Сьогодні хочу поговорити про таке явище, як фішинг, який став невід’ємною «тіньовою» частиною життя в інтернеті (так само як віруси, спам, злом акаунтів, фейки тощо).
Фішинг – це вид інтернет-шахрайства, метою якого є отримання доступу до конфіденційних даних користувачів – логінів та паролів. Це досягається шляхом проведення масових розсилок електронних листів від імені популярних брендів, а також особистих повідомлень усередині різних сервісів, наприклад від імені банків або всередині соціальних мереж. У листі часто міститься пряме посилання на сайт, що зовні не відрізняється від сьогодення, або на сайт з редиректом.
Це слово дуже схоже на англійське слово fishing, що означає риболовлю, але в нашому випадку за основу береться вигадане слово phishing, що означає вивужування паролів та інших цінних відомостей в основному методами соціальної інженерії.
Фішинг
Пароль від вашого електронного гаманця або дані кредитки зовсім не обов’язково красти – можна досить просто змоделювати ситуацію, коли ви самі його охоче повідомте фішеру. Ні правда. Наприклад, я сам (добре знайомий з методами) на чистому оці віддав лиходіям п’ять тисяч рублів зі свого Яндекс Гаманця. Сам! Вже потім заднім розумом я зрозумів, що наробив, а так навіть у думках не було…
Фішинг – це здебільшого мистецтво управління діями жертви з дуже високою ймовірністю виконання того, що потрібно зловмиснику. Є, звичайно ж, і технічні моменти (підроблені сайти, розсилання листів, підміна адреси тощо), але насамперед це соціальна інженерія. Однак, є методи, що дозволяють чи не повністю захиститися від фішингу, про які ми сьогодні і поговоримо.
Фішинг – це коли вас водять за ніс, а ви й раді
Щоправда, відразу обмовлюся. Вираз «попереджений — значить озброєний» у разі не спрацьовує, бо фішери використовують методи, які дозволяють вивести жертву тимчасово з рівноваги (наприклад, повідомленням «Блокування рахунки» тощо.). Найчастіше жертва починає спочатку «робити», а вже потім «думати». Тому, якщо ви знаєте про фішинг, це зовсім не означає, що ви на їхню вудку не потрапите.
Проте, якщо виробити в собі навички правильної поведінки, то ще до того моменту «як увімкнеться голова» можна буде «на автоматі» зробити все правильно. Як це правильно? Ну, про це трохи нижче, а зараз все ж таки варто познайомитися з ворогом ближче і зрозуміти ті основні схеми, які використовують зловмисники намагаючись зловити нас на вудку.
Отже, як і в звичайній риболовлі тут є приманка, насаджена на ретельно прихований гачок. Як приманку найчастіше виступає повідомлення відправлене електронною поштою (що це таке, сподіваюся, ви знаєте). Хоча вам цілком може й фішингове SMS-повідомлення прийти. У будь-якому випадку, воно буде замасковане під «офіційне», щоб не викликати у вас зайвих підозр ще на стадії «підгодовування».
Наприклад, це може бути «ніби» повідомлення від вашого банку, сервісу електронних грошей (у середині нульових була епопея активної фішинг-атаки на користувачів гаманців у Пейпалі) або якогось ще сервісу, де є що вкрасти.
У цьому повідомленні обов’язково буде утримуватися щось таке, що вас обов’язково має спонукати перейти на вказаний у повідомленні сайт (заголовок може містити слова: «рахунок заблокували», «аккаунт зламали», «гроші перевели з карти без вашого відома») і авторизувалися (ввівши свої логін та пароль), зробити там «нібито необхідні» маніпуляції для розріщення придуманої для вас фішером проблеми.
У попередньому абзаці я наголосив на слові «авторизувавшись». Чому? Так тому що, якщо фішери націлилися на ваш електронний гаманець або аккаунт у соцмережі, то вже однієї авторизації іноді їм досить. Чому?
Та тому, що пароль і логін ви будете вводити на підробленому (один в один схожому на справжній), але все ж таки фішинговому сайті (це той самий гачок, майстерно схований під наживці, що не викликає у «рибки» підозри, у вигляді надісланого повідомлення). Після авторизації ваші пароль і логін «тю-тю», а ви, якщо оперативно не підіймете галас, то втратите щось цінне, що у вас можна вичепити.
Однак, зараз багато платіжних систем та інших сервісів підвищують безпеку і гроші з рахунку просто так не виведеш — потрібне підтвердження через телефон. Не проблема. На фішинговому сайті вас запросто можуть попросити ввести код із надісланої SMS на мобільник.
Я, наприклад, увів навіть не сумніваючись. Сайт-то був, ну точнісінько схожий на Одинзсайті банку, а вже там нічого поганого не попросять. Так само з вас виманять і дані кредитки, і взагалі все, що завгодно, бо довіра до «офіційного» сайту дуже велика.
Соціальна інженерія – місце, де працюють знавці людських душ. Чим талановитіший шахрай, тим більше він багатий, тому вони стараються, удосконалюються, навчаються…
Які види та методи фішингу можуть використовуватись
Зараз справа не обмежується лише підробленими сайтами, бо про них уже багато хто знає та обережне. Дуже часто фішери влаштовують багатоходівку. Вони можуть використовувати як гачок не лист, а спілкування через телефон.
Наприклад, у надісланій СМС можуть попросити вас зателефонувати за певним номером нібито для вирішення проблеми, що терміново виникла. Після спілкування з автовідповідачем ви на чистому оці викладете не тільки номер кредитки, а й пін-код від неї, що рівносильно добровільній віддачі всіх грошей, що на ній лежать. Фішинг через телефон викликає більше довіри у «рибки», що на нього попалася, бо вважає його більш захищеним каналом спілкування.
Однак, не завжди очима виходить побачити підробку в адресному рядку. Як так? А ось так:
- В Урл адресі може бути замінена тільки одна буква, так що візуально помітити це дуже складно (літера схожа за накресленням – методів і робочих напрацювань маса)
- На фішинговому сайті за допомогою такої штуки як JavaScript (скрипт виконуваний в браузері користувача – офіційна і здебільшого корисна технологія) може йти підміна вмісту адресного рядка на те, що має бути на офіційному сайті сервісу. Зробити це можна у різний спосіб (картинку з намальованим Урлом підкладати, звичайну підміну робити або ще як). Ви побачите те, що хочуть показати.
- Як я вже згадував вище, фішинг не обов’язково здійснюється через підроблений сайт. Вас можуть попросити зателефонувати, а там ще складніше зрозуміти цей фейковий номер чи ні (тим більше, що є варіанти використання фальшивих номерів). А можливості по витягу даних голосовий обман надає анітрохи не менше
- Дуже часто посилання на фейковий сайт надходить у СМС повідомленні, а в мобільному браузері не завжди вийде досконально вивчити адресу сайту, куди ви потрапили після переходу
Крім поштових повідомлень, посилання на фішинговий сайт може міститися будь-де. Наприклад, на відвідуваному вами ресурсі або в соцмережі. Тут ще складніше розпізнати каверзу.
Наприклад, фішинг у соцмережах має ККД 70%, бо «рідної» мережі довіряють. А в цей час посилання може вести на сайт інтернет-магазину, де щось продається ну просто за невисокою ціною. Причому це буде брендовий магазин (а точніше його підробка) і ви просто передасте йому дані своєї карти сподіваючись на вдалу покупку.
Цілі зловмисників можуть бути не настільки амбітними. Досить часто за посиланням із соцмережі ви потрапляєте на сайт цієї мережі (тільки фейковий) і там вас попросять авторизуватися, щоб щось зробити. Причому мало кого дивує, що, заходячи на сайт тієї ж мережі з-під того ж браузера, чомусь потрібно повторно авторизуватися. Після цього обліковий запис ваш відводять або непомітно використовують у своїх «мерзенних цілях». Такі варіанти фішингу бувають.
Як зробити так, щоб не потрапити на фішинг-атаку
У принципі, проблема фішингу зараз хвилює багатьох і з нею намагаються в міру сил боротися. Наприклад, більшість сучасних браузерів попереджають вас при попаданні на фейковий сайт (якщо він вже є в їхній базі). Те ж саме можна сказати про популярні сервіси електронної пошти — при появі у вашій скриньці підозрілих листів, при їх відкритті ви можете побачити попередження про можливу небезпеку.
Але фішери теж не сплять і їх листи (або SMS повідомлення) все одно пробивають і успішно падають на благодатний ґрунт, приносячи їм, напевно, пристойний дохід. Однак, можна і самому помітити, що, наприклад, посилання з листа зі «страшним заголовком», що примушує до швидкої дії, веде не на офіційний сайт (для цього достатньо підвести до посилання курсор миші і подивитися в нижньому лівому куті вікна браузера на Урл, що з’явився ):
Тобто адреса в тексті посилання вказана правильна, але вести її буде на підроблений сайт. Реалізується це очевидно. Наприклад, це посилання: Google.com приведе вас не на оф.сайт Гугла, а на мою статтю про цю пошукову систему. Якщо розумієте, як працюють гіперпосилання в мові Html, то це для вас не секрет.
Так само можна перевірити куди приведе вас натискання по кнопці з електронного листа, бо кнопка – це теж гіперпосилання, але замість тексту в ній використовується картинка.
Але проблема в тому, що зловмисники не розсилають віршики, а листи, які повинні вас обов’язково схвилювати і примусити до негайних дій. Думати при цьому не дуже виходить, бо нервова система отримала струс. Тому таку дрібницю, як перевірити посилання, за яким ви робите перехід, ми просто забуваємо (на собі перевірено). А в разі SMS повідомлення, так взагалі це буде складно зробити, так само як і номер надісланого телефону перевірити на фейк.
Однак, є стовідсотково робоча порада — виробити звичку при отриманні будь-яких листів та СМС від сервісів не користуватися посиланнями та номерами телефону, які є там, а переходити на їх офіційний сайт (із закладок браузера або з пошукової системи), щоб вже там знайти потрібний вам розділ або дізнатися про контактний телефон. Так, так складніше, але коли фішинг дістанеться до вас, то їх «закид» не принесе жодного результату, бо ви захищені рефлексами.
Так, і в будь-якому випадку варто пам’ятати, що банк ніколи не попросить вас вказати свій Пін-код, а потрапивши за посиланням у популярний інтернет-магазин з напрочуд низькими цінами, не поспішайте платити за них за допомогою своєї картки, а краще зайдіть у нього через пошук і знайдіть десять відмінностей від того, що вам підсовували.
