Як розпізнати та уникнути фішингу?

Онлайн-шахраї використовують кілька методів, щоб обманом змусити користувачів надати особисту інформацію, як-от банківські облікові дані, номери соціального страхування тощо . Одним із найпоширеніших способів обману користувачів є фішингові атаки.

У цій публікації ми дізнаємося, що таке фішинг-атака та як її розпізнати та уникнути.

Що таке фішинг-атака?

Якщо ви звичайний користувач Інтернету, ви могли отримувати електронні листи чи повідомлення на кшталт: « Ви здійснили 5-мільярдний пошук», « Ви виграли в лотерею 1000 доларів!», «Ваш банківський рахунок буде заблоковано, будь ласка, перегляньте свій деталі» або щось подібне. У більшості випадків такі електронні листи є фальшивими та надсилаються користувачам, щоб обманом змусити їх надати важливу інформацію. Така техніка, за допомогою якої користувачів обманюють, надаючи пропозиції «занадто добре, щоб бути правдою», відома як фішинг.

Як ви можете зрозуміти, фішинг — це спроба проникнути в приватне життя користувача шляхом психологічної атаки на жертву за допомогою методів соціальної інженерії.

Фішингові атаки проводяться настільки вміло, що навіть деякі експерти вдаються в оману й навмисно надають особисту інформацію, таку як особисті дані, фінансові дані, номери соціального страхування, дані кредитної картки, облікові дані для входу, конфіденційну інформацію про компанію тощо.

Для здійснення фішингу кібер-зловмисники використовують такі звичайні методи, як пропозиція посилань, електронні листи, текстові повідомлення, канали соціальних мереж та інші подібні методи зв’язку. Як правило, жертви потрапляють у такі афери через страх, терміновість, жадібність або цікавість.

Як працює фішинг?

Традиційно шахраї змусили користувачів натиснути посилання або заповнити форму для викрадення інформації. Після того, як жертва натисне на підроблене посилання, вона буде перенаправлена ​​на веб-сторінку, яка буде виглядати як справжня сторінка організації, наприклад банку.

Тепер користувач буде навмисно виконувати вказівки підробленої веб-сторінки, вважаючи її справжньою. Сторінка може попросити вас оновити або надати конфіденційну інформацію для вирішення проблеми.

Використовуючи цей трюк, кібер-зловмисники можуть отримати більше інформації, як-от відповідь на ваше таємне запитання, дівоче прізвище вашої матері тощо. Уся така інформація корисна для проникнення в обліковий запис.

Як розпізнати спроби фішингу?

Як уже згадувалося, фішингові атаки проводяться досвідченими шахраями після проведення багатьох досліджень жертв. Отже, визначити його природним шляхом нелегко. Однак є певні ознаки, які можуть вказувати на те, що відбувається щось підозріле.

• Електронні листи чи повідомлення, які використовуються для обману користувачів, часто виглядають так, ніби вони надійшли від відомих або надійних організацій, таких як Microsoft, Netflix або банки. Якщо вони запитують особисту інформацію в електронних листах або дзвінках, то є щось підозріле, оскільки великі організації ніколи не запитуватимуть у своїх клієнтів такі деталі через електронні листи чи дзвінки. Ви можете легко помітити підроблені електронні листи чи тексти, шукаючи будь-які граматичні чи пунктуаційні помилки. Повідомлення від відомої організації малоправдоподібно містить такі помилки.
• Шахраї намагатимуться зробити все можливе, щоб обманом змусити вас перейти за підозрілим посиланням або безпосередньо надати інформацію. Для цього вони використовують кілька методів, наприклад:
  • Налякати вас тим, що ваш банківський рахунок буде заблоковано, якщо ви не оновите свою інформацію, натиснувши на дане посилання. Це посилання є шахрайським.
  • Надавати вам такі пропозиції, як лотерея, гроші, знижки тощо.
  • Інформувати вас про пільги (фальшиві), які пропонує уряд, і просити вас заповнити форму, щоб отримати ці пільги. Форма запитає вас про конфіденційну інформацію.
• Шахраї також проводять обширне дослідження особи чи організації перед тим, як спробувати фішинг. Вони можуть обдурити вас, пропонуючи вам знижки та пропозиції на речі, які вам подобаються, наприклад книги, гаджети чи їжу. Наразі найпоширеніший спосіб, яким шахраї обманюють молодь, – це пропонувати їм безкоштовну або недорогу підписку на потокові сервіси, такі як Netflix, Amazon Prime, Hulu або Disney+.
• Інша річ, яка може допомогти вам розпізнати спробу фішингу, це ваш інстинкт. Якщо, отримавши захоплюючу пропозицію електронною поштою, ви вважаєте, що це занадто добре, щоб бути правдою, можливо, ваш інстинкт правильний, і ви повинні бути дуже обережними, рухаючись вперед.

Як уникнути або захистити себе від спроб фішингу?

Незважаючи на те, що фішинг – це психологічна атака, яка виконується з граничним дослідженням і увагою, ви все одно можете захистити себе від неї, застосувавши кілька дій.

• Ніколи не повідомляйте свою особисту інформацію в електронних листах або дзвінках, незалежно від відправника. Якщо будь-якій організації, наприклад банку, потрібна ваша особиста інформація, вони попросять вас відвідати банк особисто, а не через заповнення форми на будь-якій веб-сторінці.
• Жоден справжній оператор служби підтримки клієнтів не запитав би номер OTP або CVV вашої дебетової чи кредитної картки.
• Перевірте автентичність веб-сайту, перш ніж виконувати будь-які дії з ним. Наприклад, якщо якась веб-сторінка стверджує, що надає вам безкоштовні винагороди, перевірте її доменне ім’я в Google. Ви легко знайдете будь-які негативні чи позитивні відгуки про нього.
• Якщо ви керуєте будь-якою організацією, розкажіть своїм співробітникам про типові способи, які використовують шахраї для здійснення фішингу. Найкращий спосіб уникнути фішингу – розпізнати його. Якщо людина буде добре поінформована заздалегідь, тоді буде легко уникнути подібних шахрайств.
• Увімкніть багатофакторну автентифікацію для всіх ваших основних облікових записів, щоб навіть якщо хтось отримав доступ до ваших облікових даних через фішинг, він не отримав би доступу до облікового запису.
• Продовжуйте встановлювати надійне рішення для захисту від шкідливих програм у всій вашій системі. Антишкідливе програмне забезпечення виявить шкідливі посилання, надіслані на ваші електронні листи чи повідомлення, і тим самим запобіжить фішингу.
• Інша справа — часто змінювати паролі для входу та вибирати різні паролі для різних облікових записів. Багато користувачів мають звичку зберігати один пароль для всіх своїх облікових записів. Хоча це може зменшити навантаження на запам’ятовування багатьох паролів, у довгостроковій перспективі це може виявитися дуже дорогим. Уявіть, що зловмисник потрапив до пароля одного з ваших облікових записів, а для всіх інших пароль однаковий; усі ваші облікові записи будуть уразливими. Якщо вам складно створити та запам’ятати пароль, ви можете отримати спеціальний менеджер паролів.

Нижня лінія

Фішингові атаки є однією з найнебезпечніших загроз кібербезпеці, оскільки вони зазвичай здійснюються за допомогою соціальної інженерії, тобто шляхом гри з людською психологією.

Сучасне рішення безпеки може впоратися з будь-якими технічними проблемами, такими як рекламне програмне забезпечення або викрадення веб-переглядача, розпізнаючи їх шаблон і підпис.

Однак людську психіку неможливо зрозуміти жодною програмою безпеки. Тому вкрай важливо тримати себе в курсі останніх методів фішингу, які використовують зловмисники.

Ця публікація дасть вам ідею, як визначити та запобігти фішингу, але зрештою саме ваше чуття та інтуїція допоможуть вам розпізнавати пропозиції « НАДАДТО ДОБРЕ, ЩОБ БУТИ ПРАВДОЮ » та інші фішингові прийоми.