Защита от фишинга: что нужно знать каждому

В 2023 году количество фишинговых ресурсов в Рунете увеличилось в 3 раза по сравнению с 2022 годом. Фишинг — одна из главных угроз кибербезопасности сейчас. Мошенники постоянно совершенствуют методы: используют социальную инженерию, ИИ и дипфейки. 

В статье разберем, что такое фишинг, какие у него цели и виды, кто чаще всего становится жертвой, и главное — как защитить свои данные и деньги.

Что такое фишинговые атаки

Фишинговые атаки — вид мошенничества. Злоумышленники пытаются выманить у пользователей конфиденциальную информацию: логины, пароли, данные банковских карт. Обычно мошенники маскируются под организации, которым люди доверяют: банки, интернет-магазины, государственные учреждения или спецслужбы.

Самый распространенный сейчас вид фишинга — это телефонные звонки и сообщения в мессенджерах. Мошенники представляются сотрудниками банка или службы безопасности, и убеждают пользователя сообщить им конфиденциальные данные, якобы для защиты аккаунта.

Фишинговые электронные письма выглядят как настоящие — в них используются логотипы и фирменный стиль известных брендов. Внутри письма стоит ссылка, ведущая на поддельный сайт, неотличимый от оригинального. Когда пользователь вводит там свои данные, они попадают к мошенникам.

Цели фишинга

У фишинга две основные цели:

• Получить ценную информацию о человеке. 

Это логины, пароли, данные банковских карт, паспортные данные и другие конфиденциальные сведения. Фишеры крадут корпоративные секреты, коммерческие и государственные тайны. Чаще всего злоумышленники продают данные на черном рынке или воруют деньги со счетов жертвы, узнав логин и пароль от онлайн-банка. Мошенник, получивший доступ к личной переписке или интимным фото, может требовать деньги, угрожая опубликовать данные в интернете.

• Получить доступ к компьютеру или смартфону.

Это нужно, чтобы заразить устройство вирусами и вредоносными программами. После этого мошенники вымогают деньги за разблокировку устройства или расшифровку зашифрованных данных. Взломанный с помощью фишинга компьютер может стать частью сети ботов, на нем могут майнить криптовалюту.

Виды фишинга

Фишинг в интернете и соцсетях 

Мошенники создают поддельные аккаунты и рассылают сообщения со ссылками на фишинговые сайты. Взламывают настоящие аккаунты и делают рассылки от их имени (чаще всего просят одолжить денег). 

Целевой фишинг

Целевой, или таргетированный, фишинг нацелен на конкретного человека или компанию. Злоумышленники собирают информацию о жертве из открытых источников, чтобы сделать фишинговое сообщение максимально правдоподобным. Например, сотрудник финансового отдела компании получает письмо якобы от генерального директора с просьбой срочно перевести крупную сумму на некий счет. В письме упоминаются детали, которые может знать только настоящий директор. 

Фишинг через ПО

Фишинговые приложения и сайты. Они запрашивают номер телефона, данные банковской карты и другую информацию якобы для регистрации или получения бонусов.

Другой вариант — рассылка вредоносных программ под видом безобидных файлов, прикрепленных к письму. 

Фишинг через QR-коды

Мошенники размещают в общественных местах объявления с QR-кодами, ведущими на фишинговые сайты. Или присылают такие коды в сообщениях, обещая за сканирование бонусы или призы. 

Отдельно упомянем т.н. «социальную инженерию»  — методы психологического манипулирования. Почти каждый день появляются новости, как после звонка из т.н. «службы безопасности банка» люди переводят свои деньги жуликам. Часто жертвами мошенничества становятся пожилые люди. По данным ВЦИОМ, в 2024 году две трети россиян сталкивались с телефонным мошенничеством. В 2023 году у россиян дистанционно украли, по разным оценкам, от 15,8 млрд рублей до 250 млрд рублей (по оценкам Банка России и Сбербанка). Потери клиентов банков выросли на 11,5%. 

Инструменты фишинга

• Массовая рассылка электронных писем (спам). 

Фишеры отправляют миллионы писем со своих или взломанных почтовых серверов, маскируясь под известные бренды. Письма содержат ссылки на поддельные сайты, на которых у пользователя выманивают логины, пароли и другую информацию.

• Готовые наборы скриптов и шаблонов. 

Мошенники используют их, чтобы быстро клонировать популярные веб-сайты.

• Вредоносное ПО. 

Через фишинговые письма и сайты мошенники распространяют шпионские программы, которые крадут данные с компьютеров и смартфонов жертвы. Существуют эксплойт-паки — целые наборы вредоносных программ, которые эксплуатируют уязвимости в браузерах.

• Методы социальной инженерии. 

Мошенники ищут потенциальных жертв в соцсетях, на форумах, в утекших базах данных, чтобы составлять персонализированные письма, которые сложно отличить от настоящих. Используют телефонные звонки и SMS, чтобы войти в доверие к жертве.

• Использование нейросетевых сервисов. 

Специальные программы анализируют огромные массивы фишинговых писем, обучаются на них и создают еще более правдоподобные образцы. ИИ-технологии помогают адаптировать фишинговые атаки под конкретного человека.

• Дипфейки. 

Мошенники создают поддельные видео с лицами и голосами руководителей компаний, чтобы просить сотрудников перевести деньги или раскрыть конфиденциальную информацию. Дальше будет хуже — дипфейки станут генерироваться в реальном времени, прямо во время разговора мошенников с жертвой. Подобные атаки и методы защиты от них — дело ближайшего будущего.   

Кто может попасть под фишинговую атаку

Жертвой фишинга может стать каждый. 

В зоне риска сотрудники финансовых организаций — банков, платежных систем, онлайн-аукционов. Фишеры охотятся за данными, которые дают прямой доступ к деньгам: номерами карт, паролями от онлайн-банка. Поэтому работники, имеющие дело с финансовой информацией, всегда в зоне риска.

Еще одна уязвимая категория — сотрудники коммерческих подразделений компаний. Менеджеры по продажам, закупкам, логистике часто обмениваются документами и ссылками с малознакомыми людьми, что повышает вероятность фишинга. Мошенники могут притвориться поставщиком или заказчиком и выманить конфиденциальные данные.

Под прицелом госслужащие, особенно те, кто имеет доступ к закрытой информации. Злоумышленники охотятся за государственными секретами, персональными данными граждан, которые можно продать или использовать для шантажа.

Как защититься от фишинговых атак

Повысить защиту и снизить риск можно, соблюдая простые правила цифровой гигиены: 

1. Не переходите по ссылкам и не открывайте вложения из незнакомых источников.

2. Не вводите личные данные на подозрительных сайтах. 

3. Используйте сложные и разные пароли для всех своих аккаунтов. Надежный пароль должен содержать не менее 12 символов, включая строчные и прописные буквы, цифры и спецсимволы. Обязательное условие надежной защиты: хранить пароли в программах-менеджерах паролей (KeePass, 1Password и т.п.), а не просто в текстовом файле на рабочем столе компьютера.   

4. Подключите двухфакторную аутентификацию везде, где это возможно — в почте, соцсетях, онлайн-банке. Это усложнит злоумышленникам доступ к вашим аккаунтам, даже если они узнают пароль. Чтобы защищать свои аккаунты, используйте приложение для генерации одноразовых паролей (OTP, one-time password): Authy, Aegis, Google Authenticator, Microsoft Authenticator, Yandex Key, FreeOTP.

5. Регулярно обновляйте операционную систему, браузер и антивирус. Обновления устраняют уязвимости, которыми могут воспользоваться фишеры для заражения вашего устройства.

6. Используйте антифишинговые расширения для браузера. Они предупредят вас, если вы случайно зайдете на поддельный сайт.

7. Важный аспект защиты: следите за своими аккаунтами и финансами. Если заметите подозрительную активность — немедленно меняйте пароли и обращайтесь в банк. Чем раньше отреагируете, тем меньше шансов у мошенников нанести ущерб.

Подведем итог

Фишинг — одна из самых серьезных угроз в современном интернете. Фишинга не стоит бояться, но стоит помнить и соблюдать правила цифровой гигиены. Этого вполне достаточно для защиты от обычных жуликов. Компаниям следует серьезно защищать чувствительные данные клиентов: инвестировать в современные системы кибербезопасности, обучать сотрудников.