Фішинг — що це таке

Привіт, шановні читачі ReklamaZaMillionDollarov.com. Сьогодні хочу поговорити про таке явище, як фішинг, яке стало невід’ємною «тіньової» частиною життя в інтернеті (так само як віруси, спамм, злом акаунтів, фейки і т.п.).

Це слово дуже схоже за звучанням на англійське слово fishing, що означає риболовлю, але в нашому випадку за основу береться вигадане слово phishing, що означає вивудження паролів і інших цінних відомостей в основному методами соціальної інженерії.

Зміст статті

Фішинг - це ..

Пароль від вашого електронного гаманця або дані кредитки зовсім не обов’язково красти — можна досить просто змоделювати ситуацію, коли ви самі його з готовністю повідомте Фішеру. Ні, правда. Наприклад, я сам (добре знайомий з методами фішингу) на чистому оці віддав лиходіям п’ят тисяч рублів зі свого Яндекс гаманця. Сам! Вже потім, заднім розумом я зрозумів, що наробив, а так навіть в думках не було…

Фішинг-це здебільшого мистецтво управління діями жертви з дуже високою часткою ймовірності виконання того, що потрібно зловмиснику. Є, звичайно ж, і технічні моменти (підроблені сайти, розсилка листів, підміна адреси і т.п.), але в першу чергу це соціальна інженерія. Однак, є методи, що дозволяють мало не на сто відсотків захиститися від фішингу, про які ми сьогодні і поговоримо.

Фішинг-це коли вас водять за ніс, а ви і раді

Правда, відразу обмовлюся. Вираз» попереджений — значить озброєний «в цьому випадку не завжди спрацьовує, бо Фішери використовують методи, які дозволяють вивести жертву на час з рівноваги (наприклад, повідомленням» блокування рахунку » і т.п.). У більшості випадків жертва починає спочатку «робити«, а вже тільки потім»думати». Тому, якщо ви знаєте про фішинг, це зовсім не означає, що ви на їх вудку не попадетеся.

Але тим не менш, якщо виробити в собі навички правильної поведінки, то ще до того моменту «як включиться голова» можна буде «на автоматі» зробити все правильно. Як це правильно? Ну, про це трохи нижче, а зараз все ж варто познайомитися з ворогом ближче і зрозуміти ті основні схеми, які використовують зловмисники намагаючись зловити нас на вудку.

Отже, як і в звичайній риболовлі тут є приманка, яка насаджена на ретельно прихований гачок. В якості приманки найчастіше виступає повідомлення відправлене по електронній пошті (що це таке, сподіваюся, ви знаєте). Хоча вам цілком може і фішингове SMS-повідомлення прийти. У будь-якому випадку, воно буде замасковано під «офіційне», щоб не викликати у вас зайвих підозр ще на стадії «підгодовування».

Наприклад, це може бути» як би » повідомлення від вашого банку, сервісу електронних грошей (в середині нульових була епопея активної фішинг-атаки на користувачів гаманців в Пейпалі) або якогось ще сервісу, де «є що вкрасти».

У цьому повідомленні обов’язково буде міститися щось таке, що Вас обов’язково повинно спонукати перейти на вказаний в повідомленні сайт (заголовок може містити слова: «рахунок заблокували», «аккаунт зламали», «гроші перевели з карти без вашого відома») і авторізувавшись (ввівши свої логін і пароль), виконати там «нібито необхідні» маніпуляції для разрещенія придуманої для вас Фішером проблеми.

Приклад фейкового листа Мене, наприклад, на таку ось приманку підчепили:

Приклад фішингового листа

У попередньому абзаці я підкреслив слово»авторизувавшись». Чому? Та тому що, якщо Фішери націлилися на Ваш електронний гаманець або аккаунт в соцмережі, то вже однієї авторизації іноді їм буває достатньо. Чому?

Та тому, що пароль і логін ви будете вводити на підробленому (один в один схожому на справжній), але все ж фішинговому сайті (це той самий гачок, майстерно захований під не викликає у «рибки» підозри наживці у вигляді надісланого повідомлення). Після авторизації ваші пароль і логін «тю-тю», а ви, якщо оперативно не підметитеся, то позбудетеся чогось цінного, що у вас можна вицепити.

Однак, зараз багато платіжні системи та інші сервіси підвищують безпеку і гроші з рахунку просто так не виведеш — потрібно підтвердження по телефону. Не проблема. На фішинговому сайті Вас запросто можуть попросити ввести код з надісланої SMS на мобільник.

Я, наприклад, ввів навіть не засумнівавшись. Сайт-то був, ну точнісінько схожий на Яндекс гроші, а вже там нічого поганого не попросять. Точно так само з вас виманять і дані кредитки, і взагалі все що завгодно, бо довіра до» офіційного » сайту дуже велике. Соціальна інженерія-місце, де працюють знавці людських душ. Чим більш талановитий шахрай, тим більше він багатий, тому вони намагаються, удосконалюються, вчаться…

Які методи фішингу можуть використовуватися

Зараз справа не обмежується тільки підробленими сайтами, бо про них вже багато хто знає і обережні. Дуже часто Фішери влаштовують багатоходівки. Вони запросто можуть використовувати в якості гачка не лист, а спілкування по телефону.

Наприклад, в надісланій СМС можуть попросити вас зателефонувати за певним номером нібито для вирішення срочновознікшей проблеми. Після спілкування з автовідповідачем ви на чистому оці викладіть не тільки номер кредитки, а й пін-код від неї, що рівносильно добровільної віддачі всіх лежать на ній грошей. Фішинг по телефону викликає більше довіри у «рибки» на нього попалася, бо вважає його більш захищеним каналом спілкування.

Самі ж номери телефонів можуть збиратися знову ж за допомогою підроблених сайтів, наприклад, таких:

Приклад фішингового сайту з витягування номерів телефонів
Приклад фішингового сайту з витягування номерів телефонів

Або таких:

Приклад сайту для збору телефонних номерів

Зверніть увагу, що на першому скріншоті фішинговий сайт, хоч і схожий один в один на Яндекс, але якщо придивитися до адресного рядка, то помітите, що це Урл адреса ніякого відношення до Яндексу не має. Є така штука, як піддомени, тобто домени третього рівня. Це не складно, дивіться.

Мій домен reklamazamilliondollarov.com (він вважається доменом другого рівня). Я його купив і іншого такого ж в Інтернеті бути не може. Те ж стосується і yandex.ru. Але дивіться, що я можу! Абсолютно безкоштовно і в необмеженій кількості Я можу створювати піддомени на основі свого домену, тобто можу створити сайт з таким ось адресою: yandex.reklamazamilliondollarov.com (або навіть домен четвертого рівня — yandex.ru.reklamazamilliondollarov.com). побачивши таку конструкцію в адресному рядку, не кожен користувач зрозуміє, що його обманюють, бо є згадка yandex.

Ще більше користувачів плутає те, що у самого yandex.ru є ціла купа офіційних піддоменів-вони лише виглядають трохи інакше. Наприклад, сервіс direct.yandex.ru. Це офіційний сайт сервісу. Але якщо ви не вебмастер, то ви не помітите різницю, наприклад, з таким доменом yandex.direct.ru, а цей сайт до Яндексу вже ніякого відношення мати не буде. Зрозуміли? Дивіться, щоб в Урл адресі все було Чікі-пуки (як я вас навчив).

Однак, не завжди очима виходить побачити підробку в адресному рядку. Як так? А ось так:

  1. В Урл адресі може бути замінена тільки одна буква, та так, що візуально помітити це дуже складно (буква схожа по накресленню-методів і робочих напрацювань маса)
    Фейковий сайт Вебмані
    Фейковий сайт Вебмані
  2. На фішинговому сайті за допомогою такої штуки як JavaScript (скрипт виконуваний в браузері користувача — абсолютно офіційна і здебільшого досить-таки корисна технологія) може йти підміна вмісту адресного рядка на те, що повинно бути на офіційному сайті сервісу. Зробити це можна різними способами (картинку з намальованим Урлом підкладати, звичайну підміну робити або ще як). Ви побачите те, що вам хочуть показати.
  3. Як я вже згадував трохи вище, фішинг не обов’язково здійснюється через підроблений сайт. Вас можуть попросити зателефонувати, а там ще складніше зрозуміти фейковий цей номер чи ні (тим більше, що є варіанти використання фальшивих номерів). А можливості по витягуванню даних Голосовий обман надає нітрохи не менше
  4. Дуже часто посилання на фейковий сайт приходить в СМС повідомленні, а в мобільному браузері не завжди вийде досконально вивчити Урл адресу сайту, куди ви потрапили після переходу.

Крім поштових повідомлень, посилання на фішинговий сайт може міститися де завгодно. Наприклад, на відвідуваному вами ресурсі або в соцмережі. Тут ще складніше розпізнати підступ.

Наприклад, фішинг в соцмережах має ККД 70%, бо «рідний» мережі довіряють. А в цей час посилання може вести на сайт інтернет-магазину, де щось продається ну просто за низькою ціною. Причому це буде брендовий магазин (а точніше його підробка) і ви запросто передасте йому дані своєї карти сподіваючись на вдалу покупку.

Цілі зловмисників можуть бути і не настільки амбітні. Досить часто за посиланням з соцмережі Ви потрапляєте на сайт цієї ж мережі (тільки фейковий) і там вас попросять авторизуватися, щоб щось зробити. Причому мало кого дивує, що заходячи на сайт тієї ж мережі з-під того ж браузера чомусь потрібно повторно авторизовуватися. Після цього аккаунт ваш відводять або непомітно використовують в своїх «мерзенних цілях». Такі ось варіанти фішингу бувають.

Як зробити так, щоб не попастися на фішинг-атаку

В принципі, проблема фішингу зараз хвилює багатьох і з нею намагаються в міру сил боротися. Наприклад, більшість сучасних браузерів попереджають вас при попаданні на фейковий сайт (якщо він вже є в їх базі). Те ж саме можна сказати про популярні сервіси електронної пошти — при появі у вашому ящику підозрілих листів, при їх відкритті ви можете побачити попередження про таящейся в них можливої небезпеки.

Але Фішери теж не сплять і їх листи (або SMS повідомлення) все одно пробивають і успішно падають на благодатний грунт, приносячи їм, напевно, пристойний дохід. Однак, можна і самому помітити, що, наприклад, посилання з листа зі «страшним заголовком», Що примушує до швидкого дії, веде не на офіційний сайт (для цього достатньо підвести до посилання курсор миші і подивитися в нижньому лівому кутку вікна браузера на з’явився Урл):

Приклад підміни адреса в листі

Тобто адреса в тексті посилання вказано правильний, але вести він буде на підроблений сайт. Реалізується це тривіально. Наприклад, це посилання: Yandex.ru приведе вас не на оф.сайт Яндекса, а на мою статтю про цю пошукову систему і про те як видалити історію в Яндексі. Якщо розумієте як працюють гіперпосилання в мові Html, то це для вас не секрет.

Точно так само можна перевірити куди приведе вас натискання по кнопці з електронного листа, бо кнопка-це теж гіперпосилання, але замість тексту в ній використовується картинка (зображає кнопку):

Фішинговий лист з кнопкою

Але проблема в тому, що зловмисники не віршики розсилають, а листи, які повинні вас обов’язково схвилювати і примусити до негайних дій. Думати при цьому не дуже виходить, бо нервова система отримала струс. Тому таку дрібницю, як перевірити посилання, по якій ви робите перехід, ми просто забуваємо (на собі перевірено). А в разі СМС повідомлення, так взагалі це буде складно зробити, так само як і номер надісланого телефону перевірити на фейк.

Однак, є стовідсотково робоча порада-виробити звичку при отриманні будь-яких листів і СМС від сервісів не користуватися наявними там посиланнями і номерами телефону, а переходити на їх офіційний сайт (з закладок браузера або з пошукової системи), щоб вже там знайти потрібний вам розділ або дізнатися контактний телефон. Так, так складніше, але зате коли фішинг добереться до вас, то їх «закид» не принесе ніякого результату, бо ви захищені рефлексами.

Так, і в будь-якому випадку варто пам’ятати, що банк ніколи не попросить вас вказати свій ПІН-код, а потрапивши за посиланням в популярний інтернет-магазин з дивно низькими цінами, не поспішайте платити за них за допомогою своєї карти, а краще зайдіть в нього через пошук і знайдіть десять відмінностей від того, що Вам підсовували.

ДО РЕЧІ, знаєте як знайти офіційний сайт будь-якої компанії, сервісу, інтернет-магазину і т.п. якщо точно не впевнені, то перейдіть за вказаним посиланням і прочитайте пару абзаців. Так-то воно завжди надійніше буде…

Удачі вам! До швидких зустрічей на сторінках ReklamaZaMillionDollarov.com.

Вам також може бути цікаво:

Пошук по картинці, фото або будь-якого завантаженому зображенню в Гуглі і Яндексі — як це працює

Верифікація та валідація — що це таке простими словами

Артефакт-це…

Що таке толерантність

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Корисна стаття? Не пропустіть нові!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: