Фишинг
Фишинг — это вид интернет-мошенничества, целью которого является получение конфиденциальных данных пользователей: логинов, паролей, номеров банковских карт, паспортных данных и иной личной информации. Основным методом фишинга является создание поддельных сайтов, писем или сообщений, которые имитируют официальные ресурсы или обращения от имени доверенных организаций (банков, государственных служб, онлайн-сервисов, социальных сетей). Термин происходит от английского слова «fishing» (рыбная ловля), что отражает принцип действия: злоумышленники «забрасывают наживку» в виде правдоподобного сообщения и ждут, пока жертва «клюнет» — перейдёт по ссылке или введёт свои данные.
История
Первые упоминания о фишинге относятся к середине 1990-х годов. Изначально атаки были направлены на пользователей провайдера America Online (AOL). Мошенники создавали поддельные окна входа и рассылали сообщения от имени администрации с просьбой подтвердить пароль. С развитием электронной коммерции и онлайн-банкинга в начале 2000-х годов фишинг стал массовым явлением. Одной из первых крупных атак стала рассылка писем, имитирующих сообщения от eBay и PayPal, в 2003 году.
С течением времени методы фишинга эволюционировали. Если ранние атаки были легко распознаваемы из-за грамматических ошибок и некачественного дизайна, то современные фишинговые сайты и письма часто неотличимы от настоящих. С развитием социальных сетей и мессенджеров появились новые векторы атак, а использование технологий искусственного интеллекта позволило автоматизировать создание персонализированных фишинговых сообщений.
Классификация видов фишинга
Фишинг можно классифицировать по каналу распространения, цели и степени персонализации.
По каналу распространения
- Почтовый фишинг — наиболее распространённый вид. Мошенники рассылают электронные письма, маскирующиеся под уведомления от банков, интернет-магазинов, налоговых служб или почтовых сервисов. Письмо обычно содержит ссылку на поддельный сайт или вложение с вредоносным ПО.
- Смишинг (SMS-фишинг) — фишинг через SMS-сообщения. Жертве приходит текст якобы от банка или курьерской службы с просьбой перейти по ссылке или перезвонить на указанный номер.
- Вишинг (голосовой фишинг) — атака по телефону. Злоумышленник звонит жертве, представляясь сотрудником банка или службы безопасности, и под предлогом «предотвращения несанкционированного списания» вынуждает назвать данные карты или коды из SMS.
- Фишинг в мессенджерах и социальных сетях — рассылка сообщений через WhatsApp, Telegram, VK, Instagram. Часто используются взломанные аккаунты друзей, чтобы повысить доверие.
- QR-фишинг (квишинг) — мошенничество с использованием QR-кодов. Злоумышленники размещают поддельные QR-коды на паркоматах, в кафе или в письмах, ведущие на фишинговые сайты.
По степени персонализации
- Массовый фишинг — рассылка однотипных сообщений на миллионы адресов. Эффективность низкая, но за счёт огромного охвата злоумышленники получают достаточное количество жертв.
- Целевой фишинг (spear phishing) — атака на конкретную организацию или человека. Мошенники заранее собирают информацию о жертве (из соцсетей, открытых баз данных) и составляют персонализированное письмо. Например, обращаются к сотруднику по имени и упоминают реальные проекты его компании.
- Китобойный фишинг (whaling) — разновидность целевого фишинга, направленная на руководство компаний (CEO, CFO). Атака имитирует внутреннюю переписку или срочные запросы от вышестоящего руководства.
- Клонированный фишинг — злоумышленник перехватывает реальное письмо от легитимного отправителя, заменяет в нём ссылку или вложение на вредоносное и отправляет жертве с поддельного, но похожего адреса.
По цели
- Классический фишинг — кража учётных данных (логинов, паролей).
- Фишинг с целью установки вредоносного ПО — во вложении или по ссылке находится программа-шпион, шифровальщик или троян.
- Фишинг для финансового мошенничества — побуждение жертвы перевести деньги на «безопасный счёт» или оплатить фиктивную услугу.
- Фишинг для сбора личных данных (доксинг) — сбор паспортных данных, адресов, номеров СНИЛС для последующего шантажа или использования в других преступлениях.
Устройство фишинговой атаки
Типичная фишинговая атака состоит из нескольких этапов:
- Подготовка. Злоумышленник выбирает цель (массовую или конкретную), регистрирует домен, похожий на настоящий (например,
bank-secure.comвместоbank.com), создаёт поддельную страницу входа, копируя дизайн оригинального сайта. - Доставка. Сообщение отправляется жертве по электронной почте, SMS, в мессенджере. Используются технологии подмены отправителя (спуфинг), чтобы адрес выглядел настоящим.
- Взаимодействие. Жертва переходит по ссылке, попадает на поддельный сайт и вводит свои данные. Иногда сайт перенаправляет на настоящий ресурс после ввода, чтобы жертва не заметила подвоха.
- Сбор данных. Введённые данные отправляются на сервер злоумышленника. На этом этапе может происходить перехват одноразовых паролей (2FA), если жертва вводит их на поддельном сайте.
- Использование. Полученные данные применяются для взлома аккаунтов, кражи денег, шантажа или продажи в даркнете.
Признаки фишинга
Хотя современные фишинговые атаки становятся всё изощрённее, существуют общие признаки, позволяющие их распознать:
- Несоответствие адреса отправителя. Внешне похожий, но отличающийся на одну букву или символ (например,
support@go0gle.comвместоgoogle.com). - Срочность и угрозы. Сообщения с фразами «Ваш аккаунт будет заблокирован в течение 24 часов», «Немедленно подтвердите данные» или «Вы выиграли приз, но нужно оплатить налог».
- Грамматические и орфографические ошибки. Хотя этот признак становится менее актуальным, многие массовые рассылки всё ещё содержат ошибки.
- Подозрительные ссылки. При наведении курсора на ссылку (без клика) всплывает адрес, отличный от заявленного в тексте письма.
- Запрос конфиденциальных данных. Легитимные организации никогда не запрашивают пароли, PIN-коды или полные номера карт по электронной почте или в SMS.
- Необычное вложение. Письма с неожиданными файлами (PDF, DOCX, ZIP) от неизвестных отправителей.
Методы защиты
Для пользователей
- Проверка адресной строки. Перед вводом данных необходимо убедиться, что в браузере открыт именно официальный сайт (наличие HTTPS и правильного домена).
- Использование менеджеров паролей. Они автоматически заполняют пароли только на тех сайтах, для которых они сохранены, что снижает риск ввода на поддельной странице.
- Двухфакторная аутентификация (2FA). Даже если пароль украден, доступ к аккаунту без второго фактора (кода из приложения или SMS) будет невозможен.
- Критическое отношение к сообщениям. Не следует переходить по ссылкам из писем и сообщений, особенно если они содержат просьбу ввести данные. Лучше открыть сайт организации вручную через браузер.
- Антивирусное ПО и фильтры спама. Современные антивирусы и почтовые сервисы (например, «Лаборатория Касперского», Яндекс.Почта, Gmail) блокируют большинство фишинговых писем и ссылок.
Для организаций
- Обучение сотрудников. Регулярные тренинги по информационной безопасности и симуляции фишинговых атак (пентесты) повышают бдительность персонала.
- Технические меры. Использование систем фильтрации почты (Secure Email Gateway), DMARC-аутентификации (для защиты от подмены домена), веб-фильтров, блокирующих доступ к фишинговым сайтам.
- Политика безопасности. Запрет на использование личной почты для рабочих целей, регулярная смена паролей, ограничение прав доступа.
Юридические аспекты и ответственность
В России фишинг квалифицируется как мошенничество (ст. 159 УК РФ) или неправомерный доступ к компьютерной информации (ст. 272 УК РФ). За создание и распространение фишинговых сайтов и рассылку вредоносных писем предусмотрена уголовная ответственность, вплоть до лишения свободы на срок до 10 лет (в зависимости от размера ущерба и квалификации). Борьбой с фишингом занимаются подразделения «К» МВД России, а также Центральный банк РФ, который ведёт базу фишинговых сайтов и взаимодействует с регистраторами доменов для их блокировки.
Интересные факты
- По данным «Лаборатории Касперского», в 2023 году было заблокировано более 700 миллионов попыток перехода на фишинговые сайты.
- Самыми подделываемыми брендами в мире являются Microsoft, Google, Amazon и Apple. В России — Сбербанк, Яндекс, ВТБ и «Почта России».
- Существует «обратный фишинг» — атака, при которой злоумышленник создаёт поддельную службу поддержки и ждёт, когда жертва сама обратится к нему с проблемой.
- В 2024 году получил распространение «дипфейк-фишинг» — использование синтезированного голоса или видео руководителя компании для отдачи распоряжений сотрудникам.
Источники
- Уголовный кодекс Российской Федерации, статьи 159, 272.
- Отчёты «Лаборатории Касперского» по фишингу за 2023–2024 годы.
- Материалы Центрального банка РФ по противодействию мошенничеству.
- Публикации Positive Technologies и Group-IB о методах социальной инженерии.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →