Главная / Заметки / Фишинг особо мелкого масштаба
13 ноября 2022 г.
В информационной безопасности есть такое понятие, как фишинг. В переводе с английского это слово означает «рыбалка», а расшифровывается оно как добыча конфиденциальных данных пользователя (логинов, паролей, данных банковской карты и прочей информации) методом социальной инженерии, то есть, путём введения пользователя в заблуждение.
Есть два самых частых сценария фишинга. Сценарий первый. Приходит на электронную почту письмо якобы от банка. Просят уточнить данные банковской карты, чего банк категорически делать не должен. Человек переходит по ссылке, его перенаправляют на сайт, внешне неотличимый от сайта банка, и он оставляет все данные о своей карте: номер, PIN-код, CVV-код, имя владельца и дату окончания действия. Этих данных достаточно, чтобы с этой карты снять абсолютно все деньги, да ещё и в долгах оставить. После того, как человек нажимает «подтвердить данные», у него со счёта списываются все деньги, может быть, не сразу, либо его карта может использоваться как средство незаконной обналички денег. Аналогичный сценарий может быть разыгран с использованием мошеннических интернет-магазинов или мошеннических объявляений на каком-нибудь Авито.
Сценарий второй. На почту приходит письмо от Ютуба, Гугла, Яндекса или ещё откуда-то. Оповещают о каких-то несанкционированных действиях и просят немедленно (!) зайти в аккаунт. Даётся ссылка. Человек, ничего не подозревая, нажимает на эту ссылку, его перенаправляют на форму входа, внешне неотличимую от формы входа Гугла или Яндекса (в зависимости от того, кем представляются мошенники), и он туда вписывает свой логин и пароль. После нажатия кнопки «Войти» показывается ошибка, но на самом деле данные уходят злоумышленнику, и аккаунт просто угоняют. Конечно, такой сценарий из-за внедрения двухфакторной аутентификации уходит в прошлое, но угнать могут даже сеансовые ключи прямиком из браузера, и тогда никакая двухфакторная или даже трёхфакторная аутентификация не спасёт. Для этого может использоваться троян, замаскированный под какую-нибудь программу, документ или архив (на Windows это проще всего сделать, так как в исполняемый файл можно поместить любой значок).
Но иногда случается так, что крадут не пароли или данные банковских карт, а нечто другое, например, студенческие отчёты. Как раз в такую историю я и вляпался.
Некто, представляясь преподавателем по дисциплине «Открытое ПО» (правда, у настоящего преподавателя адрес отличается на одну букву) попросил у меня и нескольких других человек с потока отчёт об одной из практических работ по этой дисциплине, мотивируя это тем, что сломался компьютер. Я, конечно, ничего подозрительного тогда не заметил (по всей видимости, на орфографию я мог закрыть глаза, да и почтовый ящик он вполне мог создать, отличающийся на одну букву от своего родного, может быть, пароль забыл, с кем не бывает). Я, не моргнув глазом, отправил этому человеку свой отчёт.
Через некоторое время пишу я преподавателю на его основной ящик о том, что у него появился второй адрес электронной почты. От него он открестился, то есть, сказал, что к нему никакого отношения не имеет. Вот тут я очень сильно удивился: как так? Начал присматриваться к письмам от человека, который просил отправить отчёт, и таки заметил, что пишет он, в отличие от преподавателя, с ошибками, то есть, с нарушением норм пунктуации. Поговорил со своими одногруппниками. Оказалось, что аналогичное письмо было отправлено и другим людям, кто сделал ту же самую работу и, скорее всего, подготовил отчёт.
Можно сказать, это первый в истории человечества (и первый для преподавателя) случай фишинга мелкого масштаба.
В заключение хочу сказать: проверяйте всегда адреса в адресной строке, прямо копируйте и вбивайте в поисковик, если он исправит, значит, это не тот адрес. Если же пишут с адреса электронной почты, который отличается от настоящего на одну или несколько букв, ни в коем случае ничего на него не шлите и ни по каким ссылкам не переходите. Уж я-то теперь знаю, чем это чревато.