Как защитить себя от фишинговых атак
На фоне постоянно усиливающейся гонки вооружений между киберпреступниками и индустрией цифровой безопасности один простой, но эффективный способ хищения личных данных, продолжает создавать хаос в криптовалютном пространстве и за его пределами. Речь идет о фишинговых атаках. Они чрезвычайно коварны, их трудно распознать, а потому каждому криптопользователю стоит знать, что представляют из себя фишинговые атаки и как от них защититься.
Татьяна Лынова, аналитик группы оперативного мониторинга Angara SOC, сделала акцент на том, что для держателей криптовалюты риски, связанные с фишинговыми атаками, состоят не только в очевидной краже аутентификационных данных для распоряжения хранилищем цифровых монет (криптокошелек) и аккаунтом криптобиржи.
«Помимо присвоения имеющихся в кошельке криптоактивов, злоумышленник может воспользоваться данными сохраненных банковских карт или попросить повторно ввести данные используемых карт на поддельной веб-странице, чтобы опустошить и их, а также собрать персональные данные пользователя из его профиля (если таковые имеются) или же запросить их под предлогом какой-либо проверки подлинности», — рассказала эксперт.
Татьяна Лынова отметила, что фишинг представляет собой обобщенное название для атак, первоочередная цель которых – выудить у жертвы конфиденциальную информацию любым возможным способом. Чаще всего для этого злоумышленники стараются заманить пользователя на поддельную веб-страницу, оформленную под оригинальный сайт какого-либо сервиса, и запросить ввод личных данных. По словам эксперта, среди многообразия таких мошеннических схем можно выделить четыре основных и наиболее распространенных: смишинг, вишинг, почтовый фишинг и фишинг в поисковых системах:
-
Метод смишинга использует SMS-сообщения для доставки ссылки на поддельный сайт. Абонент может получить оповещение о посылке, срочное уведомление из финансовой организации, внезапное поздравление с крупным выигрышем и т.п., сопроводив комментарий фишинговой ссылкой. К этому же виду мошенничества косвенно можно отнести схемы с применением мессенджеров или соцсетей, через которые преступники распространяют подобные сообщения. Кроме того, в этих каналах связи злоумышленники получают возможность инициировать отвлеченную беседу, чтобы втереться в доверие, а затем выведать нужную информацию.
-
Метод вишинга заключается в использовании голосовой связи. Обычно злоумышленники называются работниками службы поддержки/безопасности финансово-кредитной организации или представителями правоохранительных органов и просят предоставить те или сведения, например, продиктовать данные банковской карты либо же сообщить проверочный код из полученного SMS, что в конечном итоге приведет к совершению нелегальных финансовых операций.
-
Почтовый фишинг – давно известный метод доставки ложных ссылок, по которым пользователю чаще всего отображаются формы ввода учетных данных. Таким образом преступники получают доступ к учетной записи какого-либо сервиса (онлайн-банка, корпоративной почты, личной почты и др.), которую могут использовать, например, для кражи денежных средств, доступа к различным ресурсам целевой организации, изменения пароля на других сайтах, использующих взломанный почтовый ящик.
-
Применение злоумышленниками мер для продвижения фейковой веб-страницы в стандартной поисковой выдаче – еще один популярный способ заманить пользователя на поддельный ресурс. Нередко такие источники привлекают внимание, например, невероятно выгодными предложениями онлайн-магазина.
Татьяна Лынова считает, что лучшим способом защиты являются трезвость мышления и критическое отношение к информации, особенно из неизвестных источников. Чтобы уберечь свои данные от мошенников, прежде, чем указывать конфиденциальную информацию или выполнять другие предлагаемые действия, следует удостовериться в верифицированности источника запроса: проверить корректность адреса веб-сайта (а лучше открывать заранее сохраненные закладки часто используемых сайтов), связаться лично или по телефону с отправителем подозрительного письма/сообщения, уточнить, является ли номер телефона входящего звонка официальным для организации, от которой представился собеседник. Также эксперт добавила, что для защиты непосредственно устройства от фишинговых атак рекомендуется установить на нем комплексное средство защиты, которое сможет не только блокировать переходы по подозрительным ссылкам, но и предупреждать о подозрительных звонках и SMS-сообщениях, которые следует проигнорировать.
Полный текст материала — на сайте журнала Blockchain24.pro.