Как киберпреступники совершают кражу личных данных?
Киберпреступники используют различные методы для сбора вашей личной информации. Вот лишь некоторые из их тактик.
1. Перехват сетевого трафика через незащищенный просмотр
Похитители личных данных могут легко перехватить ваш сетевой трафик с помощью незащищенного просмотра . Некоторые распространенные примеры незащищенного просмотра включают использование открытого общедоступного Wi-Fi или посещение незащищенных веб-сайтов.
2. Взлом Wi-Fi.
Если вы используете уязвимый маршрутизатор Wi-Fi с простым паролем, это делает вас легкой мишенью для киберпреступников. Когда хакер успешно взламывает пароль вашего маршрутизатора , он может помочь себе со всеми данными, которые проходят через него.
3. Продажа и покупка личных данных в темной сети.
Некоторые киберпреступники могут украсть вашу личную информацию и продать ее в темной сети. Затем все начинает усложняться, когда ваши данные попадают в чужие руки.
4. Нарушение данных
Некоторые хакеры получают конфиденциальную личную информацию, взламывая серверы компании, которая не заботится о ваших данных. Эти украденные данные могут включать личные идентификационные номера, адреса, информацию о кредитных картах и пароли для всех сотрудников этой конкретной компании.
5. Распространение вредоносного ПО
Похитители личных данных иногда могут использовать вредоносное программное обеспечение (так называемое «вредоносное ПО») для получения вашей личной информации. Эти программы могут оставаться незамеченными, пока они собирают конфиденциальную личную информацию на вашем устройстве.
6. Взлом электронной почты
Взлом электронной почты происходит, когда кто-то получает полный доступ к вашей учетной записи электронной почты без вашего согласия. Когда это происходит, киберпреступник может копаться в ваших электронных письмах, чтобы узнать о вас все. Иногда они отправляют электронные письма от вашего имени, чтобы получить дополнительную информацию о вас, о других и распространять вредоносное ПО.
7. Фишинг
Похитители личных данных могут легко собрать вашу личную информацию в больших объемах с помощью фишинга. Обычно это связано с тем, что вор отправляет вам мошенническое электронное письмо, которое побуждает вас раскрыть ваши личные данные.
Фишинговое электронное письмо часто создается для имитации законного электронного письма из надежного источника, такого как ваш работодатель или банк. Но когда вы отвечаете, вы фактически отправляете свою информацию киберпреступнику.
8. Фарминг
Фарминг – это когда киберпреступник перенаправляет вас с надежного сайта на поддельный сайт, который выглядит как законный. Как только вы перенаправляетесь на поддельный веб-сайт, ваши учетные данные и другая важная личная информация попадает в руки похитителей личных данных.
ЧаВо
? Действительно ли мне нужны услуги сервиса по защите личных данных?
Это неплохая идея. Все больше взрослых и даже подростков ежегодно становятся жертвами онлайн-краж личных данных. Сейчас все более популярными становятся покупки через Интернет, сайты социальных сетей, поэтому мошенникам так просто получать доступ к личным данным. Приложение для защиты идентификационных данных поможет вам отслеживать всю активность с данными, которые вы выкладываете в Интернет, и предупредит вас, если увидит какую-то подозрительную активность, тем самым защищая вас от потенциального мошенничества с вашими данными. Если вы станете жертвой кражи данных, пока пользуетесь услугами сервиса, компания поможет вам вернуть эти данные.
? Насколько безопасны сервисы по защите от кражи личных данных?
Если вы выберете один из лучших провайдеров из нашего списка, то он действительно поможет вам отслеживать потенциальные угрозы кражи данных. Всегда тщательно читайте условия предоставления услуг и политику конфиденциальности сервиса, чтобы не соглашаться на недопустимые для вас действия с вашими данными. Также попробуйте найти сервис, который предоставляет гарантию возврата средств, бесплатный пробный период или бесплатную версию услуг; так вы сможете протестировать услуги, прежде чем оплачивать подписку.
? Что должны предлагать сервисы для защиты от кражи личных данных?
При поиске приложения для защиты от кражи личных данных, важно обращать внимание на следующие пункты:
Конфиденциальность и прозрачность: вы должны точно знать, какие данные собирает сервис и что он с ними делает
Также важно обращать внимание на временные рамки действия гарантии возврата денег, чтобы не остаться с сервисом, который вам не подошел, на длительное время.
Простое управление сервисом: выбирайте сервис, в котором можно получить быстрый доступ к своим данным, в приложениях которого легко ориентироваться. Самый современный инструмент в мире не поможет вам, если вы не знаете, как им пользоваться
Также стоит обращать внимание на наличие оповещений по электронной почте и СМС, доступа к круглосуточной техподдержке на случай
Сли вам понадобится помощь с приложением.
Совместимость с устройствами: вы должны иметь возможность получать уведомления на разные устройства, чтобы мгновенно начать решать проблему. Нужно, чтобы сервис мог оповещать вас через мобильные, десктопные и устройства фиксированной связи. Таким образом вы получите уведомление о проблеме сразу, где бы вы ни находились.
Что такое фишинг? Виды фишинга
Фишинг — это не только ссылки в электронных письмах и СМС. Арсенал злоумышленников постоянно растёт, так как о старых способах узнаёт всё больше людей. Разберём основные варианты фишинговых атак.
Социальный фишинг
Это фишинговые атаки, целью которых являются аккаунты в популярных соцсетях, например VK или «Одноклассниках».
Как только человек вводит данные на фейковом сайте, фишеры получают доступ к его аккаунту. Затем страница перенаправляет пользователя на настоящий сайт соцсети, и он может даже не заметить, что изначально был не там. Другая опасность в том, что, если человек использует одни и те же логины и пароли в других соцсетях и сервисах, то фишеры получат доступ и к ним.
Сделать так, чтобы сообщения от мошенников выглядели настоящими, не так уж и сложно. Невнимательный пользователь может не заметить разницы. Например, у официального сайта LinkedIn есть несколько доменов электронной почты, включая linkedin@e.linkedin.com и linkedin@el.linkedin.com. Поэтому сложно проверить какие домены, в самом деле, принадлежат LinkedIn, а какие нет.
То же касается и других сетей ― нужно внимательно проверять адрес отправителя письма и адрес страницы, где вы вводите свои данные: vk.com — это настоящий сайт, а vkom.com ― подделка.
Почтовый фишинг — фишинг-атаки на электронную почту
Такой вид мошенничества встречается реже, так как современные почтовые сервисы имеют надёжные спам-фильтры и отправляют подозрительные письма в папку со спамом. Открывать их там точно не стоит.
Фарминг
Фарминг — это форма фишинга, которая направлена на получение личных данных через поддельные сайты. Кажется, что это похоже на классический фишинг, но есть различие. В фарминге пользователя автоматически перенаправят на поддельный сайт, даже если он зашёл по проверенной ссылке. Это происходит из-за вируса, который устанавливает вредоносный код на DNS-сервер.
Целевой фишинг или спирфишинг
Обычно фишинг носит массовый характер. Но спирфишинг — это целенаправленная попытка украсть конфиденциальную информацию у конкретной жертвы. Часто целями спирфишинга являются топ-менеджеры крупных компаний, которые могут инвестировать большие средства в кибербезопасность: хакерам не пробиться к ним с помощью технических средств. Но лазейка в виде человеческого фактора остаётся всегда.
Для успешного целевого фишинга преступникам нужно изучить жертву: с кем она общается, где живёт, работает, куда ходит отдыхать или заниматься спортом. Затем злоумышленники притворяются другом или другим важным лицом, например начальником, чтобы получить конфиденциальную информацию, как правило, по электронной почте или через другие онлайн-сообщения. Именно на спирфишинговые атаки приходится 65% всех успешных кибератак на компании.
Например, крупная французская кинокомпания Pathé потеряла 19 млн евро, то есть 10% годовой прибыли, именно из-за спирфишинга. Мошенники использовали личную учётную запись генерального директора Марка Лакана, чтобы получить одобрение на перевод крупной суммы. Перевод состоялся, а генерального директора в итоге уволили.
Голосовой фишинг или вишинг
Это фишинговые атаки по телефону. Мошенники могут выдавать себя за представителей банков и государственных учреждений. Некоторые из них используют имитацию голоса родных и друзей с помощью искусственного интеллекта. Так вишеры пытаются выманить у жертвы деньги напрямую, например, через перевод на карту мошенника.
Почему это работает
Казалось бы, нет пользователя, который не знаком с предупреждением:
«Никогда не переходите по ссылкам из подозрительных писем и не открывайте
неизвестных вложений». Однако 91% киберпреступлений начинается именно с
успешной фишинговой рассылки по электронной почте. Увы, самое слабое звено в
кибербезопасности не серверы и фаерволлы, а люди.
Наиболее простой способ – «брать числом». Если разослать
фишинговое электронное письмо по миллиарду адресов, то просто по закону больших
чисел кто-то да клюнет, даже если манипуляция незамысловатая. КПД процесса
низок, но и затраты небольшие. Однако куда более эффективны методы, построенные
на социальной инженерии, такие, как адресный фишинг, клон-фишинг и уэйлинг.
Разновидность адресного фишинга ― уэйлинг (дословно — «охота
на китов», whaling). Уэйлинг специально направлен на ключевые фигуры в
организации, которые получают письмо, отправленное якобы кем-то из вышестоящих
руководителей или влиятельных лиц компании. Например, компания Mattel,
выпускающая игрушки, пала жертвой такой атаки после того, как финансовый
топ-менеджер получил электронное письмо с просьбой о переводе денег,
отправленное мошенником от имени нового генерального директора. В результате
компания потеряла почти 3 миллиона долларов. Чтобы уэйлинг увенчался успехом,
злоумышленники должны очень хорошо изучить свою жертву, но это вложения,
которые окупаются.
Целенаправленный фишинг
Фишинг подмены осуществляется массовыми рассылками на электронные адреса, полученные путём взлома или покупки действующих баз данных. То есть атака идёт массированно, но одинаково во всех ситуациях. Современные пользователи уже знают на своём горьком опыте, чем чреват переход по подозрительным ссылкам, поэтому в большинстве своём – не ведутся на этот приём. Поэтому был придуман более таргетированный метод.
Если в письме упоминаются какие-то личные данные пользователя – имя, должность, профессия, отсылки к прошлым местам работы или контактам, то такое сообщение вызывает куда больше доверия. Причём данную информацию пользователи злоумышленникам предоставляют самостоятельно – выкладывая её на специализированных платформах и тематических ресурсах. Например – сервисе LinkedIn, где резюме потенциальных сотрудников и работодателей находятся в свободном доступе.
Новый вид мошенничества ВКонтакте!
Социальная сеть собирает все пользовательские данные, которые загружает в сеть юзер, включая фотографии и диалоги, и создает архив с этой информацией. Запросить данные аккаунта может только его владелец. Для того, чтобы получить доступ к архиву, пользователь должен войти на страницу, в ином случае в доступе будет отказано.
Этим и пользуются злоумышленники. Жертве приходит сообщение о том, что архив аккаунта будет создан и отправлен на почту, которая не принадлежит пользователю.
Чтобы отменить отправку архива, ему предлагают войти в аккаунт по фишинговой ссылке, прикрепленной в сообщении.
Когда пользователь кликает на ссылку, его перенаправляют на ложный сайт, на сайт клон, который имеет буквы «vk» в названии и один в один похожий на оригинальный дизайн, чтобы не вызывать подозрений. Как только жертва вводит данные для входа в свой аккаунт, они тут же попадают в руки мошенника.
Заместитель руководителя Роскачества Илья Лоевский отметил, что злоумышленник, похитив ваш профиль в соцсети, действительно сможет заказать выгрузку архива, и это потенциально опасно.
«В архиве содержится не только открытая информация профиля, но и, к примеру, загружавшиеся пользователем документы, привязки телефонных номеров, история платежей и список использованных банковских карт. Все это может быть использовано злоумышленником в своих интересах и, конечно, может дорого обойтись пользователю.
«Злоумышленники могут создавать фишинговые сайты и присылать спам-письма, маскируясь под популярные ресурсы. При этом, конечно, никто не взламывает наши сервера, не получает доступ к базам данных. Люди сами неумышленно отдают свои профили мошенникам, доверчиво переходя по непроверенным ссылкам», — рассказал Швец.
«Советуем следить, чтобы в адресной строке браузера был указан исключительно адрес vk.com. Мы оперативно блокируем переходы из «ВКонтакте» на вредоносные сайты. Кроме того, рекомендуем не пользоваться вредоносными программами, которые просят указать личные данные для получения возможностей, которых нет во «ВКонтакте»: просмотра чужих скрытых фото или «гостей страницы», безлимитных подарков или бесплатных голосов», — объяснил Швец.
Он подчеркнул, что скачать персональный архив с данными профиля без подтверждения с привязанного к аккаунту устройства нельзя, а уникальную ссылку для скачивания невозможно открыть из другого профиля.
Часть 2: Способы защиты от интернет-мошенников
2.1. Сильные пароли и двухфакторная аутентификация:
Как создавать надежные пароли:
Создание надежных паролей — это ключевой аспект защиты ваших онлайн-аккаунтов. Вот несколько советов по созданию надежных паролей:
- Используйте комбинацию заглавных и строчных букв, цифр и специальных символов.
- Избегайте использования личной информации, такой как имена, даты рождения и слова из словаря.
- Создавайте уникальные пароли для каждого аккаунта.
- Используйте фразы, которые вам легко запомнить, но сложно угадать.
- По возможности, сделайте пароли длинными.
Важность двухфакторной аутентификации:
Двухфакторная аутентификация (2FA) добавляет дополнительный слой безопасности к вашим паролям. Кроме того, чтобы войти в аккаунт, вам нужно будет предоставить второй элемент аутентификации, такой как одноразовый код, отправленный на ваш мобильный телефон. Это делает взлом аккаунта гораздо сложнее даже при утечке пароля.
2.2
Осторожность при клике:. Как распознать подозрительные ссылки и вложения:
Как распознать подозрительные ссылки и вложения:
- Проверяйте URL-адреса, прежде чем кликать. Поддельные сайты часто имеют немного измененные домены.
- Будьте осторожны с электронными письмами, которые требуют срочных действий, особенно если они приходят из неожиданных источников.
- Не скачивайте вложения из ненадежных источников и не открывайте их, если вы не уверены в их безопасности.
- Избегайте нажатия на сокращенные ссылки, так как они могут скрывать подлинные URL-адреса.
Проверка электронных писем и сообщений:
- Проверьте электронные письма на опечатки и грамматические ошибки, так как мошенники часто делают ошибки.
- Никогда не предоставляйте личные данные или финансовую информацию через электронные письма или сообщения.
- Если вы получили подозрительное письмо от «друзей» или «банка», сначала свяжитесь с ними по другим каналам для подтверждения.
2.3. Обновление программ и антивирусное ПО:
Важность регулярных обновлений программ:
Регулярные обновления программ и операционных систем — это важная часть безопасности. Многие обновления содержат исправления уязвимостей, которые могут быть использованы мошенниками для атаки на ваш компьютер или устройство. Включите автоматические обновления, чтобы быть всегда в курсе.
Рекомендации по выбору антивирусных программ:
Выбор надежной антивирусной программы также играет важную роль в защите от вредоносных программ. Исследуйте и выберите антивирусное программное обеспечение с хорошей репутацией, регулярными обновлениями и функциями защиты от разных видов угроз.
Как защититься от похитителей личных данных
Воры личных данных обычно охотятся на людей, которые не знают, как обезопасить себя в Интернете. Итак, чтобы защитить себя от этих злоумышленников, вот несколько правил безопасности, которым вы должны следовать.
1. Посетите защищенные веб-сайты.
Чтобы избежать фарминга и других киберугроз, вам необходимо практиковать хорошие привычки в области интернет-безопасности, такие как посещение защищенных веб-сайтов. Ваши данные становятся видны, когда вы посещаете незащищенные сайты, поэтому будьте осторожны при вводе любых личных данных там, где вы не обязательно доверяете.
По крайней мере, убедитесь, что вы используете сайт с сертификатом SSL, то есть URL-адрес будет начинаться с HTTPS – что «S» означает «Безопасный», что означает некоторый уровень шифрования.
2. Очистите историю просмотров на общедоступных компьютерах.
Если вы вводите конфиденциальную информацию на общедоступном компьютере, всегда после этого очищайте историю просмотров. В противном случае вы можете оставить мошенников со всей информацией, необходимой им для кражи вашей личности.
3. Защитите свою учетную запись электронной почты и избегайте сомнительных писем.
Защита учетной записи электронной почты – лучший способ избежать таких угроз, как взлом электронной почты. Помимо защиты вашей электронной почты, вам также следует избегать подозрительных писем, которые могут в конечном итоге сделать вас жертвой фишинговых атак.
Не нажимайте ни на какие ссылки или вложения в электронных письмах, которым вы не доверяете.
4. Регулярно обновляйте свои пароли.
Очень важно использовать уникальные пароли для своих устройств, маршрутизатора Wi-Fi и всех ваших личных учетных записей. Таким образом, тот, кто получит один из ваших паролей, не будет иметь доступа ко всему остальному
И сразу же меняйте пароли, когда вас предупреждают о подозрительных попытках входа в систему.
5. Используйте многофакторную аутентификацию.
Всегда пользуйтесь преимуществами веб-сайтов или служб, предлагающих многофакторную аутентификацию. Использование этого инструмента безопасности затрудняет взлом ваших личных учетных записей, поскольку им потребуется дополнительное подтверждение личности при входе в систему.
6. Заморозьте свой кредит
Если вы не собираетесь подавать заявку на кредит в ближайшее время, лучше временно заблокировать свой кредитный рейтинг . Это поможет предотвратить подачу заявки мошенниками на ваше имя.
8. Избегайте теневого и пиратского программного обеспечения.
Пиратское ПО – один из самых популярных методов доставки вредоносного ПО. Эти теневые программы могут собирать вашу конфиденциальную информацию или даже навредить вашему устройству. Поэтому избегайте пиратских приложений и загружайте свои программы только с надежных сайтов.
Фишинговые атаки в цифрах
- В этом году 65% компаний в США смогли стать жертвами фишинга.
- В этом году фишинговые атаки были направлены на 84% всех предприятий малого и среднего бизнеса (СМБ).
- 65% малых и средних предприятий никогда даже не проводили проверку на наличие фишинговых писем.
- Через шесть месяцев после кибератаки или утечки данных 60% малых предприятий не могут встать на ноги и в конечном итоге прекращают свою деятельность.
- Вредоносное ПО даже не используется в 86% атак по электронной почте.
- Фишинг является причиной 32% всех утечек данных.
- Ожидается, что фишинговая атака нанесет компании среднего размера ущерб в размере 1.6 миллиона долларов.
Ситуация будет ухудшаться, прежде чем станет лучше, считают эксперты. Об этом свидетельствует недавний рост числа фишинговых атак во время пандемии COVID-19.
В наши дни легко начать новый бизнес, но у большинства предпринимателей нет денежных потоков или знаний в области безопасности, чтобы защитить свои стартапы от злоумышленников.
Определение фишинга
Слово «фишинг» образовано от английского слова «phishing», которое, в свою очередь, является производным от «fishing» («ловля рыбы»). Итак, «рыбой» в данном случае является ничего не подозревающий пользователь интернета, а точнее – данные его аккаунта.
Казалось бы, для чего хакерам нужен мой аккаунт в социальной сети? Я не располагаю многомиллионной аудиторией подписчиков и не размещаю никакие сугубо конфиденциальные данные. Ответ прост: используя аккаунт рядового пользователя, мошенники рассылают от его имени спам, направленный на продажу товаров и услуг сомнительного качества, а также выуживание денег у его знакомых.
Какую цель преследует такая угроза, как фишинг? Цели могут быть самые разные:
- персональные данные (например, данные паспорта можно использовать для получения кредитов в некоторых микрофинансовых организациях);
- аккаунт (логин и пароль) похищаются с целью рассылки спама и получения денег;
- данные карт, банковских счетов, аккаунты в платежных системах – об этом было рассказано в статьях про кардинг и скимминг;
- конфиденциальная информация о компании или бизнесе (если вы являетесь сотрудником, располагающим такой информацией).
Что такое фишинг в интернете простыми словами? Это создание вредоносного сайта или ссылки, перейдя по которой пользователь сталкивается с необходимостью идентификации. Например, в электронном письме вам сообщили, что ваш аккаунт в соцсети был взломан, и чтобы его спасти, нужно кликнуть по приведенной ссылке и авторизоваться. К сожалению, есть еще люди, которые верят таким сообщениям.
Как правило, подобные письма оформлены довольно «правдоподобно». В письме вы увидите логотип, очень похожий на официальный логотип соцсети, магазина или банка, от которого якобы и пришло данное предостережение. Но есть некоторые детали, позволяющие выделить признаки фишинга: цифры, замененные на буквенные символы, отличие названия сайта от официального, контактная информация и др.
Что собой представляет фишинговая ссылка или сайт
Фишинговой ссылкой называется адрес страницы в интернете, которая создана для кражи личной информации пользователя. Это могут быть данные банковской карты, паспорта, логин и пароль от социальной сети.
Особенно широко распространен обман с веб-адресами. Они похожи на оригинальные, но отличаются написанием, если внимательно присмотреться. Больше всего подделывают популярные сайты: «Сбербанк», «Деливери-клаб», «Яндекс.Еда». Это те сервисы, где оплата проходит после ввода данных пластиковой карты. Например, фишинговый сайт может выглядеть так: delivery-club ru (оригинал) и delivry-club ru (подделка).
Фишинг используют для финансовой наживы или для получения конфиденциальной информации. Мошенники пользуются доверчивостью граждан, не знающих, что делать, если попался на фишинг.
Потерять свои данные в интернете можно многими способами:
электронная почта — письма с вредоносными ссылками приходят с адресов, похожих на известные ресурсы;
Электронное письмо с фишингом
Проверенные схемы для заработка
Название
Кому подойдет
Риски
Доход
Бюджет
Коментарии
Обзор
Подойдет всем
Низкие
Высокий
Высокий
Риски: Низкие
Доход: Высокий
Бюджет: Высокий
Обзор
Любителям ставок
Средние
Высокий
Низкий
Риски: Средние
Доход: Высокий
Бюджет: Низкий
Обзор
Подойдет всем
Низкие
Низкий
Низкий
Риски: Низкие
Доход: Низкий
Бюджет: Низкий
Обзор
Подойдет всем
Низкие
Средний
Низкий
Риски: Низкие
Доход: Средний
Бюджет: Низкий
Обзор
- SMS, в котором содержится ссылка;
- сайт, очень похожий на реальный с формой для заполнения личных данных;
- общая сеть Wi-Fi — подключение к нему может вывести на фейковый сайт с фишингом;
- социальные сети — бездонный кладезь для мошенничества: здесь и флирт с последующим «уводом» данных, и лотереи, и липовое спонсорство, и фишинговые письма в директ.
Виды фишинга
Чтобы лучше защититься от подобного вида мошенничества, необходимо знать, в каких оно бывает формах. Специалисты выделяют несколько видов фишинга.
Классический
Конечно, эти письма создаются с большой скрупулезностью, поскольку отличия от настоящих писем должны быть минимальны или вовсе отсутствовать, чтобы пользователь не заметил подмены.
Надо знать и о самых частых «уловках» мошенников, которые заставляют перейти по этой ссылке:
Целенаправленная атака
Предыдущий, классический, вид фишинга можно назвать мошенничеством «на удачу», то есть злоумышленники практически не имеют информации о тех, кому письмо рассылают, и кто на него «поведется». Но есть и целевая атака — когда мошенники владеют избыточной информации о своей жертве.
Чтобы собрать информацию о будущей жертве, чаще всего много усилий не требуется —например, подойдут сайты для поиска работы вроде LinkedIn или HH, где люди подробно рассказывают о себе с целью привлечь работодателя. Но привлекают не тех.
Чтобы не допустить такой ситуации, желательно не размещать личную или служебную информацию в открытом доступе.
Против топ-менеджмента (гарпунный фишинг, охота на китов)
Чем выше должность, тем интереснее и важнее у нее информация, поэтому мошенники часто охотятся за личными данными руководства различных организаций.
Дело в том, что эксперты по безопасности в какой-либо компании ограничивают информацию, которая доступна для определенного сотрудника.
Например, продажник будет знать поставщиков продукции, закупочную цену, возможно, номера счетов организации, а кадровик к этой информации доступа не имеет, но знает всех сотрудников компании, их должности и заработную плату. Руководитель же имеет доступ к любой информации, поэтому для мошенников он наиболее ценен.
После того, как получен доступ к личному кабинету руководителя, злоумышленники могут взаимодействовать с другими отделами компании, например, чтобы оформить банковский перевод денежных средств на свои счета.
Проблема заключается в том, то менеджеры высшего звена часто отказывают проходить обучение основам информационной безопасности, называя это тратой времени и денег.
Рассылки от Google или Dropbox
Новое направление фишинга — кража логина и пароля от облачных хранилищ данных. Облачные сервисы действительно удобны, поэтому многие пользуются ими и для хранения конфиденциальных или служебных данных. Это могут быть:
- документы;
- таблицы и презентации;
- пароли к другим сервисам;
- копии данных компьютеров;
- личные фотографии и так далее.
По этой причине желание злоумышленников влезть в данные ресурсы вполне объяснимо и понятно. Для этого чаще всего создают сайт, который максимально имитирует страницу входа в личный кабинет в одном из сервисов облачного хранения. На этот сайт-обманку пользователей ведет ссылка в электронном письме.
Прикрепленные файлы
Ссылка на сайты-обманки — не единственное и не самое опасное средство фишеров. Если пользователь и клюнет на эту удочку, то предоставит только ограниченную информацию — аккаунт на определенном сайте, мобильный телефон, домашний адрес и др.
Намного опаснее те атаки, которые ведут к заражению компьютера вредоносными вирусами, которые могут собрать все личные данные и информацию о человеке.
Такие вирусы часто всего прикрепляются вложениями к письмам. Пользователи видят письмо якобы от знакомого источника, поэтому без сомнений скачивают все вложенные файлы, тем самым заражая свои ПК.
Существует ли защиты от фишинга?
Задумались о том, как защититься от фишинга? С учетом разнообразия методов, действительно хитрых схем фишинга, увеличивается необходимость в усилении применяемых мер безопасности. Основными способами защиты персональных данных от интернет-мошенников являются:
- Спам-фильтры в электронной почте. Фильтры почтовых программ и сервисов автоматически блокируют фишинговые электронные письма, попадающие в почтовые ящики пользователей, и помещают их в специальную папку. В нее иногда попадает и реклама.
- Привязка почтового аккаунта к номеру мобильного телефона. Многие сайты предоставляют возможность SMS-авторизации, то есть использования мобильного телефона в качестве дополнительного способа для входа в учетную запись, проверки и подтверждения проведения банковских транзакций. Для входа в аккаунт в случае смены IP-адреса пользователь вводит одноразовый код или пароль, приходящий на его мобильный телефон. Это существенно снижает риски: даже в случае успешной фишинг-атаки украденный киберпреступников пароль сам по себе не может быть повторно использован для дальнейшего проникновения.
- Проверка ссылки на фишинг на специальных анти-фишинговых сайтах. Существуют организации, специализирующиеся на борьбе с фишингом, например, FraudWatch International, Millersmiles. Они публикуют сведения о подтвержденных фишинговых атаках, происходящих в Интернете.
Функция «антифишинг» в современных браузерах
Все наиболее популярные браузеры на сегодняшний день имеют встроенную функцию обнаружения и блокировки фишинговых сайтов, которая работает на основе черного списка.
Соблюдение мер предосторожности. Хотя власти разных стран, крупные IT-компании (Microsoft, Google, Amazon и другие) активно борются с фишингом и другими видами киберпреступлений, а соблюдение всех необходимых мер предосторожности позволяет не попасться на уловки мошенников
В целях безопасности не следует открывать подозрительные электронные письма, не переходить по ссылкам, не кликать по объектам, самостоятельно вводить URL-адреса сайтов компаний в адресную строку браузера вместо клика по любым гиперссылкам в сообщении, не вводить личные данные на неизвестных интернет-ресурсах. Кроме того рекомендуется «усложнить» процедуру авторизации, доступную на сайтах, своевременно обновлять антивирусное программное обеспечение на всех своих устройствах. А самое главное и простое правило – всегда помнить о том, что никакие интернет-сервисы, сотрудники банков или других организаций не будут спрашивать пароль, PIN-код банковской карты и другие конфиденциальные данные.
Фишинг – один из наиболее распространенных видов интернет-мошенничества, представляющий серьезную опасность для конфиденциальности персональных данных, что достаточно часто приводит к финансовым потерям. Знание и соблюдение правил сетевой безопасности позволяет значительно снизить или даже полностью исключить риск возникновения подобных проблем.
ПРПолина Рогановаавтор
Цель, которую преследует фишинг:
- получение конфиденциальной информации: персональных данных (имени и фамилии, даты рождения, адреса проживания, номера паспорта и телефона), логина и пароля, банковским реквизитам, служебной информации;
- взлом и обман пользователей для установки вредоносного ПО;
- шантаж или уничтожения бизнеса конкурентов, с помощью полученной информации;
- шпионаж и поддержка государства, наблюдением за организациями представляющими интерес.
По своей сути фишинг, является одной из форм социальной инженерии, поскольку атака осуществляется через самое слабое звено в безопасности — человека.