Что такое фишинг, как его распознать и не попасть на крючок мошенников

Злоумышленники маскируются под организации или знакомых, чтобы выманить деньги или доступ к аккаунтам. Эксперт проекта «Моифинансы.рф» Дмитрий Модель рассказал, как отличить настоящее уведомление или ссылку от фишинга.

Что такое фишинг

Фишинг (от англ. fishing — «рыбная ловля, выуживание») — это разновидность мошенничества, направленная на получение конфиденциальной информации.

Злоумышленники часто маскируются под организации, знакомых людей (родственников, друзей или коллег), направляя сообщения, которые стимулируют потенциальную жертву к определенным действиям, например:

• скачать программу или приложение на телефон;
• перейти по ссылке;
• отсканировать QR-код;
• перезвонить по указанному номеру;
• заполнить электронную форму «опроса».

Такие сообщения могут рассылаться по электронной почте, но наиболее активно — через социальные сети, мессенджеры и СМС. Кроме того, фишинг не ограничивается только текстовыми рассылками — это может быть видео или голосовое сообщение от близкого родственника либо друга, созданное с помощью ИИ (дипфейк).

При этом сценарии обмана постоянно меняются: мошенники гибко реагируют на нововведения в законодательстве, социально-экономические изменения и используют самые актуальные темы для введения в заблуждение.

Методы, позволяющие подцепить жертву на крючок, основаны на социальной инженерии и использовании человеческих слабостей, например:

• сообщение с требованием немедленно оплатить штраф в короткий срок — в данной ситуации человек паникует и теряет критическое мышление;
• уведомление якобы от «Госуслуг» о полагающихся «выплатах от государства» — жертва торопится заполнить «форму заявления» по присланной ссылке.

По такому же принципу можно попасть в ловушку, перейдя по ссылке, сулящей крупную распродажу или бесплатное медицинское обследование по «госпрограмме». В итоге жертва верит сообщению из «банка» о блокировке счета или крупном выигрыше, теряет деньги в «инвестировании по совету друга» или становится жертвой лжеблаготворителей.

Целью обмана становятся:

• деньги;
• доступ к аккаунтам («Госуслуги», соцсети, личные кабинеты маркетплейсов, банковские сервисы и другие);
• личные данные;
• заражение устройства пользователя вредоносным ПО.

Социальная инженерия — это совокупность методов и тактик воздействия, основанных на психологическом манипулировании, с целью контроля поведения человека и доступа к конфиденциальной информации.

Как отличить настоящее уведомление от банка от фишинговой ловушки

Поддельные сообщения
Отдельного внимания заслуживают поддельные сообщения от банков — один из самых распространенных и опасных видов фишинга. Благодаря сим-боксам мошенники научились подменять номер отправителя, поэтому звонки и СМС могут приходить с того же номера, что и официальные, включая короткие. Ориентироваться на знакомые цифры больше нельзя: вместо этого смотрите на содержание и контекст.

Подлинные банковские уведомления формулируются нейтрально и не давят на эмоции. Любое сообщение, которое пытается вас напугать или торопит («счет заблокирован», «немедленно подтвердите перевод», «осталось пять минут»), — гарантированный признак мошенничества.

Настоящий банк никогда не будет запрашивать в переписке или по телефону ПИН-код, CVP (три цифры с оборота карты), одноразовые коды из СМС или push-уведомлений, а также логин и пароль от личного кабинета.

Фишинговые ссылки
Если банки и присылают ссылки, то почти всегда это исключительно информационные и маркетинговые материалы (например, на скачивание приложения в официальном магазине), и делается это вне контекста тревоги.

Если же в звонке или пугающем сообщении вам пришла ссылка для входа, отмены операции или «подтверждения личности» — перед вами фишинговая ловушка.

Главное и самое надежное правило: игнорируйте любые входящие ссылки такого рода. Откройте официальное приложение банка сами или позвоните по номеру с обратной стороны вашей карты, чтобы проверить информацию.

Как защититься от фишинга

Чтобы не стать жертвой фишинга, соблюдайте базовые правила цифровой гигиены:

1. При получении тревожного сообщения или звонка не спешите действовать по предложенному алгоритму: не переходите по ссылке, не звоните по указанному телефону, не передавайте конфиденциальную информацию и не переводите никому деньги. Вместо этого свяжитесь с предполагаемым автором сообщения по телефону — обман раскроется. Если плохие известия пришли якобы из банка или госорганов, убедитесь в достоверности информации через официальные каналы: чат поддержки, горячую линию или клиентскую службу ведомства.
2. Информацию о налоговых начислениях, штрафах, сведения о мерах государственной поддержки можно получить самостоятельно через личный кабинет налогоплательщика, на портале «Госуслуги» или лично в территориальных отделениях ведомств или в МФЦ.
3. Не переходите по присланным ссылкам, чтобы «проголосовать» за ребенка в конкурсе, заработать на выгодной инвестиции или подтвердить личность.
4. Не скачивайте файлы и не устанавливайте ПО из подозрительных источников. Для загрузки игр и приложений используйте только официальные ресурсы и магазины приложений.
5. Никому не сообщайте коды из СМС, пуш-уведомлений, логины и пароли доступа, кем бы ни представлялся собеседник — полиция, банк, налоговая служба, соцобеспечение, мобильный оператор или курьер доставки.
6. Обращение по имени-отчеству и знание личной информации не гарантия достоверности, а «кружок» с видео от друга может оказаться дипфейком, созданным после взлома его аккаунта.
7. Используйте многофакторную аутентификацию для доступа к аккаунтам — это позволит минимизировать риск стороннего доступа даже при утечке логина и/или пароля. На всех устройствах обязательно применяйте антивирусное ПО.
8. Не поддавайтесь на манипуляции, учитесь считывать тревожные маркеры: сотрудники банков и госорганов никогда не понуждают к немедленным действиям и не требуют сообщать конфиденциальную информацию из полученных сообщений.
9. Ссылки для перехода на фишинговый ресурс могут быть замаскированы под мигающие баннеры, кнопки на сайте, а также под QR-коды для сканирования. Для оплаты услуг вне торговых сетей используйте официальные приложения поставщика. Например, в весенне-летний период учащаются случаи, когда QR-код для оплаты кикшеринга заменяют на фейковый (на самокате или велосипеде). Подделкой может оказаться и код для присоединения к общедомовому чату, а также актуальные схемы со звонками или сообщениями «от соседей» о заливе либо о необходимости идентификации собственника «для активации электронного ключа после замены домофона» в многоквартирном доме.
10. Просьбы помочь нуждающимся — животным, пострадавшим от стихийных бедствий, больным детям (список широк) могут использоваться мошенниками. Сообщения о сборах на операцию кочуют по пабликам разных городов (одна история, нечеткие фото). Уличить фейк зачастую несложно — оказывайте помощь официальным благотворительным фондам или тем, кого знаете лично.

Большинство фишинговых уловок можно распознать при условии, что человек не поддается панике и критически оценивает ситуацию. Важно не действовать второпях, делать паузу, советоваться с близкими, проверять информацию в официальных источниках и не верить безоговорочно сторонним сообщениям и звонкам.

Источник: РБК Инвестиции