Фишинг, вишинг, смишинг и фарминг: советы, как не попасться на удочку кибермошенников

В настоящее время Интернет и компьютерные технологии стремительно проникают во все сферы жизнедеятельности человека. Общение, покупки, оплаты счетов и различные развлечения постепенно переходят в сеть Интернет. Бурное развитие телекоммуникационных технологий, стремительный рост числа электронных устройств и услуг, предоставляемых населению с использованием информационных технологий, привело к увеличению количества киберпреступлений. Появилось множество видов мошенничеств, направленных на получение конфиденциальных данных и дальнейшее их использование в корыстных целях.

К числу самых популярных видов «обмана» в сети Интернет можно отнести фишинг, вишинг и смишинг.

Основная цель у всех одна — выудить конфиденциальную информацию, в основном через перенаправление пользователей на поддельные сайты, но делается это по-разному.

 

Фишинг – вид интернет-мошенничества для получения доступа к конфиденциальным данным пользователей – логинам и паролям. Это достигается путем проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей

Какую же цель преследует фишинг и какого рода информация может понадобиться мошенникам?

Цели могут быть самые разные. Например:

1. Приватная информация частных лиц с целью их скомпрометировать. Хакеры могут охотиться как за известными личностями (например, с целью шантажа), так и за обычными людьми.
2. Получение доступа к банковским счетам путем хищения логина и пароля от платежных сервисов.
3. Коммерческая тайна. Фишинг используется недобросовестными конкурентами, рейдерами (специалисты по смене собственников предприятия, действующие незаконными способами) и другими лицами, заинтересованными в получении доступа к ценной информации или к деньгам компании.

Последние несколько лет атаки фишеров становятся все более продуманными, применяются методы социальной инженерии. Но в любом случае клиента пытаются напугать, придумать критичную причину для того, чтобы он выдал свою личную информацию. Как правило, сообщения содержат угрозы, например, заблокировать счет в случае невыполнения получателем требований, изложенных в сообщении («если вы не сообщите ваши данные в течение недели, ваш счет будет заблокирован»). Забавно, но часто в качестве причины, по которой пользователь якобы должен выдать конфиденциальную информацию, фишеры называют необходимость улучшить антифишинговые системы («если хотите обезопасить себя от фишинга, пройдите по этой ссылке и введите свой логин и пароль»).

Следует отметить, что Фишинговые сайты, как правило, живут недолго (в среднем — 3-5 дней). Так как анти-фишинговые фильтры довольно быстро получают информацию о новых угрозах, фишерам приходится регистрировать все новые и новые сайты. Внешний же вид их остается неизменен — он совпадает с официальным сайтом, под который пытаются подделать свой сайт мошенники.

Зайдя на поддельный сайт, пользователь вводит в соответствующие строки свой логин и пароль, а далее аферисты получают доступ в лучшем случае к его почтовому ящику, в худшем — к электронному счету. Но не все фишеры сами обналичивают счета жертв. Дело в том, что обналичивание счетов сложно осуществить практически, к тому же человека, который занимается обналичиванием, легче засечь и привлечь мошенников к ответственности. Поэтому, добыв персональные данные, некоторые фишеры продают их другим мошенникам, у которых, в свою очередь, есть отработанные схемы снятия денег со счетов.

Еще одной хитростью фишеров являются ссылки, очень похожие на URL оригинальных сайтов. Многие не помнят точный адрес сайта банка и ищут его через поисковые запросы. Поисковик выдает все подходящие страницы, и часто первые из них — как раз поддельные сайты банка, созданные мошенниками. Такой фишинговый сайт, как правило, повторяет дизайн официального сайта банка, но имеет другой интернет-адрес. На первое место в поисковой выдаче он попадает благодаря оплате рекламы, поэтому и обладает отличающейся от настоящего сайта пометкой «реклама». Что интересно, часто они не снимают деньги сразу, а выжидают, пока вы получите зарплату.

Важно! Не переходите по подозрительным ссылкам. Для веб-версии Интернет-банкинга используйте только официальный сайт Банка, а для мобильной версии – только мобильное приложение, загруженное из официальных магазинов. Внимательно изучите сайт, на котором вводите личные данные. Обязательно проверьте наличие такого сайта в интернете.

 

Вишинг – один из методов мошенничества с использованием социальной инженерии. Злоумышленники, используя телефонную коммуникацию и играя определенную роль (сотрудника банка, покупателя и т. д.), под разными предлогами выманивают у держателя платежной карты конфиденциальную информацию (ее реквизиты, номер паспорта, личный идентификационный номер, логины, пароли, СМС-коды) или стимулируют к совершению определенных действий с карточным счетом/платежной картой.

В конце 2020 и начале 2021 года этот вид мошенничества стал набирать обороты в Беларуси. В ход пошли не только звонки на стационарный или мобильный номер, но и в такие популярные мессенджеры, как Viber и WhatsApp. В вишинговой схеме может использоваться как робот-автоответчик, так и более «эксклюзивный» вариант с настоящим оператором. Схемы первого типа уже изжили себя, поэтому ставка все чаще делается на живое общение. Мошенники звонят, представляются сотрудниками службы безопасности банка и уведомляют вас, что на ваш счет или карту была совершена хакерская атака. Чтобы предотвратить списание ваших денег, вам предлагается провести нехитрые действия: сообщить 16-значный номер карты и cvc. Также вам может быть предложено установить на ваше устройство – чаще всего на смартфон – специальную «утилиту», которая обеспечит безопасность. Мошенники будут торопить вас и не давать опомниться. Но что действительно повергнет вас в шок, это то, с какой скоростью они спишут у вас деньги, если вы поведетесь на их уловки.

Важно! При звонке мошенники зачастую не знают, клиентом какого банка вы являетесь. Если они не угадывают с первой попытки, то рассказывают историю, что ваш банк является их банком-партнером и они уполномочены на получение информации. Это первый признак того, что вас пытаются обмануть. Кроме того, служба безопасности банка не станет звонить вам в мессенджеры и точно не станет спрашивать такие данные, как полный номер карты (только если последние 4 и первые 6 цифр на карте) и cvc.

 

Смишинг – преступная схема, направленная на то, чтобы пользователь перешел по вредоносной ссылке из SMS-сообщения.

При смишинговых атаках используются СМС или другие сервисы для пересылки текстовых сообщений. Эта форма атаки становится все более популярной из-за того, что люди больше доверяют сообщениям, полученным по телефону, чем в электронных письмах.

У многих фишинговые атаки не ассоциируются с СМС, хотя на самом деле злоумышленникам гораздо проще получить телефонный номер, чем адрес электронной почты.

Мошенники могут просто рассылать свои сообщения, используя разные комбинации из нужного количества цифр. Они могут без проблем перебирать все комбинации цифр. Согласно отчетам исследовательской компании Gartner, люди читают 98% полученных текстовых сообщений и отвечают на 45%. В то время как — согласно Gartner — на электронные письма отвечают всего 6%.

 

Запомните и расскажите близким:

1. Ни при каких обстоятельствах, никому и никогда не сообщайте информацию о себе или своей банковской платежной карте. Запомните, банк никогда не станет звонить своим клиентам посредством интернет-мессенджеров! Если Вам будет звонить настоящий сотрудник банка, то он точно будет знать, как минимум номер Вашей банковской платежной карты и никогда не спросит конфиденциальную информацию в телефонном режиме.
2. Уточните с кем именно Вы общаетесь, после чего положите трубку и перезвоните на номер телефона, который отображался у Вас на экране (в этом случае Вы свяжитесь именно с тем абонентом, которому принадлежит указанный номер, а не со злоумышленниками, которые его использовали с целью скрыть свой настоящий номер) и уточните суть возникшей проблемы. Скорее всего, собеседник сообщит, что Вам вообще не звонил. Современные технологии позволяют подменить номер на экране Вашего телефона на совершенно любой, в том числе заменить его для примера названием учреждения банка;
3. Для того, чтобы проверить законность или правдивость того или иного сообщения от имени банка, свяжитесь с ним по официальному номеру телефона, который указан на сайте банка, в договоре или на вашей карте.
4. Никогда не отвечайте на подозрительные электронные письма или текстовые сообщения, особенно исходящие от людей или компаний, с которыми у вас нет и не было договорных отношений.
5. Обращайте внимание на URL. Мошенники не могут точно имитировать URL-адрес сайта банка или другой компании: он будет отличаться на одну букву или содержать в своем названии какой-то дополнительный символ.
6. Ведите учет сервисов с платными подписками, которыми вы пользуетесь. Если вы получили смишинговое-сообщение от сервиса, на который, как вы думаете, не подписались – скорее всего, никакой подписки не существует. Необходимо помнить, что любые подобные оповещения должны настораживать. Не стоит отвечать на них, следует еще раз перепроверить информацию с помощью звонка на горячую линию подлинного сервиса.

 

Важно! Если же реквизиты Вашей банковской карты были скомпрометированы, позвоните в свой Банк или примите иные меры к скорейшей ее блокировке. С заблокированного счета Вам без каких-либо затруднений и комиссий выдадут все денежные средства по предъявлению паспорта.

 

 

Первый заместитель начальника Кобринского РОВД

Подполковник милиции

Косяк Александр Михайлович

30.06.2022