Фінансове шахрайство: що таке фішинг та як від нього вберегтися

Як працює фішинг та які його різновиди

Раніше найпоширенішим методом використання фішингу були електронні листи та SMS-повідомлення. Коли користувач відкривав їх та переходив за посиланням, шахраї отримували бажану інформацію: реквізити платіжної картки, фінансовий номер телефону, паспортні дані, ідентифікаційний код, логіни та паролі до онлайн-банкінгу тощо.

Проте з розвитком месенджерів, таких як Telegram, Viber або WhatsApp, кіберзлочинці почали активно їх використовувати. Через гіперпосилання, яке заражене "вірусом", вони отримують доступ до акаунтів "жертв" та їхніх контактів.

Зазвичай далі, заволодівши обліковим записом, зловмисники розсилають вірусні повідомлення друзям і близьким ошуканого. Часто шахраї пропонують проголосувати у конкурсі за когось із знайомих, додавши посилання, після натискання на яке людина потрапляє "на гачок".

Для того, щоб зробити масову розсилку зі шкідливим змістом, шахраям навіть не треба зламувати конкретний телефон, оскільки багато шахраїв використовують бази з номерами телефонів, які купляють у так званому даркнеті. Там вони отримують сотні і навіть тисячі контактів, яким протягом кількох годин відправляють спам.

Зазначимо, що шахраї швидко адаптувалися до реалій воєнного часу, тому миттєво придумують та реалізовують нові сценарії шахрайства. Наприклад, зловмисники створюють фішингові сайти, які схожі на вебресурси справжніх благодійних фондів, куди нібито можна переказати кошти на підтримку ЗСУ.

Крім того, зловмисники можуть розсилати листи з пропозицією отримати фейкові виплати, соціальну допомогу від держави або міжнародних організацій, намагаючись виманити вашу персональну інформацію.

Листи та СМС з "вірусами"

Щодо СМС-повідомлень і листів, то вони, як правило, не персоналізовані та містять загальні привітання, на кшталт: "Шановний клієнте". Іноді фішингові листи містять орфографічні помилки — це робиться, щоб обійти фільтри. Такі листи зазвичай надсилаються з підроблених електронних адрес, які можуть відрізнятися від справжньої лише однією літерою або символом.

Деякі кібершахраї намагаються викликати у людини відчуття паніки, погрожуючи або вимагаючи негайно перейти за посиланням чи переказати гроші на неавторизований рахунок. Це, звісно, ні в якому разі не треба робити.

Фішингові листи часто містять гіперпосилання з URL-адресами, які не мають сертифікатів безпеки. Ці URL-адреси починаються з "http://", тоді як захищені URL-адреси пишуться з латинською S у кінці: "https://".

Щоб запобігти небезпеці, фахівці рекомендують:

• не переходити на сторонні ресурси, навіть якщо посилання надійшло від знайомого;
• під час онлайн-шопінгу обговорюйте деталі угоди лише в чаті платформи і не переходьте в месенджери, адже саме туди шахраї надсилають фішингові посилання;
• сплачуйте за товар онлайн лише на перевірених сайтах;
• не переходьте за рекламою у додатках та іграх;
• не залишайте конфіденційні дані на сторонніх ресурсах.

Крім цього, встановіть двоетапну аутентифікацію, створіть "хмарний" пароль та фейс-контроль у телефоні, якщо вам доступна така функція.

Як уберегтися від шахрайських сайтів

В першу чергу звертайте увагу на правильність написання адреси сайту. Різниця між адресами шахрайського і справжнього ресурсу може становити лише одну літеру чи знак. Якщо ви вводите карткові реквізити, паролі за посиланням на новому сайті, намагайтеся робити це не зі смартфона, оскільки там важче розгледіти адресу.

Переконайтеся у надійності онлайн-сервіса, куди ви перейшли. Для цього можна скористатися наявними базами шахрайських сайтів, які формують за результатами щоденного моніторингу, та перевірити вебресурс. Наприклад, у сервісі STOP FRAUD на вебсайті Кіберполіції ви зможете перевірити інформацію за такими параметрами: номер платіжної картки, телефон або посилання на сайт.

Перевірити сайт, яким ви хочете скористатися, на шахрайство, фішинг та наявність шкідливого програмного забезпечення можна через сервіс Black List. Для перевірки необхідно скопіювати адресу вебсайту та вставити у віконце для пошуку. Також у цьому вам допоможе CheckMyLink.

Куди звертатися та що робити, якщо вас ошукали

Якщо ви все ж таки постраждали від дій кіберзлочинців, то перш за все зверніться до відділку поліції або залишіть заяву на сайті Департаменту кіберполіції. Відповідне звернення опрацюють за вашим місцем проживання та за необхідністі розпочнуть кримінальне провадження.

При списанні ваших грошей з картки також зв’яжіться зі своїм банком, щоб ваші кошти на рахунку заморозили, а картку деактивували.

У випадку, коли злодії отримали доступ до вашого акаунту в месенджері, вам необхідно завершити всі сеанси, які доступні для цього облікового запису. У крайньому разі, коли усі спроби виявилися безрезультатними, вам доведеться видалити обліковий запис та створити новий.

Нагадаємо, раніше РБК-Україна писало про те, як не стати жертвою телефонного шахрайства під назвою "вішинг".