Фінансове шахрайство: визначення фішингу та способи захисту від нього.

Як функціонує фішинг і які його типи існують

У минулі часи найбільш розповсюдженим способом здійснення фішингових атак були електронні листи та текстові повідомлення. Коли користувачі клікали на посилання в таких повідомленнях, зловмисники могли отримати важливу інформацію, зокрема дані платіжних карток, фінансові номери телефонів, паспортні відомості, ідентифікаційні коди, а також логіни та паролі для доступу до онлайн-банкінгу.

Однак із зростанням популярності месенджерів, таких як Telegram, Viber і WhatsApp, кіберзлочинці почали активно їх використовувати в своїх схемах. Завдяки шкідливим гіперпосиланням, вони можуть отримувати доступ до акаунтів своїх "жертв" і їхніх контактних списків.

Зазвичай далі, заволодівши обліковим записом, зловмисники розсилають вірусні повідомлення друзям і близьким ошуканого. Часто шахраї пропонують проголосувати у конкурсі за когось із знайомих, додавши посилання, після натискання на яке людина потрапляє "на гачок".

Щоб здійснити масову розсилку шкідливих повідомлень, шахраям не потрібно злому конкретного мобільного пристрою. Багато з них купують бази даних з номерами телефонів на так званому даркнеті. Завдяки цьому вони отримують сотні, а іноді й тисячі контактів, яким можуть відправити спам упродовж кількох годин.

Слід підкреслити, що аферисти оперативно пристосувалися до умов війни, тому миттєво вигадують і впроваджують нові методи шахрайства. Наприклад, злочинці розробляють фішингові сайти, що імітують веб-ресурси справжніх благодійних організацій, на які нібито можна перерахувати гроші для підтримки Збройних Сил України.

Окрім цього, злочинці можуть надсилати повідомлення з пропозиціями про отримання підроблених виплат або соціальної допомоги від держави чи міжнародних організацій, намагаючись видобути вашу особисту інформацію.

Що стосується СМС і електронних листів, то вони зазвичай не мають індивідуального підходу та містять стандартні звернення, такі як "Шановний клієнте". У деяких випадках фішингові повідомлення можуть мати орфографічні помилки, що робиться з метою обійти системи захисту. Подібні листи часто надсилаються з підроблених адрес, які можуть відрізнятися від оригінальних лише на одну літеру чи символ.

Деякі кібершахраї використовують тактику залякування, щоб спонукати людей відчувати паніку, погрожуючи або вимагаючи терміново перейти за посиланням чи перевести гроші на невідомий рахунок. Зазначимо, що в жодному випадку не слід піддаватися на такі провокації.

Фішингові електронні листи зазвичай включають гіперпосилання, що ведуть на URL-адреси без сертифікатів безпеки. Такі адреси починаються з "http://", тоді як безпечні URL-адреси мають латинську букву S у кінці: "https://".

Щоб запобігти небезпеці, фахівці рекомендують:

Окрім цього, активуйте двофакторну аутентифікацію, генеруйте "хмарний" пароль та налаштуйте розпізнавання обличчя на своєму телефоні, якщо ця опція доступна.

В першу чергу звертайте увагу на правильність написання адреси сайту. Різниця між адресами шахрайського і справжнього ресурсу може становити лише одну літеру чи знак. Якщо ви вводите карткові реквізити, паролі за посиланням на новому сайті, намагайтеся робити це не зі смартфона, оскільки там важче розгледіти адресу.

Переконайтеся у надійності онлайн-сервіса, куди ви перейшли. Для цього можна скористатися наявними базами шахрайських сайтів, які формують за результатами щоденного моніторингу, та перевірити вебресурс. Наприклад, у сервісі STOP FRAUD на вебсайті Кіберполіції ви зможете перевірити інформацію за такими параметрами: номер платіжної картки, телефон або посилання на сайт.

Щоб перевірити сайт на наявність шахрайства, фішингу та шкідливого програмного забезпечення, ви можете скористатися сервісом Black List. Для цього потрібно скопіювати URL-адресу сайту та вставити її в пошукове поле. Крім того, вам може стати в нагоді інструмент CheckMyLink.

У разі, якщо ви стали жертвою кіберзлочинців, важливо перш за все звернутися до місцевого відділу поліції або подати заяву на веб-ресурсі Департаменту кіберполіції. Ваше звернення буде розглянуто за місцем вашого проживання, і в разі потреби можуть бути ініційовані кримінальні розслідування.

Якщо з вашої картки були зняті кошти, обов'язково зверніться до свого банку, щоб заблокувати рахунок та деактивувати картку.

Якщо злочинці отримали доступ до вашого облікового запису в месенджері, важливо терміново завершити всі активні сеанси, пов'язані з цим акаунтом. Якщо ж усі спроби захистити свій профіль не дали результату, єдиним виходом стане видалення старого облікового запису та створення нового.

Нагадуємо, що раніше РБК-Україна повідомляло про способи уникнути пасток телефонних шахраїв, які використовують метод, відомий як "вішинг".