Фінансове шахрайство: що таке фішинг і як захиститися від нього

Як функціонує фішинг і які його типи існують?

Раніше найпоширенішим методом використання фішингу були електронні листи та SMS-повідомлення. Коли користувач відкривав їх та переходив за посиланням, шахраї отримували бажану інформацію: реквізити платіжної картки, фінансовий номер телефону, паспортні дані, ідентифікаційний код, логіни та паролі до онлайн-банкінгу тощо.

Однак із появою месенджерів, таких як Telegram, Viber та WhatsApp, кіберзлочинці стали активно їх експлуатувати. Завдяки шкідливим гіперпосиланням, які містять "вірус", вони можуть отримувати доступ до облікових записів своїх "жертв" і їх контактних даних.

Зазвичай, отримавши доступ до облікового запису, злочинці починають розсилати вірусні повідомлення друзям і рідним жертви. Часто шахраї запрошують підтримати когось із знайомих у конкурсі, додаючи посилання, яке веде до їхньої пастки.

Щоб здійснити масову розсилку небажаних повідомлень, шахраям не потрібно зламувати окремі мобільні пристрої. Багато з них користуються базами даних телефонних номерів, які купують на темних онлайн-ринках. Таким чином, вони отримують доступ до сотень або навіть тисяч контактів, яким за лічені години надсилають спам.

Варто зазначити, що шахраї оперативно підлаштувалися під умови воєнного часу, тому миттєво вигадують та втілюють нові схеми обману. Наприклад, злочинці розробляють фішингові платформи, які імітують сайти реальних благодійних організацій, на які нібито можна надіслати кошти для підтримки Збройних сил України.

Окрім цього, шахраї можуть надсилати повідомлення з пропозиціями отримання підроблених виплат, соціальної підтримки від урядових установ або міжнародних фондів, прагнучи викрасти вашу особисту інформацію.

Щодо СМС-повідомлень і листів, то вони, як правило, не персоналізовані та містять загальні привітання, на кшталт: "Шановний клієнте". Іноді фішингові листи містять орфографічні помилки -- це робиться, щоб обійти фільтри. Такі листи зазвичай надсилаються з підроблених електронних адрес, які можуть відрізнятися від справжньої лише однією літерою або символом.

Деякі кібершахраї намагаються викликати у жертви почуття тривоги, погрожуючи або вимагаючи терміново перейти за наданим посиланням чи перевести кошти на незнайомий рахунок. Зрозуміло, що цього робити абсолютно не слід.

Фішингові електронні листи зазвичай включають гіперпосилання, які ведуть на сайти без сертифікатів безпеки. Такі URL-адреси зазвичай починаються з "http://", тоді як безпечні URL-адреси мають літеру S на кінці та виглядають як "https://".

Для того щоб уникнути загрози, експерти радять:

Також не забудьте активувати двофакторну аутентифікацію, придумати "хмарний" пароль і налаштувати розпізнавання обличчя на вашому телефоні, якщо ця опція доступна.

В першу чергу звертайте увагу на правильність написання адреси сайту. Різниця між адресами шахрайського і справжнього ресурсу може становити лише одну літеру чи знак. Якщо ви вводите карткові реквізити, паролі за посиланням на новому сайті, намагайтеся робити це не зі смартфона, оскільки там важче розгледіти адресу.

Переконайтеся у надійності онлайн-сервіса, куди ви перейшли. Для цього можна скористатися наявними базами шахрайських сайтів, які формують за результатами щоденного моніторингу, та перевірити вебресурс. Наприклад, у сервісі STOP FRAUD на вебсайті Кіберполіції ви зможете перевірити інформацію за такими параметрами: номер платіжної картки, телефон або посилання на сайт.

Щоб перевірити сайт на можливі шахрайські дії, фішинг або наявність шкідливого ПЗ, ви можете скористатися сервісом Black List. Для цього просто скопіюйте URL-адресу сайту і вставте її у поле для пошуку. Додатково, у вас є можливість використовувати CheckMyLink для цієї ж мети.

Якщо ви стали жертвою кіберзлочинців, обов'язково зверніться до найближчого відділення поліції або подайте заяву через офіційний сайт Департаменту кіберполіції. Ваше звернення буде розглянуто за місцем проживання, і при потребі буде ініційовано кримінальне провадження.

Якщо з вашої картки були зняті гроші, не забудьте звернутися до свого банку, щоб заморозити кошти на рахунку та деактивувати картку.

Якщо злочинці змогли отримати доступ до вашого облікового запису в месенджері, важливо терміново закінчити всі активні сеанси, пов'язані з цим акаунтом. У найгіршому випадку, якщо всі спроби відновлення не увінчалися успіхом, вам буде потрібно стерти свій обліковий запис і створити новий.

Нагадаємо, що раніше видання РБК-Україна висвітлювало тему, як уникнути пасток телефонних шахраїв, відомих як "вішинг".