Фішинг – це один з найстаріших та найпоширеніших видів кібершахрайства. Його суть полягає в обмані користувачів з метою отримання їхніх конфіденційних даних, таких як паролі, номери банківських карток тощо. Хоча термін “фішинг” відносно молодий, сам метод обману має досить довгу історію.

Що таке фішинг?

Фішинг існує впродовж багатьох років, за цей час кіберзлочинці розробили широкий спектр методів інфікування жертв. Найчастіше зловмисники, які займаються фішингом, видають себе за банки чи інші фінансові установи, щоб змусити жертву заповнити фальшиву форму та отримати дані облікових записів.

Ціль фішингу — отримання цінних даних, які можуть бути продані або використані для зловмисних цілей, таких як вимагання, викрадення грошей або особистих даних.

У минулому для виманювання даних користувачів кіберзлочинці часто використовували неправильно написані або оманливі доменні імена. Сьогодні зловмисники використовують більш складні методи, завдяки чому фальшиві сторінки дуже схожі на свої легітимні аналоги.

Викрадені дані жертв, зазвичай, використовуються для викрадення коштів з банківських рахунків або продаються в Інтернеті. Подібні атаки здійснюються також через телефонні дзвінки (vishing) та SMS-повідомлення (smishing).

Витоки фішингу

Хоча термін “фішинг” з’явився відносно недавно, самі принципи цієї атаки відомі давно. Ще в часи паперової кореспонденції шахраї використовували підроблені документи, щоб ввести людей в оману. З появою комп’ютерів і мережі Інтернет ці методи отримали нове життя.

Коли фішинг застосували вперше?

Систематичні фішинг-атаки почалися в мережі AmericaOnline (AOL) у 1995 році. Щоб викрасти легітимні облікові дані, зловмисники зв’язувалися з жертвами через AOL Instant Messenger (AIM), видаючи себе за співробітників AOL, які перевіряють паролі користувачів. Термін “фішинг” з’явився в групі новин Usenet, яка зосереджувалася на інструменті AOHell, який автоматизував цей метод, і так ім’я закріпилося. Після того, як AOL в 1997 році ввела контрзаходи, кіберзлочинці зрозуміли, що можуть використовувати таку ж техніку в інших галузях, зокрема й фінансових установах.

Одна з перших великих, хоча і невдалих, спроб була в 2001 році. Зловмисники, скориставшись хаосом від терористичних атак 9/11, розіслали потерпілим електронну розсилку нібито для перевірки посвідчення особи. Отримані дані використовувались для крадіжки банківських даних. Вже у 2005 році за допомогою фішингу кіберзлочинці викрали у користувачів США понад 900 мільйонів доларів США.

Відповідно до дослідження глобального фішингу APWG у 2016 році спостерігалося понад 250 тисяч унікальних фішингових атак, під час яких використовувалось рекордне число доменних імен, зареєстрованих зловмисниками, перевищуючи позначку в 95 тисяч. В останні роки кіберзлочинці намагалися зосередитися на банківських та фінансових послугах, користувачах електронного банкінгу, соціальних мереж, а також облікових даних електронної пошти.

Еволюція фішингу

З моменту своєї появи фішинг постійно розвивався і удосконалювався. Сьогодні ми спостерігаємо такі тенденції:

• Ускладнення схем: Фішинг-атаки стали більш складними та витонченими. Зловмисники використовують складні соціальні інженерні прийоми, щоб підвищити ефективність своїх атак.
• Спеціалізація: З’явилися спеціалізовані фішинг-атаки, спрямовані на конкретні групи користувачів або організації.
• Використання нових технологій: Кіберзлочинці активно використовують нові технології, такі як штучний інтелект та машинне навчання, для створення більш переконливих фішингових повідомлень.
• Мобільний фішинг: З поширенням мобільних пристроїв з’явився мобільний фішинг, який використовує SMS-повідомлення, мобільні додатки та інші канали для обману користувачів.

Типи фішингових атак

Існує багато різних типів фішингових атак, але найпоширенішими є:

• Email-фішинг: Найпоширеніший вид фішингу, коли шахраї розсилають фішингові листи, які імітують повідомлення від відомих організацій (банків, соціальних мереж тощо).
• Смішинг та вішинг: Фішинг за допомогою дзвінків та SMS-повідомлень.
• Клієнтський фішинг: Фішинг, який використовує підроблені веб-сайти, які імітують справжні сайти популярних сервісів.
• Внутрішній фішинг: Фішинг, спрямований на співробітників організацій.

Як захиститися від фішингу?

Щоб уникнути подібних атак, фахівці радять звертати увагу на описані вище ознаки, за допомогою яких можна виявити фішингові повідомлення, а також рекомендують наступні дії.

• Дізнавайтесь про нові методи фішингу: читайте засоби масової інформації для отримання нової інформації про фішингові атаки, оскільки кіберзлочинці постійно знаходять нові методи для виманювання даних користувачів.
• Не надсилайте облікові дані: будьте особливо уважні, коли у електронному листі начебто перевірені організації запитують ваші облікові або інші конфіденційні дані. У разі необхідності перевірте вміст повідомлення, відправника або організацію, яку вони представляють.
• Не натискайте на підозрілі кнопки та посилання: якщо підозріле повідомлення містить посилання або вкладення, не натискайте та не завантажуйте вміст. Це може призвести до переходу нашкідливий веб-сайт або інфікувати ваш пристрій.
• Регулярно перевіряйте облікові записи: навіть якщо ви не маєте підозр, що хтось намагається викрасти ваші облікові дані, перевірте банківські та інші облікові записи в Інтернеті на наявність підозрілої активності.
• Ніколи не вводьте свої паролі та інші конфіденційні дані на неперевірених сайтах.
• Використовуйте надійні паролі та двофакторну аутентифікацію.
• Регулярно оновлюйте програмне забезпечення.
• Будьте обережні при підключенні до публічних Wi-Fi мереж.

Висновок

Фішинг – це постійно розвиваючася загроза, яка вимагає від користувачів постійної уваги та обережності. Захиститися від фішингу можна, лише постійно підвищуючи свою обізнаність про цю проблему та дотримуючись простих правил безпеки в Інтернеті.

Ця стаття Історія фішингу: Як еволюціонувала одна з найпоширеніших кіберзагроз раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Сьогодні найбільшою загрозою кібербезпеці як великих компаній, так і звичайних користувачів, є методи соціальної інженерії, що застосовують для зламу існуючих засобів захисту. Основною причиною цього є те, що застосування соціальної інженерії не вимагає значних фінансових витрат і досконалого знання інформаційних технологій.

Що таке соціальна інженерія?

Соціальна інженерія – метод несанкціонованого доступу до інформації або до систем зберігання інформації без використання технічних засобів. Дослідження показують, що людям притаманні деякі поведінкові схильності, які можна використати для маніпулювання.

Соціальна інженерія використовує людські слабкості, такі як довіра, страх або жадібність, для отримання доступу до конфіденційної інформації або отримання несанкціонованого доступу до комп’ютерної системи. Більшість зламів систем безпеки відбуваються саме завдяки використанню соціальної інженерії, а не електронному зламу.

Методи соціальної інженерії

Існує багато різних методів соціальної інженерії, але деякі з найпоширеніших включають:

Цілеспрямований фішинг

Або фішинг зі списом (spear phishing) – це вид фішингу, який спрямований на конкретну людину або групу людей. Зловмисники проводять дослідження, щоб дізнатися більше про жертву, наприклад, її ім’я, посаду та компанію, в якій вона працює. Цю інформацію вони використовують для створення більш переконливого фішингового електронного листа.

Фішингові електронні листи зі списом часто містять посилання на підроблену веб-сторінку, яка схожа на реальну веб-сторінку, наприклад, веб-сторінку банку, електронної пошти або соціальної мережі. Коли жертва натискає на посилання, вона перенаправляється на підроблену веб-сторінку, де її просять ввести особисту інформацію, наприклад, номер кредитної картки або паролі.

Наприклад:

Зловмисник дізнається, що жертва працює в компанії XYZ. Він створює фішинговий електронний лист, який виглядає як електронний лист від компанії XYZ. У електронному листі зловмисник повідомляє жертві, що її обліковий запис електронної пошти був заблокований через підозру на шахрайство. Зловмисник просить жертву підтвердити її особисту інформацію, наприклад, пароль для облікового запису електронної пошти.

Фішинг зі списом може бути дуже ефективним методом шахрайства, оскільки він використовує особисту інформацію жертви, щоб створити відчуття довіри. Щоб захиститися від фішингу зі списом, важливо бути обережним з тим, яку інформацію ви розкриваєте незнайомим людям. Якщо ви отримали електронний лист, який здається підозрілим, краще не відповідати на нього і не надавати будь-яку інформацію.

Претекстинг

Претекстинг – це метод соціальної інженерії, який використовує спеціально розроблений сценарій (претекст) для спонукання жертви до розкриття інформації або виконання дій, до яких вона в звичайних обставинах не вдалася б.

Претекстинг часто використовується для отримання конфіденційної інформації, наприклад, даних про кредитну картку або паролів. Зловмисники можуть використовувати претекстинг, щоб зв’язатися з жертвою по телефону, електронній пошті або в соціальних мережах.

Ось приклад претекстингу:

Зловмисник дзвонить жертві і представляється співробітником банку. Він повідомляє жертві, що її кредитна карта була заблокована через підозру на шахрайство. Зловмисник просить жертву підтвердити її особисту інформацію, наприклад, номер кредитної картки та дату народження.

Претекстинг використовує психологічні прийоми, щоб вплинути на поведінку жертви. Зловмисники часто проводять дослідження, щоб дізнатися більше про жертву та її слабкі місця. Це дозволяє їм розробити більш переконливий претекст.

Ін’єкція людського фактора

Ін’єкція людського фактора (HFIP) – це метод соціальної інженерії, який використовує людські помилки, щоб отримати несанкціонований доступ до комп’ютерної системи. Зловмисники часто використовують цей метод, щоб отримати доступ до облікових записів або конфіденційної інформації.

Ін’єкція людського фактора може бути здійснена різними способами. Один із способів – це використання підроблених електронних листів або веб-сайтів, які містять помилки. Коли жертва відкриває підроблений електронний лист або переходить на підроблений веб-сайт, вона може зробити помилку, наприклад, ввести неправильний пароль або надати особисту інформацію.

Інший спосіб здійснення ін’єкції людського фактора – це використання соціальних прийомів, щоб змусити жертву зробити помилку. Наприклад, зловмисник може зателефонувати жертві і представитися співробітником компанії. Зловмисник може використовувати різні прийоми, щоб змусити жертву розкрити особисту інформацію, наприклад, повідомити жертві, що її обліковий запис був заблокований або що вона виграла приз.

Як здійснюються атаки з використанням соціальної інженерії?

Існує декілька ознак, які допоможуть ідентифікувати таку атаку. Зокрема, одна з них — погана граматика та правопис. Ще однією помітною ознакою є почуття терміновості, яке зловмисники намагаються створити для зменшення пильності жертви. Будь-який запит щодо конфіденційних даних також має викликати підозру: авторитетні компанії ніколи не просять відправити їм паролі або інші особисті дані електронною поштою або текстовими повідомленнями.

Деякі з ознак, які допоможуть виявити соціальну інженерію:

1. Погана граматика або занадто офіційна лексика.

Зазвичай, зловмисники не приділяють увагу деталям та надсилають повідомлення з помилками, пропущеними словами та поганою граматикою. Ще один мовний елемент, який може сигналізувати про можливу атаку — це формальні привітання та фрази.

2. Дивна адреса відправника.

Більшість зловмисників не витрачають час на створення правдоподібного імені або домена відправника. Отже, якщо електронний лист надходить з адреси, яка є набором випадкових чисел та символів, або одержувач взагалі невідомий, варто перемістити цей лист до папки спам.

3. Почуття терміновості.

Злочинці часто намагаються залякати жертв за допомогою фраз, які викликають тривогу, наприклад «терміново надішліть нам свої дані, або ваша посилка буде скасована» або «якщо ви не оновите свій профіль зараз, ми його видалимо». Банки, компанії з доставки, державні установи і навіть внутрішні відділи, зазвичай, спілкуються нейтрально і лише констатують факт. Тому, якщо у повідомленні намагаються змусити одержувача діяти дуже швидко, це може бути ознакою атаки.

4. Запит на конфіденційну інформацію.

Офіційні установи та навіть відділи компанії, зазвичай, не вимагають надсилання конфіденційної інформації електронною поштою або телефоном, якщо про це попередньо не домовлялися.

5. Щось звучить занадто добре, щоб бути правдою.

Це стосується розіграшів подарунків у соціальних мережах, а також електронних листів з унікальними та обмеженими пропозиціями.

Хто такий “соціальний хакер”?

Для кращого усвідомлення характеру атаки, потрібно звернути увагу на образ соціального інженера та навички якими він має володіти.

Соціальний хакер вмiє психологiчно впливати на людину, цим самим манiпулювати нею та спонукати її до певних дiй. Також він має бути навчений збирати необхiдну iнформацiю будь-якими способами та володіти глибокими знаннями у сфері кібербезпеки, у сфері ІТ, комп’ютерних систем та мереж. Зазвичай злодій гарно орієнтується в термінології, володіє професійним жаргоном та знає внутрішні порядки компанії-жертви.

Як захиститись від загроз, основою яких є соціальна інженерія?

Експерти з кіберзахисту стверджують, що “основним способом захисту від соціальної інженерії є навчання. Персонал підприємства повинен мати чіткі інструкції щодо спілкування зі сторонніми людьми“.

Не менш важливим є те, що поширення мобільних технологій, які дають змогу користувачам підключатись до корпоративних мереж вдома або в дорозі, є серйозною загрозою для компаній. Організація безпеки систем співробітників, які працюють вдома, у більшості випадків, обмежується технічними засобами. Політика безпеки повинна вимагати, щоб домашні системи даних працівників були захищені брандмауерами (міжмережевими екранами), які блокуватимуть спроби зловмисників отримати доступ до мережі ззовні.

Ось кілька порад, які допоможуть вам захиститися від соціальної інженерії:

• Будьте обережні з тими електронними листами, які ви відкриваєте. Якщо ви не впевнені, чи є електронний лист від надійного джерела, краще не відкривати його.
• Будьте обережні з посиланнями, які ви натискаєте. Якщо адреса веб-сайту виглядає підозріло, краще не переходити на нього.
• Перевіряйте адреси веб-сайтів, на які ви переходите. Якщо адреса веб-сайту виглядає підозріло, краще не переходити на нього.
• Не вступайте в діалог з так званими “представниками служби безпеки банку”, які дзвонять з невідомих номерів. Краще покладіть слухавку та перетелефонуйте самі в підтримку банку, щоб дізнатися, чи є якісь проблеми з вашими картками.
• Не відповідайте на СМС, які повідомляють вас про виграш, особливо, якщо ні в яких розіграшах ви не брали участь.
• Не поспішайте приймати будь-які рішення стосовно операцій з вашими грошима. Зупиніться, покладіть трубку, подумайте, порадьтеся з людьми, яким ви довіряєте. Шахраї зазвичай тримають людину “на дзвінку” та змушують терміново робити якісь дії, не даючі можливість тверезо подумати.
• Використовуйте антивірусне програмне забезпечення та брандмауер. Ці програми можуть допомогти захистити ваш комп’ютер від шкідливого програмного забезпечення, яке може бути використано для соціальної інженерії.

Якщо ви вважаєте, що стали жертвою соціальної інженерії, негайно змініть свої паролі та зв’яжіться зі своїм банком або іншою компанією, яку ви вважаєте, що могли атакувати.

Ця стаття Що таке соціальна інженерія та як не стати жертвою “соціального хакера”? раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Кіберзлочинці та хакери використовують різні методи, щоб отримати доступ до конфіденційної інформації приватних осіб та організацій і викрасти її. Одним з найбільш популярних підходів є вішинг, або голосовий фішинг. У цьому випадку зловмисник обманом змушує когось поділитися обліковими даними або іншою інформацією за допомогою простого телефонного дзвінка. Згідно з останніми даними компанії CrowdStrike, кількість таких атак стрімко зростає.

Що таке вішинг?

Вішинг (від англ. “vishing” — скорочення від “voice phishing”) — це вид шахрайства, який поєднує в собі техніки фішингу (обману для отримання особистої інформації) з використанням голосового зв’язку, зазвичай через телефонні дзвінки. Шахраї представляються співробітниками банків, державних установ, технічної підтримки чи інших організацій, яким люди схильні довіряти, і намагаються виманити конфіденційну інформацію, таку як номери банківських карток, паролі, PIN-коди чи особисті дані.

Наприклад, вам можуть зателефонувати і повідомити, що ваш банківський рахунок “зламали”, і для “виправлення ситуації” попросять надати код із SMS або інші дані. Це класичний приклад вішингу.

Шахрайство з технічною підтримкою

У своєму 11-му щорічному звіті про глобальні загрози за 2025 рік CrowdStrike Global Threat Report компанія показала, що у другій половині 2024 року кількість вішингових атак зросла на 442% порівняно з першою половиною. Протягом року CrowdStrike Intelligence відстежила щонайменше шість схожих, але різних кампаній, в яких зловмисники під виглядом ІТ-спеціалістів телефонували співробітникам різних організацій.

У цих кампаніях шахраї намагалися переконати своїх жертв створити сеанси віддаленої підтримки, зазвичай за допомогою вбудованого в Windows інструменту Microsoft Quick Assist. У багатьох з них зловмисники використовували Microsoft Teams для здійснення телефонних дзвінків. Щонайменше в чотирьох кампаніях, зафіксованих CrowdStrike, використовувалося спам-бомбардування, коли цільовим користувачам надсилалися тисячі небажаних електронних листів як привід для нібито дзвінка в службу підтримки.

Читайте також: Як виявити шахрайство з технічною підтримкою та уникнути його? Поради

Тип вішингу, який використовується в цих атаках, часто називають соціальною інженерією служби підтримки. Тут кіберзлочинець видає себе за працівника служби підтримки або ІТ-спеціаліста і підкреслює терміновість дзвінка як відповідь на якусь вигадану загрозу. У деяких випадках зловмисник запитує пароль або інші облікові дані. В інших випадках, наприклад, задокументованих у звіті, шахрай намагається отримати віддалений доступ до комп’ютера жертви.

Фішинг із зворотним дзвінком

Ще одна тактика, з якою стикається CrowdStrike, – це фішинг із зворотним дзвінком. Тут злочинець надсилає електронного листа людині з приводу якоїсь термінової, але фальшивої справи. Це може бути вимога сплатити прострочений рахунок, повідомлення про підписку на якусь послугу або сповіщення про те, що обліковий запис скомпрометовано. В електронному листі міститься номер телефону, за яким одержувач може зателефонувати. Але, звісно, цей номер веде безпосередньо до шахрая, який намагається виманити у жертви дані її кредитної картки, облікові дані або іншу інформацію.

Оскільки ці атаки зазвичай спрямовані на організації, ще одним ключовим компонентом є програми-вимагачі. Отримавши доступ до мережевих ресурсів, облікових записів користувачів або клієнтів та інших конфіденційних даних, зловмисники можуть утримувати викрадену інформацію з метою отримання викупу.

Читайте також: Топ-10 брендів, які використовуються у фішингових атаках

У своєму звіті CrowdStrike виділила кілька різних кіберзлочинних груп, які використовують вішинг і фішинг із зворотним дзвінком у своїх атаках. Зокрема, група російського походження, відома під назвою Chatty Spider, діє з 2022 року (від початку повномасштабного російського вторгенння в Україну) та зосереджується переважно на юридичній та страховій галузях. Інша група під назвою Plump Spider протягом 2024 року націлилася на бразильські компанії і використовувала вішинг-дзвінки, щоб перенаправляти співробітників на віддалені сайти та інструменти підтримки.

«Подібно до інших методів соціальної інженерії, вішинг ефективний, оскільки націлений на людську слабкість або помилку, а не на вади програмного забезпечення або операційної системи (ОС), – йдеться у звіті CrowdStrike. «Шкідлива активність може бути виявлена лише на більш пізніх етапах вторгнення, наприклад, під час виконання шкідливого двійкового коду або роботи з клавіатурою вручну, що може затримати ефективну реакцію. Це дає зловмиснику перевагу і покладає на користувачів обов’язок розпізнавати потенційно зловмисну поведінку».

Інші фірми, що займаються безпекою, також спостерігають різке зростання кількості вішингових атак.

У жовтні минулого року дослідницька група Zimperium’s zLabs виявила шкідливе програмне забезпечення, відоме як FakeCall, відоме своїм просунутим використанням вішингу. Тут шахраї використовують телефонні дзвінки, щоб обманом змусити потенційних жертв поділитися конфіденційною інформацією, такою як номери кредитних карток та банківські реквізити. Сам FakeCall працює шляхом перехоплення функцій дзвінків на телефонах Android для встановлення шкідливого програмного забезпечення.

Поради щодо захисту від вішингових атак

Щоб захистити себе, своїх співробітників та організацію від вішинг-атак та подібних загроз, CrowdStrike пропонує наступні поради:

• Вимагайте відеоаутентифікацію та державне посвідчення для працівників, які телефонують до служби підтримки з проханням скинути пароль.
• Навчіть працівників служби підтримки бути обережними, відповідаючи на телефонні дзвінки з проханням скинути пароль або MFA (багатофакторну автентифікацію). Вони повинні бути особливо обережними, якщо такі дзвінки надходять у неробочий час або якщо за короткий проміжок часу надходить велика кількість таких запитів.
• Використовуйте більш просунуті методи автентифікації, такі як FIDO2, щоб захиститися від компрометації облікового запису.
• Відстежуйте спроби, коли кілька людей намагаються зареєструвати один і той самий пристрій або номер телефону в MFA.
• Проводьте регулярні тренінги з безпеки для співробітників. Навчіть їх розпізнавати спроби фішингу та атаки соціальної інженерії.
• Регулярно встановлюйте патчі безпеки та інші виправлення для усунення критичних вразливостей.

Кілька експертів з безпеки також поділилися з ZDNET своїми рекомендаціями.

«Виведення систем в офлайн, як тільки виявлено загрозу, є життєво важливим першим кроком у стримуванні, але сам по собі він недостатній», – сказав Патрік Тіке, віце-президент з безпеки та архітектури в Keeper Security.

«Щоб протидіяти вторинним тактикам, таким як вішинг, команди безпеки повинні швидко інформувати клієнтів і партнерів про порушення через офіційні канали, надаючи чіткі інструкції про те, як захиститися від цих загроз», – додав Тіке. «Тренінги для співробітників і зацікавлених сторін щодо розпізнавання цих спроб і перевірки будь-яких небажаних повідомлень перед тим, як ділитися конфіденційною інформацією, мають вирішальне значення».

Читайте також: Телефонне шахрайство: як розпізнати обман та викрити зловмисника?

Окремі користувачі та споживачі також повинні з обережністю ставитися до несподіваних телефонних дзвінків, які звучать легітимно.

«Коли я розмовляю з колегами, друзями та родиною, я нагадую їм, що якщо дзвінок несподіваний і запитують особисту або фінансову інформацію, настав час поставити все під сумнів», – сказав Акхіл Міттал, старший менеджер компанії Black Duck, що надає послуги з безпеки.

«Я також наголошую на важливості сповільнення, перевірки того, хто дзвонить, і ніколи не вагатися покласти слухавку. Використовуйте офіційний номер з веб-сайту банку або виписки, щоб передзвонити і підтвердити», – додав Міттал. «Нарешті, те, що абонент знає вашу адресу або частину номера вашого рахунку, не робить його законним; злочинці часто мають цю інформацію заздалегідь. Якщо абонент тисне на вас, щоб ви діяли швидко, це знак, що ви повинні зупинитися і перевірити».

Ця стаття Що таке вішинг? Голосовий фішинг стрімко зростає – поради експертів, як його виявити та зупинити раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар