Информационная безопасность

Почти половина россиян сталкивалась с фишинговыми атаками

Alexey Fedorov, 30 октября 2020

Многие, кто имел дело с фишингом, могли этого не осознавать. Представляем результаты нашего исследования и рассказываем, как защититься от фишинга.

Многие из нас сталкивались с фишингом. Возможно, даже не подозревая об этом. Это могло быть поддельное письмо от «представителей соцсети» с просьбой подтвердить логин и пароль либо телефонный звонок из «службы безопасности банка».

Одна из главных целей фишинга — «выудить» конфиденциальные данные жертвы и заработать на них: продать конфиденциальную информацию или использовать ее для получения к денежным средствам пользователя.

И делается это самыми разными методами.

Виды фишинга

Фишинг по электронной почте

Электронные письма, которые выглядят так, как будто они отправлены от имени адресов известных организаций. Это затрудняет распознавание мошенничества. Такие письма могут содержать поля для ввода личных данных, вредоносные ссылки или вложения. 

Фишинговые сайты

Страницы, которые выглядят так же, как обычные сайты, которыми мы часто пользуемся. Например, интернет-магазины. Фишинговые сайты создаются для того, чтобы получить личные данные жертвы (чаще всего, данные банковской карты) или загрузить вредоносное ПО на ее устройство. 

Телефонный фишинг

В случае телефонного фишинга, злоумышленник звонит жертве и убеждает ее выполнить нужные действия на ее компьютере или телефоне. Например, предоставить мошеннику удаленный доступ к устройству или продиктовать код подтверждения, пришедший из банка. С последним примером сталкивались многие из нас — это наиболее популярный пример фишинга в России.

Смишинг (SMS-фишинг)

В категорию так называемого SMS-фишинга попадают и сообщения, распространяемые в мессенджерах. Они могут содержать ссылки для скачивания вредоносных приложений или просьбы отправить код подтверждения для входа (например, в учетную запись мессенджера).

Истинные намерения прикрываются какой-либо легендой — пользователю могут сообщить, что он выиграл смартфон, и ему срочно нужно предпринять действия для получения приза. 

Физический фишинг

Мошенники могут притворяться сотрудниками силовых структур, работниками тех или иных организаций, а также представителями органов власти, чтобы попасть на закрытые территории либо обмануть человека и получить его денежные средства или конфиденциальные данные.

С какими угрозами столкнулись россияне

Мы решили провести опрос и выяснить, сколько российских пользователей и при каких обстоятельствах сталкивалось с фишингом. Согласно его результатам, 42% россиян сталкивались с фишингом, а 27% стали его жертвами. Чуть больше трети (35%) не смогли дать точный ответ.  

Чаще всего россияне сталкивались с телефонным фишингом.

phishing-RU-2020

Злоумышленники сегодня могут проводить фишинговые атаки по самым разным каналам, поэтому важно, чтобы люди знали о них и об актуальных схемах обмана. 2 770 попыток фишинговых атак на 100 000 пользователей в среднем фиксировалось нами в этом году.

Phishing-atttacks

Фишинговые атаки, заблокированные Avast

Последствия фишинга

Чуть больше четверти (27%) россиян, ставших жертвами фишинга, сменили пароли от аккаунтов в качестве меры защиты. 13% заявили, что у них украли деньги, а у 11% украли личные данные. 11% жертв пришлось аннулировать кредитные или дебетовые карты.

Consequences-RU

Большинство тех, кто понес финансовые потери (43%), потеряли до 3500 рублей. Каждый пятый (20%) потерял от 3500 до 6999 рублей, 11% потеряли от 7000 до 13999 рублей, 5% — от 14000 до 20 999 рублей и один из пяти (20%) более 21000 руб.

«При осуществлении фишинговых атак часто используются методы социальной инженерии, чтобы заставить людей совершить нужные киберпреступнику действия. Злоумышленники воздействуют на поведение, психику жертвы, поскольку обмануть человека проще, чем взломать систему, — рассказывает Татьяна Шемякина, психолог, эксперт по социальной психологии. — Мошенники играют с эмоциями людей, используют страх, оказывают давление на жертву. Они могут пугать срочностью, заставляют волноваться, нервничать, или рассказывают, что они нуждаются в благотворительных пожертвованиях». 

Большинство жертв не сообщают о фишинговых атаках

Примечательно, что трое из пяти (61%) россиян, пострадавших от фишинга, не сообщили о мошенничестве. О случаях фишинга чаще заявляли те, кто не стал его жертвой, а лишь столкнулся с этим. Мы узнали почему.

Около трети (30%) респондентов посчитали, что этот случай не стоил таких хлопот. Другими популярными вариантами ответа стали: не знали, кому сообщать об этом (29%), были уверены в том, что, если они сообщат, то все равно ничего не произойдет (29%), посчитали, что полученная ими информация ничего не стоит (23%).

Среди жертв, сообщивших об атаке, почти половина (49%) заявили о мошенничестве в полицию, 43% — в компанию, сотрудником которой притворялся злоумышленник, 26% рассказали о случае своим коллегам и 16% — своему провайдеру электронной почты.

Как не стать жертвой фишинга 

Ставьте под сомнение

Независимо от контекста, личного или профессионального, пользователям важно распознавать сообщения, которые не адресованы лично им.

Многие фишинговые сообщения носят общий характер и распространяются массово. Часто они содержат предложения, которые кажутся слишком хорошими, чтобы быть правдой — выигрыш нового смартфона или получение в наследство крупной суммы денег от неизвестного родственника.

Вас должно насторожить, если в письме требуется предпринять срочные действия. Таким образом злоумышленники пытаются выбить жертву из колеи. И не всегда речь идет о позитивной мотивации, как в случае с выигрышем. Зачастую письма содержат угрозы. Например, разослать списку контактов пользователя записи, сделанные его взломанной веб-камерой во время посещения порносайтов. 

Часто в схемах используется актуальная повестка дня. Весной москвичи столкнулись с требованиями оплатить штраф за нарушение режима самоизоляции. В случае неуплаты путем пополнения счета мобильного телефона в течение 24 часов, мошенники угрожали возбудить уголовное дело.

Проверяйте ошибки

Фишинговые сообщения могут содержать грамматические ошибки и быть странно написаны (буквы заменяются на похожие символы, чтобы обойти спам-фильтры). Такие письма, как правило, содержат подозрительные ссылки либо вложения (документы, отправленные неизвестным отправителем).

Обратите внимание на адрес отправителя. Если его отправили из сервиса, компании, услугами которой человек больше не пользуется (или вообще никогда не пользовался) или о заказе, который никто не размещал — это также может быть признаком мошеннического сообщения. Странный или слишком длинный адрес отправителя, состоящий из набора букв, также должны вас насторожить. 

Будьте осторожны

Ни при каких обстоятельствах законный представитель компании, утверждающий, что он представитель банка или ИТ-специалист, которому требуется доступ к системе или данным, не будет спрашивать учетные данные для входа, независимо от того, откуда (по электронной почте или телефону) приходит запрос.

Избегайте открытия подозрительных ссылок или вложений

С загрузкой вложений есть риск установки вредоносного ПО. А ссылки могут вести на вредоносные либо мошеннические сайты, предназначенные для сбора конфиденциальной информации или учетных данных. 

Такая страница может выглядеть как сайт настоящей организации, но иметь небольшое отличие в написании. Вместо буквы l может быть написана i, вместо домена .ru использоваться .org — такие отличия может заметить не каждый.  

Не открывайте ссылки и вложения, если только не уверены точно, что отправитель заслуживает доверия. В противном случае лучше посетить нужный сайт напрямую, чтобы загрузить файл или получить доступ к информации. 

Используйте антивирус

Защитные решения могут подстраховать вас в случае, если вы допустили оплошность — распознать вредоносный файл или поддельный сайт. Антивирус обеспечивает дополнительную защиту от фишинга. Но важное звено в этой цепочке — это внимательность пользователя и здоровый скептицизм. 

Если сомневаетесь, перепроверьте через другой канал

Если вы не уверены, можно ли доверять полученному сообщению, телефонному звонку или личному визиту, не стоит на него как-либо реагировать.

Вместо этого рекомендуется использовать другой канал, чтобы связаться с компанией, в которой якобы работает звонящий или пришедший человек. Например, можно написать в официальные аккаунты компании в социальных сетях, позвонить по телефонам, указанных на сайте, или написать на электронную почту.

Не поддавайтесь панике, возьмите паузу, чтобы все обдумать и свяжитесь с организацией напрямую, чтобы перепроверить информацию. Не дайте мошенникам вывести вас из равновесия.