устройствах Ubuntu или Debian. После того, как вы полностью обновите дистрибутив Kali, вы должны установить BlackEye.

Что такое фишинговый сайт в ВКонтакте?

Активным пользователям социальных сетей стоит узнать, что такое фишинговый сайт в ВКонтакте и как его распознать. С помощью специальных программ, злоумышленники могут скопировать весь ресурс. При входе в него пользователей, они фиксируют логин и пароль, после чего используют их в различных целях.

Что такое фишинговый сайт в ВКонтакте.png

После этого друзьям приходят просьбы отправить деньги на карту мошенника, у страниц компаний нарушают работу групп и так далее. Поэтому внимательно следите за ресурсами, которые могут получить доступ к Вашим личным данным. Стоит узнать ещё об одном методе «грубой силы» или что такое брутфорс и как его избежать.

Может показаться, что подделка страниц с ВКонтакте не такая уж и частая проблема. Однако, это не так, и об этом свидетельствуют тысячи обманутых пользователей. Как же отличить мошеннический сайт от оригинального? Об этом поговорим в заключительном подзаголовке.

Способы маскировки фишинговой ссылки

Фишинговая ссылка маскируется под обычный линк на известный сайт для усыпления бдительности пользователей, часто при этом используется фирменная символика авторитетной компании. Для фишинговых ссылок характерны такие свойства:

  • адрес сайта отличается от официального;
  • используется незащищенное соединение — http протокол вместо https;
  • в тексте подсказки к ссылке используется адрес, отличающийся от реального.

В данном примере фишинга, несмотря на фирменные логотипы и указанное название, виден адрес, не имеющий ничего общего с ПриватБанком:

Способы маскировки фишинговой ссылки

Методы получения конфиденциальных данных при фишинге

Чтобы получить секретную информацию пользователя мошенники используют такие уловки:

  • предлагают нереалистично выгодные предложения — бесплатные товары и существенные денежные вознаграждения;
  • угрожают блокировкой банковских карточек либо телефонного номера, представляясь в личных сообщениях сотрудниками мобильного оператора, финансовых и налоговых учреждений;
  • обещают предоставить нужную информацию, например, фильм или книгу в обмен на номер телефона либо паспортные данные; 
  • находят технические уязвимости на сайтах, например, незащищенный протокол http, позволяющий завладеть конфиденциальными сведениями.

Разновидности фишинга в интернете

Принято выделять сегодня 3 типа фишинговых атак, практикуемых мошенниками:

  1. Почтовый вариант. Предусматривает использование рассылки электронных писем, содержащих как простые ссылки перехода на поддельный сайт, так и специальные вирусы. Эти программы-шпионы способны незаметно фиксировать действия пользователя, а потом отсылать последовательность манипуляций фишеру.
  2. Онлайновая разновидность. Данная модификация фишинга в сети отличается тем, что злоумышленники тут никакой рассылки писем не осуществляют. Ими создаётся качественная копия популярного веб-ресурса, в котором пользователи за что-то платят, например, онлайн-магазин. Схема элементарна – человек посещает поддельную страницу и оформляет денежный перевод за товар или услугу. Деньги, разумеется, уходят киберпреступнику.
  3. Комбинированный фишинг. Здесь задействуются единовременно принципы двух вышеотмеченных способов жульничества.

Fishing в интернете

Как распознать фишинг в социальных сетях

Мошенничество в социальных сетях имеетнекоторые отличия от общепринятого фишинга. Рассмотрим, какиесхемы вредоносных атак возможны:

  • Запрос в друзья от незнакомого человека (или возможен вариант, при котором у вас есть общие друзья). Подтвердив заявку, вы автоматически предоставляете поле для деятельности мошенникам.
  • Фальшивые аккаунты для знакомств в социальных сетях. Схема атаки достаточно простая – общение с новым знакомым продолжается длительное время, после чего «жертва» добровольно высылает мошеннику свои личные данные.
  • Сообщения с вредоносными ссылками. Как правило, в начале письма указывается интересная информация, способная заинтересовать пользователя и заставить его пройти по ссылке.
  • Сообщение о выигрыше. Очень часто веб атаки имеют вид «писем счастья» – оповещения о выигрыше в лотерею или бонусе, акции.
  • Просьба о помощи. Ещё один вид мошенничества, весьма популярный в настоящее время.

Если вы узнали в полученном сообщениикакие-либо признаки из данного списка, ни в коем случае не переходите поссылкам, не контактируйте с мошенниками и игнорируйте запросы в друзья.

Что такое фишинговые сайты.

Фишинговый сайт – это сайт, который полностью или частично скопирован с оригинального, но таковым не является.

Целью таких сайтов является хищение логина и пароля, который вы используете на оригинальном сайте. Пользователь переходит по фишинговой ссылке и видит перед собой обычный портал, которым постоянно пользуется. Ничего не подозревая вводит свои логин и пароль, которые тот час же становятся известны злоумышленникам.

Как было описано выше, такие сайты внешне полностью копируют оригинальные, но вот если присмотреться к адресу в адресной строке или сообщениям, которые могут у вас всплывать при переходе, то вы можете удивиться. Например, адрес http://vkontalke.ru очень похож на правильный, но если посмотреть внимательнее, то вы увидите в нем ошибку. Ниже представлены примеры таких сайтов.

Что такое фишинг, фишинговые сайт и ссылки

Что такое фишинг, фишинговые сайт и ссылки

Что такое фишинг, фишинговые сайт и ссылки

Обычно создается точная копия сайта, затем пользователям отправляется информационное письмо о том, что на сайте произошел какой-то сбой или другая причина и требуется срочное подтверждение аккаунта или какое-либо действие в вашем аккаунте. Вы переходите по ссылке, вводите логин и пароль…и вы в лапах злоумышленников.

Что такое фарминг

Атаки фишеров постоянно совершенствуются! Появилось понятие фарминг – способ получения персональных данных путем скрытого перенаправления на поддельные сайты через официальные веб-сайты. Как это работает?

  1. Пользователь открывает ложное электронное письмо или сторонний файл.
  2. Компьютер заражается вирусом/троянской программой, которая висит в спящем режиме и ее не замечает антивирус.
  3. Пользователь заходит в интернет-банкинг, платежную систему или электронный кошелек.
  4. Вирус или троян просыпается и мгновенно перенаправляет пользователя с оригинального сайта на сайт-ловушку.
  5. Пользователь не успевает ничего заметить и «дарит» свои данные мошенникам.

Заметить разницу между оригинальным и поддельным сайтом почти невозможно

Опасность фарминга в том, что заметить подделку практически невозможно. Особенно от него страдают банки и платежные системы.

Смотреть видео: Фишинговый сайт – это обман зрения!

Не забывайте высказать свое мнение, как вы относитесь к интернет безопасности?

Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5

(

1

оценок, среднее:

5,00

из 5)

loading.gif

Загрузка…

Смишинг

Смишинг (англ. smishing — sms+phishing) — наиболее современный вид фишинга. Его суть в том, чтобы заставить перейти пользователя по ссылке из SMS-сообщения. Опасность в том, что заметить подвох сложно, ведь в самих сообщениях не так много информации. И тем более, ее легко проверить.

Разбираем фишинговые сайты

В последнем письме приведена ссылка https://is.gd/SwnIQn, на котором якобы можно получить обещанные денежные средства. Как и предполагалось, происходит редирект на другой адрес https://is.gd/s2miuH, где речи о переводе нет, а требуется пройти некий опрос, который и принесет деньги, причем уже за 100 000 рублей.

Рисунок 6. Главная страница фишингового сайта

 Главная страница фишингового сайта

Создатели утверждают, что при прохождении опроса необходимо ввести данные карты для того, чтобы выполнить тестовое списание денег в размере 160 рублей, которые они обязательно вернут с заслуженной суммой.

Рисунок 7. Фейковая платежная система

 Фейковая платежная система

Фейковая платежная система, ради которой вся кампания и построена. Пользователь вводит данные банковской карты, и они утекают кардерам на действия, которые на сленге называются «вбив» или «обнал».

Система стара как мир — каждый хочет быть индивидуальным и получить легких денег, на эту уловку социальной инженерии и рассчитан данный фишинг. Платежная система скопирована с настоящей и вызывает подозрение, лишь если внимательно посмотреть на URL — https://globalpay4.top/select/internal-account/235?label=donors.

Если перейти лишь на https://globalpay4.top, то получим пустую страницу с надписью «top secret!».

Доменное имя имеет IP 185.254.188.69, и это не web-хостинг. Это выделенный сервер.

Рисунок 8. Информация об IP-адресе

 Информация об IP-адресе

Если учитывать фишинговую кампанию сайта в сумме с письмом, то очень много логических несовпадений: выплата по договору, а на сайте необходимо пройти опрос, подозрительный URL, чтобы получить деньги — сначала их надо отдать. Все эти неувязки должны наталкивать на мысли об обмане.

Признаки фишингового сайта

При переходе по ссылкам нужно быть очень внимательным. Не каждый опытный пользователь способен на первый взгляд отличить фальшивую страницу от оригинальной.

Рассмотрим методологию определения поддельных страниц:

  • Адрес страницы не должен начинаться с http.
  • На сайте не должно быть требований о регистрации для перевода денег или пополнения счета мобильного телефона.
  • У страниц ресурса должен быть разный адрес.
  • На сайте должна быть маскировка карточных реквизитов.

Необходимо быть бдительным при переходе на сторонние страницы.

В данной статье мы рассмотрели, что значит фишинговый сайт и чем он может быть опасен. Переход по битым ссылкам опасен. Чтобы обезопасить себя, необходимо пользоваться сервисами для определения битых ссылок:

  • unvoid.com;
  • unmaskparasites.com;
  • phishtank.com;
  • unShorten.it.

Антивирусы Dr.Web, Anti-Virus, Link Checker обезопасят браузер, а работа из контекстного меню позволит ссылкам проходить автоматическую проверку во избежание попадания на страницу мошенников.

Как защитить себя от фишинга?

К сожалению, нет такого инструмента, который бы гарантировал высокий уровень защиты от такого рода мошенников. Чтобы их избежать, нужно использовать несколько элементов. Наиболее важными из них являются здравый смысл и ограниченная уверенность в каждом сообщении. Помните, мы на переднем крае борьбы с преступниками и только от вас зависит, насколько эффективно вы сможете им противостоять.

Как защитить себя от фишинга?

Также рекомендуется использовать антивирусные программы, несмотря на то, что они не смогут указать, что просматриваемая электронная почта является фишинговой, но они смогут заблокировать некоторые небезопасные сайты и вложения. Уверен, что антивирусное ПО обязательно поможет вам защитить компьютеры и персональные данные.

Читайте также: 10 лучших программ для хранения паролей

Также важно использовать актуальное программное обеспечение, в частности операционные системы, потому что новые уязвимости и проблемы безопасности постоянно обнаруживаются разработчиками и обезвреживаются. Помните, что только использование самых последних версий ОС гарантирует получение своевременных обновлений безопасности.

Двухфакторная аутентификация

Хорошей практикой также является использование двухэтапной проверки личности пользователя в web-сервисах. Она широко используется в электронном банкинге, но доступна во все большем количестве сервисов и веб-сайтов. Двухэтапная (или двухкомпонентная) проверка состоит в вводе дополнительного кода в дополнение к традиционному паролю и логину

Код для входа может быть отправлен вам по электронной почте, в SMS или сгенерирован приложением, предоставленным поставщиком услуг. Существуют также сторонние программы, которые позволяют связывать учетные записи со многими веб-сайтами и создавать коды в одном месте, например, на вашем смартфоне.

Однако наиболее удобной формой двухэтапной проверки являются физические ключи безопасности U2F, которые устраняют необходимость переписывать пароли и коды в блокнот. Просто вставляете ключ в USB-порт компьютера, тем самым связываясь с поддерживаемыми службами для авторизации.

физические ключи безопасности U2F

Фишинг представляет собой огромную угрозу, поскольку, согласно некоторым исследованиям, он является не только причиной потери денег многими пользователями, но и основной причиной утечки данных компаний. Однако, как мы показали в этой статье, в большинстве случаев намерения киберпреступников легко распознать и предотвратить их.

Читайте также: Мобильный Google Chrome на стероидах: включаем 5 скрытых функций, которые делают браузер лучше

Примечания

  1. Mark Liberman. Phishing (англ.) (22 сентября 2004). Проверено 4 сентября 2009. Архивировано 24 августа 2011 года.
  2. Cave Paintings. Phishing (англ.). Проверено 21 ноября 2008. Архивировано 24 августа 2011 года.
  3. Usenet (англ.). — 2 января 1996 г. Проверено 21 ноября 2008.
  4. The Phishing Guide (англ.). Проверено 21 ноября 2008. Архивировано 31 января 2011 года.
  5. phishing (англ.) (1 августа 2003). Проверено 21 ноября 2008. Архивировано 31 января 2011 года.
  6. Michael Stutz. AOL: A Cracker’s Paradise? (англ.) (29 января 1998). Проверено 21 ноября 2008. Архивировано 24 августа 2011 года.
  7. History of AOL Warez (англ.). Проверено 21 ноября 2008. Архивировано 31 января 2011 года.
  8. GP4.3 — Growth and Fraud — Case #3 — Phishing (англ.) (30 декабря 2005). Проверено 21 ноября 2008.
  9. Kate Stoodley. In 2005, Organized Crime Will Back Phishers (англ.) (23 декабря 2004). Проверено 21 ноября 2008. Архивировано 31 января 2011 года.
  10. МВД по Республике Коми настоятельно рекомендует гражданам не перезванивать на номера телефонов, указанных в смс-сообщениях о блокировке банковской карты
  11. Suspicious e-Mails and Identity Theft (англ.). Internal Revenue System (13 июня 2008). Проверено 21 ноября 2008. Архивировано 31 января 2011 года.
  12. Markus Jakobsson, Tom N. Jagatic, Sid Stamm. Phishing for Clues (англ.). Проверено 21 ноября 2008.
  13. Dan Goodin. Fake subpoenas harpoon 2,100 corporate fat cats (англ.) (16 апреля 2008). Проверено 21 ноября 2008. Архивировано 31 января 2011 года.
  14. Jeremy Kirk. Phishing Scam Takes Aim at MySpace.com (англ.). IDG News Service. Проверено 21 ноября 2008. Архивировано 31 января 2011 года.
  15. MySpace XSS QuickTime Worm (англ.) (12 января 2006). Проверено 21 ноября 2008.
  16. Пользователи сайта “В Контакте.Ру” стали жертвами компьютерного вируса. РИА Новости (16 мая 2008). Проверено 21 ноября 2008. Архивировано 31 января 2011 года.
  17. В контакте с вирусом. Коммерсантъ (25 сентября 2008). Проверено 21 ноября 2008. Архивировано 31 января 2011 года.
  18. Tom Jagatic, Nathaniel Johnson, Markus Jakobsson, Filippo Menczer. Social Phishing (англ.) (12 декабря 2005). Проверено 21 ноября 2008. Архивировано 31 января 2011 года.
  19. Эльвира Кошкина. В США подсчитали ущерб от фишинга. Компьюлента (5 октября 2004). Проверено 24 августа 2009. Архивировано 31 января 2011 года.
  20. 1 2 К концу 2006 г. ущерб от фишеров составит $2,8 млрд. InformationSecurity (23 ноября 2006). Проверено 24 августа 2009. Архивировано 31 января 2011 года.
  21. Дебетовые карты стали самой популярной мишенью для мошенников. Bankir.Ru (20 декабря 2007). Проверено 24 августа 2009. Архивировано 31 января 2011 года.
  22. Количество фишинг-атак возросло на 40%. Astera (17 апреля 2009). Проверено 24 августа 2009. Архивировано 31 января 2011 года.
  23. Berners-Lee, Tim. Uniform Resource Locators (URL). IETF Network Working Group. Проверено 28 января 2006. Архивировано 31 января 2011 года.
  24. Microsoft. A security update is available that modifies the default behavior of Internet Explorer for handling user information in HTTP and in HTTPS URLs. Microsoft Knowledgebase. Проверено 28 августа 2005. Архивировано 31 января 2011 года.
  25. Fisher, Darin. Warn when HTTP URL auth information isn’t necessary or when it’s provided. Bugzilla. Проверено 28 августа 2005.
  26. Mutton, Paul. Fraudsters seek to make phishing sites undetectable by content filters. Netcraft. Проверено 10 июля 2006. Архивировано 31 января 2011 года.
  27. Предотвратите попадание нежелательной почты в папку «Входящие». Microsoft (26 января 2007). Проверено 27 сентября 2009. Архивировано 31 января 2011 года.
  28. Kaspersky Hosted Email Security. Лаборатория Касперского. Проверено 27 сентября 2009. Архивировано 31 января 2011 года.
  29. Mutton, Paul. Phishing Web Site Methods. FraudWatch International. Проверено 14 декабря 2006. Архивировано 31 января 2011 года.
  30. Phishing con hijacks browser bar, BBC News (8 апреля 2004).
  31. Krebs, Brian. Flaws in Financial Sites Aid Scammers. Security Fix. Проверено 28 июня 2006. Архивировано 31 января 2011 года.
  32. Mutton, Paul. PayPal Security Flaw allows Identity Theft. Netcraft. Проверено 19 июня 2006. Архивировано 31 января 2011 года.
  33. Miller, Rich. Phishing Attacks Continue to Grow in Sophistication. Netcraft. Проверено 19 декабря 2007. Архивировано 31 января 2011 года.
  34. Gonsalves, Antone. Phishers Snare Victims With VoIP, Techweb (April 25, 2006).
  35. Identity thieves take advantage of VoIP, Silicon.com (23 мая 2005).
  36. New phishing scam uses fake caller ID numbers (англ.). scambusters.org (22 марта 2009). Проверено 6 сентября 2009. Архивировано 31 января 2011 года.
  37. Charles H Green. Phishing and Financial Misdeeds: Trust Caller ID, Become a Crime Victim! (англ.) (8 июня 2009). Проверено 6 сентября 2009. Архивировано 31 января 2011 года.
  38. Andrew R. Hickey. SMS phishing is here (англ.). SearchMobileComputing.com (6 сентября 2006). Проверено 6 сентября 2009. Архивировано 24 августа 2011 года.
  39. What are vishing, caller ID spoofing and SMS phishing scams? (англ.). Проверено 31 января 2011. Архивировано 24 августа 2011 года.
  40. Text message (SMS) phishing (англ.). Проверено 6 сентября 2009. Архивировано 31 января 2011 года.
  41. Ponnurangam Kumaraguru, Yong Woo Rhee, Alessandro Acquisti, Lorrie Cranor, Jason Hong and Elizabeth Nunge. Protecting People from Phishing: The Design and Evaluation of an Embedded Training Email System (PDF). Technical Report CMU-CyLab-06-017, CyLab, Carnegie Mellon University. (ноябрь 2006). Проверено 14 ноября 2006. Архивировано 24 августа 2011 года.
  42. Protect Yourself from Fraudulent Emails. PayPal. Проверено 7 июля 2006.
  43. Markus Jakobsson, Alex Tsow, Ankur Shah, Eli Blevis, Youn-kyung Lim. What Instills Trust? A Qualitative Study of Phishing. (PDF). USEC ’06. Архивировано 31 января 2011 года.
  44. Zeltser, Lenny Phishing Messages May Include Highly-Personalized Information. The SANS Institute (17 марта 2006). Проверено 2 февраля 2009.
  45. Markus Jakobsson and Jacob Ratkiewicz. Designing Ethical Phishing Experiments. WWW ’06. Архивировано 31 января 2011 года.
  46. Kawamoto, Dawn Faced with a rise in so-called pharming and crimeware attacks, the Anti-Phishing Working Group will expand its charter to include these emerging threats.. CNet (4 августа 2005). Проверено 31 января 2011. Архивировано 24 августа 2011 года.
  47. Franco, Rob. Better Website Identification and Extended Validation Certificates in IE7 and Other Browsers. IEBlog. Проверено 2 февраля 2009. Архивировано 24 августа 2011 года.
  48. Bon Echo Anti-Phishing. Mozilla. Проверено 2 февраля 2009. Архивировано 24 августа 2011 года.
  49. Safari 3.2 finally gains phishing protection. Ars Technica (13 ноября 2008). Проверено 2 февраля 2009. Архивировано 24 августа 2011 года.
  50. Gone Phishing: Evaluating Anti-Phishing Tools for Windows, 3Sharp (27 сентября 2006). Проверено 2 февраля 2009.
  51. Firefox 2 Phishing Protection Effectiveness Testing. Проверено 2 февраля 2009. Архивировано 31 января 2011 года.
  52. Higgins, Kelly Jackson. DNS Gets Anti-Phishing Hook. Dark Reading. Проверено 2 февраля 2009. Архивировано 18 августа 2011 года.
  53. Bank of America. How Bank of America SiteKey Works For Online Banking Security. Проверено 2 февраля 2009. Архивировано 24 августа 2011 года.
  54. Brubaker, Bill. Bank of America Personalizes Cyber-Security, Washington Post (14 июля 2005).
  55. Stone, Brad Study Finds Web Antifraud Measure Ineffective. New York Times (5 февраля 2007). Проверено 2 февраля 2009. Архивировано 31 января 2011 года.
  56. Stuart Schechter, Rachna Dhamija, Andy Ozment, Ian Fischer. The Emperor’s New Security Indicators: An evaluation of website authentication and the effect of role playing on usability studies (PDF). IEEE Symposium on Security and Privacy, May 2007  (недоступная ссылка — история) (May 2007). Проверено 2 февраля 2009. Архивировано 20 июля 2008 года.
  57. Madhusudhanan Chandrasekaran, Krishnan Narayanan, Shambhu Upadhyaya. Phishing E-mail Detection Based on Structural Properties (PDF). NYS Cyber Security Symposium (март 2006). Проверено 31 января 2011. Архивировано 24 августа 2011 года.
  58. Ian Fette, Norman Sadeh, Anthony Tomasic. Learning to Detect Phishing Emails (PDF). Carnegie Mellon University Technical Report CMU-ISRI-06-112 (июнь 2006). Проверено 3 февраля 2009. Архивировано 31 января 2011 года.
  59. Anti-Phishing Working Group: Vendor Solutions. Anti-Phishing Working Group. Проверено 3 февраля 2009. Архивировано 31 января 2011 года.
  60. McMillan, Robert. New sites let users find and report phishing, LinuxWorld (28 марта 2006). Проверено 3 февраля 2009.
  61. Schneier, Bruce PhishTank. Schneier on Security (5 октября 2006). Проверено 3 февраля 2009. Архивировано 31 января 2011 года.
  62. Legon, Jeordan. ‘Phishing’ scams reel in your identity, CNN (26 января 2004). Проверено 3 февраля 2009.
  63. Leyden, John. Brazilian cops net ‘phishing kingpin’, The Register (21 марта 2005).
  64. Roberts, Paul. UK Phishers Caught, Packed Away, eWEEK (27 июня 2005).
  65. 8 held over suspected phishing fraud, The Daily Yomiuri (31 мая 2006).
  66. Phishing gang arrested in USA and Eastern Europe after FBI investigation. Проверено 3 февраля 2009. Архивировано 31 января 2011 года.
  67. Phishers Would Face 5 Years Under New Bill, Information Week (2 марта 2005).
  68. Fraud Act 2006. Проверено 3 февраля 2009. Архивировано 24 августа 2011 года.
  69. Prison terms for phishing fraudsters, The Register (14 ноября 2006).
  70. Microsoft Partners with Australian Law Enforcement Agencies to Combat Cyber Crime  (недоступная ссылка — история). Проверено 3 февраля 2009. Архивировано 3 ноября 2005 года.
  71. Prince, Brian. Man Found Guilty of Targeting AOL Customers in Phishing Scam, PCMag.com (18 января 2007).
  72. Leyden, John. AOL phishing fraudster found guilty, The Register (17 января 2007).
  73. Leyden, John. AOL phisher nets six years’ imprisonment, The Register (13 июня 2007).
  74. Gaudin, Sharon. California Man Gets 6-Year Sentence For Phishing, InformationWeek (12 июня 2007).
  75. Федосенко, Владимир Впервые у нас будут судить группу электронных взломщиков. Российская Газета (11 сентября 2009). Проверено 22 сентября 2009.
  76. Форманюк, Маша Неосторожность в Сети обойдется мошеннику в $100 тыс.. Вебпланета (5 декабря 2006). Проверено 22 сентября 2009. Архивировано 31 января 2011 года.
  77. Карачева, Екатерина И в МВД есть свои хакеры. Время новостей (17 апреля 2008). Проверено 22 сентября 2009. Архивировано 31 января 2011 года.
  78. ФСБ: «Россия наиболее лояльна к киберпреступникам». Вебпланета (15 мая 2009). Проверено 22 сентября 2009. Архивировано 31 января 2011 года.

Шаг 3. Включите фишинговую страницу

Чтобы запустить нашу фишинговую страницу, откройте окно терминала и снова перейдите к папке BlackEye. Затем выполните команду bash blackeye.sh, чтобы вернуться в меню выбора фишинговой страницы. Здесь мы выберем eBay – номер 18.

~/blackeye/sites/protonmail$ cd~$ cd blackeye~/blackeye$ bash blackeye.sh[01] Instagram [17] IGFollowers [33] Custom BLACKEYE v1.1[02] Facebook [18] eBay ▒▒▒▒▒▒▒▒▄▄▄▄▄▄▄▄▒▒▒▒▒▒[03] Snapchat [19] Pinterest ▒▒█▒▒▒▄██████████▄▒▒▒▒[04] Twitter [20] CryptoCurrency ▒█▐▒▒▒████████████▒▒▒▒[05] Github [21] Verizon ▒▌▐▒▒██▄▀██████▀▄██▒▒▒[06] Google [22] DropBox ▐┼▐▒▒██▄▄▄▄██▄▄▄▄██▒▒▒[07] Spotify [23] Adobe ID ▐┼▐▒▒██████████████▒▒▒[08] Netflix [24] Shopify ▐▄▐████─▀▐▐▀█─█─▌▐██▄▒[09] PayPal [25] Messenger ▒▒█████──────────▐███▌[10] Origin [26] GitLab ▒▒█▀▀██▄█─▄───▐─▄███▀▒[11] Steam [27] Twitch ▒▒█▒▒███████▄██████▒▒▒[12] Yahoo [28] MySpace ▒▒▒▒▒██████████████▒▒▒[13] Linkedin [29] Badoo ▒▒▒▒▒█████████▐▌██▌▒▒▒[14] Protonmail [30] VK ▒▒▒▒▒▐▀▐▒▌▀█▀▒▐▒█▒▒▒▒▒[15] WordPress [31] Yandex ▒▒▒▒▒▒▒▒▒▒▒▐▒▒▒▒▌▒▒▒▒▒[16] Microsoft [32] devianART CODED BY: @thelinuxchoice UPGRADED BY: @suljot_gjoka[*] Choose an option: 18

После ввода номера сайта, который вы хотите создать, нажмите Enter . Далее нас попросят предоставить наш IP-адрес. Если вы нажмете Enter, не добавив один, он попытается добавить ваш по умолчанию, но это не всегда работает. После предоставления вашего IP-адреса вы должны увидеть что-то вроде подсказки ниже.

[*] Put your local IP (Default 10.0.6.27):[*] Starting php server…[*] Send this link to the Victim: 192.168.0.16[*] Waiting victim open the link …

Затем перейдите по ссылке фишинга в браузере, чтобы увидеть результат вашего фишингового сайта.

Ошибка № 5: использовать одну и ту же карту для всех платежей

Николай платил в интернет-магазинах своей зарплатной картой. Теперь ему придется заказать новую. А пока банк будет ее перевыпускать, доступ к остатку денег на счете он сможет получить только в отделении банка.

Как стоит поступать

Для онлайн-покупок и оплаты услуг через интернет лучше завести отдельную карту. Стоит переводить на нее деньги прямо перед платежом и класть ровно ту сумму, которую собираетесь перечислить.

Некоторые банки и системы электронных платежей (электронные кошельки) предлагают заводить виртуальные карты — у них есть реквизиты, но в виде пластика они не существуют. Иногда можно даже создавать виртуальные карты, которые действительны лишь для одной онлайн-покупки.

Как удалить фишинговую ссылку

Если компьютер после перехода по фишинговой ссылке заразился вирусами, ситуацию исправит использование антивирусных утилит, например, Dr.Web CureIt! или Kaspersky Anti-Virus.

Чтобы предотвратить дальнейшие мошеннические действия, свяжитесь с представителями компании, от имени которой действовали злоумышленники. Также сообщите о фишинговом сайте в Google — введите URL сайта мошенников, нажмите «Я не робот», при необходимости добавьте комментарий и отправьте отчет: 

Как удалить фишинговую ссылку

В Яндексе также есть возможность сообщить о фишинговом сайте. Для этого внесите адрес домена фейкового сайта, добавьте скриншот, комментарий и нажмите «Отправить»:

В Яндексе также есть возможность сообщить о фишинговом сайте

Борьба на техническом уровне

Не только пользователь пытается победить фишинг — этим занято еще огромное количество профессионалов.

  1. Браузеры имеют свою базу данных фишинговых сайтов, которая постоянно обновляется. Если пользователь попытается зайти на один из них, то высветится сообщение о том, что веб-ресурс пытается похитить личные данные. Желательно на такие сайты не заходить.
  2. Почтовые системы постоянно совершенствуют систему фильтрации входящих писем с целью отсекать спам и попытки фишинга и даже не допускать его до пользователя.
  3. Крупные организации, банковские системы, интернет-магазины усложняют процесс авторизации, предлагая клиентам дополнительную защиту конфиденциальных данных.

Благодаря этим системам значительно снизился срок жизни подобных сайтов — в среднем до 5 дней. Анти-фишинговые фильтры оперативно получают информацию о новых угрозах информационной безопасности, поэтому сайты приходится закрывать.

Что делать, если вы все же отправили пароль или данные карточки

Существуют ситуации, когда не удалось вовремяраспознать вредоносный сайт или ссылку. Как быть, когда уже введены данныебанковской карты или пароли от платежных систем:

  • в максимально короткие сроки заменить пароли;
  • сообщить об инциденте в службу безопасности банка,которая временно заблокирует все платежи по вашему счету.

Защита от мошенников – задача не из простых, и зачастую на «удочку» попадаются даже опытные пользователи. Один из самых главных принципов защиты – всегда поддерживать настороженность при активном веб-общении.

Чтобы написать эту статью, мы потратили много времени и сил. Мы очень старались и если статья оказалась полезной, пожалуйста оцените наш труд. Нажмите и поделитесь с друзьями в соц. сетях – это будет лучшей благодарностью для нас и мотивацией на будущее!

Лучшая защита от фишинга в Интернете

Чем меньше люди осведомлены о правилах работы организаций, за представителей которых выдают себя кибераферисты, тем большим успехом пользуются мошеннические схемы получения персональных данных. Сайты многих банков, платежных систем и других компаний, где фиксируется конфиденциальная информация, содержат развернутые предупреждения о том, что сообщать свои пароли, логины, номера счетов и прочее никому не следует и что работники компании не могут об этом попросить. Но люди продолжают попадаться на удочку фишеров.

Лучшая защита от фишинга в Интернете

Для борьбы с фишингом в Интернете была организована специальная группа под названием APWG – Anti-Phishing Working Group, объединяющая предприятия, являющиеся целью атак фишеров (в том числе крупные мировые банки), и разработчиков антивирусного, антиспамерского и антифишингового ПО (IT-компании). APWG проводит мероприятия по ознакомлению пользователей. Члены группы, число которых на сегодняшний день перевалило за 2500, постоянно обмениваются информацией о новых сайтах фишеров и схемах работы мошенников.

APWG с оптимизмом смотрит в будущее и надеется научить пользователей избегать подозрительных сайтов. Ведь удалось же привить людям осторожность при работе с письмами и файлами от неизвестных отправителей.

Против фишинга в Интернете предпринимаются и технические меры:

  • браузеры собирают черные списки опасных сайтов и оповещают пользователя о вероятной угрозе;
  • спам-фильтры почтовых служб всё время совершенствуются.

Советы по защите от фишинга

9 полезных советов по защите от фишинга:

  1. Обзаведитесь двумя (или более) почтовыми ящиками: для личной переписки и для регистрации на различных сервисах, порталах, форумах, а также для работы. Распознавать и удалять спам будет проще.
  2. Все письма, требующие передать пароль, ПИН-код и другую подобную информацию, сразу отправляйте в корзину. Никто не вправе претендовать на эти данные. Персонал банков и других учреждений не должен иметь к ним доступ. Это явно фишинг.
  3. Внимательно читайте e-mail, с которого пришло письмо с требованием сообщить ПИН-код либо пароль. Он идентичен корпоративной почте компании? Проверьте это, зайдя на её сайт: в разделах «Контакты», «Обратная связь», «Поддержка клиентов» обязательно указаны контактные адреса фирмы.
  4. Остерегайтесь всяких непонятных ссылок из писем. Не открывайте подозрительные вложения.
  5. Всегда удостоверяйтесь в том, что доменное имя интернет-ресурса, на который вы зашли, верно и соответствует доменному имени нужного вам сайта.
  6. Заходя в онлайн-кабинет банка или платежной системы, убедитесь в наличии безопасного соединения HTTPS (в отличие от привычного http в адресной строке, оно содержит дополнительную букву s – secure – и выделено зеленым цветом). Оно не позволит злоумышленникам перехватить ваши данные. Сайты банков без https лучше обходить стороной.

Наличие безопасного соединения HTTPS

Своевременно обновляйте браузер, проверяйте его настройки. Создатели браузеров постоянно улучшают свои продукты, делая их более безопасными и менее уязвимыми. Не ленитесь скачивать обновления. Не только браузеры, но и почтовые клиенты, антивирусные и другие программы борются с фишингом в Интернете. Антивирусные программы, которые нужно обязательно устанавливать на каждый компьютер, оперативно блокируют фишинговые атаки. Современные браузеры и почтовики научились неплохо распознавать фишинговые письма и отправлять их в спам. Операционная система (ОС) тоже нуждается в обновлении! Многие улучшения ОС делаются именно ради того, чтобы закрыть уязвимости, которыми могут воспользоваться киберпреступники для фишинга в Интернете, и ради того, чтобы система отвечала всем актуальным требованиям.

Но, какими бы совершенными ни были программы, не следует полагаться на них целиком. Внимательность ничто не заменит. Не игнорируйте предупреждения вашего антивирусника или браузера, который распознал сайт как опасный. Кроме того, большинство пользователей не глядя устанавливают игры и софт, не читают скучные пользовательские соглашения, а это может быть небезопасно.

article_banner.webp

Шаг 4. Захватить пароль

Когда вы открываете сайт в браузере, он должен выглядеть примерно так:

Открытие ссылки заставляет скрипт сообщать о типе устройств, которые в настоящее время обращаются к фишинговой странице.

[*] Waiting victim open the link …[*] IP Found![*] Victim IP: 192.168.43.142[*] User-Agent: User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0[*] Saved: shopping/saved.ip.txt

Как только цель вводит свои учетные данные, они перенаправляются на реальную страницу eBay, создавая иллюзию успешного входа в систему.

Со стороны хакера, BlackEye предоставляет нам учетные данные, которые только что была введена нашей целью.

[*] Waiting credentials …[*] Credentials Found![*] Account: fudruckers[*] Password: thefudruckerking69[*] Saved: sites/shopping/saved.usernames.txt

Таким образом, мы перехватили и сохранили учетные данные, введенные целью на нашей фишинговой странице!

Как заблокировать

Если переход по фишинговой ссылке уже был совершен, то могут возникнуть неприятности еще до введения личных данных. Чтобы предотвратить их, надо выполнить несколько пунктов:

  1. Сканировать компьютер с помощью антивируса.
  2. Проверить и восстановить настройки прокси-сервера, если они поменялись.
  3. Удалить файл hosts по пути C:WindowsSystem32driversetc.

Куда написать жалобу

Существует множество способов, как можно сообщить о фишинговом сайте.

  1. В настройках браузера.
  2. На сайте антивируса или в настройках его программы.
  3. Связаться с владельцем хоста через сервисы WHOIS.
  4. Написать администраторам оригинального сайта через контакты на странице.
  5. Связаться с вирусными лабораториями и отправить им ссылку.
  6. Через формы обратной связи государственных служб: Роскомнадзор, МВД.
  7. Пожаловаться в Google и Яндекс.

Это поможет максимально быстро закрыть сайт-обманку и предотвратить большие жертвы.

Правила для сотрудников: чек-лист

Советуем отправить и/или распечатать и раздать этот чек-лист всем сотрудникам вашей компании.

В первую очередь, защитите ваши соцсети

  • Не переходите по подозрительным ссылкам.
  • Не вводите данные от страницы на сторонних ресурсах.
  • Не давайте ваш смартфон посторонним.

Общие правила

  • Если в соцсети вам пишут с аккаунта банка или другой организации, проверьте аккаунт на официальном сайте или по телефону банка/компании. Если такого аккаунта там нет, не отвечайте на сообщения и заблокируйте подозрительный аккаунт.
  • Не доверяйте в соцсетях тем, кто просит у вас деньги, даже если просьба пришла от вашего друга. Позвоните тому, с чьей страницы пришло сообщение, и уточните, действительно ли ему нужны деньги. Если нет — не отвечайте мошеннику, заблокируйте его и пожалуйтесь в службу безопасности соцсети.
  • Проверяйте все файлы, которые приходят в личных сообщениях. Если прикреплена книга, но с расширением .exe, это странно — не открывайте файл.
  • Периодически проверяйте, когда последний раз ваш аккаунт был активен. Если появились подозрения, завершите все активные сеансы и смените пароль.

«ВКонтакте»

  • Прочитайте, как обезопасить аккаунт «ВКонтакте».
  • Настройте двухфакторную аутентификацию.
  • Если вас взломали, попробуйте восстановить доступ к странице.

«Фейсбук»

  • Прочитайте о функциях безопасности «Фейсбука».
  • Настройте двухфакторную аутентификацию.
  • Если вы подозреваете, что вас взломали, воспользуйтесь инструкцией.

«Инстаграм»

  • Прочитайте советы по безопасности «Инстаграма».
  • Настройте двухфакторную аутентификацию.

Вы получили странное письмо 

  • Не переходите по ссылкам в письмах от незнакомцев, не нажимайте на картинки и кнопки.
  • Если отправитель представляется сотрудником компании, но пишет не с корпоративной почты, а с обычной, например, mail.ru или gmail.com, не открывайте письмо.
  • Не верьте в обещания внезапных выигрышей и не попадайтесь на попытки вас запугать. 
  • Не открывайте вложенные файлы из писем незнакомцев, как бы заманчиво они ни выглядели. Не скачивайте файлы типа *.exe, *.scr, *.bat, *.vbs.
  • Увидели странный адрес в письме, например, с ошибкой в доменном имени, — удалите письмо.

Вам звонит странный человек

Он может представиться сотрудником банка, покупателем, который хочет приобрести вашу вещь по объявлению, представителем компании, сообщающим о крупном выигрыше и т. п. 

  • Не сообщайте никому данные вашей банковской карты, особенно CVC-код, особенно по телефону незнакомцу.
  • Если вам уже пришло СМС с кодом, не сообщайте его никому, особенно «сотруднику банка» — настоящие банковские служащие не будут спрашивать у вас такие данные.
  • Закончите разговор. Если человек представился сотрудником банка, позвоните в ваш банк, обрисуйте ситуацию и сообщите телефонный номер мошенника для проверки.

Вы попали на подозрительный сайт

  • Не переходите по ссылкам, не нажимайте на подозрительные и кричащие картинки и кнопки.
  • Не верьте обещаниям внезапных выигрышей и не попадайтесь на попытки вас запугать.
  • Если сайт неопрятный, кричащий, с грубыми ошибками в текстах и большим количеством уведомлений, всплывающих окон и призывов перейти или оставить данные, скорее всего, сайт фишинговый. Закройте вкладку и не возвращайтесь на него.
  • Прежде чем ввести свои данные на сайте, убедитесь, что это нужный сайт: клоны иногда выглядят очень похожими на оригинал. Проверьте адрес несколько раз. Если что-то в нём вас смущает — закройте вкладку.
  • Регистрируйтесь и покупайте только на сайтах с SSL-сертификатами безопасности и двухфакторной аутентификацией. Чтобы зайти в личный кабинет, вас проверят по двум параметрам: помимо логина и пароля у вас спросят, например, код из СМС.
  • Если перед адресом сайта вы видите HTTP, а не HTTPS и ваш браузер сообщает о ненадёжности страницы — он прав. Сайты без SSL-сертификатов лучше обходить стороной.

Вредные советы: как создать фишинг

После ознакомления с основными признаками фишинга и правил защиты от него, можно составить теоретическую инструкцию, как создать фишинговую ссылку и сайт.

  1. Продублировать дизайн оригинала максимально точно. Для этого используются HTML, CSS, JavaScript.
  2. Создать серверную часть, которая сможет отсылать данные злоумышленникам.
  3. Зарегистрировать доменное имя, которое будет максимально похоже на оригинальное, чтобы рассеянный пользователь ничего не заподозрил.

Подобными методами в 2019 году модно взламывать аккаунты различных веб-сервисов, например, Инстаграм, Авито, Телеграм, Одноклассники. Только надо понимать, что эти действия противозаконны, и за них последует ответственность.

Рекомендации не только для работы

  • Не указывайте личную информацию в открытых источниках. Адреса, даты рождения, номера телефонов: ваши и членов вашей семьи. 

Почему: всё это может помочь мошенникам узнать пароль или секретное слово, взломать ваши аккаунты и получить доступ к деньгам и данным.

  • Меняйте пароли не реже, чем раз в полгода. «Я вообще не меняю пароли, и меня ни разу не взломали. Зачем начинать?» — спросите вы, и это будет ошибка выжившего. 

Почему: так вы усложните работу преступникам, ведь никто не знает, когда на его деньги и данные может начаться охота.

  • Не используйте одинаковые пароли для всех ваших аккаунтов. Не давайте мошенникам ключ от всех дверей.

Почему: мошенник, узнавший пароль от одного вашего аккаунта, сразу же попробует открыть этим ключом остальные ваши кабинеты — и он подойдёт. Не рискуйте всем и проявите фантазию, придумывая новые комбинации.

  • Используйте режим инкогнито в браузере, когда работаете за чужим компьютером, заходите в свои аккаунты и вводите личную информацию. 

Почему: когда вы закроете вкладку браузера, ваши пароли и данные не сохранятся, а выход из всех аккаунтов произойдёт автоматически.

  • Включите двухфакторную аутентификацию во всех ваших аккаунтах.

Почему: такой тип защиты надёжнее убережёт вас от атак мошенников — чтобы взломать ваш аккаунт, им придётся преодолеть двойной барьер. И это будет непросто.

  • Установите антивирус на все ваши устройства.

Почему: осмотрительность — это хорошо, но техническая защита — ещё лучше.

Рейтинг
( 1 оценка, среднее 5 из 5 )
Загрузка ...