В эпоху цифровых технологий наши личные и финансовые данные – ценный актив, за которым охотятся кибермошенники. Один из распространенных методов его кражи – фишинг. Расскажем, как защититься от фишинга.

Что такое фишинг?

Это вид мошенничества, цель которого обманом завладеть персональными данными человека и получить доступ к его деньгам. Термин «фишинг» происходит от английского fishing – рыбная ловля. Злоумышленники, подобно рыбакам, забрасывают удочку в виде схем обмана, чтобы добраться до логина и пароля от личного кабинета жертвы в банке, на портале «Госуслуги» или другом сервисе, до реквизитов банковской карты, счета, паспортных данных и другой личной информации. Фишеры могут воспользоваться ею самостоятельно, а могут продать другим злоумышленникам, обнародовать в сети Интернет, шантажировать человека  и требовать деньги. 

В 2024 году одна только Лаборатория Касперского заблокировала более 125 млн фишинговых почтовых отправлений и предотвратила без малого 900 млн попыток перехода по поддельным ссылкам. 

 

Какие типы фишинга бывают?

Преступники изобретают различные виды фишинговых атак: 

 

• Смишинг (от англ. smishing – sms и phishing – смс и фишинг) – мошенничество по смс и сообщениям в мессенджерах. 

Пользователь получает сообщение, например, о том, что его карта заблокирована, зафиксирован подозрительный перевод. Есть и другие легенды, например: выигрыш в лотерее, выплата от Социального фонда, предложение о работе с высокой зарплатой и минимальными временными затратами, просьба проголосовать в каком-нибудь конкурсе… Чтобы разобраться в ситуации или получить помощь, человеку предлагается пройти по ссылке из сообщения или позвонить по номеру, указанному в нем. Ссылка активирует на вашем устройство загрузку вредоносного ПО или уведет на фишинговый сайт, а звонок – на преступника, который выступит в роли организатора розыгрыша, работодателя или специалиста финансовой или государственной организации. Цель – выманить персональные данные, реквизиты карты и получить доступ к финансовым сервисам.

• Вишинг (от англ. voice и phishing – голос и фишинг), или мошенничество при помощи телефонного разговора. 

Цель злоумышленника такая же, как и при фишинговой атаке по смс: заставить человека раскрыть конфиденциальную информацию, которая поможет украсть деньги (например, трехзначный код банковской карты, код для входа на портал «Госуслуги», данные паспорта). Часто с помощью психологических приемов аферисты под разными предлогами уговаривают человека перевести деньги им. Например, используют старую схему: «Снимите деньги с карты и переведите их на безопасный счет, чтобы спасти средства». 

На самом деле, человеку звонит не врач, а аферист, который пытается войти в личный кабинет жертвы на «Госуслугах». Если он продиктует код из сообщения, то предоставит мошеннику доступ туда и, следовательно, к своим паспортным данным, ИНН, СНИЛС, адресу регистрации и пр. 

Порой мошенники нацелены не только на простых граждан, но и на рыбку покрупнее. Вместо массовой рассылки множеству получателей злоумышленники охотятся за конкретной организацией, ее сотрудниками и даже отдельным человеком. Этот вид называется спирфишинг.

• Спирфишинг (от англ. spear phishing – целевой фишинг) – мошенническая атака с целью заполучить конфиденциальные данные организации, чтобы перепродать секретную информацию конкурентам либо украсть деньги со счета компании.

Разновидность целевого фишинга – уэйлинг (от англ. whaling – китобойный промысел). Эта схема мошенников нацелена на руководителей высшего звена. Мошенники выдают себя за гендиректора, финансового директора или начальника отдела кадров, чтобы застать подчиненного, которому пишут, врасплох.

 

Как защититься от фишинга:

Возьмите паузу, прежде чем следовать инструкциям, которые получили от звонящего или из письма. Мошенники часто создают ощущение срочности, чтобы заставить жертву действовать немедленно и не задумываясь.

1. Позвоните в организацию, из которой с вами связались, по номеру с официального сайта. 
2. Не переходите по ссылкам, присланным в подозрительных письмах, соцсетях и мессенджерах. Часто фишинговую ссылку может прислать и знакомый контакт, если его аккаунт в мессенджере или социальной сети взломали. 
3. Внимательно проверяйте адрес ресурса, на котором совершаете операции. Фишинговый сайт может отличаться от настоящего всего одной буквой, символом или доменом. 
4. Проверяйте информацию из рассылок на официальном сайте организации, от имени которой пришло письмо. Это касается не только рекламных предложений от маркетплейсов, но и ситуаций, когда вам сообщают о новых выплатах. Данные о льготах и пособиях есть на официальных сайтах органов власти и на портале «Госуслуги». 
5. Скачивайте приложения и программы только с официальных ресурсов. Обращайте внимание на количество скачиваний, рейтинг и отзывы.
6. Не открывайте вложенные файлы из сообщений и писем от неизвестных отправителей.
7. Не создавайте один и тот же пароль для всех сервисов. 
8. Для интернет-шопинга заведите отдельную банковскую карту и пополняйте ее только на сумму предстоящей покупки. 
9. Установите антивирус и регулярно проверяйте устройства на наличие вирусов.
10. Будьте в курсе актуальных мошеннических схем, чтобы не попасться на удочку преступников.

 

Что делать если вы клюнули на удочку мошенников?

Выполните несколько шагов:

Шаг 1. Обратитесь в официальные органы или финансовые организации, от имени которых действовали мошенники.

Шаг 2. Постарайтесь оперативно поменять пароль, который мошенники могли раскрыть.

Шаг 3. Предупредите близких, что ваши данные в руках мошенников и они могут получить сообщения/звонки якобы от вашего имени.

Шаг 4. Просканируйте устройство на наличие вредоносных ПО.

Шаг 5. Обратитесь в правоохранительные органы, если в результате фишинга мошенникам удалось похитить ваши деньги.