Читаем Старший брат следит за тобой. Как защитить себя в цифровом мире полностью

В данном случае довольно легко определить, что на самом деле письмо получено не от компании Apple. Так, злоумышленники производили массовую (нецелевую) рассылку, поэтому вместо имени адресата указан электронный адрес (на рисунке размыт из соображений безопасности). Злоумышленники даже не потрудились разузнать имя владельца адреса электронной почты, хотя это довольно легко сделать. Рассылая такие письма, они рассчитывают на то, что потенциальная жертва испугается, поверив, что ее аккаунт заблокирован, сразу нажмет кнопку «Войти» и на открывшейся странице введет учетные данные своего аккаунта Apple ID. Но если посмотреть адрес, на который ведет кнопка-ссылка, то можно увидеть, что он принадлежит вовсе не серверу Apple. Кстати, если все-таки перейти по ней, откроется довольно похожая на оригинал копия сайта компании Apple с формой ввода адреса и пароля Apple ID. Причем в любые другие разделы сайта, например Support, перейти невозможно: ссылки никуда не ведут. Разумеется, при вводе данных авторизация не происходит, а информация передается злоумышленникам.

Мошенники становятся все более искусными и применяют методы социальной инженерии: от угроз («если вы не сообщите ваши данные в течение недели, ваш счет будет заблокирован») и личного обращения к жертве до шифрования ссылок или имитации реальных адресов. Фишеры стараются делать ссылки похожими на адреса реальных сайтов, поэтому только наблюдательный пользователь может обратить внимание на то, что адрес в строке браузера отличается от настоящего. Адреса могут включать в себя название реального домена, дополненное другими словами (например, вместо https://www.apple.com адрес https://www.login-apple.com). Популярный в последнее время фишинговый прием – рассылка писем, содержащих адрес с точками вместо косых черточек, внешне очень похожий на реальный (вместо https://www.apple.com/personal/login – https://www.apple.com.personal.login или, скажем, https://www.apple.com-personal.login). Применяется также многократное повторение слов в адресе сайта, что вводит в заблуждение невнимательных или неуверенно чувствующих себя в интернете людей (например, https://www.fcbk.com/www.facebook.com/facebook/login.facebook.com.php).

Есть и другие приемы, притупляющие бдительность пользователя. Так, ссылка может выглядеть как настоящая, но вести не на реальный сайт, а на ресурс мошенников. При этом различаются текст ссылки (если его скопировать именно как текст, вставить в адресную строку веб-браузера и нажать Enter, то откроется настоящий сайт) и значение элемента a в HTML-коде (это и есть ссылка на ресурс мошенников). Вот как может выглядеть HTML-код: https://(видимая ссылка на настоящий сайт). Некоторые сервисы электронной почты, если открывать их в веб-браузере (например, Safe-mail.net), при наведении указателя мыши на ссылку в письме показывают реальное значение элемента a в HTML-коде, а некоторые (например, почта «Яндекс») представляют его в зашифрованном виде. Либо, например, поддельная ссылка окружается второстепенными, позволяющими перейти на реальный сайт. На рис. 3.2 показан пример типичного фишингового сайта, передающего злоумышленникам логины/пароли аккаунтов Google. Обратите внимание на адрес сайта.

Рис. 3.2. Пример фишингового сайта с формой Google

В редких случаях формы для ввода персональных данных могут содержаться в самом письме – тут важно помнить, что ни одна нормальная компания не будет поступать таким образом. Введенные в такую форму данные утекут на сервер злоумышленников.