Онлайн-шахрайство давно перестало бути рідкісним явищем. Сьогодні зловмисники мало не щодня вигадують нові способи виманити гроші та приватну інформацію користувачів. На жаль, у багатьох державах світу та зокрема в Україні кількість хакерських атак невпинно зростає, а віртуозність шахрайських схем змушує шукати нові методи захисту даних і цифрової інфраструктури.
Листи та повідомлення, що надсилаються шахраями від імені банків і популярних платформ виглядають досить переконливо. Один необачний клік — і доступ до банківської картки або облікового запису опиняється в чужих руках. Як розпізнати небезпеку і захиститися від фішингу — розповімо у статті.Іван Сухоряба. Team Lead DevOps
Шахрайство в онлайні: масштаб і сучасні виклики
Фішинг (від англ. fishing, що перекладається як «риболовля») — це різновид кібершахрайства. Зловмисники вдаються до різноманітних схем з метою заволодіти конфіденційною інформацією, зокрема дізнатися PIN, CVV-код картки та інші важливі дані, необхідні для доступу до банківського рахунку користувача. Для цього вони використовують спам-листи, SMS і повідомлення в месенджерах, що містять шкідливі посилання.
Здобуті дані дозволяють кіберзлочинцям знімати кошти з карток жертв, оформлювати від їхнього імені кредити, розсилати спам, повідомлення контактам з проханням переказати гроші тощо.
Крім фішингу існує багато інших видів онлайн-шахрайства — частина з них тісно пов’язана з фінансовими операціями, електронною комерцією або соціальною інженерією. Прикладами є, зокрема, клони відомих інтернет-магазинів, продаж товарів, яких не існує, фейкові благодійні збори тощо.
У документі наголошується, що розвиток загроз значною мірою прискорює використання штучного інтелекту. Зловмисники часто застосовують ШІ для автоматизації фішингу і створення контенту. Своєю чергою фахівцям з кібербезпеки цей інструмент допомагає розпізнати загрози та підвищити рівень захисту даних користувачів.
Канали атак: звідки надходять фішингові повідомлення
Залежно від джерела атак шахрайство, пов’язане з виманюванням персональних даних, має кілька різновидів:
- класичний фішинг (fishing). Передбачає надсилання електронних листів, у яких зловмисник маскується під банк, службу підтримки відомої компанії або іншого відправника, якому довіряє адресат;
- вішинг (vishing). Шахрай телефонує жертві, представляючись працівником банку, кредитної компанії або податкової служби. Зазвичай його мета — отримати PIN або CVV-код. Цей спосіб шахрайства є достатньо поширеним в Україні;
- смішинг (smishing). Як правило, це короткі SMS або повідомлення в месенджерах із закликом перейти за посиланням або вчинити іншу дію для розв’язання певної проблеми, якої насправді не існує (наприклад, блокування рахунку).
Фішингові повідомлення можуть з’являтися також у вигляді push-сповіщень і рекламних банерів. Характерна ознака фішингу — використання психологічних маніпуляцій без застосування складних технологій. Винятком є фармінг (farming) — перенаправлення користувача без його відома на підроблений сайт через шкідливе ПЗ та DNS-«отруєння».Іван Сухоряба. Team Lead DevOps
Фальшиві цілі: куди перенаправляють шахраї
Головна мета фішингових повідомлень — змусити користувача:
- перейти на підроблений сайт і залишити там конфіденційну інформацію;
- завантажити шкідливий файл або застосунок.
У випадку з телефонними дзвінками все значно простіше: зловмисникам потрібні лише фінансові дані, що допоможуть заволодіти коштами на рахунку жертви.
До речі, здійснюючи переказ за реквізитами або на картку через Portmone, ви можете не хвилюватися з приводу витоку особистих даних. Уся інформація про клієнтів та операції на нашій платформі надійно захищена.
Стратегія захисту: комплексний підхід до безпеки
Типові ознаки фішингової атаки, що мають вас насторожити:
- маніпулювання емоціями — залякування, наприклад, блокуванням акаунту, або навпаки підозріло вигідні пропозиції (гарантований виграш, робота із зарплатою 100 000 грн за умови зайнятості 2–3 години на день);
- орфографічні та граматичні помилки в текстах;
- «дешевий» дизайн сайту;
- невідомий та підозрілий відправник листа;
- «дивні» посилання з доменом верхнього рівня .ml, .cc тощо.
Захиститися від шахрайських дій допоможуть прості підказки.
- Для P2P-переказів використовуйте офіційні банківські застосунки або перевірену платіжну платформу Portmone.
- Не повідомляйте PIN і СVV-коди стороннім особам: працівники банків ніколи не запитують подібну інформацію.
- Отримавши повідомлення від знайомої людини з проханням про фінансову допомогу, здійснюйте поповнення картки лише після телефонного дзвінка або відеопідтвердження від цієї особи.
- Не заходьте в облікові записи з громадських точок Wi-Fi.
- Не ігноруйте попередження браузера про перехід на підозрілий сайт.
- Використовуйте двофакторну автентифікацію для облікових записів.
- Не натискайте на посилання, в якому не впевнені, та не відкривайте вкладку, отримавши сумнівний лист на email.
Пам’ятайте, що кіберзлочинці постійно вдосконалюють свої методи, тож будьте пильними завжди. Перевіряйте справжність сайтів, не передавайте особисті дані невідомим особам і користуйтеся лише перевіреними сервісами для платежів. Якщо вам потрібно здійснити переказ, оплатити комунальні послуги чи поповнити рахунок мобільного без ризику, скористайтеся послугами Portmone. Ми пропонуємо зручні й безпечні способи здійснення фінансових операцій, що відповідають найсуворішим стандартам захисту.
