Окей, Альфа! Что такое фишинг, смишинг, фарминг и социнженерия?

be Smart
25 Марта 2021 5 минут на прочтение
Безопасность в пирамиде Маслоу находится на второй ступени, как одна из важнейших человеческих потребностей. Безопасность — чувство защищённости, в том числе защищённости ваших платежей и карт. Особенно остро этот вопрос встал в последние годы из-за роста безналичных онлайн-операций. Сегодня Now облачится в костюм супергероя и под трек Eye Of The Tiger расскажет об информационной безопасности и самых распространённых видах банковского мошенничества.
Лена Чурсинова
Есть опыт общения с мошенниками
Традиционно начнём с диалога. На этот раз не выдуманного, а с реальными мошенниками. 
— Здравствуйте! Меня зовут Мошенник Мошеннический, я являюсь сотрудником безопасности банка X. С вашей карты было проведено списание суммы N. Проводили ли вы эту операцию? Она кажется подозрительной. 

— Здравствуйте. Нет, я не проводил такую операцию.

— Очень хорошо, что мы сейчас это отследили. Подскажите, на какую сумму была ваша последняя операция и какой сейчас остаток на карте? Это необходимо, чтобы удостовериться, что больше нелегального списания не было.

— На моей карте ничего нет. Остаток 0 рублей.

— 0 рублей? Вы уверены? Возможно, у вас есть карты других банков, чтобы мы связались с их службой безопасности и предупредили, что произошла утечка личных данных для принятия соответствующих мер.

— Да, я уверен. Есть ещё карты банка Z.

— Тогда переключаю на специалиста банка Z.

(переадресация на другой банк)

— Здравствуйте, это представитель банка Z. Хотели бы уточнить информацию по остаткам на вашей карте и последним суммам списания.

— На моей карте нет средств. Остаток 0 рублей.

— Точно 0 рублей. Вы уверены?

— Да.

(короткие гудки)
А теперь давайте разбираться, что произошло. Для этого заглянем в наш словарик.

На лицо ситуация, которую окрестили фишингом (phishing, от английского fishing — «рыбная ловля»). Проще говоря, это «развод» на выдачу личных данных — номера банковской карты, CVV-кода, идентификационного номера, логина и пароля от личного кабинета. Цель мошенника — получить доступ к вашему банкингу или счёту, чтобы потом вывести средства на посторонние счета.
Главное, на чём играет мошенник, — ваши эмоции. Он стремится вызвать бурную реакцию (положительную или отрицательную), сообщая или о крупном выигрыше, или о потере денег. В такой ситуации зачастую человек выходит из равновесия и, поддаваясь эмоциям, выдаёт всю секретную информацию. 

Одной из разновидностей фишинга выступает вишинг (vishing = voice + phishing). При нём мошенники работают через телефонный звонок и представляются сотрудниками банка. Особенность этого вида мошенничества в том, чтобы в устной форме создать панику и запросить немедленную выдачу информации у доверчивого пользователя.
Как раз на примере представленного в начале диалога мы видим главные составляющие вишинга. И то, как мошенник быстро потерял интерес, узнав, что человек не обладает нужным ему ресурсом — деньгами. 
  • Совет: никогда не ведите диалог с человеком, который так или иначе пытается запросить ваши личные данные. Что бы вам ни говорили, не поддавайтесь панике и замешательству. В такой ситуации лучше сослаться на занятость, повесить трубку и самому перезвонить в контакт-центр банка (единый номер контакт-центра Альфа-Банка по Беларуси — 198). Стоит уточнить у сотрудника, действительно ли вам только что звонили из банка. 
Помните, семь раз проверь — один сообщи. Ну а как защититься от телефонных мошенников, читайте здесь
Приходило ли вам когда-нибудь сообщение вроде «Вы стали победителем, перейдите на сайт X для получения выигрыша» или «Срочно свяжитесь с банком через этот номер, либо ваша карта будет заблокирована»? Такой вид мошенничества называется смишинг (smishing — sms + phishing).  
При смишинге мошенники используют SMS, в котором чаще всего предлагают перейти по ссылке на подставной вредоносный сайт, где вас попросят заполнить форму и ввести личные данные. 

  • Совет: сразу обращайте внимание на правильность адреса сайта. Злоумышленники используют поддельные страницы с похожим оформлением и адресом, который отличается от существующего одним или несколькими символами. Проверить безопасность соединения можно по префиксу в URL адресе:

— https — буква s обозначает «secure» — безопасный; 

— http — нет буквы s, адрес сомнительный. 

Также значок замочка в поисковой строке браузера укажет на защищённость соединения. Б — бдительность.

Осведомленность клиентов растёт с каждым днём. Наравне с виртуозностью грабителей. И вот на арену выходит ещё один вид мошенничества — фарминг. Это скрытое перенаправление пользователя на ложный сайт с помощью установки вредоносного ПО на компьютер. 
Фарминг, пожалуй, самый коварный вид аферы. Вирус активизируется, когда пользователь, совершенно не подозревая подмену, намеревается зайти в банкинг или онлайн-магазин. Именно в этот момент он автоматически попадает на поддельную страницу. Процесс подмены сайта происходит или из-за манипулирования файлом HOSTS или из-за изменения информации DNS.

  • Совет: такую атаку сложно распознать самому, поэтому рекомендуем внимательно относиться к установке и скачиванию новых программ из интернета.
Все вышеперечисленные виды мошенничества объединяет социальная инженерия. Если кратко, это способ получения конфиденциальной информации с помощью психологических приёмов. Мошенники стараются вызвать чувство страха, пробудить алчность, сыграть на альтруизме или поторопить вас для получения своей выгоды. А иногда даже создают такую ситуацию, в которой вы сами обращаетесь к ним за помощью. Мошенник отправляет вам на почту сообщение с контактами якобы службы поддержки, а потом создаёт неполадки на вашем компьютере, чтобы вы обязательно с ним связались. Это обратная социальная инженерия. В этой ситуации в процессе устранения неполадок мошенник получает нужную информацию с вашего компьютера или ноутбука.

Охватила паника от прочитанного? Не переживайте, предупреждён — значит вооружён. В следующей части заглянем на страницы словарика, которые расскажут о том, что мы зря смеёмся над бабушками, выставляющими вокруг банкомата баррикады, узнаем, почему СМС-оповещения — совсем не бесполезная трата денег, а также что такое «письма счастья», которые не делают нас счастливее.