За прошлый год количество фишинговых атак на рядовых пользователей и бизнес-аккаунты в Telegram, по оценкам экспертов, увеличилось вдвое. Чаще всего цель фишинга — похищение аккаунта, а также сбор личных данных пользователей. На этот раз в рубрике «Онлайн-расследование» расскажем, что такое фишинг, и как его распознать.
Инструмент — Grabify
Фишинг — это вид интернет-мошенничества, цель которого — «выудить» ваши персональные данные: пин-коды, пароли и т.д. Для этого злоумышленники отправляют вам ссылку, уведомление, письмо, якобы от банка, интернет-провайдера, организации или от пользователя, возможно, даже лично знакомого с вами. От вас при этом требуется, как правило, либо сообщить личные данные, либо пройти по ссылке или скачать некий файл. Сделав это, вы передаете свои данные фишеру.
Простейший способ организации фишинговой атаки — сервис Grabify. Его также принято называть «IP Logger», поскольку он почти гарантированно позволяет узнать, как минимум, IP пользователя, а часто и его местоположение. Grabify — бесплатный и анонимный сервис. Вам стоит с ним познакомиться для того, чтобы разобраться, как организуется большая часть атак и самому не стать их жертвой.
Как это работает
— На сайте Grabify требуется пройти регистрацию или авторизоваться через аккаунт в Facebook или в Google.
— Дальше сервис предложит придумать ссылку для фишинга (это может, например, какая-то статья в интернете) и сформировать «короткую ссылку».
— В открывшихся настройках сервис также позволяет включить функцию Smart Logger и GPS-данные, чтобы при фишинге собирался максимум сведений.
— Скопировав получившуюся фишинговую ссылку, ее можно отправить «жертве» в том числе через любой мессенджер. Если делать это, например, через Telegram, ссылка отобразится с превью страницы. Человек увидит превью и кликнет, не обратив внимания на подозрительный вид ссылки. Именно поэтому фишинг получил особое распространение в этом мессенджере.
— Когда жертва кликает по фишинговой ссылке, ее данные записываются в журнал отслеживания. Чтобы посмотреть этот журнал, достаточно сохранить ссылку из графы «Ссылка для доступа к статистике» (она будет видна при формировании фишинговой ссылки).
— Открывая эту ссылку, можно увидеть, сколько раз по ней кликнули, из какой страны и города, с какого устройства, с помощью какого провайдера, из какого браузера и так далее.
— У этих данных есть погрешность. Например, если пользователь открыл ссылку с мобильного телефона, с помощью интернета мобильного оператора, находясь в пути или через VPN, то данные будут не особенно корректными.
Как не стать жертвой фишинга
— Прежде всего, не кликайте по ссылкам и не открывайте письма от неизвестных вам отправителей.
— Даже если ссылку прислал известный вам человек, присмотритесь к ней, прежде чем кликнуть. Часто ссылки для фишинга маскируют под привычные, изменив 1-2 буквы. Например, если вы видите ссылку типа gooogle.pro или gmaill.site, то почти наверняка это фишинг.
— Имена домена также часто искажают с помощью цифры, похожей на букву, например, ноль вместо буквы О или цифра 1 вместо буквы I, либо с помощью незаметного знака препинания вроде точки. Даже одна буква или символ имеют значение.
— Прежде чем ввести на сайте данные своей банковской карты, особенно CVС-код, еще раз проверьте, где вы находитесь. Мошенники могут замаскировать страницу под внешний вид привычного вам сайта вроде Avito или Wildberries. Посмотрите на адресную строку: точно ли там стоит гиперссылка на этот сайт без описанных выше искажений? В противном случае, вы фактически продиктуете всю свою платежную информацию мошеннику.
— От фишинга и других атак защищает двухфакторная аутентификация — метод авторизации, при котором требуется не только пароль, но и цифры или слово, которое вы получаете на другое устройство или в другом аккаунте, например, в виде sms, звонка, кода на почту. Обязательно пользуйтесь этим способом везде, где он доступен. Так, даже если мошенники узнают пароль от вашего аккаунта, ввести код из sms они уже, скорее всего, не смогут.
Примеры использования
Журналисты часто используют информацию об IP адресах в своих расследованиях. Но самим журналистам лучше скрывать свои IP-адреса при работе. Например, в конце прошлого года после утечки информации о массовых увольнениях сотрудников лондонского офиса ByteDance (китайский владелец соцсети TikTok), компания вычислила IP-адрес журналистки Financial Times Кристины Кидл, чтобы сопоставить ее местонахождение с местонахождением своих сотрудников. Но IP-адрес Кидл не позволял точно это определить.
Что мне с этого?
Фишинг позволяет мошенникам получить ваши личные данные. Их могут использовать в самых разных целях, от воровства денег с ваших банковских карт до шантажа, публикации ваших фотографий или адресов, прочтения ваших переписок и скачивания файлов. Чтобы избежать этого, нужно быть очень внимательными к ссылкам и письмам, которые вы открываете.