Як шахраї використовують довірливих користувачів?

У нашому сьогоденні існує дуже багато видів шахрайства. Серед них один з найактуальніший – фішинг та фішингові атаки. Надто довірливі користувачі можуть потрапити на такий вид шахрайства, та добровільно надати свої персональні дані зловмисникам. Як від цього вберегти себе і рідних? Та чому важливо аналізувати будь-які невідомі посилання, сайти, телефоні дзвінки? Це та інші питання проаналізував I-VIN.INFO.

Що таке фішинг та чому на нього натрапити може майже кожен?

Фішинг – це вид шахрайства, який працює на довірливих користувачах. Основна специфіка фішингу – жертва дає свої персональні дані добровільно. У вас можуть виманити особисті дані в онлайн режимі заради власних цілей. Це і персональні дані, які можна ввести для отримання доступу до соціальних мереж чи банківських карток тощо. Важливо пам’ятати, що такий вид шахрайства може спіткати кожного користувача інтернету. Зловмисники намагаються «розвести» вас, викликати зацікавленість, довіру, аби ви перейшли за певним посиланням та попалися на «гачок».

Для цього користувачам пропонують якусь послугу або можливість, яка і вимагає розкрити ваші особисті дані. Наприклад, номери телефонів, номери та секретні коди банківських карт, логіни та паролі електронної пошти та облікових записів в соціальних мережах тощо. Також виманити ваші дані шахраї можуть і через перевірку авторизації на сайті, необхідності «відписатися» від спаму в електронній пошті, оплатити покупки за низькою ціною або з великою знижкою та інше.

Як же я потрапив на фішинг?

Отож, за допомогою фішингу шахраї очікують на жертву, щоб потім заволодіти бажаним. Розберемо приклади разом з коментарями від експертів.

На цьому скріншоті ми бачимо повідомлення від нібито «безпечного банку», який «турбується» про наші фінанси і прагне, аби ми перейшли за посиланням та авторизувалися. Тобто, добровільно перейшли та залишили свої дані. До того ж тут є маніпуляція: «Якщо ви не виконаєте цю дію протягом 24 годин, ми будемо змушені заблокувати ваш обліковий запис до завершення перевірки». Такий тиск може пришвидшити реакцію людини, яка хотіла б вирішити свою «проблему» з фінансами.

Як коментує студент факультету інформаційних технологій та комп’ютерної інженерії ВНТУ Іван Савчук, варто звертати увагу на те, звідки прийшов лист. Справжні офіційні листи від банків та інших організацій зазвичай будуть відправлятися з офіційних доменів, а не з підозрілих адрес.

«Ніколи не переходьте за підозрілими посиланнями. Перед тим як натиснути, наведіть курсор на посилання та подивіться на адресу у верхньому лівому куті браузера. Справжні офіційні сайти використовуватимуть захищені протоколи (https) та домен, що відповідає організації. У цьому прикладі, така ж сама ситуація. Для прикладу візьмемо два домени, які зовні схожі один на одного та визначимо який з них є надійним https://privatbank.ua/ та http://prlvatbank.ua/. Користувачі рідко звертають увагу саме на посилання, але якщо ми подивимось на них то побачимо, що по суті вони кардинально відрізняються. Звертаємо увагу на протокол різниця полягає в безпеці. HTTPS є більш безпечним, оскільки інформація шифрується перед передачею, тоді як у HTTP це не відбувається. Тому, якщо вводити особисту інформацію на веб-сайті (таку як паролі, номери кредитних карток тощо), завжди краще перевіряти, що веб-сайт використовує HTTPS для забезпечення безпеки Ваших даних. В нашому випадку сайт-шахрай використовує протокол http – дуже малоймовірно, що така велика компанія не може дозволити собі використання захищеного протоколу. Інша відмінність прихована у назві. На офіційному сайті зазначене ім’я privatbank.ua, у той час коли на сайті-шахраї одна літера замінена на схожу http://prlvatbank.ua/. Якщо користувач не зверне на це увагу, а лише швиденько пробіжить очима по цим двум адресам, то великої відмінності він не помітить», - каже Іван Савчук.

Також додає, що фішингові листи часто просять вас ввести особисті дані, такі як паролі, PIN-коди, номери кредитних карт і та інше. Проте ніколи не надавайте подібні дані через електронну пошту або на непідтверджених сайтах.Бувають випадки, коли фішингові листи часто створюють відчуття термінових дій, щоб змусити вас діяти поспішно. У цій ситуації Іван Савчук радить уважно оцінювати подібні твердження та консультуватись з офіційними джерелами.

А найрозповсюджений метод виявлення фішингового листа – це граматичні помилки. Такі повідомлення часто створюють шахраї, які не володіють повним знанням мови. Наприклад, вони перекладають текст через онлайн-перекладача, або дійсно не вивчали добре у школі українську мову.

Наступний приклад фішингового листа базується на виявлення зацікавленості людини.

Таке повідомлення може надіслати знайома вам людина, яка, можливо, вже переходила за цим посиланням та піддалася фішинговій атаці. У такий спосіб запускається «ланцюг» фішингу. А шахраї отримують бажане – ваші контактні дані соціальної сторінки.

Один з можливих прикладів фішингу є повідомлення в інстаграм з «сексуальним» підтекстом.

Як прокоментувала доцентка кафедри захисту інформації Вінницького національного технічного університету Олеся Войтович, у цьому випадку варто дізнатися ціль людини: чи вона прагне отримати за рахунок маніпулятивних повідомлень ваші паспортні чи інші контактні дані, чи розвести вас на гроші.

«Звісно, у кожної людини може бути свій «сценарій» після таких повідомлень. Люди зі схожими мотивами можуть прагнути отримати ваші паспортні дані, «обіцяючи» купити квитки в Париж. А може і надіслати погане посилання, яке перехопить ваші дані. Чи взагалі заволодіти вашими коштами. У будь-якому випадку варто не довіряти таким людям та нічого не відписувати на повідомлення», - застерігає Олеся Войтович.

Поради та висновки

Отож, потрапити на посилання з фішингом може кожен. Проте потрібно не піддаватися цікавості, маніпуляціям та не переходити посилання. Аналізуйте будь-яке незрозуміле повідомлення, телефонний дзвінок, навіть якщо це надходить до вас від знайомих людей. До того ж, фішингові сайти можуть повністю копіювати дизайн маркетплейсів, банків, платформ оголошень, сервісів обміну валют, служб доставки тощо.

Щоб остаточно не піддаватися фішинговій атаці, можна ще скористатися порадами від кіберполіції України: (далі інфографіка).

Нагадаємо,вінничани зможуть вимірювати якість мобільного зв'язку.

Щоб отримувати новини вчасно, підписуйтесь на наш Телеграм-канал.

Головне фото: fintechinsider.com.ua

Фото:особисті скріншоти