ФИШИНГ
(от англ. phishing (password + fishing) выуживание паролей) — вид мошенничества в сети интернет, с целью получения доступа к идентификационным данным пользователей — логинам и паролям.
Фишинг реализуется путем отправки электронных писем-уведомлений от имени различных банков, платежных систем, почтовых сервисов, социальных сетей и т.д. Письмо содержит логотип, сообщение и ссылку, по которой требуется пройти на сайт и под различными предлогами (сбой в системе, блокировка счета в случае игнорирования уведомления) ввести свои конфиденциальные данные в соответствующую форму. Таким образом, мошенники получают доступы к аккаунтам, личным кабинетам, банковским счетам пользователей.
История
- Термин "фишинг" зародился в 1996 году в новостной группе alt.online-service.America-Online сети Usenet.
- Первое упоминание о фишерах связано с компанией AOL, когда мошенники через программы быстрого обмена сообщениями связывались с пользователями и от лица сотрудников компании просили предоставить им пароли от аккаунта. Получив доступ к аккаунту, его использовали для рассылки спама.
- В 2001 году фишинг затронул платежные системы. Была предпринята попытка атаки на платежную систему e-gold. С тех пор фишинг представляет серьезную угрозу для крупных компаний, банков и их пользователей.
- При помощи фишинга злоумышленники в США собрали серьезную базу данных по налогоплательщикам.
- Распространен фишинг и в социальных сетях. В 2006 году пользователи сети MySpace подверглись фишинговой атаке, в результате чего были украдены регистрационные данные. То же самое произошло и с сетью ВКонтакте в 2008 году.
- На западе фишинг ежегодно наносит большой материальный ущерб. В России с нарастающим развитием электронной коммерции и электронных платежных систем фишеры проявляют все большую активность.
Приемы фишинга
Использование ссылок
Для кражи персональных данных создаются специальные фишинговые сайты. Живут они, как правило, очень недолго, но за несколько дней существования выполняют свою основную миссию - собирают нужную мошенникам информацию.
Фишинговый сайт размещается на домене максимально похожем на домен реального сайта (URL с небольшими опечатками, субдомены), оформляется в идентичном дизайне и не вызывает подозрения у попавшего на него пользователя.
На подобный сайт пользователь попадает путем перехода по ссылке в теле письма-уведомления, пришедшего на электронную почту.
Обход фильтров
Спам-фильтры настроены распознавать текст фишинговых писем. В обход этого фишеры используют в письмах вместо текстов картинки. Но почтовые программы совершенствуются и сейчас крупные сервисы могут блокировать графические изображения в письмах, полученных от отправителей не из адресной книги получателя.
Фарминг
Фарминг - это разновидность фишинга, когда заполучение личных данных происходит не через письмо и переход по ссылке, а непосредственно на официальном сайте. На DNS-сервере фармеры меняют цифровой адрес официального сайта на адрес подменного сайта. Ничего не подозревающий пользователь перенаправляется на поддельный сайт. Этот фишинг намного опаснее, так как увидеть подмену невозможно. В большей степени от атак фишеров страдают аукцион Ebay и платежная система PayPal, а так же банки по всему миру.
Вишинг
Вишинг (голосовой фишинг) - это новая угроза фишеров, реализуется посредством телефонной связи. В уведомительном письме указывается номер телефона, по которому нужно позвонить, чтобы устранить возникшую проблему с банковским счетом. Автоответчик или оператор для решения проблемы просит назвать номер счета и пин-код карты.
Смишинг
Смишинг, или смс-фишинг, предполагает рассылку уведомлений с ссылками на фишинговый сайт посредством сообщений на мобильные устройства.
Рассылка вирусов
Кроме кражи персональных данных мошенники могут нанести и другой вред пользователям. Ссылка фишингового письма может при клике по ней загружать на компьютер вредоносный вирус: троянскую программу, программу-шпиона, кейлоггер.
Защита от фишинга
Успешному противостоянию фишерам мешает низкая осведомленность, наивность и доверчивость пользователей. Сколько бы ни предупреждали банки и компании о том, что от их лица ни один сотрудник не в праве запрашивать личные данные, коды и доступы к счетам и аккаунтам, но слив информации все равно происходит.
Рекомендации пользователям для предотвращения кражи паролей могут быть следующие:
- При получении письма, где требуется указать коды доступов, пароли, идентификационные данные, необходимо связаться с той компанией, от лица которой произошла рассылка. Не стоит переходить для связи с компанией по ссылке, указанной в письме. Нужно ввести домен вручную в строке браузера, или воспользоваться поисковой системой.
- Необходимо обращать внимание на форму обращения в начале письма. Клиента в большинстве случаев компании приветствуют по имени.
На техническом уровне ведутся большие работы для предотвращения действий фишеров:
- Браузеры ведут черные списки фишинговых сайтов и предупреждают об опасности;
- Усовершенствование почтовых спам-фильтров;
- Использование более сложной процедуры авторизации;
См. также
- Спам
- Вирус
- Аккаунт
- фишинг—Фишинг от англ. phishing распространенный способ воровства персональных данных клиента через Интернет. В частности у держателей банковских карт похищаются номера карты с...Банковская энциклопедия
- фишинг—Синонимы интернетмошенничество...Русско-китайский словарь
- фишинг—один из методов кражи паролей и других личных данных пользователя. Заключается в создании поддельного сайта внешне по дизайну точной копии настоящего. Пользователь попад...Словарь молодёжного слэнга
- фишинг—фишинг сущ. колво синонимов интернетмошенничество Словарь синонимов ASIS.В.Н. Тришин. . Синонимы интернетмошенничество...Словарь синонимов II
- фишинг—Фишинг вид интернетмошенничества цель которого получить идентификационные данные пользователей путем их кражи посредством внедренного в компьютер пользователя вредоносн...Терминологический словарь автоматизации строительства и производственных процессов