Что такое блокчейн?

Часть 3: Кто такие "Hackers" или как не попасться в руки злоумышленникам

Ученые установили, что люди не могут видеть сны, когда храпят. Нас Василий давно не храпит. Он даже не спит. В конце предыдущей части он попался на фишинговую ссылку N-биржи и потерял доступ сначала к своим денежным средствам, а, впоследствии, и самому аккаунту. В этой части будет идти речь о том, что такое фишинг и кто такие эти хакеры.

Что такое фишинг?

Это тип интернет-мошенничества, целью которого является получение идентификации пользователей. Основывается на незнании пользователями основ сетевой безопасности: в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.

Включает в себя кражу:

•паролей

•номеров кредитных карточек

•банковских счетов

• иной конфиденциальной информации пользователя

В уголовном кодексе Российской Федерации предусмотрена статья на этот случай. Выглядит она примерно так: ч. 2 ст. 272 УК РФ, ч. 1 ст. 273 УК РФ и ч. 4 ст. 159 УК РФ "Неправомерный доступ к охраняемой законом компьютерной информации, использование и распространение вредоносных программ для электронно-вычислительной техники, а также мошенничество, совершённое группой лиц по предварительному сговору с причинением ущерба в особо крупном размере".

Интересным является происхождение термина фишинг (phishing). Большая часть источников ссылаются на корни английского слова fishing, которое можно перевести как ловить рыбу, или выуживать, что и правда очень точно описывает интернет мошенничество. Единственно, что является непонятным, почему вместо первой буквы f стоит буквосочетание ph. Кстати не в каждом англо-русском словаре можно отыскать слово phishing, только достаточно новые современные словари имеют его в наличии, такой термин присутствует и переводят его просто как фишинг. Понятно, что когда речь идет о рыбной ловле, используют слово fishing, а когда подразумевают мошенничество в интернете в интернете, то применяется термин phishing.

Когда зародился фишинг?

Техника фишинга была подробно описана в 1987 году, а сам термин появился 2 января 1996 года в новостной группе "alt.online-service.America-Online" сети "Useset 2", хотя возможно его более раннее упоминание в хакерском журнале 2600

Почему фишинг работает?

Достаточно много причин, почему до сих пор данное онлайн-мошейнничество работает. Следует начать с того, что с нашим Василием достаточно умело сыграли на психологическом уровни (СИ- Социальная инженерия и НЛП-нейро-лингвистическое программирование): прислали ему на почту не настоящую (фейковую) ссылку, он по ней перешёл и только после того, как потерял доступ к аккаунту и своим денежным средствам, понял, что попался на удочку мошенников. Официальная ссылка отличалась от фейковой одним символом.

"Обещание бесплатного сыра" — тоже один из самых распространенных и эффективных способ заполучить массу данных от неопытных пользователей.

Также можно сыграть на ажиотаже, возникшем вокруг какой-то новой темы. Хорошим примером в этом отношении может служить целая эпидемия сетевого мошенничества!

Например, летом 2014 года был обнаружен фишинговый сайт, имитировавший сайт FIFA, на котором пользователю предлагалось подписать петицию в защиту Луиса Альберто Суареса, нападающего национальной сборной Уругвая. Чтобы подписать петицию, пользователю необходимо было заполнить форму, введя в нее свое имя, страну проживания, номер мобильного телефона и адрес электронной почты.

Другой мошеннический сайт предлагал посетителям скачать электронный билет на чемпионат. На самом деле вместо билета пользователь получал целый букет из вирусов на свой персональный компьютер— пробравшись в систему, аферист перехватывал личные данные, прежде всего финансового характера.

Виды фишинга

Существует 3 основных вида фишинга:

•Почтовый (на который попался Вася)

•Онлайновый

•Комбинированный

Первый вид подразумевает рассылку различных электронных сообщений. В них могут быть вложены «черви» или вирусы. Злоумышленники часто используют технологии, которые позволяют обходить спам-фильтры, которые сегодня не гарантируют полноценную защиту. Кроме этого, получаемые сообщения могут принимать официальный вид и сбивать с толку получателей.

Второй вид – онлайновый фишинг. Заключается в том, что мошенники достаточно качественно копируют наиболее популярные ресурсы (к примеру, интернет-магазины). Следующие шаги можно легко просчитать. Покупатель заходит на такую поддельную страничку и совершает покупку криптовалюты. При этом деньги уходят на счет мошенника и покупатель остаётся ни с чем.

Третий вид – комбинированный фишинг. Он сочетает в себе особенности двух вышеперечисленных способов обмана.

Как с ним бороться

В настоящее время мошенники разработали великое множество всевозможных ухищрений и ловушек, чтобы заманить доверчивого пользователя на свою страницу, и заставить его ввести нужную для хакера информацию. Интернет-мошенники могут связаться с вами по-разному, например, по электронной почте, личным сообщениям, сообщениям в социальных сетях, при помощи объявлений на сайтах и т.д. Нажав на любые ссылки в таких сообщениях, пользователя переносит на страницу входа на фишиноговой странице. Поэтому всякий раз, когда приходит какое-либо электронное письмо, призывающие перейти по ссылке, первым делом следует обратить внимание на адрес этой ссылки (чтобы не расстаться с деньгами, как это вышло у Васи). Всего лишь нужно потратить немного времени и изучить эту ссылку, обращая внимание на нюансы ее написания. Если возникают сомнения, то можно при помощи любого поиска (google, yandex) официальный сайт той организации, от которой пришло электронное письмо, и, впоследствии, сверить правильность написания адреса страницы. Совпадает ли адрес ссылки в письме и на официальном сайте. Также следует проверить, присутствует ли в адресной строке символ защиты (зеленый замочек, приставка https). Стоит проявить немного внимательности, и можно существенно снизить риск быть обманутыми.

Фишинг постоянно совершенствуется

Немалую роль в том, что многие люди становятся жертвами онлайн-мошенников, играет тот факт, что с технической точки зрения инструменты фишинга постоянно изменяются и методы "подсовывания" фейковой становятся все более и более изощрёнными.

Поддельные сайты уже не так легко отличить от настоящих — некоторые из них имеют вполне убедительные адреса, иногда на них даже работает защищенное соединение (HTTPS), причем с подлинными сертификатами. Василий, к сожалению, также поздно заметил, что на фишинговом сайте не был нарисован замочек (прокотол сайта был не защищён). Всё больше распространение приобретает мобильный фишинг — в силу технических особенностей смартфонов и планшетов распознать поддельный сайт зачастую сложнее, чем на компьютере или ноутбуке.

При этом следует иметь в виду, что в случае фишинга киберпреступнику совсем не обязательно проникать в систему вашего устройства. Поэтому «врожденной» защиты от фишинга нет ни у одной платформы — это по-настоящему универсальная угроза.

Как злоумышленники получают выгоду с фишинга

Но в первую очередь популярность фишинга растет потому, что это действительно выгодный вид преступной деятельности. Инструменты существуют и сравнительно легко доступны, охват чрезвычайно широк, в том числе и в социальных, большинство действий фишеров полностью автоматизированы!

Поэтому даже при небольшом проценте попавшихся мошенники могут вполне прилично зарабатывать. Причем, поскольку в большинстве случаев охота идёт за банковскими данными, для монетизации даже не надо придумывать какие-то сложные схемы.

Впрочем, фишинг хорошо совмещается и с другими видами интересной деятельности, прекрасно существуя с ними в симбиозе. Через спам пользователь может получить фишинговое сообщение, позволяющее преступнику получить доступ к контактам и разослать «письмо счастья» дальше. По набранной базе в дальнейшем может быть осуществлена рассылка вредоносного ПО — дальнейшее использование собранного таким образом ботнета может быть совершенно любым.

Поэтому не следует думать, что единственная информация, которую необходимо защищать от мошенников, — это данные банковских карт и платежных систем. Многие фишеры будут вполне удовлетворены и доступом к учетной записи в социальной сети или почтовом сервисе.

Фишинг и спам довольно не самая распространенная проблема, по которой юзеры могут потерять свои инвестиции в криптовалюте. Ещё один распространенный способ скама: фейковые проекты ICO, ICE, IFO. Об этом в следующей части.

Вопросы:

1. Какая главная задача фишинга?

A.) Доступ к конфиденциальным данным пользователя и дальнейшее их использование в корыстных целях

B.) Кража денег, которые можно будет использовать мошеннику в собственных целях

C.) Составить конкуренцию официальным сайтам, чтобы иметь как можно больше пользователей и выбиться в лидеры в рейтинге, к примеру, криптобирж

2. Что следует сделать в первую очередь при переходе на сторонние ресурсы? (объяснить почему)

A.) Проверить, есть ли рядом с ссылкой значок (зелёный замочек)

B.) Проверить ссылку через поисковик на наличие официального сайта

C.)

3. Какие виды фишингов существуют?

A.) Почтовый, мобильный, онлайн

B.) Комбинированный, мобильный, почтовый

C.) Онлайн, комбинированный, почтовый