Содержание
Фишинг — что это такое и какая цель фишинга? Энциклопедия
Фишинг — это форма атаки с использованием социальной инженерии, в ходе которой злоумышленник, маскируясь под надежный субъект, выманивает конфиденциальную информацию жертв.
Что такое фишинг?
Получали ли вы когда-нибудь электронное сообщение якобы из банка или другого популярного онлайн-сервиса, который требовал «подтвердить» учетные данные, номер кредитной карты или другую конфиденциальную информацию? Если да, вы уже знаете, как выглядит фишинг-атака. Цель фишинга — получение ценных данных пользователей, которые могут быть проданы или использованы для вредоносных целей, таких как вымогательство, похищение денег или личных данных.
Концепция фишинга впервые была описана в 1987 году в документе конференции под названием «Безопасность системы: перспективы хакера». В документе описывалась техника злоумышленников, которая заключается в имитации авторитетных организаций или сервисов. Само слово является омофоном английского слова «Fishing» (рыбалка), поскольку техника использует ту же логику «отлова».
Какую цель преследует фишинг?
Фишинг существует на протяжении многих лет, за это время киберпреступники разработали широкий спектр методов заражения жертв.
Чаще всего злоумышленники, которые занимаются фишингом, выдают себя за банки или другие финансовые учреждения, чтобы заставить жертву заполнить фальшивую форму и получить данные учетных записей.
В прошлом для выманивания данных пользователей киберпреступники часто использовали неправильно написанные или ложные доменные имена. Сегодня злоумышленники используют более сложные методы, благодаря чему фальшивые страницы очень похожи на свои законные аналоги.
Похищенные данные жертв, как правило, используются для кражи средств с банковских счетов или продаются в Интернете.
Подобные атаки осуществляются также через телефонные звонки (vishing) и SMS-сообщения (smishing).
Целенаправленный фишинг
Киберпреступники, которые используют этот метод, как правило, заранее подробно исследуют свою цель. Это значительно усложняет идентификацию содержания как вредоносного.
Как распознать фишинг?
Электронное сообщение может содержать официальные логотипы или другие признаки авторитетной организации. Ниже несколько подсказок, которые помогут выявить фишинговое сообщение.
- Общие или неофициальные приветствия — письма без персонализации (например, «Уважаемый клиент») и формальностей, должны вызвать подозрения. То же самое относится к псевдо-персонализации с использованием случайных, поддельных ссылок.
- Запрос на личную информацию – часто используют киберпреступники, но банки, финансовые учреждения и большинство онлайн-сервисов пытаются этого избегать.
- Некорректная грамматика – орфографические ошибки и опечатки, а также необычные фразы часто могут означать опасность (но отсутствие ошибок не является доказательством легитимности).
- Неожиданные сообщения – любой незапланированный контакт с банком должен вызывать подозрения.
- Срочность – фишинговые сообщения часто пытаются вызвать ощущение срочности действий, оставляя жертвам меньше времени на размышления.
- Предложение, от которого трудно отказаться – если письмо слишком хорошее, чтобы быть правдой, оно, вероятно, является фишинговым.
- Подозрительный домен – действительно ли американский или немецкий банк будет отправлять электронное письмо с китайского домена?
Как защититься от фишинга?
Чтобы избежать подобных атак, обращайте внимание на описанные выше признаки, с помощью которых можно выявить фишинговые сообщения.
- Узнавайте о новых методах фишинга: читайте средства массовой информации для получения новой информации о фишинговых атаках, поскольку киберпреступники постоянно находят новые методы для выманивания данных пользователей.
- Не отправляйте учетные данные: будьте особенно внимательны, когда в электронном письме вроде бы проверенные организации спрашивают ваши учетные или другие конфиденциальные данные. В случае необходимости проверьте содержание сообщения отправителя или организацию, которую они представляют.
- Не нажимайте на подозрительные кнопки и ссылки: если подозрительное сообщение содержит ссылку или вложение, не нажимайте и не загружайте содержимое. Это может привести к переходу на вредоносный сайт или заразить устройство.
- Регулярно проверяйте учетные записи: даже если у вас нет подозрений, что кто-то пытается похитить ваши учетные данные, проверьте банковские и другие учетные записи в Интернете на наличие подозрительной активности.
- Используйте надежное решение для защиты от фишинговых атак. Соблюдение этих рекомендаций поможет Вам наслаждаться безопасностью.
Известные примеры
Систематические фишинг-атаки начались в сети America Online (AOL) в 1995 году. Чтобы похитить легитимные учетные данные, злоумышленники связывались с жертвами через AOL Instant Messenger (AIM), выдавая себя за сотрудников AOL, которые проверяют пароли пользователей. Термин «фишинг» появился в группе новостей Usenet, которая сосредоточивалась на инструменте AOHell, который автоматизировал этот метод, и так это название закрепилось. После того, как AOL в 1997 году ввела контрмеры, киберпреступники поняли, что могут использовать такую же технику в других отраслях, в том числе и финансовых учреждениях.
Одна из первых крупных, хотя и неудачных, попыток была в 2001 году. Злоумышленники, воспользовавшись хаосом от террористических атак 9/11, разослали пострадавшим электронную рассылку якобы для проверки удостоверения личности. Полученные данные использовались для кражи банковских данных.
Уже в 2005 году с помощью фишинга киберпреступники похитили у пользователей США более 900 миллионов долларов США.
Согласно исследованию глобального фишинга APWG, у 2016 году наблюдалось более 250 тысяч уникальных фишинговых атак, во время которых использовалось рекордное число доменных имен, зарегистрированных злоумышленниками, превышая отметку в 95 тысяч. В последние годы киберпреступники пытались сосредоточиться на банковских и финансовых услугах, пользователях электронного банкинга, социальных сетей, а также учетных данных электронной почты.
ESET Smart Security Premium
Премиум-защита для опытных пользователей.
ESET Smart Security Premium
Премиум-защита для опытных пользователей.
ESET Smart Security Premium
Премиум-защита для опытных пользователей, которая основана на идеальном сочетании точности обнаружения, скорости работы и удобства в использовании.
Загрузить
Похожие темы
Вишинг
Скрытый майнинг
Брандмауэр
Кража личной информации
Программы-вымогатели
Спам
Троян
Вредоносные программы
Полное руководство по фишинговым атакам / Хабр
С самого момента изобретения электронной почты фишинговые атаки преследуют как частные лица, так и организации, со временем становясь всё более изощренными и замаскированными. Фишинговая атака — один их распространенных способов, используемых хакерами для проникновения в учетные записи и сети своих жертв. По данным Symantec, каждое двухтысячное письмо является фишинговым, а это значит, что ежедневно совершается порядка 135 миллионов атак.
И хотя фишинговые атаки уже давно не редкость, в кризисные времена их количество резко возрастает. Мошенники пользуются хаосом и неразберихой, вызванной последними событиями. В такие времена многие ожидают писем из официальных источников, таких как экспертные организации, страховые компании или правительственные учреждения. Это дает преступникам отличную возможность маскировать свои вредоносные рассылки под письма из официальных источников. Эти, на первый взгляд, безобидные письма перенаправляют пользователей на мошеннические сайты, чтобы обманом побудить их ввести конфиденциальную информацию.
Что такое фишинг?
Простыми словами, фишинг — это тактика рассылки мошеннических электронных писем и попытка обманом заставить получателей нажать на вредоносную ссылку или скачать зараженное вложение, чтобы затем украсть их личную информацию. Эти письма могут выглядеть как сообщения из вполне респектабельных источников: торговых компаний, банков, а также лиц или команд в вашей собственной организации, например, из отдела кадров, от вашего руководителя или даже генерального директора.
Если ваши сотрудники не могут распознать признаки фишинга, под угрозой находится вся ваша организация. Согласно исследованию Verizon, среднее время, необходимое первой жертве широкомасштабной фишинговой рассылки, чтобы открыть вредоносное письмо, составило 16 минут, а на то, чтобы сообщить о фишинговой кампании в отдел информационной безопасности, ушло вдвое больше времени — 33 минуты.
Учитывая, что 91% киберпреступлений начинается именно с успешной фишинговой рассылки по электронной почте, эти 17 минут могут обернуться для вашей компании катастрофой.
Методы фишинговых атак
Как уже упоминалось, большинство, если не все фишинговые атаки начинаются с электронного письма, которое выглядит так, будто его отправил вполне законный источник, однако последующие способы атаки и проникновения могут быть различными. Некоторые способы достаточно просты и заключаются в том, чтобы обманом вынудить пользователя нажать на ссылку и ввести конфиденциальную информацию, другие же более изощренные, например, запуск исполняемого файла, который имитирует настоящий процесс и получает доступ к компьютеру и сети жертвы, чтобы незаметно запустить там вредоносную программу.
Обычно во время фишинговой атаки для обмана жертвы используется сразу несколько приемов. Например, нередко мошенники используют манипуляции с ссылками и подделку веб-сайтов, что в комбинации придает их действиям максимальную убедительность. Первое, что вы видите при получении фишингового электронного письма, — правдоподобно выглядящую ссылку, которая ведет на часто используемый и не вызывающий подозрений сайт, такой как Facebook, Amazon или YouTube, а также сообщение, под разными поводами призывающее вас перейти по этой ссылке. Эти сообщения будут предлагать пользователям ввести конфиденциальную информацию, утверждая, что с их учетной записью или заказом возникла проблема, которую необходимо решить. Именно на этом этапе в игру вступает следующий прием — подделка веб-сайтов.
Хотя на первый взгляд ссылка может выглядеть совсем как легитимный веб-сайт, скажем, «amazon.com», при внимательном рассмотрении можно обнаружить небольшие несоответствия или нестыковки, раскрывающие истинную природу ссылки. Создание таких мошеннических доменов, близких по написанию к известным сайтам, называется тайпсквоттингом. Эти вредоносные сайты во всем максимально похожи на реальные страницы, и ничего не подозревающие пользователи могут ввести на них свои учетные данные. Хакеры же получают возможность ввести украденные данные на настоящем сайте.
Также хакеры часто прикрепляют не вызывающий подозрений файл или добавляют ссылку, при нажатии на которую будет тайно загружено вредоносное программное обеспечение, которое внедрится в систему жертвы. Эти атаки часто внедряют вредоносную программу, маскирующуюся под настоящий исполняемый файл. Работая в фоновом режиме, такая программа будет перемещаться в сети пользователя с целью кражи конфиденциальной информации, такой как банковские счета, номера социального страхования, учетные данные пользователей и многое другое. Иногда вредоносное программное обеспечение включает программу-вымогатель, которая пробирается через сеть жертвы, шифруя и перемещая конфиденциальные данные для хранения с целью выкупа.
Типы фишинговых атак
Наиболее популярный среди фишинговых мошенников метод атаки заключается в создании максимально широкого охвата. Они рассылают стандартные электронные письма от имени известных сайтов максимально возможному количеству адресатов в надежде, что кто-нибудь клюнет на их уловки. Это эффективный, но не единственный метод поймать жертву на крючок. Некоторые киберпреступники для достижения своих целей используют более точные методы, например адресный (целевой) фишинг, клон-фишинг и уэйлинг.
Адресный фишинг и уэйлинг
Как и в обычных фишинговых атаках, в адресном (целевом) фишинге и уэйлинге для обмана жертв используются электронные письма из надежных источников. Однако вместо массовой рассылки множеству получателей адресный фишинг нацелен на конкретных лиц или выдает себя за вызывающее доверие лицо для кражи учетных данных или информации.
Подобно адресному фишингу, уэйлинг (дословно — «охота на китов») направлен на конкретное высокопоставленное лицо. Вместо того, чтобы нацеливаться на широкую группу, такую как отдел или команда, злоумышленники направляют своего внутреннего капитана Ахава на высокоуровневые цели — руководителей и влиятельных лиц — в надежде поразить своего белого кита.
«Охотники на китов» стремятся выдать себя за высшее руководство, например генерального директора, финансового директора или начальника отдела кадров, чтобы убедить членов организации раскрыть конфиденциальную информацию, представляющую для злоумышленников ценность.
Чтобы уэйлинг увенчался успехом, злоумышленники должны намного лучше изучить свою жертву по сравнению с обычным фишингом, чтобы выглядеть как можно достовернее. Злоумышленники рассчитывают воспользоваться авторитетом руководителя, за которого себя выдают, чтобы убедить сотрудников или других руководителей не проверять и не подвергать сомнению их запросы.
Во время работы в предыдущей компании я также стал целью уэйлинга: мошенник, выдававший себя за моего генерального директора, просил дать свой номер телефона, чтобы он мог позвонить мне и попросить об услуге. К счастью, в письме было много явных признаков мошенничества. Самым очевидным было то, что офис генерального директора находился всего нескольких шагах от моего стола, так что он мог бы легко подойти, если бы я ему понадобился!
Клон-фишинг
Клон-фишинг не такой изобретательный как адресный фишинг или уэйлинг, но от этого не менее эффективный. Этому методу атаки присущи все основные элементы фишингового мошенничества, а разница заключается в том, что вместо того, чтобы выдать себя за пользователя или организацию с конкретным запросом, злоумышленники копируют реальное электронное письмо, которое ранее было отправлено легитимной организацией. Затем хакеры используют манипуляции со ссылками для подмены реальной ссылки из исходного электронного письма и перенаправления жертвы на мошеннический сайт. Там они обманом пытаются заставить пользователей ввести учетные данные, которые злоумышленники будут использовать на реальном сайте.
Примеры мошенничества с электронной почтой
Мошенники часто подделывают официальные электронные письма от розничных продавцов, таких как Amazon или Walmart, утверждая, что пользователю необходимо ввести свои учетные данные или платежную информацию для выполнения заказа. Ссылки в электронном письме приведут вас на целевую страницу, выглядящую как настоящая, где вы сможете ввести конфиденциальную информацию.
С развитием электронной коммерции, а также в условиях пандемии количество интернет-покупок достигло невиданных масштабов, а значит у мошенников прибавилось работы. В период праздников, когда все массово покупают подарки, количество таких мошенников растет в геометрической прогрессии. Многие люди делают столько покупок, что перестают задумываться и замечать, что с их заказом что-то не так.
Примером фишингового мошенничества, которое набрало обороты в праздничный сезон 2020 года, является поддельное электронное письмо от Amazon, информирующее клиентов о необходимости войти в систему, чтобы обновить платежную информацию и адрес для выполнения заказа.
(Источник)
Лично я постоянно получаю электронные письма от Amazon о доставке, датах прибытия, подтверждениях и прочем. Если бы я не знал, на что обращать внимание для определения фишинга, я бы легко попался на уловки мошенников.
Анатомия фишинговых писем
Мы выделили наиболее распространенные элементы, присущие фишинговым письмам. Ознакомьтесь с нашей полной инфографикой, чтобы проверить свои знания.
Тема
Фишинговые рассылки обычно нацелены на создание ощущения срочности и используют напористые выражения и тактику запугивания, начиная с темы письма.
Отправитель / поле «От»
Мошенники будут создавать впечатление, что электронное письмо отправлено официальным лицом из известной компании, например службой поддержки клиентов. Однако при более внимательном рассмотрении можно увидеть, что и имя отправителя, и адрес электронной почты являются подделкой и не принадлежат этой компании.
Получатель / поле «Кому»
Фишинговые электронные письма часто обезличены, в них к получателю обращаются как к «пользователю» или «клиенту».
Тело письма
Как и в теме письма, в основном тексте зачастую используются выражения, создающие ощущение срочности. Они побуждают читателя действовать, не задумываясь. Фишинговые письма также часто содержат как грамматические, так и пунктуационные ошибки.
Вредоносная ссылка
Подозрительная ссылка — один из главных элементов фишинговых писем, их «полезная нагрузка». Эти ссылки часто сокращаются (с помощью bit.ly или аналогичной службы) или отформатированы, чтобы выглядеть как реальная ссылка от настоящей компании и соответствовать сообщению поддельного электронного письма.
Тактика запугивания
Помимо создания ощущения срочности в фишинговых письмах часто используется тактика запугивания, рассчитанная на то, что читатели перейдут по вредоносной ссылке из-за тревоги или замешательства.
Подпись в конце письма
Как и в случае с приветствием, подпись в конце фишингового электронного письма часто является безличной — обычно указано общее название службы поддержки клиентов, а не имя человека, и соответствующая контактная информация отсутствует.
Нижний колонтитул письма
Нижний колонтитул фишингового электронного письма часто содержит явные признаки подделки, включая неверную дату регистрации авторского права или адрес, не соответствующий расположению настоящей компании.
Вредоносный сайт
Как правило, нажатие на ссылку в фишинговом письме приведет вас на вредоносный сайт.
Как не стать жертвой атаки
Лучшая защита от фишинга — знания. Злоумышленники, занимающиеся фишингом, стремятся выглядеть как можно более убедительно, но зачастую их можно раскрыть по контрольным признакам. Обязательное регулярное обучение основам информационной безопасности и социальной инженерии — это отличный способ предотвращения, который поможет вашей организации выявлять признаки вредоносных электронных писем.
Вот на что нужно обращать внимание каждый раз, когда вы получаете электронное письмо с просьбой нажать на ссылку, загрузить файл или указать свои учетные данные, даже если кажется, что письмо пришло из надежного источника:
- внимательно проверьте имя и домен, с которого отправляется электронное письмо:
большинство писем от легитимных компаний не приходит с почты gmail.com, live.com и т. д. Обычно официальные письма приходят с частных доменов; - проверьте наличие явных орфографических ошибок в теме и тексте сообщения;
- обезличенные поля «От» и «Кому» могут быть признаком фишинга;
- не сообщайте свои учетные данные — законные отправители никогда их не попросят;
- не открывайте вложения и не загружайте подозрительные ссылки;
- сообщайте о подозрительных электронных письмах своей службе информационной безопасности.
При малейшем подозрении на то, что полученное письмо — фишинговое, не нажимайте на него и не открывайте какие-либо вложения. Вместо этого отметьте его и сообщите ответственным лицам. Это могут быть сотрудники отдела информационной безопасности вашей компании, представители компании, чей адрес электронной почты подделывается, или ваш провайдер домена электронной почты (например, Google, Microsoft и так далее).
Не попадайтесь на уловки
Знание — сила, особенно когда речь идет о защите от фишинга. Чтобы задумка мошенников увенчалась успехом, вы должны попасться на их уловки. Даже если вы считаете себя экспертом по выявлению фишинга, нельзя терять бдительности, ведь опасность может таиться за каждой ссылкой. С течением времени фишинговое мошенничество и электронные письма злоумышленников будут становиться все более изощренными и трудноотличимыми от настоящих.
Пока наша повседневная жизнь тесно связана с цифровыми технологиями и интернетом, хакеры всегда будут рядом, пытаться использовать невинных людей для получения финансовой выгоды. Лучший способ оставаться в безопасности и быть в курсе всех событий — продолжать изучать самые современные формы фишингового мошенничества.
Фишинг | Что такое фишинг?
Фишинг — это киберпреступление, при котором с целью или целями связывается кто-то, выдающий себя за законное учреждение, по электронной почте, телефону или с помощью текстового сообщения, чтобы заманить отдельных лиц для предоставления конфиденциальных данных, таких как информация, позволяющая установить личность, банковские данные и данные кредитной карты, а также пароли.
Затем информация используется для доступа к важным учетным записям и может привести к краже личных данных и финансовым потерям.
Первый иск о фишинге был подан в 2004 году против калифорнийского подростка, создавшего имитацию сайта «Америка Онлайн». С помощью этого поддельного веб-сайта он смог получить конфиденциальную информацию от пользователей и получить доступ к данным кредитной карты, чтобы снимать деньги с их счетов. Помимо фишинга электронной почты и веб-сайтов, киберпреступники постоянно придумывают «вишинг» (голосовой фишинг), «смишинг» (SMS-фишинг) и несколько других методов фишинга.
Общие черты фишинговых писем
- Слишком хорошо, чтобы быть правдой — Выгодные предложения и привлекающие внимание заявления предназначены для немедленного привлечения внимания людей. Например, многие утверждают, что вы выиграли iPhone, выиграли в лотерею или какой-то другой щедрый приз. Просто не нажимайте на подозрительные электронные письма. Помните, что если это кажется правдой, вероятно, так оно и есть!
- Чувство срочности – Любимая тактика среди киберпреступников – попросить вас действовать быстро, потому что суперпредложения действуют только в течение ограниченного времени. Некоторые из них даже скажут вам, что у вас есть всего несколько минут, чтобы ответить. Когда вы сталкиваетесь с такими электронными письмами, лучше просто игнорировать их.
Иногда они сообщают вам, что ваша учетная запись будет приостановлена, если вы немедленно не обновите свои личные данные. Большинство надежных организаций дают достаточно времени, прежде чем они удалят учетную запись, и они никогда не просят покровителей обновить личные данные через Интернет. Если вы сомневаетесь, посетите источник напрямую, а не щелкайте ссылку в электронном письме.
- Гиперссылки – Ссылка может быть не тем, чем кажется. При наведении указателя мыши на ссылку отображается фактический URL-адрес, на который вы будете перенаправлены после нажатия на нее. Это может быть совершенно другой сайт или популярный веб-сайт с орфографической ошибкой, например www.bankofarnerica.com – буква «м» на самом деле является буквой «р» и буквой «н», поэтому внимательно смотрите.
- Вложения – Если вы видите в электронном письме вложение, которого не ожидали или которое не имеет смысла, не открывайте его! Они часто содержат полезные нагрузки, такие как программы-вымогатели или другие вирусы.
Единственный тип файла, на который всегда безопасно нажимать, — это файл .txt.
- Необычный отправитель — Независимо от того, похоже ли, что это от кого-то, кого вы не знаете, или от кого-то, кого вы знаете, если что-то кажется необычным, неожиданным, нехарактерным или просто подозрительным, не нажимайте на него. !
Вот отличный ресурс KnowBe4, в котором описаны 22 красных флажка социальной инженерии, которые обычно встречаются в фишинговых электронных письмах. Рекомендуем распечатать этот PDF-файл, чтобы передать его семье, друзьям и коллегам.
Нажмите, чтобы увеличить
Предотвращение фишинговых атак:
Хотя хакеры постоянно изобретают новые методы, вы можете кое-что сделать, чтобы защитить себя и свою организацию:
- Для защиты от спама можно использовать спам-фильтры. Как правило, фильтры оценивают источник сообщения, программное обеспечение, используемое для отправки сообщения, и внешний вид сообщения, чтобы определить, является ли оно спамом.
Иногда спам-фильтры могут даже блокировать электронные письма из законных источников, поэтому они не всегда точны на 100%.
- Необходимо изменить настройки браузера, чтобы предотвратить открытие мошеннических веб-сайтов. Браузеры хранят список поддельных веб-сайтов, и когда вы пытаетесь получить доступ к веб-сайту, адрес блокируется или отображается предупреждающее сообщение. Настройки браузера должны позволять открывать только надежные веб-сайты.
- Многие веб-сайты требуют от пользователей ввода данных для входа во время отображения изображения пользователя. Этот тип системы может быть открыт для атак безопасности. Один из способов обеспечить безопасность — регулярно менять пароли и никогда не использовать один и тот же пароль для нескольких учетных записей. Для веб-сайтов также рекомендуется использовать систему CAPTCHA для дополнительной безопасности.
- Банки и финансовые организации используют системы мониторинга для предотвращения фишинга. Отдельные лица могут сообщать о фишинге отраслевым группам, где против этих мошеннических веб-сайтов могут быть приняты юридические меры.
Организации должны проводить обучение сотрудников по вопросам безопасности, чтобы распознавать риски.
- Чтобы предотвратить фишинг, необходимо изменить привычки просмотра. Если требуется проверка, всегда обращайтесь в компанию лично, прежде чем вводить какие-либо данные в Интернете.
- Если в электронном письме есть ссылка, сначала наведите указатель мыши на URL-адрес. Защищенные веб-сайты с действующим сертификатом Secure Socket Layer (SSL) начинаются с https. Со временем все сайты должны будут иметь действующий SSL.
Как правило, электронные письма, отправляемые киберпреступниками, маскируются, поэтому создается впечатление, что они отправлены компанией, чьими услугами пользуется получатель. Банк не будет запрашивать личную информацию по электронной почте или приостанавливать действие вашей учетной записи, если вы не обновите свои личные данные в течение определенного периода времени. Большинство банков и финансовых учреждений также обычно предоставляют номер счета или другие личные данные в электронном письме, что гарантирует, что оно исходит из надежного источника.
Бесплатно
Phishing Security Test
Поверят ли ваши пользователи убедительным фишинговым атакам? Сделайте первый шаг прямо сейчас и выясните это до того, как это сделают плохие актеры. Кроме того, посмотрите, насколько вы эффективны по сравнению с конкурентами, с помощью отраслевых показателей фишинга. Процент склонности к фишу обычно выше, чем вы ожидаете, и это отличный способ получить бюджет.
Вот как это работает:
- Немедленно начните тестирование до 100 пользователей (не нужно ни с кем разговаривать)
- Выберите один из более чем 20 языков и настройте шаблон теста на фишинг в соответствии со своей средой
- Выберите целевую страницу, которую пользователи увидят после нажатия
- Показать пользователям, какие красные флажки они пропустили, или страницу 404
- В течение 24 часов вы получите по электронной почте PDF-файл с процентом подверженных фишингу и диаграммами, чтобы поделиться с руководством
- Посмотрите, как ваша организация сравнивается с другими в вашей отрасли
PS: Не любите нажимать на кнопки перенаправления? Вырежьте и вставьте эту ссылку в свой браузер:
https://www. phishing.org/phishing-security-test
Связанные страницы: История фишинга, Методы фишинга, 10 способов избежать фишинговых атак
Как распознать и избежать фишинговых атак
Мошенники используют электронную почту или текстовые сообщения, чтобы обманным путем выманить у вас личную и финансовую информацию. Но есть несколько способов защитить себя.
- Как распознать фишинг
- Как защитить себя от фишинговых атак
- Что делать, если вы подозреваете фишинговую атаку
- Что делать, если вы ответили на фишинговое письмо
- Как сообщить о фишинге
Как распознать фишинг
Мошенники используют электронную почту или текстовые сообщения, чтобы попытаться украсть ваши пароли, номера учетных записей или номера социального страхования. Если они получат эту информацию, они могут получить доступ к вашей электронной почте, банковским или другим счетам. Или они могут продать вашу информацию другим мошенникам. Мошенники запускают тысячи подобных фишинговых атак каждый день — и часто они успешны.
Мошенники часто обновляют свою тактику, чтобы не отставать от последних новостей или тенденций, но вот некоторые распространенные тактики, используемые в фишинговых электронных письмах или текстовых сообщениях:
Фишинговые электронные письма и текстовые сообщения часто рассказывают историю, чтобы заставить вас щелкнуть ссылку или открыть вложение. Вы можете получить неожиданное электронное письмо или текстовое сообщение, которое выглядит так, как будто оно отправлено компанией, которую вы знаете или которой доверяете, например банком, кредитной картой или коммунальным предприятием. Или, может быть, это с веб-сайта онлайн-платежей или приложения. Сообщение может быть от мошенника, который может
- говорят, что заметили подозрительную активность или попытки входа в систему —
- заявите о проблеме с вашей учетной записью или платежной информацией —
- говорят, что вам нужно подтвердить некоторую личную или финансовую информацию — вы не
- включите счет-фактуру, которую вы не узнаете — это подделка
- хочет, чтобы вы щелкнули ссылку для совершения платежа, но ссылка содержит вредоносное ПО
- говорят, что вы имеете право зарегистрироваться для получения государственного возмещения — это мошенничество
- предлагают купон на бесплатные вещи — это не реально
их нет
нет
Вот реальный пример фишингового письма:
Изображение
Представьте, что вы увидели это в своем почтовом ящике. На первый взгляд это электронное письмо выглядит настоящим, но это не так. Мошенники, рассылающие подобные электронные письма, надеются, что вы не заметите, что это подделка.
Вот признаки того, что это электронное письмо является мошенническим, несмотря на то, что оно выглядит так, как будто оно исходит от знакомой вам компании, и даже использует логотип компании в заголовке:
- Электронное письмо содержит стандартное приветствие.
- В сообщении электронной почты говорится, что ваша учетная запись приостановлена из-за проблемы с оплатой.
- В письме предлагается перейти по ссылке, чтобы обновить данные платежа.
В то время как реальные компании могут общаться с вами по электронной почте, законные компании не будут отправлять электронные письма или текстовые сообщения со ссылкой для обновления вашей платежной информации. Фишинговые электронные письма часто могут иметь реальные последствия для людей, которые предоставляют мошенникам свою информацию, включая кражу личных данных. И они могут нанести ущерб репутации компаний, которые они подделывают.
Как защитить себя от фишинговых атак
Ваши фильтры спама в электронной почте могут не допускать многих фишинговых писем в ваш почтовый ящик. Но мошенники всегда пытаются перехитрить спам-фильтры, поэтому дополнительные уровни защиты могут помочь. Вот четыре способа защитить себя от фишинговых атак.
Четыре способа защитить себя от фишинга
1. Защитите свой компьютер с помощью программного обеспечения безопасности . Настройте автоматическое обновление программного обеспечения, чтобы оно справлялось с любыми новыми угрозами безопасности.
2. Защитите свой мобильный телефон, настроив программное обеспечение на автоматическое обновление. Эти обновления могут обеспечить критически важную защиту от угроз безопасности.
3. Защитите свои учетные записи, используя многофакторную аутентификацию.
Некоторые учетные записи обеспечивают дополнительную безопасность, требуя два или более учетных данных для входа в свою учетную запись. Это называется многофакторной аутентификацией. Дополнительные учетные данные, необходимые для входа в учетную запись, делятся на три категории:
.
- то, что вы знаете, например код доступа, PIN-код или ответ на секретный вопрос.
- что-то, что у вас есть — например, одноразовый пароль для подтверждения, который вы получаете по СМС, электронной почте или из приложения для проверки подлинности; или ключ безопасности
- то, чем вы являетесь — например, отсканированный отпечаток пальца, сетчатки глаза или лица
Многофакторная аутентификация усложняет мошенникам вход в ваши аккаунты, если они узнают ваше имя пользователя и пароль.
4. Защитите свои данные, создав их резервную копию. Создайте резервную копию данных на своем компьютере на внешний жесткий диск или в облаке. Также сделайте резервную копию данных на своем телефоне.
![]()
Что делать, если вы подозреваете фишинговую атаку
Если вы получили электронное письмо или текстовое сообщение с просьбой щелкнуть ссылку или открыть вложение, ответьте на этот вопрос: или знаете человека, который связался со мной?
Если ответ «Нет», это может быть фишинг. Вернитесь назад и ознакомьтесь с советами в Как распознать фишинг и найти признаки фишингового мошенничества. Если вы их видите, сообщите о сообщении, а затем удалите его.
Если ответ «Да», свяжитесь с компанией, используя номер телефона или веб-сайт, который, как вы знаете, является реальным — , а не информацию в электронном письме. Вложения и ссылки могут устанавливать вредоносное вредоносное ПО.
Что делать, если вы ответили на фишинговое электронное письмо
Если вы считаете, что у мошенника есть ваша информация, такая как номер социального обеспечения, кредитной карты или банковского счета, перейдите на IdentityTheft.