В одной из статей мы рассказывали что такое фейк страница, в данной же статье мы поговорим о фишинге в целом.
Еще по теме: Использование фишинговой рассылки в пентесте
Еще в далеком 2008 году компания IBM опубликовала 70-страничный документ, не утративший своей актуальности до сегодняшнего дня: “Инструкция по фишингу: понимание и предотвращение фишинг атак». Большую часть данного материала, можно найти в интернете, поискав в гугле по слову “фишинг». В данной статье я постараюсь дать небольшой обзор важных моментов, на которые следует обратить внимание.
Что такое фишинг и в чём его суть?
Суть фишинга (вишинга, вэйлинга и пр.) состоит в так называемой социальной инженерии и при этом целью фишинг-атаки является не компьютер, а человек, работающий на нём. Даже в случае если действия осуществляются по взлому программ, данные, необходимые злоумышленнику, извлекаются не из «мозгов» компьютера, а из мозга человека.
В чём цель социального инженера?
Цель «социального инженера» заключается в том, чтобы вынудить пользователя компьютера (планшета, смартфона и даже банкомата) по собственной воле произвести некое действие или поделится той информацией, которую нужно хранить в тайне. В этом плане их деятельность схожа с работой различных наперсточников, гадалок и других «воров на доверии» из оффлайн жизни.
Квинтэссенция питательной среды, на которой расцветает данный вид афер, отражена в названии книжки одного из столпов Web-дизайна, С.Круга: «Не заставляйте меня думать!». Всевозможные технологические хитрости, предназначенные для того, чтобы упростить жизнь обычному пользователю и «сделать ему красиво», вместе с объективными недочетами разработчиков программного обеспечения и дизайнеров оставляют большое количество лазеек для злоумышленников, что позволяет им достичь своей цели и постоянно улучшаться в способах ее достижения. При этом наблюдается постоянный рост трудности таких атак и тенденция к переходу от «стрельбы по площадям» к целевым атакам за счет применения данных, полученных из соц. сетей.
Как защититься от фишинг атак
Для того чтобы уменьшить вероятность попадания на фишинг удочку, следует помнить старенькую поговорку: на заборе много чего пишут, а за ним дрова лежат. Любое предложение о предоставлении важной информации следует внимательно и тщательно проверять, не забывая о том, что бесплатный сыр бывает лишь в мышеловке.
- В первую очередь нужно постоянно быть уверенным в том, с кем вы общаетесь в сети. По возможности проверять полученную информацию по другому каналу связи. Понимать, что в нашей реальной онлайн жизни практически никогда нет никакой реальной срочности в том, чтобы сделать что-то прямо сейчас и здесь, как вас стараются заставить.
- Будьте внимательны при получении сообщений электронной почты от незнакомых отправителей и сообщений требующих, а иногда просящих перейти по внешней гиперссылке.
- Заведите себе привычку постоянно проверять через адресную строку в вашем браузере на том ли веб-сайте вы вводите свой пароль (обычно подделывается и доменное имя. т.е. оно очень похоже на свой оригинал, отличие может быть только в одной букве, к примеру microsoft.com может превратиться в maicrosoft.com)
- Используйте последние версии браузеров и лицензионного антивирусного ПО
- По возможности используйте безопасные браузеры, скаченные с официальных сайтов разработчиков
- Следите за тем, что бы при входе на веб-сайты банков было установлено особое защищенное интернет соединение https
- В случае если у вас есть сомнение, и вы думаете что вы подверглись фишинг атаке, обязательно и незамедлительно поменяйте пароль вашего аккаунта и обратитесь в службу безопасности банка или другой организации данные от которой получили фишинг мошенники.
- Но самое главное что нужно держать в голове и помнить всегда: ваш ПАРОЛЬ – ТОЛЬКО ВАШ, ни одна фирма, организация или интернет сайт не будут спрашивать у вас вашего пароля. Пароль необходим вам исключительно для получения доступа к определенному сервису и знать его должны лишь вы.
Хоть интернет и виртуален, но он на столько сильно проник в нашу с вами жизнь, что вред от фишинг атаки может быть вполне материальным, будьте осторожнее!
Спасибо