Що таке фішинг зі списами (на прикладах) і як можна цього уникнути

Що таке фіш-фіш

Фішинг-схеми зазвичай передбачають, що жертва підманюється відмовлятися від інформації, яка згодом може бути використана в якійсь формі афери. Інформацію часто шукають за допомогою електронної пошти, телефонного дзвінка (голосовий фішинг чи вішинг) або текстового повідомлення (SMS-фішинг чи змішування). Фішинг – дуже поширений елемент у багатьох видах інтернет-афери, який може націлити на тисячі людей одразу, сподіваючись, що один-два обдурять.

Фішовий фішинг – більш цільовий тип фішингу. Злочинець, як правило, вже знає певну інформацію про ціль, перш ніж здійснити рух. Коли ви розглядаєте, скільки особистих даних хтось може розкрити про вас в Інтернеті в ці дні, комусь насправді не так складно поставити себе за довірену сторону і обдурити вас, щоб передати якусь додаткову інформацію.

Вдячно, якщо ви знаєте про ці види афери і знаєте, на що слід звернути увагу, ви можете уникнути наступної жертви.

У цій публікації ми детальніше розберемося про те, що таке фішинг на списах, та наводимо кілька прикладів фішинг-схем. Тоді ми запропонуємо кілька порад, які допоможуть вам переконатися, що вас не застають. Давайте розпочнемо!

Що таке фішинг списа

Як уже згадувалося, фішинг із списами – це цільова форма фішингу. Майже всі інтернет-афери починаються з певної форми фішингу, але багато з цих спроб випадковим чином націлюють на велику аудиторію. Наприклад, ви можете отримати електронний лист із зазначенням, що отримуєте гроші, і вам просто потрібно надати деякі особисті дані. Це форма фішингу, але вона не націлена.

Розділ із загальним фішинговим електронним листом із запитом особистої інформації.Розділ із загальним фішинговим електронним листом із запитом особистої інформації.

У спробу фішингу, злочинцю необхідно знати деякі подробиці про жертву. Використовуючи ці деталі, шахрай має на меті прищепити довіру потерпілому та якомога далі отримати аферу. То де вони знаходять ці деталі? Вони можуть бути отримані з попередньої спроби фішингу, зламаного облікового запису чи будь-якого іншого місця, де вони могли б дізнатися особисту інформацію. Зокрема, соціальні медіа – це вогнище інформації, що стосується як окремих людей, так і підприємств.

Спроби фішингу можуть мати різні форми. Деякі намагаються змусити вас натиснути на посилання, яке може призвести до веб-сайту, який завантажує зловмисне програмне забезпечення, фальшивий веб-сайт, який запитує пароль, або на сайт, що містить рекламу чи відстежувачі. Інші спроби фішингу можуть попросити надати свій номер соціального страхування, здати кредитну картку або банківську інформацію або просто надіслати трохи грошей.

Напади на осіб

На особистому рівні шахраї можуть представляти бізнес, якому ви довіряєте, наприклад, банк або магазин, у якому ви шукаєте магазин. Вони можуть запропонувати великі пропозиції, сказати вам, що ви заборгували або вам заборгували гроші, або що рахунок вже буде заморожений. Вони можуть навіть претендувати на те, що ви знаєте, прямо чи опосередковано. Наприклад, представлення себе як когось, хто пішов у вашу стару школу або є членом вашої релігійної групи, може змусити вас відкритись.

Атаки на підприємства

Фішинг на копках також є дуже поширеною формою нападу на бізнес. Оскільки це настільки цілеспрямовано, фішинг із списами – це, мабуть, найнебезпечніший тип фішинг-атаки. За даними Інституту ДАНС, 95% корпоративних мережевих атак стосуються успішних спроб фішингу. Більше того, звіт компанії IRONSCALES за 2023 рік показав, що фішинг підводного польоту все частіше позначається лазером (PDF), причому 77% електронних листів націлено на десять поштових скриньок або менше. Більше того, їхнє дослідження виявило це третина атак спрямована лише на одну поштову скриньку.

Інфографа зі списами, що виділяє вищезгадану статистику.Джерело: IRONSCALES

Звичайна афера фішингу в компаніях полягає в тому, що шахрай виступає як керівник компанії та вимагає, щоб сумнівний працівник передавав гроші на рахунок, який належить шахраю. Це часто називають «китобоєм» і є різновидом шахрайства з генеральним директором.

Розділ інфографіки фішингу списами від Symantec.Джерело: Symantec

Як ви бачите у наведеному вище розділі інфографіки Symantec, в останні роки кількість спроб фішинг-списа швидко зростає. Хоча аферисти націлені на всі розміри підприємств, напади на малий бізнес стають все більш популярними.

Приклади фішингу

Спроби фішингу використовувались для того, щоб ошукати приватних осіб та компаній на мільйони доларів. Вони також можуть завдати шкоди в інших сферах, наприклад, вкрасти секретну інформацію у підприємств або спричинити емоційний стрес для людей. Ось кілька прикладів успішних фішинг-атак.

Спроби фішингу намагаються націлити бізнес

Шахраї постійно націлюють на бізнес, але ось кілька прикладів деяких гучних атак.

Ubiquiti Networks Inc

У 2015 році ця компанія передала понад 40 мільйонів доларів США за аферу зі списами зі списами, пов’язаною з шахрайством із генеральним директором. Електронні листи, надіслані від вищих керівників, спрямовували співробітників направляти кошти від дочірньої компанії в Гонконгу на рахунки, що належать третім особам. Електронні листи фактично надходили від шахраїв, а сторонні рахунки належали їм.

Епсілон

Ця компанія з маркетингу в Інтернеті була спрямована в 2011 році в рамках схеми збору даних про клієнтів, можливо, для використання в інших спробах фішингу..

Розділ домашньої сторінки Epsilon.Оскільки дані є хлібом-маслом бізнесу Epsilon, легко зрозуміти, чому це стане ідеальною ціллю.

У звітах вказано, що електронні листи зі списком фішингу могли містити посилання на сайт, який завантажував зловмисне програмне забезпечення, яке, у свою чергу, відключало антивірусне програмне забезпечення, забезпечувало віддалений доступ до системи та могло використовуватися для крадіжки паролів. Ці електронні листи надсилалися різним маркетинговим компаніям, але завжди орієнтовані на співробітників, відповідальних за операції з електронною поштою.

Фонд електронних кордонів

У 2015 році шахраї використовували надійний вигляд Фонду електронних прикордонників (EFF), щоб направляти жертв на підроблений сайт (Electronicfrontierfoundation.org). Він використовувався для розповсюдження кейлогерів та інших зловмисних програм, але EFF з тих пір взяв під контроль домен.

Оновлення у публікації щоденника EFF щодо домену фішингу.

Тепер він просто переспрямовує до публікації в блозі EFF, де детально описується афера.

RSA

Охоронна фірма RSA націлилася на успішну спробу фішингу на початку 2011 року. Двом групам компанії було надіслано підписи про фішинг просто під назвою “План рекрутингу на 2011 рік”. Хоча електронні листи були позначені як небажана пошта, один співробітник відкрив вкладення електронної пошти, що врешті-решт призвело до встановлення форми зловмисного програмного забезпечення на комп’ютері. Зловмисне програмне забезпечення дало зловмиснику віддалений доступ та можливість крадіжки конфіденційних даних.

Алкоа

Китайську армію звинувачують у численних спробах фішинг-підводів, спрямованих на крадіжку комерційних таємниць у американських компаній. Повідомлялося, що одна з них була спрямована на алюмінієву компанію Alcoa. У 2008 році підозрюється, що хакери зв’язалися з 19 старшими працівниками Alcoa електронною поштою, видаючи себе за члена правління компанії. Після відкриття пошта встановила зловмисне програмне забезпечення на комп’ютери одержувачів, в результаті чого було викрадено майже 3000 електронних листів та понад 800 вкладень..

Спроби фішингу намагаються націлити людей

Хоча компанії бачать величезні збитки від цих атак, як прямо, так і опосередковано, вплив на людину може бути ще серйознішим. Візьмемо, наприклад, тривожну історію користувача Reddit, з яким ми взяли інтерв’ю у попередній статті.

На неї націлили злочинця, який використовував соціальну інженерію, щоб змусити її здати пароль на рахунок електронної пошти. Це зрештою призвело до того, що шахрай захопив кілька облікових записів соціальних медіа та електронної пошти та шантажував жертву вмістом.

Розділ текстової розмови, де потерпілий передає пароль.

Ця афера була особливо емоційно згубною, тоді як інші суто фінансово мотивовані. Деякі більш масштабні схеми фішинг-підводів вражають користувачів великих компаній, таких як нижче:

PayPal

Користувачі PayPal, здається, стають об’єктом нескінченних загальних спроб фішингу. Величезна кількість користувачів означає, що масові загальні електронні листи матимуть більше шансів на успіх. Однак деякі користувачі PayPal потрапили під більш націлені електронні листи зі списком фішингу. Вони насправді звертаються до клієнта по імені, що робить їх більш законними, ніж ваш стандартний фішинг-лист.

Амазонка

Amazon – ще одна компанія, яка має стільки користувачів, і шанси підключити її через загальну спробу фішингу варті зусиль. Але користувачі Amazon також повинні стежити за фішинг-атаками. Велика цілеспрямована атака сталася у 2015 році, коли до 100 мільйонів електронних листів було відіслано клієнтам Amazon, які нещодавно розмістили замовлення. Електронні листи виглядали справжніми, із заголовком “Ваше замовлення на Amazon.com відправлено”, а потім – код замовлення. Але замість повідомлення електронний лист містив лише вкладення. Відкриття вкладеного файлу врешті-решт призвело до того, що деякі одержувачі встановили викуплене програмне забезпечення Locky, яке передбачало викуп біткойна.

Інші поширені приклади шахрайських фішингах

Окрім тих конкретних випадків, ось кілька більш загальних прикладних сценаріїв, на які ви можете зіткнутися. Ці всі використовують інформацію, яку можна отримати з публікацій у соціальних мережах, особливо, якщо ви схильні до оприлюднення інформації про те, де ви хочете робити покупки, їжу, банк тощо.

  • Електронний лист від інтернет-магазину про недавню покупку. Це може містити посилання на сторінку входу, де шахрай просто збирає ваші облікові дані.
  • Автоматизований телефонний дзвінок або текстове повідомлення з вашого банку про те, що ваш рахунок, можливо, був порушений. Він повідомляє вам зателефонувати на номер або перейти за посиланням та надати інформацію для підтвердження того, що ви справжній власник рахунку.
  • Електронний лист із повідомленням про те, що ваш обліковий запис було вимкнено або скоро закінчиться, і вам потрібно натиснути посилання та надати облікові дані. Випадки, пов’язані з Apple і Netflix, були нещодавніми складними прикладами такого типу афери.
  • Електронний лист, який вимагає пожертв для релігійної групи чи благодійних організацій, пов’язаних із чимось у вашому особистому житті.

Коли ви замислюєтеся про те, скільки інформації можна знайти в соціальних медіа, легко зрозуміти, як хтось міг би швидко заробити вашу довіру, просто заявляючи про спільний інтерес або представляючи компанію, з якою ви маєте історію.

Як уникнути аферистів із списами

Деякі стосунки статистики з’явилися в дослідженні Intel 2015, яке показало, що 97% людей не змогли ідентифікувати фішинг-листи. Дійсно, для індустрії кібербезпеки головним елементом поради щодо запобігання успішним спробам фішинг-фішингу є освіта.

У цьому розділі ми запропонуємо поради щодо допомогти людям та бізнесу захистити від цих афери. Ми детальніше зупинимось на них нижче, але ось перелік дій, які можна вжити для боротьби з успішними спробами фішингу:

  1. Підвищення обізнаності
  2. Використовуйте інструменти для оборони
  3. Слідкуйте за підробленими електронними листами
  4. Уникайте натискання посилань та вкладень
  5. Слідкуйте за фішинг-сайтами
  6. Уникайте надсилання особистої інформації
  7. Перевірте підозрілі запити
  8. Використовуйте надійні паролі та менеджер паролів

Тепер докладніше розглянемо кожен із цих кроків.

Підвищення обізнаності

Як і у випадку з будь-якою аферою, один із найважливіших способів уникнути цього – усвідомити, як відбувається афера. Обмін інформацією з вашими друзями, родиною та колегами може допомогти запобігти їх також і жертвам. Якщо ви власник бізнесу, це вирішальне значення для того, щоб ваші працівники отримали освіту на тему фішинг-атак, зокрема фішинг-підводників.

Ви можете бути в курсі цих тем, читаючи такі блоги, як наші, а також такі провідні постачальники програм безпеки, як McAfee та Norton.

Для підприємств ви можете фактично запустити безкоштовний тест на подивіться, наскільки «схильні до фіши» ваші співробітники. Виходячи з цих результатів, ви можете визначити, який найкращий спосіб вжити для покращення навчання та запобігання успішним спробам фішингу. Такі компанії, як KnowBe4, проводять навчання з підвищення безпеки щодо таких атак.

Використовуйте інструменти для оборони

Хоча освіта та обізнаність – одні з найкращих засобів захисту, інструменти є доступний для захисту від фішинг-атак. Це особливо корисно для підприємств, у яких багато чого ставиться під загрозу, якщо спроба буде успішною. Деякі з доступних інструментів включають PhishDefender від InfoSec та Cofense (раніше PhishMe).

Для приватних осіб основні постачальники електронної пошти активізують свою гру, коли мова йде про тактику фішингу. За допомогою методи машинного навчання, Gmail стверджує, що блокує 99,9% спам-листів.

Слідкуйте за підробленими електронними листами

У нас є цілий пост, присвячений виявленню фішинг-електронних листів, але ось основні дії:

  • Не довіряйте відображуваним іменам оскільки це може бути будь-що, що хоче, щоб це був аферист.
  • Перевірте наявність підроблених доменів електронної пошти; вони часто будуть дещо іншими версіями реальної речі.
  • Подивіться на логотип та інші зображення; Зображення з низькою роздільною здатністю можуть стати подарунком.
  • Ретельно переглядайте посилання наведення курсору на текст посилання (без клацання). Посилання, яке відрізняється від тексту в тексті посилання, є ознакою шкідливого посилання.
  • Слідкуйте за поганим написанням та граматикою, оскільки це може бути знаковою ознакою того, що це не є законним повідомленням.

Електронні листи та повідомлення про фішинг є дуже націленими, тому злочинцям варто витратити зусилля, щоб витратити час на те, щоб вони виглядали як справжня угода. Як такі вони стають все більш витонченими і їх важко помітити. Можливо, вам доведеться зробити кілька перевірок, і навіть тоді вони можуть мати всі бази.

Уникайте натискання посилань та вкладень

Як згадувалося раніше, посилання можуть призводити до веб-сайтів, що містять зловмисне програмне забезпечення, спам-рекламу та відстежувачі. Так само додаток може містити віруси чи зловмисне програмне забезпечення, і його ніколи не можна відкривати, якщо ви абсолютно не впевнені в джерелі.

Підроблений електронний лист Walmart, що містить фішинг-посилання.Підроблений електронний лист Walmart, що містить фішинг-посилання.

Деякі електронні листи містять лише посилання або вкладення без іншого повідомлення, можливо, націлене на почуття цікавості читача, щоб запропонувати їм натиснути.

Найкраща порада? Просто не клацайте посилання чи вкладення, якщо у вас є якісь підозри.

Слідкуйте за фішинг-сайтами

Якщо ви дійсно натискаєте посилання в електронному листі та переходите на веб-сайт, ви можете зробити кілька перевірок, щоб виявити самозванець. Знову ж таки, у нас є цілий пост, присвячений виявленню фальшивих веб-сайтів, але ось основні вказівки:

  • Перевірте URL-адресу щоб побачити, чи відповідає воно тому, що на сторінці.
  • Перевірте наявність SSL / TLS сертифікату (зелений символ замка та / або “https” в адресному рядку).
  • Шукайте сторінку навігації або колонтитул, включаючи сторінку “Про”, політику конфіденційності, умови використання чи послуги та контактні дані.
  • Перевірте правильність написання та граматики; як і у електронних листах, погане написання може бути показником фальшивого сайту.
  • Будьте обережні з твердженнями “занадто хорошого, щоб бути справжнім”; вони часто є саме цим.
  • Шукайте огляди в іншому місці про невідомі компанії.
  • Перевірте авторські права є сучасним; якщо ні, то, мабуть, це підроблений сайт.

В інших випадках натискання на посилання може просто перенести вас на порожню сторінку. Якщо ви натиснули посилання та підозрюєте, що шкідливе програмне забезпечення, можливо, було завантажено, різні інструменти можуть виявити та видалити його.

Уникайте надсилання особистої інформації

Легальні підприємства дуже рідко просять особисту інформацію електронною поштою. Якщо ви отримаєте електронний лист або SMS з проханням вказати деталі, такі як вашу адресу, номер соціального страхування або банківську інформацію в тілі електронного листа або текстового повідомлення, дуже ймовірно, це фішинг.

Справжній електронний лист, як правило, або надає адресу веб-сайту, на який слід перейти (без посилання), надає посилання для натискання або дасть вам номер для дзвінка. Мати на увазі, усі ці сценарії також можуть бути більш досконалою тактикою фішингу, тому слід перевірити (докладніше про це нижче).

Перевірте підозрілі запити

Якщо у вас є підозри щодо електронного листа чи іншого повідомлення, не відвідуйте сайт і не телефонуйте за вказаним номером. Якщо ви вважаєте, що це може бути автентичним, але ви не впевнені, спробуйте перевірити це спочатку.

Один із способів зробити це – просто запустити пошук вказаного електронної пошти чи номера телефону. Якщо це відома афера, швидше за все, ви побачите стільки ж результатів.

Інший, більш надійний метод підтвердження – просто зателефонувати або надіслати електронною поштою компанії, щоб перевірити, чи справжній це запит. Однак вам слід зв’яжіться з компанією за номером телефону або електронною поштою з фактичного веб-сайту, ні контактну інформацію, знайдену в електронному листі.

Використовуйте надійні паролі та менеджер паролів

Якщо ви підозрюєте, що ви стали жертвою фішингової спроби або вас про це повідомили (напевно, довірене джерело), ​​то вам слід розглянути можливість зміни свого пароля. Використання надійного пароля важливо, оскільки може допомогти запобігти іншим атакам, таким як грубі напади.

Якщо запам’ятати паролі здається занадто важким, може допомогти менеджер паролів. Ще одна перевага цих інструментів полягає в тому, що вони може допомогти вам виявити фішинг-сайт за замовчуванням. Менеджери паролів працюють за допомогою автоматичного заповнення вашої інформації на відомих сайтах, тому вони не працюватимуть у невідомих (у тому числі підроблених) доменах. Це не те, на що слід покладатися, але це може бути резервною копією.

Якщо вас коли-небудь просять змінити пароль, ніколи не переходьте за посиланням в електронній пошті чи текстовому повідомленні. Перейдіть на веб-сайт безпосередньо та змініть його там. Таким чином, ви визначаєте, чи є повідомлення законним чи ні.

Пов’язано: 70+ поширених афери (онлайн та офлайн) та як їх уникнути; Поширені фішинг-афери та як їх розпізнати та уникати.

Основне зображення зображення: “Дартс” ліцензію на CC BY 2.0