Фішингові атаки як форма соціальної інженерії були найбільш поширені на почтаку платіжного шахрайства. Такі атаки зазвичай здійснюються за допомогою підроблених повідомлень або електронних листів, які надсилаються жертві нібито від друга або довіреної організації. Відкривши фішингове повідомлення, людина бачить контент, створений таким чином, щоб залякати та змусити отримувача перейти за певним посиланням або надати персональну інформацію. Це може бути клон справжнього інтернет-порталу чи веб-сайту. Жертві пропонується увійти до системи, вказати ім'я користувача та пароль або заповнити форму для входу до облікового запису. Після цього злочинці викрадають облікові дані для подальшого неправомірного використання.
Фішинг або фішингова атака — термін, який використовується для опису неправомірних дій щодо виявлення особистої інформації (номер банківської картки, пароль тощо) для подальшого неправомірного використання. Подібно до того, як звичайні рибалки використовують приманки, сітки та інші прийоми для вилову риби, фішери мають різні схеми, за допомогою яких вони обманюють людей і отримують конфіденційну інформацію.
В основі всіх методів та видів фішингу використовується підроблення.
При спрямованому фішингу злочинці зацікавлені у конкретній людині. Перш ніж приступати, вони намагаються дізнатися більше контактної інформації та вивчити всі навколишні обставини жертви. Найбільш поширеними цілями атаки є працівники, які мають право авторизувати платежі. Їм надсилають електронний лист начебто від керівництва компанії з проханням надіслати платіж, який потім перенаправляється злочинцям на підроблений сайт.
Зловмисники дублюють реальне повідомлення, отримане жертвою, в якому є посилання або вкладені файли. Вони замінюють вкладення та надсилають повідомлення жертві. Натиснувши на посилання та перейшовши на веб-сайт або відкривши файл, людина надає злочинцям доступ до свого комп'ютера. Далі вони шукають конфіденційну інформацію та викрадають її.
Жертва отримує листа від якоїсь високопоставленої особи, в якій докладно описується важка ситуація, в яку він або вона потрапилт. Далі йде прохання вказати банківські реквізити нібито для переказу великої суми грошей для порятунку.
Зловмисники дзвонять жертві та видають себе за співробітника банку. Вони намагаються використати погрози, щоб отримати особисту інформацію або змусити жертву зробити грошовий переказ на вказаний рахунок.
В цій схемі часто використовуються шкідливі посилання, які ведуть жертву до шахрайського ресурсу. Цей метод поступово зникає, оскільки певні фахівці можуть відстежувати фішингові повідомлення шахраїв та повідомляти про порушення.
Все більшого поширення набувають операції з використанням банківських карток та інших платіжних систем, наприклад, PayPal, без участі власника.
Для доступу до них використовують:
Фішинг небезпечний як для користувачів комп'ютерів, так і мобільних пристроїв. Найчастіше браузер перевіряє посилання на безпеку, однак користувачі повинні навчитися виявляти підозрілі дії з боку потенційних шахраїв і навчитися протидіяти. У цьому допоможуть кілька правил:
Щоб розпізнати шахрайство, необхідно аналізувати отриману інформацію під час читання повідомлень чи електронних листів – чи є вони підозрілими, дивними чи незвичайними? У більшості випадків злочинці намагаються апелювати до страхів людей.
Якщо вам необхідно ввести особисту інформацію на сайті, переконайтеся, що URL-адреса веб-сайту містить "https" на початку та літеру "s" наприкінці. Це означає, що сайт є безпечним, і ви захищені від шахрайства.
