This page has been robot translated, sorry for typos if any. Original content here.

Інтернет-Фішинг і методи захисту від нього

Фишинг (Phishing)

Найпопулярнішою формою шахрайства в Мережі на даний момент є фішинг. Кіберзлочинці використовують шахрайські веб-сайти, перехоплювачі клавіатури, поштові повідомлення, які складені відповідно до правил соціальної інженерії та ін. З кожним днем ​​ці методи стають більш різноманітними і небезпечними.

Фішинг, згідно з визначенням компанії Dr. Web, являє собою технологію шахрайства в Мережі, яка полягає в розкраданні персональної закритої інформації, наприклад, даних ідентифікаційних і банківських карт, паролів доступу та ін. За допомогою поштових «черв'яків» і спамерських розсилок потенційним жертвам надсилаються листи від імені, нібито, легальних організацій. У цих листах їх просять відвідати підроблений сайт і підтвердити PIN-коди, паролі та іншу особисту інформацію, яка в майбутньому буде використовуватися шахраями для крадіжки з рахунку жертви грошей або інших злочинів.

Фішинг (Phishing). Not to be confused with Fishing or Pishing

Фішинг (англ. Phishing, від fishing - риболовля, видобування) - вид інтернет-шахрайства, метою якого є отримання доступу до конфіденційних даних користувачів - логінів і паролів. Це досягається шляхом проведення масових розсилок електронних листів від імені популярних брендів, а також особистих повідомлень всередині різних сервісів, наприклад, від імені банків або всередині соціальних мереж. У листі часто міститься пряме посилання на сайт, зовні відрізнити від справжнього, або на сайт з перенаправленням. Після того, як користувач потрапляє на підроблену сторінку, шахраї намагаються різними психологічними прийомами спонукати користувача ввести на підробленої сторінці свої логін і пароль, які він використовує для доступу до певного сайту, що дозволяє шахраям отримати доступ до акаунтів і банківських рахунків.

Фішинг - один з різновидів соціальної інженерії, заснована на незнанні користувачами основ мережевої безпеки: зокрема, багато хто не знає простого факту: сервіси не розсилають листів з проханнями повідомити свої облікові дані, пароль та інше.

Простіше кажучи, зловмисники заманюють користувачів, щоб вони самі розкрили свої особисті дані, наприклад, номери телефонів, номери і секретні коди банківських карт, логіни і паролі електронної пошти та облікових записів в соціальних мережах.

Для захисту від фішингу виробники основних інтернет-браузерів домовилися про застосування однакових способів інформування користувачів про те, що вони відкрили підозрілий сайт, який може належати шахраям. Нові версії браузерів вже мають таку можливість, яка відповідно іменується «антифішинг».

За інформацією компанії Websense, найпопулярнішим інструментом для створення фішинг-ресурсів є Rock Phish Kit . В даний момент ситуація з фішинг ом дуже нагадує ситуацію, яка була кілька років тому при написанні шкідливих кодів, коли з'явилися їхні конструктори.

Суть фішингу полягає в наступному: зловмисник, обманюючи користувача, змушує його надати персональну інформацію (відомості про банківські картки, імена і паролі до різних ресурсів та ін). Основною відмінністю цього типу шахрайства є добровільна надання користувачем своїх відомостей. Щоб цього домогтися, шахраї активно використовують прийом соціальної інженерії.

Сучасний фішинг можна поділити на 3 види: онлайновий, поштова та комбінований.

Найбільш старим є поштовий фішинг: на адресу одержувача надсилається лист з проханням вислати якісь відомості.

Онлайновий фішинг увазі наступну схему: шахраї копіюють офіційні ресурси, використовуючи схожі доменні імена та дизайн. Далі все просто. Користувач, який відвідав такий ресурс, може залишити тут свої дані в повній впевненості, що вони потраплять в надійні руки. Насправді, ці відомості виявляються в руках кіберзлочинців. На щастя, зараз спостерігається тенденція до підвищення знань користувачів про елементарні заходи інформаційної безпеки, тому дана схема шахрайства поступово втрачає свою актуальність

Третій вид - комбінований. Його суть полягає в створенні фальшивого сайту реальної організації, на який шахраї намагаються заманити потенційних жертв. В цьому випадку зловмисники пропонують користувачам самостійно провести деякі операції. В інтернеті практично кожен день з'являються попередження про подібних ресурсах, які роблять ці методи шахрайства добре відомими. У зв'язку з цим шахраї стали частіше використовувати key-loggers - це спеціальні програми, які відстежують натиснення користувачем клавіш і відсилають ці відомості по заздалегідь встановленими адресами.

Як працює інтернет-фішинг?

Специфікою фішингу є те, що жертва шахрайства надає свої конфіденційні дані добровільно.

Для цього зловмисники оперують такими інструментами, як фішингові сайти, e-mail-розсилка, фішингові landing page, спливаючі вікна, таргетована реклама.

Користувач отримує пропозицію зареєструватися для отримання будь-якої вигоди або підтвердити свої персональні дані на сайтах компаній та установ, клієнтом нібито яких він є.

Як правило, шахраї маскуються під відомі компанії, додатки соціальних мереж, сервіси електронної пошти.

Електронна адреса відправника дійсно схожий на адресу знайомої користувачеві компанії.

Як же не потрапити на гачок шахраїв?

1

Перш за все, пам'ятайте, що нікому і ні за яких обставин не можна передавати такі конфіденційні дані як пін-код банківської картки, пароль електронної пошти або інших персональних акаунтів. Ні банк, ні соціальна мережа не стануть запитувати ці дані по електронній пошті. Якщо той, хто телефонує вам видається вашим провайдером і задає питання щодо конфіденційних даних, то він, швидше за все, шахрай.

2

Завжди звертайте увагу на дизайн сайту. Якщо сайт або Лендінгем здається дивним, недопрацьованим, склепати нашвидкуруч або викликає якісь підозри, то дуже може бути, що це фішингових сайтів.

3

Звертайте увагу на адресний рядок на засланні переходу. Незначні зміни в електронній адресі можуть привести Вас на абсолютно інший сайт (наприклад, замість ukr.net може бути ukl.net).

4

Листи з невідомих адрес, які «тиснуть на емоції» або носять екстрений характер, повинні в першу чергу викликати підозри. Всі кредитні організації по електронній пошті або телефону звертаються до клієнта по імені та прізвища. Якщо в зверненні це не вказано, то, швидше за все, має місце факт шахрайства. Листи, які починаються з таких заяв як «Ваш аккаунт зламаний!» Або «Ваш профіль буде заблоковано!» Або, навпаки, оголошують Вам про великий виграш, в більшості випадків є шахрайськими.

5

Ні в якому разі не дзвоніть з питань безпеки банківського рахунку або кредитної картки за запропонованим номером телефону. На всіх платіжних картах вказується спеціальний телефонний номер, за яким ви і повинні дзвонити.

вішинг

Вішинг - це один з методів шахрайства з використанням соціальної інженерії, який полягає в тому, що зловмисники, використовуючи телефонну комунікацію і граючи певну роль (співробітника банку, покупця і т. Д.), Під різними приводами виманюють у власника платіжної картки конфіденційну інформацію або стимулюють до здійснення певних дій зі своїм картковим рахунком / платіжною карткою.

Перший випадок цього інтернет-шахрайства була зафіксований в 2006 році. Він являє собою різновид фішинг а й реалізується з використанням war diallers (автонабірателей), а також інтернет-телефонії (VoIP). За допомогою даного виду шахрайства зловмисники отримують доступ до персональної інформації, на зразок паролів, ідентифікаційних і банківських карт і ін. Схема обману мало чим відрізняється від фішинг а: користувачі платіжної системи отримують від нібито адміністрації повідомлення поштою, в яких їм рекомендується надіслати свої паролі і рахунки. Але якщо у випадку з фішинг ом додається посилання на фальшивий сайт, то при фішинг е користувачеві пропонують зателефонувати за міським номером. При дзвінку зачитується повідомлення, в якому людину просять розкрити свої конфіденційні дані. Складність в розкритті цього виду шахрайства полягає в тому, що розвиток інтернет-телфонов дозволяє перенаправляти дзвінки на міський номер в будь-яку точку світу, причому той, хто телефонує навіть не буде про це підозрювати.

Компанія Secure Computing рапортувала про самому витонченому способі обману за схемою вішинг - електронна пошта тут взагалі не використовувалася, так як зловмисники запрограмували ПК, щоб той набирав телефонні номери з бази даних і програвав заздалегідь записане повідомлення, до якому абонента попереджали, що відомості про його кредитної карті виявилися в руках шахраїв, тому йому необхідно з телефонної клавіатури ввести номер.

Використання протоколу VoIP дозволяє істотно скоротити витрати на телефонний зв'язок, проте він же робить компанії набагато вразливіші для атак. Банки та інші організації, які експлуатують для голосового зв'язку IP-телефонію, можуть піддатися вішинг-атакам, що працює захисту від яких поки немає. Зокрема, про це говорив The Grugq - експерт в області інформаційної безпеки, який виступив з повідомленням про шахрайства на конференції Hack In The Box Security Conference (HITB) в Малайзії. «Зловмисники отримають можливість вільно проникати в банківські мережі і реалізовувати контроль над банківськими телефонними каналами», - каже Grugq. За його словами, вішинг-атаки через VoIP відбудуться ще до кінця 2009 року. Шахраї отримають повний доступ до конфіденційної інформації, в тому числі до облікових банківських даних і номерів кредитних карт. Перешкодити їм зробити це можуть лише профі у сфері інформаційної безпеки. «Теоретично, клієнт дзвонить в банк, а телефонна лінія вже знаходиться під контролем хакерів», - розповідає The Grugq. В цьому випадку, шахрай просить дзвонить повідомити якусь облікову інформацію, щоб зв'язатися з представником банку.

«Ні технології, яка зможе гарантувати компаніям захист від цієї проблеми», - упевнений експерт, зазначивши, що діючі системи не можуть визначити VoIP-атаку. Щоб її організувати зловмисникам потрібно стандартне програмне забезпечення для підтримки білінгу телефонних розмов і IP-телефонії.

За інформацією Secure Computing, шахраї конфігурують war dialler, що набирає номери в конкретному регіоні. У момент відповіді відбувається наступне:

  • Автовідповідач інформує користувача, що з його кредитною карткою проводяться шахрайські дії і рекомендує швидко передзвонити по якомусь номеру;
  • Після того як жертва передзвонює за номером, там йому відповідає «комп'ютерний голос», говорить, що користувач повинен пройти звірку і ввести номер карти з клавіатури телефону;
  • Як тільки номер карти введений, шахрай отримує всю інформацію (адреса, номер телефону, повне ім'я);
  • Використовуючи цей дзвінок, Вішер може зібрати і іншу додаткову інформацію, начебто терміну дії карти, PIN-коду, номера банківського рахунку та дати народження.

Основні «тригери» вішинг

  • Вас запитують карткові реквізити ... будь-які;
  • Вас наполегливо примушують виконати ту дію, яку ви ще хвилину тому здійснювати не збиралися.

Додаткові «тригери» вішинг

  1. Співробітники банку ніколи ні за яких обставин не запитають код безпеки на зворотній стороні картки і код з банківського смс-повідомлення.
  2. Тривожна тема звернення. Щоб налякати жертву і змусити швидше зробити потрібну дію, шахраї вигадують лякають сценарії. Повідомляють про те, що карта заблокована, рахунок зламаний, родич потрапив в біду і т. Д.
  3. Обіцянка легко отримати гроші, які ви або не очікували отримати, або не думали отримати так легко. Щоб заманити жертву, шахраї обіцяють легко і швидко перевести гроші на ваш рахунок: наприклад, пенсіонеру нарахована несподівана надбавка до пенсії.
  4. Вас кваплять і дуже наполегливо намагаються переконати.
  5. Дзвінок надходить з незнайомого номера або мобільного.
  6. Вас запевняють в тому, що за допомогою банкомату ви можете перевести гроші з чужої карти - на свою.

Основний «спосіб» як захищатися від вішинг

  1. Закінчите розмову. Для його продовження передзвоніть в банк за телефоном, вказаним на зворотному боці картки або на його офіційному сайті, компанії / д. структурі - за номером, вказаним на офіційному сайті.

Додаткові «способи» як захищатися від вішинг

  • Пам'ятати, що співробітники банків і державних органів ніколи, ні за яких обставин (в тому числі форс-мажорних) не здійснюють дзвінки держателям платіжних карт з вимогою надати номер платіжної картки, термін її дії та CVC2 / CVV2-код.
  • Пам'ятати, що для отримання переказу на карту при продажу товару або виграші досить вказати тільки номер карти.
  • Ніколи ні за яких обставин не розголошувати тризначний код безпеки на зворотній стороні картки (CVV2 / CVC2), а також коди з банківських смс-повідомлень.
  • Чи не панікувати, якщо вам телефонують з приводу блокування карти або спроби злому рахунку. Замість цього необхідно передзвонити в банк за номером телефону, вказаним на офіційному сайті банку або на вашій пластиковій картці.
  • Бути раціональними і розумними - не вірити обіцянкам грошей, отримання яких ви не очікували.
  • Перевірити номер телефону, з якого надійшов дзвінок: це, дійсно, знайомий номер телефону банку або він тільки схожий на нього, а також перевірити номер телефону через пошукові системи, можливо, цей номер телефону вже «засвічений» шахраями.
  • Не поспішати. Витратьте час на перевірку і дзвінок в банк / державна установа за номером телефону, вказаним на сайті або карті, і попросити переключити на людину, яка вам дзвонив.

Що робити якщо ви стали жертвою?

Негайно заблокувати карту, написати заяву в банк і кіберполіції

Наостанок! Якщо виявили фішингових лист нібито від відомої Вам компанії або сервісу, повідомте про це у відділ інформаційної безпеки на вашій роботі або у провайдера.

Via facebook.com & wiki