Что общего между сообщениями электронной почты с заголовками «Вы выиграли миллион долларов» и «Ваша учетная запись заблокирована»? Это почти всегда признаки мошенничества. Их цель - убедить получателя перейти по ссылке на фишинговый сайт и ввести конфиденциальную информацию: логин, пароль или реквизиты банковского счета. Вот как обнаружить фишинг и защитить себя:
1. Внимательно проверяйте электронную почту.
Получив электронное письмо, не спешите отвечать или следовать его инструкциям. Первое, что вам следует сделать, это поискать явные признаки фишинга. Какими они могут быть?
- Драматическая сюжетная линия. Распространенные темы включают в себя крупные денежные переводы, финансовую компенсацию, взломанные или заблокированные учетные записи и подозрительные транзакции – то есть привлекающие внимание темы, которые могут вызвать эмоциональную реакцию, часто играющую на жадности или страхе.
- Акцент на серьезности ситуации. Такие фразы, как «Последнее замечание!» или «Осталось всего 3 часа», а также чрезмерное использование восклицательных знаков призваны заставить вас торопиться, паниковать и понижать бдительность.
- Ошибки, опечатки и странные символы в тексте. Некоторые преступники намеренно делают ошибки вроде «milion» или используют буквы из разных алфавитов, пытаясь обойти спам-фильтры.
- Несоответствующий адрес отправителя. Адрес электронной почты со множеством случайных букв и цифр или неправильное доменное имя являются верными признаками фальсификации, когда отправитель утверждает, что пишет от крупной организации.
- Ссылки в электронном письме, если оно их содержит, или, если быть точнее, на веб-сайт, на который они ведут. Вы можете проверить ссылку, наведя на нее курсор и внимательно прочитав адрес. Преступники делают ставку на жертв, которые не уделяют достаточно внимания обнаружению незначительных изменений, внесенных в названия известных компаний или брендов – например, sumsung.com или qoogle.com. Внимательно проверьте каждую ссылку.
Таких проверок в большинстве случаев должно быть достаточно, чтобы обнаружить электронное письмо, отправленное как часть массового фишинга. Однако имена и адреса отправителей могут быть подделаны, ссылки могут быть сокращены, чтобы сделать их нечитаемыми, а цепочки автоматических перенаправлений могут быть настроены так, чтобы вести с менее подозрительных веб-адресов на настоящий фишинговый веб-сайт. Вот почему лучше избегать перехода по ссылкам, отправленным по электронной почте, если только вы не ожидали чего-то подобного. Например, если вы получили уведомление от банка или интернет-магазина, позвоните им для подтверждения.
Вы также можете проверить реальность приза, используя поисковую систему, чтобы найти официальный сайт компании, предположительно присуждающей приз. Это всего лишь несколько примеров, но основной посыл тот же самый: если вы хотите проверить ссылку из незапрошенного письма, попробуйте сделать это окольным путем.
2. Будьте бдительны в приложениях для обмена сообщениями или в социальных сетях.
Электронная почта - не единственное, с чем нужно быть осторожным. Сообщения, которые вы получаете в мессенджерах и в социальных сетях, не менее опасны; вы можете найти вредоносные ссылки в сообщениях друзей на Facebook, в комментариях, размещенных фальшивыми бренд-амбассадорами в Twitter, или в личных сообщениях на Discord.
Осторожно относитесь к баннерам; изображения, которые они показывают, могут не иметь ничего общего с веб-сайтом, на который они вас направляют. Платформы, на которых размещаются баннеры, обычно не контролируют, что видят пользователи или куда они перенаправляются, поэтому даже веб-сайт с безупречной репутацией может показывать рекламу, ведущую на фишинговые сайты.
Что можно сделать? Как и в случае с электронной почтой, внимательно проверяйте каждую ссылку и, если возможно, не нажимайте на нее вообще.
3. Хорошо подумайте, прежде чем вводить информацию о банковском счете.
Данные банковской карты особенно важны, потому что они обеспечивают прямой доступ к вашим деньгам. Вот почему, независимо от того, как вы попали на веб-сайт, вам следует дважды проверить где вы действительно находитесь, прежде чем вводить эти данные.
Во-первых, внимательно посмотрите на адрес. Вы ищете те же самые явные признаки: опечатки, цифры вместо букв, дефисы в неожиданных местах и странные доменные имена. Если вы видите что-то подобное, покиньте сайт и попробуйте ввести адрес вручную.
Затем, оставаясь в адресной строке, щелкните на значок замка слева. Замок не является гарантией безопасности, но с его помощью вы можете узнать больше о том, кому принадлежит веб-сайт (браузеры имеют разные имена для соответствующих вкладок, таких как Сертификат или Безопасное соединение).
Так выглядит соответствующая строка на сайте лаборатории Касперского в Google Chrome
Если вы делаете много покупок в Интернете, включая покупки у небольших компаний и частных продавцов, то можно использовать отдельную карту, держать на ней небольшую сумму денег и переводить на нее деньги прямо перед тем, как она вам понадобится. Таким образом, даже если реквизиты карты украдены, вы не потеряете крупную сумму денег.
4. Используйте разные пароли.
Если вы используете один и тот же пароль для разных учетных записей, даже если это очень надежный пароль, вы рискуете скомпрометировать все свои учетные записи, если в какой-то момент введете его на фишинговом веб-сайте. Важно использовать уникальный пароль для каждого веб-сайта и приложения.
Если вам сложно придумать и запомнить десятки новых паролей для каждой пиццерии и интернет-магазина, используйте менеджер паролей для их создания, управления и использования.
Менеджер паролей также действует как дополнительная проверка для предотвращения фишинга. Если вы открываете приложение или сайт и обнаруживаете, что ваш логин и пароль не указаны автоматически, то скорее всего вы смотрите на подделку. Она может выглядеть так же, как настоящий веб-сайт, но если у него другой адрес, менеджер паролей не будет вводить учетные данные.
Во-вторых, менеджеры паролей могут генерировать пароли, которые сложно взломать.
5. Настройте двухфакторную аутентификацию для защиты аккаунтов.
Многие фишинговые атаки направлены на захват учетных записей, но даже если злоумышленники получат ваш логин и пароль, вы все равно можете помешать им войти в свою учетную запись, установив двухфакторную аутентификацию везде, где это возможно. Как только вы это сделаете, вам понадобится дополнительный временный проверочный код для входа в систему. Вы получите его по электронной почте, в текстовом сообщении или в приложении для проверки подлинности. Злоумышленники его не получат.
Однако имейте в виду, что фишеры также могут создавать поддельные страницы входа в систему, которые также запрашивают одноразовые коды двухфакторной аутентификации. Вот почему лучше защищать важные учетные записи с помощью аппаратной аутентификации с помощью USB-ключа, такого как YubiKey или Titan Security Key от Google.
Некоторые аутентификаторы используют NFC и Bluetooth для подключения к мобильным устройствам. Преимущество использования аппаратного ключа безопасности заключается в том, что он никогда не раскроет секрет на поддельном веб-сайте. Веб-сайт должен отправить правильный запрос, чтобы получить правильный ответ от аутентификатора, а это то, что знает только настоящий веб-сайт.
