Резюме
Фишинг, или по-французски фишинг, — это вредоносная практика, при которой злоумышленники выдают себя за заслуживающих доверия лиц, чтобы обманом заставить людей раскрыть конфиденциальную информацию.
Будьте бдительны в отношении фишинга, выявляя такие распространенные признаки, как подозрительные URL-адреса и срочные запросы личной информации.
Узнайте о различных методах фишинга, от обычного мошенничества с электронной почтой до изощренного целевого фишинга, чтобы усилить защиту от кибербезопасности.
Введение
Фишинг — это гнусная тактика, при которой злоумышленники выдают себя за доверенные источники, чтобы обманом заставить людей поделиться конфиденциальными данными. В этой статье мы объясним вам, что такое фишинг, как он работает и какие шаги можно предпринять, чтобы не стать жертвой такого мошенничества.
Как работает фишинг
Фишинг в первую очередь опирается на социальную инженерию — метод, с помощью которого злоумышленники манипулируют людьми с целью разглашения конфиденциальной информации. Злоумышленники собирают личную информацию из общедоступных источников (например, социальных сетей), чтобы создавать электронные письма, которые выглядят подлинными. Жертвы часто получают вредоносные сообщения, которые, по-видимому, исходят от знакомых контактов или авторитетных организаций.
Наиболее распространенная форма фишинга происходит через электронные письма, содержащие вредоносные ссылки или вложения. Нажимая на эти ссылки, вы рискуете установить на свое устройство вредоносное ПО или быть перенаправлены на поддельные веб-сайты, предназначенные для кражи вашей личной и финансовой информации.
Хотя плохо написанные фишинговые электронные письма легче обнаружить, киберпреступники используют передовые инструменты, такие как чат-боты и генераторы голоса с искусственным интеллектом, чтобы повысить достоверность своих атак. Это затрудняет пользователям возможность отличить подлинные сообщения от мошеннических.
Распознавайте попытки фишинга
Распознать фишинговые электронные письма может быть непросто, но есть некоторые признаки, на которые стоит обратить внимание.
Наиболее распространенные признаки
Будьте осторожны, если сообщение содержит подозрительные URL-адреса, использует общедоступные адреса электронной почты, вызывает страх или срочность, запрашивает личную информацию или содержит орфографические и грамматические ошибки. В большинстве случаев у вас должна быть возможность навести указатель мыши на ссылки, чтобы проверить URL-адреса, не нажимая на них.
Мошенничество с цифровыми платежами
Мошенники-фишингисты часто выдают себя за надежные службы онлайн-платежей, такие как PayPal, Venmo или Wise. Пользователи получают мошеннические электронные письма с призывом подтвердить свои данные для входа. Крайне важно сохранять бдительность и сообщать о любой подозрительной деятельности.
Фишинговые атаки, связанные с финансами
Мошенники выдают себя за банки или финансовые учреждения, ссылаясь на уязвимости безопасности для получения личной информации. Распространенная тактика включает в себя обманные электронные письма о денежных переводах или мошенничестве с прямыми депозитами, нацеленное на новых сотрудников. Мошенники также могут утверждать, что обновление безопасности необходимо срочно.
Фишинг, связанный с работой
В этих персонализированных мошенничествах злоумышленники выдают себя за руководителей, генеральных или финансовых директоров, запрашивают банковские переводы или поддельные покупки. Голосовой фишинг с использованием генераторов голоса искусственного интеллекта по телефону — еще один метод, используемый мошенниками.
Как предотвратить фишинговые атаки
Чтобы предотвратить фишинговые атаки, важно использовать несколько мер безопасности. Избегайте перехода по ссылкам напрямую. Вместо этого зайдите на официальный сайт компании или по каналам связи, чтобы проверить, является ли полученная вами информация законной. Рассмотрите возможность использования инструментов безопасности, таких как антивирусное программное обеспечение, брандмауэры и спам-фильтры.
Организациям также следует использовать стандарты аутентификации электронной почты для проверки входящих электронных писем. Распространенные примеры методов аутентификации электронной почты включают DKIM (почта, идентифицированная с помощью DomainKeys) и DMARC (аутентификация сообщений на основе домена, отчетность и соответствие).
Для частных лиц важно информировать свою семью и друзей о рисках фишинга. Для предприятий крайне важно обучать своих сотрудников методам фишинга и проводить периодические тренинги по повышению осведомленности для снижения рисков.
Если вам нужна дополнительная помощь и информация, поищите правительственные инициативы, такие как OnGuardOnline.gov, и такие организации, как Anti-Phishing Work Group Inc. Эти инициативы предоставляют более подробные ресурсы и рекомендации по обнаружению, предотвращению и сообщению о фишинговых атаках.
Виды дефишинга
Техники фишинга развиваются, и киберпреступники используют разные методы. Различные типы фишинга обычно классифицируются в зависимости от цели и вектора атаки. Давайте посмотрим на это поближе.
Фишинг путем клонирования
Злоумышленник будет использовать ранее отправленное легитимное электронное письмо и скопировать его содержимое в аналогичное электронное письмо, содержащее ссылку на вредоносный сайт. Злоумышленник также может сделать вид, что это обновленная ссылка или новая ссылка, указывая на то, что предыдущая была неверной или срок ее действия истек.
Целевой фишинг (гарпоннаж)
Этот тип атаки ориентирован на человека или учреждение. Целенаправленная фишинговая атака является более сложной, чем другие виды фишинга, поскольку она является целевой. Это означает, что злоумышленник сначала собирает информацию о жертве (например, имена друзей или членов семьи) и использует эти данные, чтобы заманить жертву на вредоносный файл веб-сайта.
Фарминг (взлом домена)
Злоумышленник подделывает запись DNS, которая на практике перенаправляет посетителей с законного веб-сайта на мошеннический сайт, ранее созданный злоумышленником. Это самая опасная атака, поскольку записи DNS не находятся под контролем пользователя, что делает пользователя бессильным защитить себя.
Китобойный промысел (целевой фишинг)
Форма целевой фишинговой атаки, нацеленной на богатых и важных людей, таких как генеральные директора и государственные чиновники.
Узурпация электронной почты
Фишинговые электронные письма обычно подделывают сообщения от законных компаний или людей. Фишинговые электронные письма могут предоставить ничего не подозревающим жертвам ссылки на вредоносные сайты, где злоумышленники собирают учетные данные для входа и личную информацию, используя хитро замаскированные страницы входа. Страницы могут содержать трояны, кейлоггеры и другие вредоносные скрипты, похищающие личную информацию.
Перенаправления веб-сайтов
Веб-сайт перенаправляет пользователей на URL-адреса, отличные от тех, которые пользователь намеревался посетить. Злоумышленники, использующие уязвимости, могут вставлять перенаправления и устанавливать вредоносное ПО на компьютеры пользователей.
Типоквоттаж
Тайпсквоттинг направляет трафик на поддельные веб-сайты, которые используют написание на иностранном языке, распространенные орфографические ошибки или незначительные варианты домена верхнего уровня. Мошенники-фишинговые мошенники используют домены для имитации законных интерфейсов веб-сайтов, пользуясь преимуществами пользователей, которые неправильно вводят или читают URL-адрес.
Фейковая платная реклама
Платная реклама — еще одна тактика фишинга. Эти (поддельные) объявления используют домены, которые злоумышленники опечатали и заплатили за появление в результатах поиска. Сайт может даже появиться в первых результатах поиска Google.
Атака у точки с водой
При атаке на водопой мошенники анализируют пользователей и определяют, какие веб-сайты они посещают чаще всего. Они сканируют эти сайты на наличие уязвимостей и пытаются внедрить вредоносные сценарии, предназначенные для атак на пользователей при следующем посещении этого веб-сайта.
Кража личных данных и фейковые соревнования
Речь идет о краже личных данных влиятельных личностей в социальных сетях. Мошенники-фишингисты могут выдавать себя за ключевых руководителей компании, рекламировать конкурсы или заниматься другими мошенническими действиями. Жертв этого обмана можно даже преследовать индивидуально с помощью процессов социальной инженерии, направленных на поиск доверчивых пользователей. Актеры могут взламывать проверенные учетные записи и менять имена пользователей, чтобы выдать себя за реального персонажа, сохраняя при этом подтвержденный статус.
В последнее время мошенники активно атаковали такие платформы, как Discord, X и Telegram, с той же целью: подделать чаты, выдать себя за отдельных лиц и имитировать законные услуги.
Вредоносные приложения
Мошенники-фишингисты также могут использовать вредоносные приложения, которые отслеживают ваше поведение или крадут конфиденциальную информацию. Приложения могут представлять собой трекеры цен, кошельки и другие инструменты, связанные с криптовалютой (пользовательская база которых предрасположена к торговле и владению криптовалютой).
SMS и фишинговый вокал
Форма фишинга сообщений, обычно посредством SMS или голосовой почты, побуждающая пользователей делиться личной информацией.
Фишинг против. Фарминг
Хотя некоторые считают фарминг (захват домена) разновидностью фишинговой атаки, первый основан на другом механизме. Основное различие между фишингом и фармингом заключается в том, что фишинг требует от жертвы совершить ошибку. Напротив, захват домена требует, чтобы жертва попыталась получить доступ к законному веб-сайту, DNS-запись которого была скомпрометирована злоумышленником.
Фишинг в блокчейне и криптопространстве
Хотя технология блокчейна обеспечивает повышенную безопасность данных благодаря своей децентрализованной природе, ее пользователи должны сохранять бдительность в отношении попыток социальной инженерии и фишинга. Киберпреступники часто пытаются использовать человеческие уязвимости, чтобы получить доступ к закрытым ключам или учетным данным для входа. В большинстве случаев мошенничество основано на человеческой ошибке.
Мошенники также могут попытаться обманом заставить пользователей раскрыть свои фразы восстановления или перевести средства на поддельные адреса. Важно проявлять осторожность и соблюдать правила техники безопасности.
Заключение
В заключение, важно понимать фишинг и быть в курсе развивающихся методов защиты личной и финансовой информации. Сочетая надежные меры безопасности, образование и осведомленность, отдельные лица и организации могут укрепить себя против вездесущей угрозы фишинга в нашем взаимосвязанном цифровом мире. Оставайся САФУ!
Для дополнительной информации
Пять советов по обеспечению безопасности ваших криптовалютных активов
5 способов улучшить безопасность вашего аккаунта Binance
Как оставаться в безопасности при одноранговой (P2P) торговле?
Отказ от ответственности и предупреждение о рисках: этот контент предоставляется вам «как есть» только для общей информации и образовательных целей, без каких-либо заявлений или гарантий. Ее не следует истолковывать как финансовую, юридическую или профессиональную консультацию или как средство рекомендации покупки какого-либо конкретного продукта или услуги. Прежде чем принимать какие-либо решения, вам следует обратиться за советом к соответствующим специалистам. Если статья была написана сторонним автором, обратите внимание, что мнения в статье не обязательно отражают мнение Binance Academy. Пожалуйста, прочитайте наш полный отказ от ответственности здесь, чтобы узнать больше. Цены на цифровые активы могут быть нестабильными. Стоимость ваших инвестиций может как снизиться, так и вырасти, и вы не сможете вернуть вложенную сумму. Вы несете единоличную ответственность за свои инвестиционные решения, и Binance Academy не несет ответственности за любые убытки, которые вы можете понести. Этот контент не должен быть истолкован как финансовый, юридический или профессиональный совет. Для получения дополнительной информации ознакомьтесь с нашими Условиями использования и Предупреждением о рисках.
