Шахраї використовують фішингові сайти та застосовують методи соціальної інженерії для викрадення карткових даних жертв, включаючи CVV-код.

Використовуючи отриману інформацію, злочинці спустошують рахунки громадян.

Детальніше про те, як убезпечити ваші банківські дані та не стати жертвою афери дивіться в сюжеті програми “Прокидайся” на каналі “Ми – Україна +” за участі начальника відділу протидії онлайн-шахрайствам Департаменту кіберполіції Національної поліції України Олександра Ульяненкова.

Що таке фішинг простими словами?

Фішинг — це різновид інтернет-шахрайства, коли зловмисник намагається обманом отримати доступ до важливої інформації: логінів і паролів, даних банківських карток і паспортів, кодів верифікації, інтимних фотографій, робочого листування — всього, що може допомогти йому отримати гроші.

Класичним фішингом заведено вважати шахрайство за допомогою електронних листів, повідомлень у месенджерах і підроблених сайтів. Найчастіше користувачу пропонують щось приємне, що його повинно зацікавити. Наприклад, виграш у розіграші, «космічні» знижки в інтернет-магазинах, різноманітні додаткові послуги в соціальних мережах тощо. Шахраї ніби закидають вудочки: розсилають повідомлення всім підряд і чекають, що хтось клюне та надішле свої дані.

Фішинговим атакам піддаються як звичайні громадяни, так і знаменитості, а також юридичні особи — від малого бізнесу до багатомільярдних корпорацій.

Як працює інтернет-фішинг: принципи та схеми

Фішингова атака завжди має на меті отримання особистих, зокрема платіжних, даних користувача. Шахраї мають низку методів для досягнення цієї цілі:

• Соціальна інженерія — без використання спеціальних технічних засобів. Шахрай нікого не зламує, не підсаджує вірус і не перехоплює трафік. Усю інформацію людина видає сама — під дією обману, погроз і маніпуляцій. Наприклад, ті самі дзвінки від «служби безпеки банку» чи «мобільного оператора», коли абонента повідомляють про якісь проблеми з його акаунтом та вимагають від нього дані для авторизації.
• Фішингові посилання — завдання шахрая полягає в тому, щоб переконати одержувача електронного листа або повідомлення в месенджері перейти за надісланим посиланням. Клікнувши, той потрапляє на фейковий сайт — майже точну копію справжнього. Однак є один нюанс — усі дані, які там введе жертва, у руках зловмисників.
• Фейкові сайти — принцип аналогічний попередньому, однак злочинці не просто схиляють перейти на якийсь ноунейм-ресурс, а маскуються під популярні портали. Наприклад, на фейковому сайті Укрзалізниці можуть «продавати» квитки на поїзд зі знижкою, на сайті відомого ресторану просять внести кошти за бронювання столу тощо.
• Фішингові застосунки — навіть під час завантаження на свій пристрій застосунка з офіційних маркетплейсів можна натрапити на фішинг. Шахраї маскуються під популярні застосунки (онлайн-магазинів, соціальних мереж, банків, месенджерів тощо), і необачний користувач їх завантажує. Найчастіше там просто показують рекламу, а злочинці отримують за це винагороду. Однак деякі застосунки вимагають надати їм доступ до фотографій або даних. Хакери сканують пристрій, знаходять чутливі дані, а потім використовують їх для шантажу або злому. Інші підробки обіцяють швидкий заробіток: наприклад, через соціальні виплати, інвестиції або майнінг криптовалют. Усі вони створені тільки для того, щоб викрасти гроші жертв.
• Претекстинг — більш хитра схема, яка комбінує соціальну інженерію та фішингові посилання. Шахрай використовує обманний сценарій, щоб заманити жертву й виманити в неї конфіденційну інформацію. Зловмисник створює легенду (наприклад, представляється працівником служби підтримки або проводить опитування), жертва відповідає на запитання. Під кінець діалогу він пропонує заповнити невелику анкету, посилання на яку він надішле в приватні повідомлення або на пошту. Далі — вже знайомий сценарій.
• Вейлінг — деякі шахраї замість масових атак віддають перевагу вузькоспеціалізованим та добре підготовленим. Такі схеми називають whaling phishing — «полювання на китів». Такі «мисливці» ретельно вивчають структуру компаній, щоб зрозуміти, кому та від чийого імені можна написати для швидкого та недозрілого викрадення даних чи коштів.