В интернете существует огромное количество способов мошенничества – начиная со знаменитых «писем счастья» от родственников из Малазии, и заканчивая нечестными игровыми рулетками со скинами из игр Counter-Strike или DOTA 2.
Злоумышленники используют всемирную сеть как платформу для наживы чуть ли ни с самых ее истоков, и нельзя сказать, что они в этом не преуспели.
В этой статье рассматривается такой известный и распространенный способ обмана пользователей, как фишинговые сайты и ресурсы.
История термина «фишинг»
Термин «фишинг» образован от английского Fishing, что переводится как рыбная ловля.
Этот вид мошенничества является одним из старейших во всем интернете. Самое первое упоминание о нем датируется аж 1987-м годом, где в хакерском журнале была полностью описана его методика.
Расцвет же его пришелся на конец 20-го века, когда огромной популярностью пользовались различные мессенджеры и сервисы отправки электронных писем.
Его суть очень проста – при помощи рассылки писем от имени какого-то известного бренда или компании, злоумышленники пытаются получить пароли от аккаунтов, номера кредитных или пластиковых карт, и, как следствие, использовать их в своих целях.
Читаем также: Виды мошенничества с банковскими картами
Все начиналось с электронных писем, в которых, помимо логотипа компании, от имени которой якобы оно высылалось, содержался текст.
В этом тексте говорилось о том, что пользователь стал якобы жертвой хакеров, и от его лица были совершены незаконные действия.
Для того, чтобы администраторы сайта могли разобраться и исправить ситуацию, юзер должен был отправить свой логин и пароль для обеспечения доступа к профилю.
Если пользователь слабо разбирался в том, как работают сайты и администрирование, он отправлял данные по указанному адресу.
И в этот момент злоумышленники получали доступ к его аккаунту, где могли творить все, что пожелают.
И хорошо, если это был обычный почтовый сервис, но таким способ нередко пытаются получить пароли от банковских аккаунтов, а это чревато потерей денег и карт.
Такой способ мошенничества вскоре стало очень просто опознать, за счет чего злоумышленникам пришлось придумывать более сложные схемы.
Именно тогда впервые были запущены фишинговые сайты, ложные гиперссылки и множество других скрытых способов фишинга.
Фишинговый сайт
Представьте – вы щелкаете по ссылке и заходите на знакомый сайт Вконтакте.
Внешне это знакомые синие тона, даже иконка в углу экрана имеется, но по какой-то причине вы вышли из своего профиля.
«Не беда» — думаете вы, и только собираетесь ввести свой логин и пароль, как вдруг обращаете внимание на сообщение на экране.
А в нем говорится, что с вашего аккаунта была отправлена куча спама, приглашений в различные группы и, оказывается, вы были взломаны!
Для разблокировки страницы нужно всего лишь ввести свой логин и пароль. И тут вы понимаете, что находитесь по ссылке не vk.com, а, например, на vc.com.
Примерно так и работает фишинговый сайт. По сути это страница, которая имитирует дизайн и, частично, функционал официальной страницы, но на которой обманным путем пользователя пытаются заставить ввести свои данные.
При этом очень часто адрес страницы отличается от адреса оригинального сайта парой букв, или же является так называемым поддоменом созданного злоумышленниками сайта.
Сейчас фишинговых сайтов в интернете просто огромное количество, и можно буквально найти сотни способов вымогания денег или данных: начиная от завлекания пользователя рекламой и заканчивая имитированием предупреждений от полиции и представителей закона.
Способы получения личных данных
Ниже перечислены основные способы того, как мошенники могут пытаться вымогать личные данные.
На самом деле их гораздо больше, поэтому стоит всегда быть начеку и четко понимать, на какую ссылку вы кликаете.
Способ первый: реклама, акции и лотереи
Такие сайты привлекают к себе внимание тем, что рекламируют какие-то дорогие товары по низким ценам, или же говорят пользователю о выигрыше ценного приза.
Когда человек переходит по ссылке, ему для получения приза предлагается ввести номер своего телефона или банковской карты.
Если пользователь делает это, то данные автоматически попадают в руки злоумышленников.
Способ второй: ложный взлом аккаунта
Это способ, описанный в предыдущей главе. Страница сайта оформлена под дизайн популярной соцсети, на которой отображается сообщения, что профиль пользователя был взломан.
Для того, чтобы восстановить к нему доступ, пользователю нужно просто ввести свой логин и пароль.
Это – обман, и, скорее всего, страница является фишинговой.
Способ третий: уязвимости сайтов
Этот способ наиболее опасен, поскольку, если от двух вышеупомянутых, можно защититься просто зная адреса оригинальных страниц, то этот метод кражи данных проявляет себя через дыры на самих официальных сайтах.
Грубо говоря, с помощью специального скрипта пользователя перенаправляет с оригинального форума на страницу злоумышленника, внешне не отличающуюся от оригинала.
Юзер вводит пароль – и именно в этот момент происходит кража информации.
Способ четвертый: найти то, что нужно
Любой, кто пытался найти в интернете малораспространенную информацию натыкался на подобный сайт. Как правило он выглядит как ветка форума, где один из пользователей ищет то же, что и прошедший по ссылке.
И спустя пару сообщений предмет обсуждения находят – но вот только в запароленном архиве, открыть который можно только с помощью номера телефона.
При этом все благодарят нашедшего и утверждают, что все в порядке. Это точно фишинговый сайт. Попробуйте изменить свой запрос, и перейдите снова на эту страницу. Вы удивитесь, но теперь архив поменяет свое название.
Техника безопасности
Как же отличить фишинговый сайт от сайта официального? И как избежать кражи своих данных?
Это довольно просто, нужно лишь знать технику безопасности внутри интернета.
1. Забудьте о надписях типа Official Site и ей подобных. Мошенники могут написать что угодно, все раскрывает именно адрес страницы.
Помните, что они читаются справа-налево. Например, vk.com – это оригинальный сайт ВКонтакте, а вот vk.com.examplefishing.com – это поддомен сайта examplefishing.com и ничего не имеет общего с официальным сайтом социальной сети.
Читаем также: Что такое домен и поддомен
Кроме того, официальные сайты, как правило, находятся на первых страницах поисковиков, чего не скажешь про фишинговые.
И еще стоит отметить, что адреса оригинальных страниц как правило короткие и не содержат в себе поддоменов.
2. Следите за тем, куда и по каким ссылкам переходите.
С виду оригинальная гиперссылка может запросто вести на фишинговый сайт. Тут обращайте внимание именно на сам адрес – об этом указано в первом пункте.
3. Помните – никто и никогда ни при каких обстоятельствах не имеет права просить у вас ваши личные данные.
Это касается кого угодно: администраторов форумов, сотрудников банков и других личностей. В
се проблемы, возникшие на их стороне, решаются исключительно ими, и они не будут просить у рядовых пользователей пароли от их аккаунтов.
4. Используйте надежные поисковики – Google, или из отечественных Яндекс или поисковая система Нигма.
Они имеют особый алгоритм поиска информации, за счет чего большая часть фишинговых сайтов или избегается и не индексируется, или находится в самом дне страниц поисковика.
Стоит также и отдельно отметить Нигму, поскольку при всей своей непопулярности, она гораздо эффективнее, когда речь заходит о поиске официальных сайтов.
Дело в том, что если ссылка, которую находит Нигма, является официальной страницей сервиса – то напротив нее появится специальный значок.
Он является гарантией безопасности и того, что сайт – не фишинговый.
В целом это все, что можно рассказать про интернет-фишинг.
Защитить себя от этого способа мошенничества можно лишь одним способом – быть внимательным и следить за тем, куда вас приводят интернет-ссылки.