Читаем Искусство цифровой самозащиты полностью

Фишеры часто вместо текста используют изображения, что затрудняет обнаружение мошеннических электронных писем антифишинговыми фильтрами. Но специалисты научились бороться и с этим видом фишинга. Так, фильтры почтовых программ могут автоматически блокировать изображения, присланные с адресов, не входящих в адресную книгу. К тому же появились технологии, способные обрабатывать и сравнивать изображения с сигнатурами однотипных картинок, используемых для спама и фишинга.

Новые угрозы

Сегодня фишинг выходит за пределы интернет-мошенничества, а поддельные веб-сайты стали лишь одним из множества его направлений. Письма, которые якобы отправлены из банка, могут сообщать пользователям о необходимости позвонить по определенному номеру для решения проблем с их банковскими счетами. Эта техника называется вишинг (голосовой фишинг). Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счета и PIN-код. К тому же вишеры, используя фальшивые номера, могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций. Чаще всего злоумышленники выдают себя за сотрудников службы безопасности банка и сообщают жертве о зафиксированной попытке незаконного списания средств с его счета. В итоге человека также попросят сообщить его учетные данные.

Набирает свои обороты и СМС-фишинг, также известный как смишинг (англ. SMiShing – от SMS и «фишинг»). Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт. Входя на него и вводя свои личные данные, жертва таким образом передает их злоумышленникам. В сообщении также может говориться о необходимости позвонить мошенникам по определенному номеру для решения «возникших проблем».

QR-коды

Помните, как в 2021 году мэрия Москвы при поддержкe Минцифры решилa в очередной раз блеснуть своей глупостью и ввелa QR-коды для посещения заведений общепита?

Технология QR-кода достаточно проста: в нем закодирована ссылка на внешний сайт. В примере с сертификатами вакцинации ссылка вела на портал Госуслуг, где была простенькая страничка, отображавшая, что сертификат действителен.

Почему я вдруг поднял эту тему? А всё просто: если взять технику фишинга, т. е. скопировать страничку, вставить туда нужные данные и разместить на каком-нибудь сайте типа gosuslugi.app – ни один проверяющий не заметит, что сайт ненастоящий. Честно признаться, в 2001-м я несколько раз проходил в кафе и рестораны по такому коду.

Я продемонстрировал, как легко подделать QR-код вакцинации газете «Коммерсантъ» и они написали статью «Неподменимых у нас нет». Тема была настолько больная, что поднялась настоящая буря в СМИ, да такая, что вызвала озабоченность даже в Кремле.

КАК НЕ ПОПАСТЬСЯ НА УДОЧКУ МОШЕННИКОВ?

1. Самое главное правило – компании и сервисы не запрашивают вашу конфиденциальную информацию по электронной почте. Если вы видите призыв зайти и что-то ввести – на 99 % это фишинг.

2. Настоящие компании и сервисы обычно называют вас по имени. Мошенники же опускают обращение и пишут просто что-то вроде «Дорогой пользователь».

3. Настоящие компании и сервисы присылают письма со своих доменов. Обращайте внимание, от кого пришло письмо, если в доменном имени есть лишние буквы и опечатки.

4. Проверяйте ссылки, по которым вас просят перейти. Наведите мышкой на ссылку и проверьте, совпадает ли отображаемое имя с тем, куда реально ведет ссылка, и написана ли сама ссылка верно, без ошибок (смотри выше техники фишинга).

5. При любом малейшем подозрении в том, что вы получили фишинговое письмо, просто свяжитесь с компанией напрямую. Например, настоящий URL-адрес компании можно найти в поисковой системе, банки часто пишут свои телефоны и адреса сайтов на обратной стороне карт.

Фишинг

«Телефонные мошенники похищают со счетов россиян 3,5–5 миллиардов рублей ежемесячно. Средний чек по успешной мошеннической операции находится на уровне 8 тысяч рублей» (Станислав Кузнецов, зампред правления Сбербанка).

Ниже приведены некоторые из методов телефонного мошенничества.

Потенциальный покупатель

Человек размещает объявление в интернете, например, о продаже недвижимости на Aвито. Так телефон из объявления немедленно попадает в поле зрения мошенников. И владельцу звонит некий «потенциальный покупатель», готовый платить, не торгуясь, но только на карту или «Cбербанк онлайн».

Для этого он просит сообщить номер карты, срок действия, CVV-код с обратной стороны карты. И СМС-код из сообщения банка о проведенной операции. Или же доступы от «Сбер-онлайн» и код подтверждения. Неопытный пользователь вполне может назвать все реквизиты, вот только после этого счет не пополняется, а опустошается мошенниками.