Інтернет-шахрайство дуже небезпечне явище. Лише один клік може призвести до викрадення ваших коштів чи приватної інформації.
У жовтні під час моніторингу маніпуляцій та фейків UAinKrakow.pl помітив, що серед українських біженців у Польщі поширювали неправдиві повідомлення які могли мати на меті крадіжку даних.
Сьогодні розповідаємо детальніше, що таке фішинг та як не потрапити у тенета шахраїв.
Приклади фішингу
Під час моніторингу, UaInKrakow.pl навели приклад фішингу, який відбувся у чаті телеграм-каналу порталу. Шахраї, від імені «Червоного Хреста», надіслали повідомлення з фейковою інформацією про грошову допомогу для українців у розмірі 5000 гривень. У тексті було гіперпосилання з фішинговою пасткою, через яке пропонували подати заявку.
Що таке фішинг?
Уявіть, що вам надійшов електронний лист чи СМС-повідомлення від інтернет-банкінгу з проханням перейти за посиланням для оновлення даних чи верифікації особи. Часто подібні повідомлення видаються дуже схожими на реальні: їх надсилають зі схожої на офіційну адреси, скрізь зображення логотипа банку, лист написаний в офіційно-діловому стилі, посилання подібне на реальний сайт. Саме так виглядає фішинг – “ідеальне” повідомлення із закликом до дії, яке за один клік може викрасти всі персональні дані.
Фішинг – один з найпоширеніших видів інтернет-шахрайства, завдяки якому зловмисники намагаються отримати конфіденційну інформацію: важливі документи, паролі, дані банківських карток, сторінок у соцмережах, чи навіть намагаються отримати повний доступ до вашого пристрою. Крадії створюють фальшиві вебсайти, що виглядають як справжні, відправляють електронні листи чи повідомлення на телефон або у месенджери.
Як працює фішинг?
“Привіт, мою карту заблокували, терміново потрібні кошти. Можеш, будь ласка, позичити, завтра поверну” – це одне з найпопулярніших повідомлень, яке використовують шахраї. Погодившись на прохання ніби-то від знайомого чи подруги, ви добровільно надсилаєте гроші на рахунок злодіїв.
Шахраї надсилають повідомлення від банків, офіційних установ, інтернет-магазинів чи навіть від друзів і родичів із закликом до дії. Це можуть бути повідомлення, у яких є:
- Погрози або прохання допомоги.
Наприклад повідомлення з проханням позичити гроші, або листи на кшталт “Ваш акаунт заблоковано, для розблокування необхідно оновити персональні дані”, чи погрози про викрадення людини з вимогою викупу. - Посилання на фальшиві вебсайти, що виглядають як справжні.
Наприклад, сайт інтернет-банкінгу має назву bank.ua, а сайт зловмисників має назву bankk.ua. - Документи чи вкладені файли.
Після їх завантаження, встановлюються програми, які дозволяють отримати дистанційний доступ до вашого пристрою.
Після отримання необхідної інформації, зловмисники діють швидко. Вони починають онлайн розраховуватись картками чи писати повідомлення вашим контактам з проханням позичити гроші. Часто ці дії відбуваються вночі або зранку, аби жертва чим довше не була на зв’язку, не помітила викрадення даних, та не могла швидко змінити паролі, видалити програми чи заблокувати рахунки.
Як розпізнати фішинг?
Шахраї навчились майстерно підробляти повідомлення, тому часто фішинг розпізнати складно. Та є декілька моментів, на які варто звернути увагу, щоб виявити фішингову атаку:
- Дивний заклик до дії.
Усі фішингові повідомлення об’єднує заклик до дії. У підроблених листах часто просять зробити нелогічний крок. Наприклад, надати CVV код (три цифри позаду картки) чи пароль від банкінгу, хоча банки ніколи не просять подібної інформації. Або ж повідомлення з посиланням в соціальних мережах від людини, з якою ви давно не спілкувались, на кшталт: “Агов, це ти на фото (посилання)?” чи “Проголосуй за мою племінницю у конкурсі малюнків (посилання)”. - Лист з неофіційної пошти.
Офіційні пошти усіх установ мають збігатись з доменом на їхньому сайті. Домен пошти – це частина імені пошти, яка знаходиться після знаку @. Наприклад, якщо ваш банк має назву superbank.com, то офіційна пошта банку буде мати вигляд ххх@superbank.com. Пошти зловмисників часто виглядають так: superbank@mail.com. - Повідомлення з неофіційного акаунту.
Наприклад, повідомлення “Ваш акаунт заблоковано” зловмисники часто надсилають зі сторінок під назвою Admin. Необхідно перейти на профіль користувача, щоб переконатись, чи дійсно вам пише офіційний адміністратор соцмережі.
- Посилання на фальшиві вебсайти
Фішингові вебсайти виглядають як справжні, але їхні адреси трохи видозмінені. На це часто не звертають увагу, тому потрапляють у пастку.
- Повідомлення про виграш у розіграші.
“Вітаємо, ви виграли телефон. Залишилось лише оплатити доставку”. Після подібних повідомлень часто знаходиться посилання, перейшовши за яким вам треба ввести або дані для входу до вашої сторінки, або дані вашої картки.
Як захиститись від фішингу?
Є декілька основних правил, які допоможуть вам не стати жертвами шахраїв.
- Перевіряйте пошту відправника та написання назви сайту.
Зловмисники створюють схожі, але трохи змінені пошти чи сайти, які можуть відрізнятись від офіційних додатковим словом чи навіть лише однією літерою.
- Використовуйте надійні паролі
Не варто використовувати у паролі свою дату народження чи своє ім’я. Якщо ви вирішили використати цю інформацію у паролі, варто додати різні символи, додаткові літери чи цифри. Аби ускладнити пароль, можна також використовувати великі літери, символи, або випадковий набір чисел чи літер.
- Використовуйте антивірусне програмне забезпечення.
Сучасні антивірусні програми часто розпізнають фішингові атаки та попереджають, якщо ви намагаєтесь перейти за підозрілим посиланням.
- Увімкніть двофакторну автентифікацію у ваших акаунтах.
Двофакторна автентифікація – це додатковий крок для захисту акаунту, який вимагатиме не лише пароль від облікового запису, а й додатковий крок ідентифікації особи. Наприклад, СМС-повідомлення чи код, який надійде на електронну пошту. Цю функцію можна увімкнути в налаштуваннях безпеки акаунту в соцмережах.
Ось ще декілька порад:
Не переходьте за підозрілими посиланнями.
Щоб побачити повну назву посилання, наведіть на нього курсор миші. Якщо посилання виглядає підозріло – не переходьте за ним.
- Перевіряйте інформацію про надісланий вам лист на офіційному сайті.
Якщо відправник і посилання виглядають безпечно, але у вас є сумніви що ви отримали лист від реальних представників – перейдіть на офіційний сайт установи, зателефонуйте на гарячу лінію служби підтримки та уточніть, чи відправляли вам таке повідомлення. Важливо: не телефонуйте за номерами служби підтримки, які ви знайшли у цьому ж листі, адже шахраї часто замінюють справжні телефони на свої. - Не відкривайте вкладення від невідомих відправників.
Якщо у вас є підозри на фішингову атаку, не намагайтесь завантажити файли, що прикріплені до листів чи повідомлень. - Перевіряйте, чи справді вашим друзям/знайомим необхідна допомога.
Якщо вам написали з проханням проголосувати за когось у конкурсі чи надіслати гроші, але у вас є підозри, що це шахраї, зателефонуйте людині, з акаунту якої ви отримали повідомлення і запитайте, чи справді їй необхідна допомога. Якщо людина не підіймає слухавку, попросіть її записати вам відеоповідомлення з її обличчям чи голосове повідомлення, аби ви могли її ідентифікувати. Якщо особа відмовляється це робити та каже “зараз не можу говорити” – з великою ймовірністю по той бік екрана ховаються шахраї.
Як запобігти фішингу?
Аби превентивно захиститись від рук злодіїв, необхідно завжди тримати руку на пульсі. У новинах часто діляться новими інтернет-аферами та як їх розпізнавати. Тож читайте новини та діліться знаннями про фішинг з близькими, аби більше людей могли його ідентифікувати.
Найкращим методом захисту від зловмисників є конфіденційність даних та періодичне оновлення інформації. Не розголошуйте нікому паролі від соцмереж чи реквізити банківських карток. Також варто періодично змінювати паролі до всіх ваших акаунтів.
Фішинг є викликом цифрового суспільства, але його можна подолати, володіючи знаннями та потурбувавшись про захист даних. Пам’ятайте, що ваша безпека – у ваших руках. Якщо ви маєте сумніви щодо правдивості повідомлень – краще двічі перевірити, ніж потрапити в пастку зловмисників.
Джерела: у тексті використана інформація зі статей “Фальшиві вебсайти – як захиститися від втрати даних або грошей” та “Як вберегти себе від кібератак», опублікованих на польському урядовому порталі.
Розповідаємо першими новини для українців у Кракові – підписуйтесь на телеграм UAinKrakow.
Читайте більше новин, вподобавши сторінку UAinKrakow.pl у соцмережі Facebook.
Фоторепортажі та корисні інфографіки – на нашому Instagram-акаунті.
Текст був написаний в рамках проєкту «Протидія поширенню неправдивих та маніпулятивних наративів серед українських біженців у Польщі». Проєкт співфінансується з коштів Польсько-Американського Фонду Свободи в рамках програми «Підтримуємо Україну», яку виконує Фонд «Освіта для демократії».
Текст: Елеонора Швець