Мошенничество в интернете: фишинг

Термин образован от английского словосочетания «password fishing» (буквально «выуживание паролей») и в классической интерпретации означает введение пользователя в заблуждение при помощи поддельного сайта, визуально имитирующего сайт банка или иной интернет системы, предполагающей идентификацию пользователя.

Пользователь попадает на сервер-подмену, где ему предлагается страница для входа в систему (имя и пароль). С учетом того, что в адресной строке указано корректное имя, а внешний вид скопирован с оригинального сервера, у большинства пользователей не возникает подозрений в подлинности страницы. После ввода имени и пароля отображается иная страница, где уже говорится о необходимости «подтверждения» или «активации» учетной записи за SMS на короткий номер, стоимость которого минимальная или якобы бесплатная.
Таким образом, злоумышленники не только снимают денежные средства со счетов абонентов, но и получают логин и пароль доступа пользователя к указанным популярным ресурсам, что позволяет им в дальнейшем отправлять от имени пострадавшей «жертвы» различные сообщения.
Новой формой фишинга является выуживание у пользователя отсканированных копий его документов, и использование их в последующем в мошеннических схемах. 

Действия мошенников

• Мошеннические действия фишера сводятся к применению следующих методов: 
• методика спама — напугать пользователя некими проблемами, требующими от пользователя немедленной авторизации для выполнения тех или иных операций (разблокировки счета, отката ошибочных транзакций, сообщение  о сбое системы, о повреждении или утере данных по вашей банковской карте с угрозой блокировки счета или аккаунта и т.п.). В письме приводится ссылка на поддельный сайт (визуально неотличима от настоящей). В упрощенной форме метод состоит в рассылке поддельных писем от имени банка или некого провайдера услуг с просьбой уточнить номер счета, логин/пароль и прочие персональные данные и отправить их по указанному в письме адресу;
• звонок на сотовый телефон гражданина якобы от представителей банка с просьбой погасить задолженность по кредиту. Когда гражданин сообщает, что никакого кредита не брал, ему предлагается уточнить данные, содержащиеся на пластиковой карте, - что уже вполне достаточно для покупки товаров в интернет-магазинах;
• реклама неких товаров, которые можно приобрести в интернет-магазине, причем в рекламе обязательно приводится ссылка на сайт магазина. Вместо сайта магазина пользователь может попасть на сайт фишеров или на сайт созданного мошенниками магазина однодневки;
• применение троянской (вредоносной) программы или межсайтового скриптинга (т.е. типа атаки на web-систему, заключающегося во внедрении в выдаваемую web-системой страницу вредоносного кода, который будет выполнен на компьютере пользователя при открытии им этой страницы, и взаимодействии этого кода с web-сервером злоумышленника) для перенаправления пользователя на сайт фишеров при попытке доступа к легитимному сайту. В упрощенной форме метод состоит в модификации файла Hosts, применении руткитов (набор вредоносных программных средств), троянских провайдеров или модификации системных настроек.

Информация по защите

• задумайтесь над тем, принимали ли вы участие в розыгрыше призов? Знакома ли вам организация, направившая уведомление о выигрыше? Откуда организаторам акции известны ваши контактные данные? Если вы не можете ответить хотя бы на один из этих вопросов, проигнорируйте поступившее сообщение. Любая просьба перевести денежные средства для получения выигрыша должна сразу вас насторожить;
• не переходите по ссылкам, указанным в спам-письмах (если ссылка визуально похожа на правильную, то это не означает, что она ведет на правильный сайт);
• настороженно относитесь к рекламе товаров, цена которых значительно ниже цены в других магазинах (проверьте как давно зарегистрирован домен магазина, есть ли у магазина офис, юридический адрес, телефоны и т.п.);
• не вводите номера кредитных карт на незнакомых интернет сайтах;
• установите хорошую антивирусную программу с обновленными антивирусными базами.

Важно помнить 

• банки или ресурсы популярных сайтов никогда не запрашивают у клиентов номера их кредитных карт, PIN-коды к ним и прочие персональные данные, а также дополнительной авторизации на сайте, тем более за деньги путем отправки SMS. Банку эта информация известна изначально;
• выигрыш в лотерею влечет за собой налоговые обязательства, а порядок уплаты налогов регламентирован действующим законодательством и не осуществляется посредством перевода денежных средств на электронные счета граждан, организаций или «электронные кошельки». Для того, чтобы что-то выиграть, необходимо принимать участие в розыгрыше. Все упоминания о том, что ваш номер является «счастливым» и оказался в списке участников лотереи, являются, как правило, лишь уловкой для привлечения вашего внимания

Уважаемые пользователи! Информация в статье соответствует нормам законодательства Республики Казахстан, действовавшим на момент (дату) публикации.

Читайте также в данной серии статей:

• Способы защиты доменного имени
• Способы защиты объектов интернет сайта
• Объекты интеллектуальной собственности интернет сайта
• Способы защиты объектов интеллектуальной собственности интернет сайта
• Мошенничество в интернете
• Мошенничество в интернете: киберсквотинг
• Мошенничество в интернете: тайпсквотинг
• Мошенничество в интернете с использованием платежных систем
• Мошенничество в интернете: дополнительные способы обмана
• Пользовательское соглашение интернет магазина (публичная оферта)
• Кто может быть владельцем интернет-магазина и какими документами это подтверждается?
• Правила пользования сайтом
• Сбор и обработка данных интернет магазином