На чём основывается социальная инженерия фишинговых атак

Переход банковских операций, платежей и обмен конфиденциальной информацией в онлайн-формат приводит к тому, что Интернет становится всё более привлекательной средой для различных аферистов. Злоумышленники стараются заполучить у доверчивого пользователя нужные сведения. Одной из популярных разновидностей обмана является фишинг в Интернете. Всё больше людей попадаются на удочку мошенников. Можно ли избежать опасностей, связанных с фишингом? И как это сделать?

Автоматизм

В психологии автоматизм – это действия, осуществляемые без участия сознательного ума. Автоматизм может быть первичный (врожденный) или вторичный (отсутствие осмысления). Кроме того, его можно разделить на рефлекторный, языковой или мыслительный.

Отправляя конкретные сообщения, киберпреступники пытаются вызвать автоматический ответ получателям. Иногда вы можете прочитать в сообщении, что «электронная почта не может быть доставлена, нажмите, чтобы повторить попытку»; иногда они рассылают надоедливые информационные бюллетени, в которых помещают заманчивую большую кнопку с надписью «Отписаться»; но есть и ложные уведомления о появлении новых комментариев в социальной сети. В этом случае реакция является результатом вторичного рефлекса и автоматизации мышления.

Программы-вымогатели

Программы-вымогатели продолжают оставаться главной киберугрозой 2020 года. После инфицирования ценная информация на компьютере жертв шифруется, а для восстановления доступа предлагается заплатить выкуп, часто в криптовалюте.

Для защиты от такого рода атак, помимо обучения сотрудников, рекомендуется использовать специальные программы. Например, зашифрованную программами-вымогателями информацию можно попытаться раскодировать при помощи инструментов с сайта No More Ransom Project или других инструментов дешифрования, присутствующих в свободном доступе в интернете.

E-mail: пройди по ссылке и залогинься

Вы получили сообщение от банка/платежной системы/почтового провайдера. У вас есть учетная запись в данной системе. Внимательно прочитайте текст сообщения: если вас под каким-нибудь предлогом просят ввести логин/пароль, пройдя по ссылке, то письмо мошенническое, — банки, платежные и почтовые системы никогда не просят пользователей залогиниться, пройдя по ссылке в письме. В этих системах логин и пароль требуется вводить только для доступа в свой персональный кабинет.

E-mail: пройди по ссылке и залогинься

Лучшая защита от фишинга в Интернете

Чем меньше люди осведомлены о правилах работы организаций, за представителей которых выдают себя кибераферисты, тем большим успехом пользуются мошеннические схемы получения персональных данных. Сайты многих банков, платежных систем и других компаний, где фиксируется конфиденциальная информация, содержат развернутые предупреждения о том, что сообщать свои пароли, логины, номера счетов и прочее никому не следует и что работники компании не могут об этом попросить. Но люди продолжают попадаться на удочку фишеров.

Читайте также:  Как проверить, поддерживает ли ваш ПК с Windows стандарт Miracast

Для борьбы с фишингом в Интернете была организована специальная группа под названием APWG – Anti-Phishing Working Group, объединяющая предприятия, являющиеся целью атак фишеров (в том числе крупные мировые банки), и разработчиков антивирусного, антиспамерского и антифишингового ПО (IT-компании). APWG проводит мероприятия по ознакомлению пользователей. Члены группы, число которых на сегодняшний день перевалило за 2500, постоянно обмениваются информацией о новых сайтах фишеров и схемах работы мошенников.

APWG с оптимизмом смотрит в будущее и надеется научить пользователей избегать подозрительных сайтов. Ведь удалось же привить людям осторожность при работе с письмами и файлами от неизвестных отправителей.

Против фишинга в Интернете предпринимаются и технические меры:

  • браузеры собирают черные списки опасных сайтов и оповещают пользователя о вероятной угрозе;
  • спам-фильтры почтовых служб всё время совершенствуются.

9 полезных советов по защите от фишинга:

  1. Обзаведитесь двумя (или более) почтовыми ящиками: для личной переписки и для регистрации на различных сервисах, порталах, форумах, а также для работы. Распознавать и удалять спам будет проще.
  2. Все письма, требующие передать пароль, ПИН-код и другую подобную информацию, сразу отправляйте в корзину. Никто не вправе претендовать на эти данные. Персонал банков и других учреждений не должен иметь к ним доступ. Это явно фишинг.
  3. Внимательно читайте e-mail, с которого пришло письмо с требованием сообщить ПИН-код либо пароль. Он идентичен корпоративной почте компании? Проверьте это, зайдя на её сайт: в разделах «Контакты», «Обратная связь», «Поддержка клиентов» обязательно указаны контактные адреса фирмы.
  4. Остерегайтесь всяких непонятных ссылок из писем. Не открывайте подозрительные вложения.
  5. Всегда удостоверяйтесь в том, что доменное имя интернет-ресурса, на который вы зашли, верно и соответствует доменному имени нужного вам сайта.
  6. Заходя в онлайн-кабинет банка или платежной системы, убедитесь в наличии безопасного соединения HTTPS (в отличие от привычного http в адресной строке, оно содержит дополнительную букву s – secure – и выделено зеленым цветом). Оно не позволит злоумышленникам перехватить ваши данные. Сайты банков без https лучше обходить стороной.
  7. Своевременно обновляйте браузер, проверяйте его настройки. Создатели браузеров постоянно улучшают свои продукты, делая их более безопасными и менее уязвимыми. Не ленитесь скачивать обновления.
  8. Не только браузеры, но и почтовые клиенты, антивирусные и другие программы борются с фишингом в Интернете. Антивирусные программы, которые нужно обязательно устанавливать на каждый компьютер, оперативно блокируют фишинговые атаки. Современные браузеры и почтовики научились неплохо распознавать фишинговые письма и отправлять их в спам.
  9. Операционная система (ОС) тоже нуждается в обновлении! Многие улучшения ОС делаются именно ради того, чтобы закрыть уязвимости, которыми могут воспользоваться киберпреступники для фишинга в Интернете, и ради того, чтобы система отвечала всем актуальным требованиям.
Читайте также:  Как исправить ошибку “Недостаточно объёма памяти”

Но, какими бы совершенными ни были программы, не следует полагаться на них целиком. Внимательность ничто не заменит. Не игнорируйте предупреждения вашего антивирусника или браузера, который распознал сайт как опасный. Кроме того, большинство пользователей не глядя устанавливают игры и софт, не читают скучные пользовательские соглашения, а это может быть небезопасно.