Как избежать фишинга

Опубликовано: 13 Апреля, 2023

Представьте, что завтра утром вы встанете с постели и проверите свою электронную почту. Есть сообщение от вашего банка, указывающее, что вы перерасходовали средства на своем текущем счете, потому что чек, который вы выписали на 2457,83 долларов США, был возвращен. Вы не помните, что выписывали чек на эту сумму. Что вы делаете?


Надеюсь, вы ответили, что позвоните в банк, а не заходите на веб-сайт банка, чтобы решить проблему самостоятельно. Ситуация, которую я только что описал, известна как мошенничество с фишингом (произносится «фишинг»). Вот как это работает.


Человек, который инициирует мошенничество, отправляет электронное письмо миллионам людей. Сообщение электронной почты должно выглядеть так, как будто оно исходит от банка, интернет-провайдера, компании, занимающейся онлайн-аукционами, или от любого другого лица, с которым вы могли бы иметь регулярные деловые отношения. Заголовок «От» в сообщении подделан, и сообщение должно выглядеть как можно более официальным. Единственной целью сообщения является сбор информации.


Давайте вернемся к моему предыдущему примеру, в котором из вашего банка якобы пришло сообщение о том, что ваш счет перерасходован из-за чека, который вы не выписали. Подавляющее большинство людей, получающих сообщение, даже не используют банк, от которого, как утверждается, получено сообщение. В этом случае, однако, сообщение просто появляется из банка, который вы используете. Поскольку сообщение, по-видимому, связано с серьезным делом, связанным с вашим банком, теперь ваше внимание привлекло лицо, инициировавшее мошенничество.


Как правило, такое сообщение побуждает вас к действию и содержит ссылку на веб-сайт банка и/или номер телефона банка. Хотя номер телефона может быть, а может и не быть телефонным номером банка, URL-адрес веб-сайта никогда не является легитимным, даже если он кажется легитимным.


Иногда человек, участвующий в фишинговой схеме, указывает реальный номер телефона банка в электронном письме в надежде сделать сообщение более достоверным. В других случаях, однако, они назначат другой номер и заставят кого-то просто ждать звонков от запаниковавших банковских клиентов. Этот человек обычно спрашивает у звонящего номер счета, PIN-код и любую другую информацию, которая может быть полезна, например номер социального страхования или дату рождения. Фальшивый сотрудник банка будет притворяться, что решает проблему, пока вы разговариваете по телефону. Хотя на самом деле проблема только начинается. На самом деле вы не перерасходовали свой текущий счет, и теперь вы предоставили информацию о своем счете непосредственно вору, который может использовать его для очистки вашего банковского счета или для запуска других мошеннических схем с кражей личных данных.


А как насчет официального URL-адреса в сообщении электронной почты? Конечно, он может выглядеть как официальный веб-сайт банка, но попробуйте навести указатель мыши на URL-адрес. Когда вы наведете указатель мыши на URL-адрес, вы увидите гиперссылку. Если URL-адрес является законным, гиперссылка должна ТОЧНО соответствовать URL-адресу, отображаемому в сообщении. Как правило, человек, создавший сообщение, заменяет URL-адрес IP-адресом или использует доменное имя, написанное очень похоже на доменное имя банка. Чтобы показать вам, о чем я говорю, взгляните на рисунок А. На рисунке А показана очень простая веб-страница, которую я создал. На этой странице есть ссылка на mybank.com, но если вы посмотрите в нижнюю часть Internet Explorer, вы увидите, что ссылка на самом деле ведет на http://147.100.100.100. Если бы такая ссылка была отправлена мне по электронной почте, гиперссылка появилась бы в небольшом всплывающем окне, а не в нижней части окна.



Изображение 26044
Рисунок A. Кажется, что эта веб-страница направлена на mybank.com, но на самом деле указывает на какой-то другой веб-сайт.


Очевидно, что идея фишинга заключается в том, чтобы заставить вас в панике щелкнуть ссылку, содержащуюся в сообщении электронной почты, а затем заставить вас ввести номер своего банковского счета и пароль. Поэтому вам может быть интересно, как кто-то может ввести информацию о своей учетной записи на веб-сайте, который не принадлежит их банку?


По правде говоря, очень легко заставить кого-то ввести информацию на поддельный веб-сайт. Чтобы убедиться, насколько это просто, проведите небольшой эксперимент. Перейдите на веб-сайт вашего банка и выберите команду «Источник» в меню «Вид» Internet Explorer. Это покажет вам исходный код веб-сайта вашего банка, как показано на рисунке B.



Изображение 26045
Рисунок B: Это исходный код веб-сайта Bank of America.


На самом деле вы не смотрите на исходный код. Помните, что HTML означает язык гипертекстовой разметки. Информация, которую вы видите, представляет собой просто HTML-инструкции, используемые для отображения домашней страницы банка. Финансовые учреждения обычно используют язык сценариев на стороне сервера, такой как ASP, для управления тем, что на самом деле видят посетители сайта.


Однако на самом деле все это не имеет значения, поскольку хакеру не нужно воссоздавать весь веб-сайт банка. Им нужно только воссоздать первый экран, и банк предоставил им HTML-код для этого!


Человек, выполняющий фишинговую аферу, просто внес несколько незначительных изменений в код, а затем загрузил его на свой собственный веб-сайт. Как правило, изменения включают запросы на вход в систему. Помните, что жертва мошенничества не может на самом деле войти на поддельный веб-сайт банка, потому что человек, создавший сайт, не имеет возможности проверить учетные данные клиента банка. Вместо этого мошенник просто реконструирует HTML-код банка таким образом, что когда клиент вводит номер своего счета и пароль, номер счета и пароль добавляются в базу данных. Обычно после этого жертва перенаправляется на настоящую домашнюю страницу банка. Конечно, они не вошли в систему, когда попадают туда. Жертва предполагает, что они неправильно набрали пароль, и вводит его снова. На этот раз они вошли в систему, потому что находятся на настоящем веб-сайте банка. Жертва понятия не имеет, что она только что дала номер своего счета и пароль мошеннику.


Как не стать жертвой


До сих пор я давал вам подробные инструкции о том, как осуществить мошенничество с фишингом. Однако я даю вам эту информацию не для того, чтобы вы могли грабить людей. Вместо этого я покажу вам, как работает мошенничество с фишингом, чтобы вы могли избежать ограбления. Конечно, понять, как работает афера, — это только полдела. Вам все еще нужно знать, как определить мошенничество и не стать его жертвой.


Лучший совет, который я могу вам дать, заключается в том, что если вы когда-нибудь получите сообщение по электронной почте от вашего банка, вашего интернет-провайдера, PayPal, EBay, Amazon и т. д., прочитайте примечание несколько раз. Скорее всего, записка покажется законной, но вам нужно искать что-то подозрительное (без каламбура). Например, есть ли в примечании орфографические ошибки или неправильная грамматика? Это первое сообщение, которое вы получили от компании? У компании даже есть ваш адрес электронной почты в файле? Если у вас есть какие-либо подозрения по поводу сообщения, то сообщение, вероятно, является незаконным.


Лучшее, что вы можете сделать, это позвонить в компанию, которая якобы отправила вам сообщение. Никогда не используйте номер телефона, указанный в сообщении. Вместо этого найдите время, чтобы посмотреть номер телефона в телефонной книге. Лучше потратить несколько лишних минут на поиск номера, который у вас уже есть, чем стать жертвой мошенников.


Очевидно, что вы никогда не должны нажимать на ссылку в подозрительном сообщении. Если вам действительно необходимо посетить веб-сайт, с которого, как утверждается, пришло сообщение, введите адрес сайта в браузере вручную.


Другими мерами предосторожности, которые вы можете предпринять, являются регулярная проверка выписок с банковских счетов и выписок по кредитным картам, чтобы убедиться, что никто не ворует у вас и не совершает покупки от вашего имени.


Наконец, если вы получили сообщение электронной почты, которое оказалось мошенничеством с фишингом, вы должны сообщить об этом в компанию, от которой, как утверждается, было получено сообщение. Это позволяет компании узнать о мошенничестве, чтобы они могли сообщить об этом в соответствующие органы и помочь предотвратить обман других людей.


Вывод


Как вы можете себе представить, ежегодно бесчисленное количество людей становятся жертвами фишинга. Эти аферы в конечном итоге обходятся жертвам в миллионы долларов. В этой статье я объяснил, как обнаружить и не стать жертвой этого типа мошенничества.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023