Україна, Черкаси

Сміянська 119

+38 (067)4740973

24/6 Support

пн. - пт: 11:00 - 17:00

Онлайн

Фішингові листи: що це і як вони працюють

Зміст

Фішингові листи - фото статті

SEOWORK – пояснити просто і зрозуміло, як працює фішинг, чому навіть досвідчені користувачі потрапляють у пастку і як захистити себе, свої дані та гроші.

Фішингові листи: що це і як вони працюють

Фішингові листи – це один із найпоширеніших видів інтернет-шахрайства. Їхня суть полягає в тому, що зловмисники надсилають підроблені електронні повідомлення, які виглядають так, ніби їх надіслано від імені довірених компаній (банків, постачальників послуг, колег тощо). Мета фішингу – «упіймати» довірливого користувача на гачок і змусити його добровільно передати конфіденційні дані (логіни, паролі, реквізити карток) чи завантажити шкідливі файли. Найчастіше шахраї посилають повідомлення, що створюють відчуття терміновості: наприклад, про нібито блокування рахунку, необхідність оновити дані чи сплатити терміновий платіж. У повідомленні міститься “приманка” – посилання на підроблений сайт або вкладення з вірусом. На фальшивому сайті жертва вводить свої дані, а шахраї отримують повний контроль над її обліковим записом або гаманцем

Наприклад, в одній із атак жертві надсилали лист із повідомленням, що ніби-то зламано пароль її поштової скриньки Gmail і необхідно терміново його змінити. Перейшовши за вказаним посиланням, жертва опинялася на підробленій сторінці авторизації – після вводу даних шахраї отримували доступ до її пошти. Саме так невідомі колись викрали тисячі листів у голови виборчого штабу Хілларі Клінтон – лист із фальшивим запитом на зміну пароля став для Джона Подести фатальним. Зловмисники “розкидають” подібні фішингові приманки – листи чи посилання – сподіваючись, що користувачі перейдуть за ними і виконають потрібну шахраям дію. Часто фішинг реалізується через підроблені сайти, SMS або повідомлення у месенджерах, але найефективніший та найпоширеніший канал – саме електронна пошта

Ознаки фішингових листів

Розпізнати фішинговий лист досить складно, оскільки такі листи можуть виглядати дуже правдоподібно. Проте існує кілька типових “тригерів”, які мають насторожити одержувача:

  • Підозрена адреса відправника або домен. Фішери часто підміняють адресу, роблячи її схожою на справжню. Це може бути один зайвий символ, помилкова літера або незвичайне доменне розширення. Наприклад, замість company.ua можуть використати сompany.ua (з кириличною «с») чи company-ua.com. Зауважте, що офіційний сервіс ніколи не надсилатиме листи з адреси, яка містить помилки. Завжди перевіряйте, чи повністю відповідає домен справжньому сайту компанії. Інтернет-шахраї можуть додавати зайві символи, перевертати букви або використовувати інше розширення (.info, .xyz замість .com/.ua). Наприклад, у підробленому листі від нібито cPanel справжній домен cpanelonhostiq-blog.com ховався за адресою cpanelonhostiq-blog.com@seia.lt – очевидно, що seia.lt не має жодного відношення до cPanel.
  • Терміновість і погрози. Шахраї свідомо створюють відчуття паніки: наприклад, обіцяють, що ваш рахунок буде заблоковано через годину, якщо ви не оплатите рахунок негайно. Такі заголовки мають збуджувати емоції й змусити діяти необережно. Як попереджає Аналітичний центр «Дія.Бізнес», типові фішингові схеми використовують тривожні повідомлення на кшталт «Ваш рахунок буде заблоковано» або «Терміново перевірте платіж». Будь-які листи з нагнітанням терміновості («негайно», «важливо», «останні години») слід сприймати скептично. Справжні компанії рідко просять вносити платіж миттєво через посилання в листі – зазвичай вони надають звичайні методи оплати або дзвонять додатково.
  • Підозрілі посилання. Якщо навести курсор на гіперпосилання в листі (без кліку) – зверніть увагу на фактичну URL-адресу. Якщо вона суттєво відрізняється від очікуваної – наприклад, містить незрозумілий субдомен чи інше ім’я (вантажите посилання замість ukraine.com.ua виявляється service.tools) – переходити по ньому не варто. Найкращий варіант – самостійно відкрити браузер і через адресний рядок перейти на офіційний сайт організації (наприклад, ввівши адресу вручну). Для перевірки можна також копіювати посилання з кнопки і дивитися її у текстовому редакторі, або перевірити URL через сервіси безпеки (наприклад, VirusTotal). Якщо посилання коротке, скорочене або на якийсь незнайомий сайт, – це майже однозначна ознака фішингу.
  • Просили конфіденційну інформацію. Жоден реальний сервіс не надсилатиме вам лист із проханням заново ввести дані, які вони вже мають. Наприклад, якщо у листі просять підтвердити персональні дані, реквізити або пароль, хоча ви їх вже раніше надавали, – це привід підозрювати шахрайство. У офіційних листах зазвичай містяться лише загальні запевнення («Ваш рахунок оплачено», «Ви успішно зареєстровані») – а не вимоги ввести конфіденційні дані.

Граматичні помилки і неактуальна інформація. У фішингових повідомленнях часто трапляються орфографічні, граматичні чи стилістичні помилки. У повідомленні можуть бути дивні формулювання або калька з іноземних мов. Такі помилки недоречні в офіційних розсилках компаній, особливо великого бізнесу. Також викликають підозру неточності: наприклад, ваша особа названа не за ім’ям (листи починаються «Шановний клієнте» або взагалі не персоналізовані). Якщо банківський лист звертається «Шановний клієнте» без вашого імені, або номер рахунку, зазначений у листі, не збігається з вашим – це явні «червоні прапорці» шахраїв.

Чому фішинг може «спіймати» навіть досвідчених користувачів

Навіть IT-спеціаліст чи SEO-фахівець не застрахований від помилки при виявленні фішингу. Причина в тому, що шахрайські листи можуть бути надзвичайно правдоподібними. Як зазначає MC.today, «фішингові листи та вебсайти можуть виглядати настільки правдоподібно, що навіть досвідчені користувачі потрапляють у пастку». Зловмисники використовують реалістичний дизайн, логотипи та контент – часто копіюючи офіційні ресурси – тому на перший погляд «підробка» не помітна. Більше того, атаки часто націлені: шахрай може підбирати тему листа під вашу діяльність чи роботу, робити його переконливим (наприклад, надсилати «службове повідомлення» від колеги чи партнера).

Соціальна інженерія працює на емоціях: завантаження робочого графіку, стрес або поспіх підвищують ризик необережності. Навіть той, хто розуміється на безпеці, іноді клацає на лист, не перевіривши всі дрібниці – особливо якщо повідомлення надходить «як би» від знайомої компанії чи сервісу. Технічні новинки – наприклад, штучний інтелект – роблять атаки ще досконалішими (генерують імітації голосу, фото, особливий зміст), тому пильність повинна бути подвійною. Інформація від зловмисників зазвичай має переконати жертву, що запит є легітимним, тому варто завжди ставитися до таких листів скептично і звертати увагу на описані вище ознаки.

Приклад фішингу (оновлення від «Хостинг Україна»)

Типовим прикладом фішингової атаки є випадок із хостинг-компанією «Хостинг Україна» (сайт ukraine.com.ua). Клієнти компанії отримували підроблені листи нібито від імені хостера з повідомленням про закінчення терміну оплати чи перевищення дискової квоти. Такі листи просили підтвердити дані облікового запису або сплатити рахунок за послуги. Однак насправді посилання у листі вели на фейкові сторінки, де шахраї збирали логіни, паролі та платіжні реквізити. Навіть назви доменів у цих посиланнях були злегка змінені (дописані зайві слова або зміщені букви), щоб видатися схожими на справжні. У відповідь «Хостинг Україна» опублікувала на своєму сайті рекомендації, як відрізняти фішинг: клієнтам радять не переходити за підозрілими посиланнями, перевіряти адресу відправника та за потреби писати в техпідтримку. Але важливо пам’ятати: проблема фішингу стосується будь-якої компанії чи сфери, а не тільки одного хостера. Схожі атаки трапляються у різних галузях – від розсилок від імені служб підтримки до банківських «оповіщень» – тому універсальні правила безпеки залишаються однаковими.

Що робити з підозрілим листом

Якщо ви отримали лист, який здається підозрілим – ні в якому разі не поспішайте натискати на посилання та не відкривайте вкладення. Натомість виконуйте такі дії:

  • Не переходьте за посиланнями і не відповідайте. Якщо лист викликає сумніви, не натискайте на жодні кнопки чи посилання в ньому. Найчастіше безпечніше закрити лист, а якщо це здається серйозною проблемою, увімкнути браузер і самостійно перейти на офіційний сайт компанії. Не переходьте за скороченими або незнайомими URL – навіть якщо текст кнопки чи повідомлення виглядають правдиво. Не відповідайте на лист і не дзвоніть за номерами, вказаними в ньому: контакти можуть бути підробленими.
  • Перевірте відправника. Зверніть увагу на електронну адресу та ім’я, з якого надійшло повідомлення. У справжніх листах від банків чи хостинг-провайдерів відправником буде офіційна поштова адреса (наприклад, видавець листа cPanel надсилає з адреси типу cpanel@ВАШДОМЕН). Якщо в адресі після «@» ви бачите дивний домен або незнайому назву, це ознака шахрайства. Ви можете також переглянути технічні заголовки (headers) листа – у них іноді приховано реальну адресу відправника. Якщо перевірка викликала підозру, краще відразу видалити лист і заблокувати його адресу.
  • Позначте лист як спам або фішинг. У багатьох поштових сервісах є можливість повідомити про підозру на фішинг (наприклад, у Gmail – опція “Report phishing”). Якщо ви впевнені у шахрайському характері листа, перемістіть його в спам або спеціальну папку. Як радить «Хостинг Україна», це гарантує, що ви не побачите наступних листів від цього відправника і випадково не перейдете за фішинговим посиланням.
  • Попросіть техпідтримку допомогти. Якщо повідомлення виглядає як “службове” (наприклад, стосується вашої роботи або покупок), краще зателефонувати або написати до компанії офіційно, надіслати копію підозрілого листа та уточнити його справжність. Наприклад, у випадку з cPanel клієнтам порадили не вводити паролі на сайтах з листа, а звернутися до служби підтримки хостера. Фахівці з ІТ підтримки можуть перевірити ваш обліковий запис і підтвердити, чи дійсно виникла проблема. Якщо є сумнів – краще витратити кілька хвилин на перевірку, ніж втратити велику суму грошей чи доступ до облікового запису.
  • Не відкривайте і не завантажуйте вкладення. Якщо лист містить вкладений файл (особливо з розширеннями .exe, .zip, .docm тощо) і ви не очікували його, ні в якому разі не завантажуйте і не запускайте цей файл. Навіть текстові документи можуть містити макроси з шкідливим кодом. Рекомендація «Хостинг Україна» також звучить так: «Не слід завантажувати підозрілі файли, якого б розширення вони не мали». Якщо ж вкладення потрібно перевірити, скопіюйте його на окремий безпечний комп’ютер і прогляньте через антивірусні сканери (наприклад, VirusTotal може перевіряти прикріплені файли перед їх відкриттям).

Перевірка достовірності рахунків та доменів

Під час фішингу часто використовують фальшиві рахунки чи домени. Щоб уникнути обману, дотримуйтесь таких правил кібергігієни:

  • Завжди перевіряйте домен. Перед тим, як переходити на сайт зі сповіщення чи рахунку, впевніться, що домен повністю відповідає очікуваному. Перевірте наявність зайвих символів, неправильних букв або нестандартного розширення. Наприклад, шахраї можуть використовувати домен bank24-security.org замість справжнього bank24.ua. Ви також можете скористатися сервісом WHOIS, щоб подивитися, коли і ким був зареєстрований домен (часто підроблені сайти створюють зовсім недавно). Якщо є SSL-сертифікат – натисніть на замочок у браузері і подивіться, кому видано сертифікат; він має співпадати з назвою організації. Однак найнадійніше – при будь-якому сумніві самостійно набрати відому адресу сайту організації у браузері і авторизуватися через офіційний акаунт.
  • Перевіряйте суми і реквізити рахунків. Якщо ви отримали електронний рахунок на оплату, порівняйте його дані з інформацією, яку маєте у себе. Наприклад, зрівняйте номер договору чи ID рахунку з тими, що вказані на особистому кабінеті на сайті. Якщо платіж потрібно здійснити через посилання у листі, краще зайти в особистий кабінет на сайті компанії і підтвердити оплату там. Багато провайдерів (хостинг, інтернет, мобільні оператори) мають онлайн-кабінети з історією платежів і можливістю виставити рахунок – саме цим каналом слід користуватися для оплати, а не листом.
  • Застосовуйте двоетапну аутентифікацію. Щоб зловмисники не отримали доступ навіть при викраденні пароля, радимо налаштувати 2FA (двохетапну автентифікацію) всюди, де це можливо: у банківських і корпоративних кабінетах, у пошті, месенджерах, електронному підписі. При 2FA при вході крім пароля потрібно вводити код із мобільного або апарату-автентификатора – тому зловмиснику буде недостатньо просто вашого пароля. Багато платіжних систем (PayPal, банки, криптогаманці) також пропонують додатковий захист (SMS-підтвердження, апаратні ключі тощо). Чим більше “щаблів” захисту ви активуєте, тим складніше вийти зі скрутного становища, навіть якщо дані опинилися у шахраїв.

Використовуйте комплексні паролі та менеджери паролів. Для різних облікових записів застосовуйте унікальні складні паролі (з великої, малої літер, цифр та спецсимволів) і не повторюйте їх у кількох сервісах. Знищуйте старі непотрібні акаунти та не зберігайте паролі у текстових файлах. Менеджери паролів допоможуть зберігати безпеку автоматично і не забувати довгі строки. Таким чином, навіть якщо викрадач отримає один пароль, зламу інших облікових записів у вас не відбудеться.

Дії у разі втрати доступу або викрадення даних

Якщо, на жаль, ви все ж стали жертвою фішингу – важливо діяти швидко та грамотно. Насамперед необхідно блокувати подальший збиток:

  1. Терміново змініть пароль акаунту. У своєму особистому кабінеті (хостингу, пошті, соцмережі, банківському інтерфейсі тощо) встановіть новий пароль. В ідеалі – повністю відновіть доступ, скинувши старий пароль через пошту або телефон (через офіційний портал, а не через лінк із листа!). Якщо хакер вже зайшов у систему, завершіть всі активні сесії (вийдіть на всіх пристроях).
  2. Увімкніть 2FA там, де ще не було. Одразу після зміни пароля активуйте двоетапну аутентифікацію. Навіть якщо ваша електронна скринька чи акаунт хостингу було зламано, це дасть час ускладнити роботу зловмисникам і повідомити підтримку сервісу. Наприклад, після фішингу хостингери радять налаштувати 2FA у всьому – на пошті, у веббанкінгу, в акаунтах FTP чи панелей керування.
  3. Змініть паролі на інших сервісах. Якщо ви використовували ті ж логін/пароль десь іще (в соціальних мережах, на інших сайтах), одразу їх змініть. Навіть якщо на тих сервісах не було компрометовано дані, не ризикуйте: шахрайські програми іноді зчитують усі паролі з клавіатури, а персональні дані можуть збігатися (ім’я, дата народження тощо). Ніколи не вводьте однаковий пароль на двох сайтах – це важливий принцип кібергігієни.
  4. Перевірте інші особисті сервіси. Згадайте, які сервіси могли мати ваші скардені дані, і оновіть (за потреби) їх паролі чи методи автентифікації. Наприклад, якщо був вкрадений пароль пошти, змініть його також у пошті на телефоні, у мобільних додатках тощо. Якщо був вкрадений пароль до бізнес-акаунту – оновіть доступ у всіх пов’язаних корпоративних сервісах. На випадок компрометації – повідомте колег чи довірених осіб, щоб вони були готові до підозрілих запитів, і увімкніть 2FA скрізь, де є можливість.
  5. Увімкніть антивірус та оновіть систему. Переконайтеся, що на вашому комп’ютері чи смартфоні встановлене оновлене антивірусне ПЗ. Зробіть повне сканування системи. Видаліть непотрібні програми і оновіть операційну систему та браузери до останніх версій – це закриє відомі вразливості. Якщо була підозра, що разом із фішинг-листом потрапило шкідливе ПЗ (вірус, троянець), таким чином можна мінімізувати його наслідки.
  6. Зв’яжіться із службами підтримки та правоохоронцями. Якщо ви втратили значні кошти або доступ до важливих акаунтів, зверніться одразу до банку (розкажіть, що трапилося) та правоохоронних органів (кіберполіції). Багато банків оперативно відключають транзакції й можуть допомогти з ануляцією платежів. Зберігайте копії підозрілих листів – вони стануть доказом при розслідуванні. Не соромтеся повідомити про атаку на спеціалізованих порталах чи форумах – це допоможе іншим користувачам не натрапити на ту саму схему.

Фішингові листи – небезпека, що не зникла і постійно еволюціонує. Щоб не стати жертвою шахраїв, важливо дотримуватися базових правил кібергігієни: скептично ставитися до термінових повідомлень, уважно перевіряти адреси та посилання, використовувати надійні паролі та двоетапну автентифікацію. Навіть якщо лист здається переконливим – завжди краще перепросити і переперевірити інформацію самостійно (через офіційні сайти або контактні канали компанії). У разі підозри негайно позначайте лист як спам, блокуйте відправника та звертайтеся по допомогу до служби підтримки. Таким чином ви захистите свої дані і фінанси навіть у найскладнішій ситуації. Бережіть свої логіни та паролі, не користуйтеся тим самим паролем кількаде і регулярно оновлюйте захист своїх акаунтів – адже безпека в Інтернеті завжди починається з пильності користувача.

Автор: SEOWORK — кібергігієна і практичні рішення для бізнесу.