Слушать новости
Размер шрифта
Маленький текст
Средний текст
Большой текст

IT-криминал

Ломают без взлома: фишинг стал еще опаснее

Прослушать новость
Остановить прослушивание

Эксперт: фишинг становится опаснее с каждым годом

По данным ФБР, фишинг стал самым распространенным киберпреступлением в 2019 году — от его последствий пострадали свыше 100 тысяч человек, потеряв свыше $57 млн. Эксперты находят этот «тренд» неудивительным — современные техники фишинга позволяют получить доступ практически к любому аккаунту, не используя инструменты для взлома. Как правило, жертва сама отдает мошеннику данные для входа в систему, до последнего не подозревая, что ее обманули.

Фишинг — это вид интернет-мошенничества, предусматривающий выманивание у пользователя его паролей, номеров банковских карт и другой конфиденциальной информации. Как сообщают эксперты по информационной безопасности, большинство киберпреступлений совершается без применения инструментов для взлома — злоумышленники просто пользуются теми данными, которые получили у жертвы.

Согласно недавнему отчету ФБР, по итогам 2019 года фишинг стал самым распространенным киберпреступлением.

Количество жертв фишинга в США составило свыше 114 тыс. человек, которые в общей сложности потеряли $57,8 млн.

Как сообщает портал Business Insider, крупная финансовая выгода и минимальные затраты делают фишинг крайне привлекательным для киберзлоумышленников.

«Многие мошенники переключились на фишинг, потому что это очень просто. Мне просто нужно убедить жертву отдать мне свои пароли. Больше ничего не требуется», — рассказал BI директор отдела исследований безопасности Microsoft Танмай Ганачарья.

Ганачарья отслеживает фишинговые тактики, которые применяют преступники в различных сервисах Microsoft. По итогам своей работы он пришел к выводу, что мошенники постоянно изобретают новые способы и совершенствуют старые, чтобы обойти все кордоны безопасности и добраться до жертвы.

Одним из «трендов» среди тех, кто занимается фишингом, стала атака на сотрудников компании из младшего персонала, чтобы впоследствии добраться до кого-либо из руководства.

Так, киберпреступник с помощью фишинговой рассылки, маскирующейся под легальный сервис, выманивает личные данные работника компании. Затем, получив доступ к его электронной почте или аккаунту в мессенджере, связаться с топ-менеджером, чтобы украсть его личные данные, становится уже гораздо проще.

По такой же схеме осуществляются атаки на целые организации — хакеры получают доступ к e-mail-адресам компаний, а затем с их помощью проникают в систему более крупных фирм.

«В отличие от писем, которые приходят «от кого-то с адресом gmail.com», в данном случае получатель видит сообщение от бизнес-партнера, с которым работает его компания. Основная суть фишинга заключается в завоевании доверия жертвы, поэтому она, не раздумывая, кликает по ссылке. Если же там требуются ее личные данные, она без колебаний их отдает», — заявил Ганачарья.

Кроме того, исследователи вновь фиксируют популярность так называемого тайпсквоттинга — это регистрация доменных имен, близких по написанию с адресами популярных сайтов. Эксперт Microsoft отмечает, что тайпсквоттинг был широко распространен среди киберпреступников еще на заре интернета, но в последнее время снова стал актуальным. Фейковый домен может отличаться от подлинного всего одной буквой или знаком, так что жертва может даже не заметить, что ввела свои личные данные совсем не на том сайте, на который собиралась изначально.

При этом злоумышленники стараются максимально скопировать внешний вид стартовой страницы, чтобы еще больше запутать пользователя.

Наконец Ганачарья отметил рост популярности нелегальных организаций, предоставляющий «услуги фишинга» [англ. phishing-as-a-service]. По словам эксперта, эта индустрия наблюдает настоящий бум, так как фишинг является одним из наиболее выгодных киберпреступлений. Подобные «специалисты» создают сети, состоящие из ботов, которые генерируют фейковые вебсайты, или продают готовые инструменты для фишинга своим клиентам.

«Если у вас есть средства, вы можете купить набор для фишинга или обратиться к специалистам, которые сделают все за вас. Вам лишь остается надеяться, что выхлоп от этого будет крупнее, чем те деньги, которые вы заплатите за организацию», — заявил специалист Microsoft.

Чтобы не стать жертвой фишинга, ИБ-специалисты рекомендуют обращать внимания на все электронные письма, которые приходят на вашу личную или рабочую почту. Не стоит производить какие-либо действия в автоматическом режиме — иногда достаточно лишь кликнуть один раз по ссылке, чтобы попасться на удочку преступников. Необходимо обратить внимание на адрес сайта, который предлагается посетить, так как в нем может быть ошибка. Кроме того, следует оценить стиль электронного письма, а также возможные орфографические и грамматические ошибки — обычно это свидетельствует о том, что его делали в спешке.

Если же у вас остались какие-то сомнения относительно подлинности полученного письма, есть смысл связаться с компанией-отправителем, чтобы выяснить происхождение рассылки.