Фішинг в перекладі з англійської означає "рибна ловля". Заняття спокійне і абсолютно невинне, а також, як стверджують прихильники цього виду відпочинку, добре заспокоює нерви. Але те, що називається фішингом в середовищі людей, що відповідають за кібербезпека, ні нешкідливим, ні зміцнює нервову систему не є.
Це вид мережевого шахрайства, що передбачає видобування у наївного користувача відомостей, що дозволяють від його імені входити в створені ним акаунти і здійснювати дії, що завдають шкоди як йому, так і системі, де цей аккаунт зареєстрований.
Що таке фішинг атака і на що вона націлена
Одним з основних прийомів фішингу служить масова розсилка листів, нібито від банку або іншого сервісу - наприклад, про отримання грошового переказу. Деталі ж рекомендують дізнатися, перейшовши за посиланням в листі. Посилання ця зазвичай веде на фейковий сайт, лише візуально схожий на справжній. Жертвою фішинг-атаки може стати будь-яку адресу електронної пошти, розміщений у відкритому доступі на веб-сайті, форумі, різних групах в соціальних мережах. Спеціальні боти постійно обнишпорюють інтернет, розшукуючи активні e-mail адреси для подальшого включення в список розсилки.
Найчастіше атака шахраїв спрямована на цілком певний сайт і його клієнтів. Найчастіше це банки та інші фінансові компанії, що працюють в інтернеті. У цьому випадку створюється підроблена версія легального ресурсу. Як правило, імітується тільки від мене вимагається залогуватись на сайт - більше хакерам і не потрібно. Після вказівки логіна і пароля на такому сайті, з'являється повідомлення про невірному вводі аутентифікаційних даних. Ця ознака в переважній більшості випадків говорить про те, що користувач потрапив на фейковий сторінку. А в цей час зловмисники вручну або в автоматизованому режимі виводять кошти з облікового запису жертви.
Фішингові атаки небезпечні тим, що подібні погрози складно розпізнати і тим більше припинити їх. Відбувається це тому, що при фішинг-атаки в прямому проникненні на комп'ютер жертви зазвичай немає потреби - а значить, система захисту даних не б'є на сполох. Всі необхідні дані кіберзлодії отримують від самих користувачів. Цікавлять ж їх перш за все паролі і логіни для авторизації на різних сайтах і в соціальних мережах, а також номери банківських карт і PIN-коди до них.
Як мінімізувати шкоду від фішингових атак
Працюючи в інтернеті, варто дотримуватися такі нескладні правила:
- Уважно перевіряти, від кого прийшло те чи інше повідомлення і не переходити за підозрілими посиланнями. Якщо є можливість - зв'язатися з компанією за допомогою телефону і перевірити, нею було відправлено цей лист.
- Тримати в секреті свій пароль і не надавати його нікому ні в якому разі. Серйозні компанії не вимагають пересилання конфіденційної інформації (номера кредитних карт, паролі) по електронній пошті і іншим незашифрованим каналах, так як захист даних клієнтів для них надзвичайно важлива.
- Вручну набирати веб-адреси сайтів, що зберігають важливу для вас інформацію, або користуватися самостійно створеними закладками, а не переходити за посиланнями в листі. При ручному введенні важливо стежити за тим, що написано в адресному рядку сайту, який вимагає ввести пароль. Часто доменне ім'я сайту-підробки може лише незначно відрізнятися від оригіналу - іноді різниця буде всього в одній букві.
- Регулярно оновлювати браузер і антивірусні програми. Більшість сучасних веб-оглядачів навчені визначати фішингові сайти і з кожним оновленням вміють робити це все краще.
- На сайтах банків обов'язково має бути захищене з'єднання по протоколу HTTPS. Якщо його немає - користувач потрапив не за тією адресою.
- Якщо з'явилася підозра про те, що фішинг атака все-таки відбулася, слід негайно змінити пароль свого облікового запису і попередити про можливу небезпеку адміністрацію сайту, дані для входу на який можливо вкрадені шахраями.
Багато ресурси зараз впроваджують власні системи безпеки і розробляють програми для захищеного входу. Але не завжди нові способи аутентифікації можуть уберегти від фішингових атак.
Розглянемо як приклад увійшов останнім часом в моду спосіб входу в обліковий запис після відсилання сканированного QR коду.
Отже, жертва потрапляє на підроблений сайт компанії, що виглядає як справжній. Вона клацає на значок QR коду фішингових сайту за допомогою встановленого на телефоні додатки. Робот сайту-підробки клікає на значок цього сайту. Реальний сайт показує код для входу атакуючому. Атакуючий відправляє код жертві через свій сайт. Обдурений користувач сканує QR код своїм смартфоном, який посилає дані на справжній сайт і той авторизує - тільки не користувача, а хакера.
Тим часом, якби використовувалася двофакторна аутентифікація з отриманням тимчасового пароля - такій ситуації можна було б уникнути. Особливо, якщо для генерації паролів застосовувати токен, який підтримує функцію підпису даних CWYS , Як це роблять токени Protectimus . В цьому випадку, навіть якщо кібершахраїв вдасться отримати логін, пароль і навіть ОТР, вони все одно не зможуть увійти в обліковий запис, так як даний ОТР згенерований на базі індивідуальних параметрів користувача таких, як IP-адреса і дозвіл екрана використовуваного пристрою. Цей список можна продовжити.
Так чи варто винаходити нові рішення, якщо існують надійні і перевірені? І двухфакторная авторизація, яка використовує одноразові паролі з підписом даних, - одне з них. Її використання допоможе позбавити кібершахраїв "улову" і вберегти акаунти користувачів від злому.
Так чи варто винаходити нові рішення, якщо існують надійні і перевірені?