Фишинг — тип интернет-мошенничества, когда злоумышленник присылает сообщение (по электронной почте, через SMS, мессенджер или звонком), которое выглядит как настоящее легальное, но содержит вредоносную ссылку, вложение или форму для ввода данных.
Цель мошенников заставить вас перейти по ссылке, открыть файл, установить программу или ввести логин и пароль на поддельном сайте.
Такие атаки могут привести к потере паролей, установке вредоносного ПО (malware), краже данных или удалённому контролю над вашим устройством.
Основные виды фишинга
1. Фишинг паролей
Это самый распространённый тип, когда вы получаете сообщение со ссылкой на поддельный сайт, который выглядит как настоящая страница сервиса (почта, хранилище, банк и т.п.). Здесь вас убеждают ввести логин и пароль, но на самом деле вы отправляете их злоумышленникам.
Советы
- Наведите курсор на ссылку, чтобы увидеть реальный URL. Он может отличаться от того, что написано в тексте.
- Обращайте внимание на домен (например, gmaiI.com с заглавной буквой «I» выглядит как gmail.com, но это не тот же сайт).
- Никогда не вводите пароль, если адрес сайта кажется подозрительным.
2. Целенаправленный фишинг (Spearphishing)
В этом случае злоумышленники используют информацию о вас, чтобы сделать сообщение более правдоподобным (например, упоминают ваших родственников или интересы). Это может быть письмо от «друга» с вложением, в котором замаскировано вредоносное ПО.
Такой фишинг может быть через Email, SMS (smishing), телефонные звонки (vishing), включая подделку голоса.
Как защититься от фишинга
1. Обновляйте программное обеспечение (ПО)
Фишинговые атаки с использованием вредоносного ПО часто используют уязвимости в старых версиях программ. Обновления исправляют ошибки, поэтому поддерживайте ОС и приложения актуальными.
2. Используйте менеджер паролей
Менеджеры паролей (в браузере или отдельные программы) подсказывают, на каком сайте они заполняют данные. Если менеджер не предлагает автозаполнение, то это сигнал, что что-то не так и вы вероятно на поддельном сайте. А некоторые, например 1Password, показывает всплывающее предупреждение, если URL выглядит нетипично.
3. Проверяйте сообщения через другой канал
Если сообщение кажется подозрительным, лучше свяжись с отправителем другим способом (например, по телефону или через другой мессенджер) и уточните, действительно ли он это отправлял.
4. Безопасно открывайте документы
Не открывайте неожиданные вложения на своём устройстве. Лучше загрузите их в облачное хранилище (например, Google Drive), где документ откроется как безопасное изображение или в браузере и не сможет установить вредоносное ПО на ваше устройство
Можно использовать специальные операционные системы, которые считаются менее уязвимыми для вредоносных программ, например Tails или Qubes.
Подозрительные ссылки и файлы можно проверить через VirusTotal (онлайн-сервис, использующий несколько антивирусных движков). Это не гарантирует обнаружение новых или целевых атак, но лучше, чем ничего. Учитывайте, что загруженные данные могут быть доступны сотрудникам сервиса или третьим лицам, поэтому конфиденциальные файлы лучше проверять другими способами.
5. Используйте аппаратный второй фактор
Аппаратные ключи безопасности (U2F) — это физические устройства, которые помогают защитить вход в аккаунт. Даже если злоумышленник получил ваш пароль, без такого ключа он не сможет войти в аккаунт. Подробнее об этом писали тут.
6. Будьте осторожны с инструкциями в письмах
Фейковые письма от “службы поддержки” могут просить отправить пароль, включить удалённый доступ или отключить защиту. Но такие просьбы почти всегда мошенничество. Настоящие компании не просят этого в письмах.
7. Отключите автоматическую загрузку картинок
Изображения в письмах могут использоваться для отслеживания открытия сообщений и применяются не только в рекламных рассылках, но и во фишинге. Поэтому лучше включить в почтовом клиенте режим запроса перед загрузкой внешних изображений.
Важно: ни одна мера не гарантирует стопроцентной защиты. Фишинг активно развивается, включая новые уловки (например, голосовой фишинг или имитацию AI-голоса). Поэтому всегда нужно оставаться внимательным и критически оценивать все сообщения.