7 опасных типов фишинговых атак, о которых нужно знать каждому

По оценкам ФБР, в 2023 году американцы потеряют до 12,5 миллиардов долларов из-за мошенничества с использованием электронной почты. Вы можете думать, что знаете, как распознать и избежать мошеннических писем, но все не так просто.

Вредоносные электронные письма — это лишь часть растущего списка все более изощренных фишинговых атак, которые киберпреступники используют не только для кражи денег, но и для использования личной информации, кражи идентификационных данных и причинения вреда как отдельным лицам, так и компаниям.

Вот 7 наиболее распространенных и опасных типов фишинговых атак, которые киберпреступники часто используют для атак на пользователей.

1. Мошенничество с электронными письмами

Мошенничество с использованием электронной почты (или фишинг) — это форма кибератаки, при которой киберпреступники отправляют поддельные электронные письма, чтобы обманным путём заставить получателей совершить выгодные им действия, например, предоставить конфиденциальную информацию, перейти по вредоносным ссылкам или загрузить вредоносное ПО. Такие письма часто выглядят так, будто они отправлены от надёжной организации или частного лица, например, банка, крупной компании или государственного учреждения.

Изначально под онлайн-мошенничеством понимались просто попытки кражи конфиденциальной информации или денег через электронную почту. Это неудивительно, ведь электронная почта — один из первых каналов атак, который киберпреступники используют для обмана пользователей.

Несмотря на свой возраст, фишинг по электронной почте остаётся одной из самых распространённых форм мошенничества. По оценкам, ежедневно отправляется около 3,4 миллиарда электронных писем, что делает его не только дорогостоящим, но и самым часто регистрируемым видом киберпреступления.

Раньше фишинговые письма было легко распознать из-за неуклюжей грамматики и странных формулировок, что быстро приводило к тому, что их принимали за поддельные. Однако ситуация изменилась с появлением технологий искусственного интеллекта, таких как ChatGPT. Этот инструмент стал «мощным помощником» для хакеров, позволяя даже не владеющим английским языком создавать грамотные, профессионально выглядящие фишинговые письма, достаточно сложные, чтобы обмануть практически любого.

Если у вас есть сомнения в подлинности электронного письма, свяжитесь напрямую с компанией, о которой идёт речь, но никогда не отвечайте на него. И что ещё важнее, если вы не уверены в достоверности письма, не переходите по ссылкам и не загружайте вложения. Это может стать ключом к защите от кибератак.

2. Мошенничество с текстовыми сообщениями

Мошенничество с текстовыми сообщениями (SMS) (также известное как SMS-фишинг или смишинг) — это вид мошенничества, осуществляемого через текстовые сообщения или мессенджеры, такие как WhatsApp и Messenger. Как и мошенничество с электронными письмами, цель смишинга — заставить пользователей предоставить личную или финансовую информацию или совершить действия, выгодные мошеннику, например, перейти по вредоносным ссылкам или загрузить вредоносное ПО.

Большинство людей привыкли проверять сообщения в течение 5 минут после их получения, поскольку текстовые сообщения часто воспринимаются как более личное и надёжное средство общения, чем электронная почта. Мы часто получаем сообщения от друзей, родственников или компаний, которым доверяем, поэтому нам легко уделить им внимание и быстро ответить.

Смишинг похож на мошенничество с электронными письмами, но вместо того, чтобы отправлять письма в ваш почтовый ящик, эти мошеннические схемы работают через SMS. Возможно, вы получили поддельное SMS от Amazon с уведомлением о прибытии заказа, хотя вы ничего не заказывали.

Или, возможно, вы получаете сообщение от «незнакомца», который утверждает, что отправил его не на тот номер, но намеренно затягивает разговор. Всё это — попытки киберпреступников заставить вас перейти по ссылке, содержащей вредоносное ПО, или обманным путём заставить вас украсть деньги и личную информацию.

Разделка свинины — это все более распространенная, изощренная форма атаки методом смишинга, при которой мошенник терпеливо «ухаживает» за жертвой, как за свиньей, постепенно завоевывая ее доверие и убеждая ее вложить деньги во что-то (обычно в поддельную криптовалютную биржу), чтобы в конечном итоге забрать все ее активы.

3. Мошенничество с фишинговыми сетями

Мошенничество с фишингом в социальных сетях (или Angler Phishing) — это форма кибератаки, при которой киберпреступники выдают себя за аккаунты служб поддержки клиентов в социальных сетях, таких как Facebook, Zalo и др., чтобы обмануть жертв. Злоумышленники создают поддельные веб-сайты или аккаунты, выдавая себя за известные бренды или авторитетные службы поддержки, чтобы обманным путем заставить пользователей довериться им и предоставить личную информацию, аккаунты или деньги.

Мы часто делимся в социальных сетях большим количеством личной информации, стремясь к общению и общению со всеми. Однако эта информация становится инструментом мошенников, помогая им создавать изощрённые и персонализированные фишинговые атаки для более эффективного обмана пользователей.

Злоумышленники сканируют ваши профили в социальных сетях, чтобы узнать, какими продуктами и услугами вы пользуетесь, а затем выдают себя за представителей служб поддержки клиентов компаний, которым вы доверяете.

Затем они попросят вас предоставить конфиденциальную информацию, отправят вредоносные ссылки или перенаправят вас на поддельные веб-сайты, чтобы украсть пароли и другие важные данные, что затем позволит взломать ваш аккаунт.

4. Телефонное мошенничество

Голосовой фишинг (также известный как вишинг или голосовой фишинг) — это форма телефонного мошенничества, при которой злоумышленник выдаёт себя за доверенную организацию или человека, чтобы обманным путём заставить получателя предоставить личную или финансовую информацию или совершить действия, выгодные мошеннику. Вишинг — это комбинация фишинга и голосовых вызовов, при которой вместо электронной почты или текстовых сообщений используется голосовой вызов.

В последнее время многим людям звонил человек, представившийся сотрудником банка, и говорил он уверенным и дружелюбным тоном. Этот человек сообщал, что по его карте только что была совершена подозрительная транзакция, и банку необходимо подтвердить его личность. Первым делом мошенник попросил пользователя предоставить номер удостоверения личности и другую важную информацию о банковской карте.

Эта вишинг-атака имеет все признаки успешной атаки с использованием социальной инженерии. Они подчёркивают, что время имеет решающее значение, заставляя жертву нервничать и почти заставлять её раскрыть конфиденциальную информацию. Более того, они выдают себя за человека, обладающего властью, создавая впечатление, что их запрос информации ко мне совершенно обоснован и необходим.

5. Целенаправленное онлайн-мошенничество

Целевой фишинг — это высокотехнологичная и персонализированная форма онлайн-мошенничества. В отличие от традиционного фишинга, когда злоумышленник рассылает тысячи случайных поддельных писем, целевой фишинг нацелен на конкретного человека или организацию. Злоумышленник собирает подробную информацию о жертве, например, об интересах, служебных отношениях и других личных данных, чтобы создать поддельное письмо, которое выглядит очень правдоподобно и вызывает доверие.

Целевой фишинг — гораздо более изощрённая и персонализированная атака. Представьте, что вы получили электронное письмо с вашим именем и конфиденциальной информацией. Очевидно, вы с большей вероятностью откроете его, поскольку оно выглядит таким достоверным и заслуживающим доверия.

Фишинговые атаки не нацелены на обычных людей; зачастую они направлены на цели, которые хакеры считают особо ценными. Хакер может быть готов потратить время и ресурсы на сбор подробной информации о своей цели, чтобы создать тщательно персонализированные и убедительные вредоносные письма.

Изощренной разновидностью фишинговой атаки является «уэйлинг», который обычно нацелен на высокопоставленных лиц, таких как генеральные директора и генеральные менеджеры, с целью получения от них конфиденциальной информации.

6. Мошенничество с водопоем

Афера с водопоем заимствована из естественного охотничьего поведения, когда хищники устраивают засаду у водоемов, часто посещаемых их добычей.

В кибербезопасности это понятие описывает форму атаки, при которой злоумышленник взламывает веб-сайт или онлайн-сервис, часто используемый жертвой. Злоумышленник пользуется доверием пользователя к этому легитимному веб-сайту, чтобы заразить его вредоносным ПО или украсть личную информацию при посещении.

Мошенничество с использованием «водопой» происходит, когда злоумышленник взламывает легитимный веб-сайт и использует уязвимости для установки вредоносного кода, например, HTML или JavaScript. Злоумышленник может получить контроль над всем веб-сайтом или изменить его часть, чтобы перенаправить пользователей на поддельную страницу.

Когда пользователи изначально доверяют веб-сайту, они, как правило, нажимают на ссылки и предоставляют конфиденциальную информацию, например, номера кредитных карт, национальные идентификационные номера или учетные данные для входа, тем самым создавая возможность для злоумышленников похитить данные.

7. Мошенничество через поддельные сайты

Подмена веб-сайта — это форма кибератаки, при которой злоумышленник создаёт поддельный веб-сайт, который выглядит и функционирует практически идентично настоящему. Цель такого поведения — заставить пользователей поверить, что они посещают настоящий веб-сайт, тем самым похищая конфиденциальную информацию, такую ​​как пароли, номера кредитных карт и другие личные данные.

Вы когда-нибудь пытались зайти на Amazon.com и случайно вводили Amazonn.com? Хотя сайт, который вы видите, выглядит и работает точь-в-точь как Amazon, на самом деле это может быть поддельный сайт, принадлежащий и управляемый мошенником.

Это разновидность атаки, называемая перехватом URL-адресов, при которой киберпреступники покупают домены, очень похожие на домены популярных веб-сайтов. Они создают видимость настоящих сайтов, но их настоящая цель — сбор конфиденциальной информации, такой как пароли, данные кредитных карт или личные данные.

Хотя фишинговые атаки становятся всё более изощрёнными и их сложнее обнаружить, вы всё равно можете защитить себя, сохраняя бдительность. Никогда не переходите по ссылкам и не предоставляйте конфиденциальную информацию, если вы не уверены, что человек, с которым вы общаетесь, действительно является представителем надёжной компании.