Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
Фі́шинг (англ. phishing МФА: ['fiʃiŋ] від fishing — риболовля) — вид шахрайства, метою якого є виманювання в довірливих або неуважних користувачів мережі персональних даних клієнтів онлайнових аукціонів, сервісів із переказу або обміну валюти, інтернет-магазинів. Шахраї намагаються змусити користувачів самостійно розкрити конфіденційні дані — наприклад, надсилаючи електронні листи з пропозиціями підтвердити реєстрацію облікового запису, що містять посилання на сайт, зовнішній вигляд якого повністю копіює дизайн відомих ресурсів.
 Написи англійською: На папері: «Нам треба перевірити номер вашої кредитної картки», Риба каже «Не піддавайтеся на приманку. Захищайте свої фінансові дані» |
Огляд
Фішинг — один з різновидів соціальної інженерії, заснований на незнанні користувачами основ інформаційної безпеки. Зокрема, багато хто не знає простого факту: сервіси не розсилають листів з проханнями повідомити свої облікові дані, пароль та інше.
Для захисту від фішингу виробники основних інтернет-браузерів домовилися про застосування однакових способів інформування користувачів про те, що вони відкрили підозрілий сайт, який може належати шахраям. Нові версії браузерів вже володіють такою можливістю, яка відповідно іменується «антифішинг».
За даними компанії PhishMe, станом на березень 2016 року 93 % всіх фішингових листів намагались заразити комп'ютер жертви шкідливими програмами криптографічного здирництва (так зване англ. ransomware) — вони шифрують дані на жорсткому диску та вимагають гроші від жертви за їхнє розшифрування. Також серед стійких тенденцій до підвищення ефективності фішингових атак було названо частіші випадки підлаштування вмісту листів під певну категорію жертв (за їхнім фахом) та із включенням певних елементів особистої інформації (зокрема, звернення до жертви за іменем).
Складові
Фішингові сайти
Фішинговий сайт — це шахрайський вебресурс, який виманює реквізити платіжних карток під виглядом надання послуг, що не існують (наприклад, поповнення мобільного рахунку, переказів з картки на картку), або вебресурс організації, якій користувач довіряє (наприклад, клон інтернет-банку), що має на меті збір реквізитів платіжних карток для подальшої крадіжки грошових коштів з рахунків власників платіжних карток. Більше ніж 90 % фішингових сайтів надають відсутні послуги з поповнення мобільного рахунку та переказу коштів з картки на картку.
Розкручуючи свій злочинний сайт, шахраї експлуатують людські мотиви: допитливість, бажання отримати вигоду, заробити тощо. Найпоширеніші повідомлення фішерів: «Дізнайтеся, чи є ваша картка в базі даних хакерів! Уведіть дані, щоб перевірити», «При поповненні рахунку від 20 грн Ви гарантовано отримуєте 10 % від суми поповнення», «Акція! Поповнення рахунку, а також перекази з картки на картку будь-якого банку України без комісії» і т. ін. Крім того, власники шахрайських сайтів просувають їх, використовуючи інструменти вебмаркетингу: SEO-оптимізацію, контекстну й банерну рекламу, рекламу в соцмережах. І ці зусилля, на жаль, дають результат: відвідуваність фішингових сайтів доволі висока. За даними вебаналітиків, у середньому протягом місяця на шахрайський сайт заходить 15–30 тисяч відвідувачів.
За даними компанії Phishlabs дедалі більше фішингових сайтів налаштовані на використання протоколу захищеної передачі даних HTTPS: у третьому кварталі 2017 року таких було близько 25 %, майже удвічі більше, аніж за попередній квартал. Використання сайтом HTTPS створює в жертви хибне відчуття безпеки, адже багато хто вважає, що звичайна для сучасних веббраузерів «зелена позначка» поряд з адресою сайту свідчить про його надійність.
Фішингові дзвінки або Вішинг
Вид атак коли у людини намагаються викрасти деякі дані (реквізити банківської карти, реквізити для авторизації на сайті, …) шляхом видавання себе за іншу людину. Наприклад злодій дзвонить на телефон жертви і представляється працівником банку і каже що треба щось перевірити, або що його карта заблокована, і просить, наприклад, пройти авторизацію чи назвати дані карти, які розголошувати не можна.
Смішинг
Проведення фішингової атаки за допомогою СМС. Зловмисник надсилає СМС від імені якоїсь компанії або банку, де просить перейти на фішинговий сайт або надати якісь дані.
Діпфейк фішинг
Діпфейк фішинг — це новий вид фішингових атак через засоби відео та аудіо комунікацій. Цей вид атак набув популярності під час коронавірусного локдауну.
Примітки
- Фішинг // Термінологічний словник з питань запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму, фінансуванню розповсюдження зброї масового знищення та корупції / А. Г. Чубенко, М. В. Лошицький, Д. М. Павлов, С. С. Бичкова, О. С. Юнін. — Київ : Ваіте, 2018. — С. 709. — .
- Maria Korolov (1 червня 2016). . CSO. Архів оригіналу за 10 жовтня 2017. Процитовано 9 жовтня 2017.
- Що таке фішинг?. Microsoft.
- . Украинская межбанковская ассоциация членов платежных систем ЕМА (ru-RU) . Архів оригіналу за 9 жовтня 2017. Процитовано 25 листопада 2016.
- Brain Krebs (7 грудня 2017). . Krebs on Security. Архів оригіналу за 15 грудня 2017. Процитовано 14 грудня 2017.
Див. також
Література
- Фішинг: Хто і як маніпулює вашим вибором / Д. Акерлоф, Р. Шиллер ; пер. з англ. О. Герасимчук. — К. : Наш формат, 2017. — 272 с. — (Світоглядна літ-ра). — .
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Fi shing angl phishing MFA fiʃiŋ vid fishing ribolovlya vid shahrajstva metoyu yakogo ye vimanyuvannya v dovirlivih abo neuvazhnih koristuvachiv merezhi personalnih danih kliyentiv onlajnovih aukcioniv servisiv iz perekazu abo obminu valyuti internet magaziniv Shahrayi namagayutsya zmusiti koristuvachiv samostijno rozkriti konfidencijni dani napriklad nadsilayuchi elektronni listi z propoziciyami pidtverditi reyestraciyu oblikovogo zapisu sho mistyat posilannya na sajt zovnishnij viglyad yakogo povnistyu kopiyuye dizajn vidomih resursiv Napisi anglijskoyu Na paperi Nam treba pereviriti nomer vashoyi kreditnoyi kartki Riba kazhe Ne piddavajtesya na primanku Zahishajte svoyi finansovi dani OglyadFishing odin z riznovidiv socialnoyi inzheneriyi zasnovanij na neznanni koristuvachami osnov informacijnoyi bezpeki Zokrema bagato hto ne znaye prostogo faktu servisi ne rozsilayut listiv z prohannyami povidomiti svoyi oblikovi dani parol ta inshe Dlya zahistu vid fishingu virobniki osnovnih internet brauzeriv domovilisya pro zastosuvannya odnakovih sposobiv informuvannya koristuvachiv pro te sho voni vidkrili pidozrilij sajt yakij mozhe nalezhati shahrayam Novi versiyi brauzeriv vzhe volodiyut takoyu mozhlivistyu yaka vidpovidno imenuyetsya antifishing Za danimi kompaniyi PhishMe stanom na berezen 2016 roku 93 vsih fishingovih listiv namagalis zaraziti komp yuter zhertvi shkidlivimi programami kriptografichnogo zdirnictva tak zvane angl ransomware voni shifruyut dani na zhorstkomu disku ta vimagayut groshi vid zhertvi za yihnye rozshifruvannya Takozh sered stijkih tendencij do pidvishennya efektivnosti fishingovih atak bulo nazvano chastishi vipadki pidlashtuvannya vmistu listiv pid pevnu kategoriyu zhertv za yihnim fahom ta iz vklyuchennyam pevnih elementiv osobistoyi informaciyi zokrema zvernennya do zhertvi za imenem SkladoviFishingovi sajti Fishingovij sajt ce shahrajskij vebresurs yakij vimanyuye rekviziti platizhnih kartok pid viglyadom nadannya poslug sho ne isnuyut napriklad popovnennya mobilnogo rahunku perekaziv z kartki na kartku abo vebresurs organizaciyi yakij koristuvach doviryaye napriklad klon internet banku sho maye na meti zbir rekvizitiv platizhnih kartok dlya podalshoyi kradizhki groshovih koshtiv z rahunkiv vlasnikiv platizhnih kartok Bilshe nizh 90 fishingovih sajtiv nadayut vidsutni poslugi z popovnennya mobilnogo rahunku ta perekazu koshtiv z kartki na kartku Rozkruchuyuchi svij zlochinnij sajt shahrayi ekspluatuyut lyudski motivi dopitlivist bazhannya otrimati vigodu zarobiti tosho Najposhirenishi povidomlennya fisheriv Diznajtesya chi ye vasha kartka v bazi danih hakeriv Uvedit dani shob pereviriti Pri popovnenni rahunku vid 20 grn Vi garantovano otrimuyete 10 vid sumi popovnennya Akciya Popovnennya rahunku a takozh perekazi z kartki na kartku bud yakogo banku Ukrayini bez komisiyi i t in Krim togo vlasniki shahrajskih sajtiv prosuvayut yih vikoristovuyuchi instrumenti vebmarketingu SEO optimizaciyu kontekstnu j banernu reklamu reklamu v socmerezhah I ci zusillya na zhal dayut rezultat vidviduvanist fishingovih sajtiv dovoli visoka Za danimi vebanalitikiv u serednomu protyagom misyacya na shahrajskij sajt zahodit 15 30 tisyach vidviduvachiv Za danimi kompaniyi Phishlabs dedali bilshe fishingovih sajtiv nalashtovani na vikoristannya protokolu zahishenoyi peredachi danih HTTPS u tretomu kvartali 2017 roku takih bulo blizko 25 majzhe udvichi bilshe anizh za poperednij kvartal Vikoristannya sajtom HTTPS stvoryuye v zhertvi hibne vidchuttya bezpeki adzhe bagato hto vvazhaye sho zvichajna dlya suchasnih vebbrauzeriv zelena poznachka poryad z adresoyu sajtu svidchit pro jogo nadijnist Fishingovi dzvinki abo Vishing Vid atak koli u lyudini namagayutsya vikrasti deyaki dani rekviziti bankivskoyi karti rekviziti dlya avtorizaciyi na sajti shlyahom vidavannya sebe za inshu lyudinu Napriklad zlodij dzvonit na telefon zhertvi i predstavlyayetsya pracivnikom banku i kazhe sho treba shos pereviriti abo sho jogo karta zablokovana i prosit napriklad projti avtorizaciyu chi nazvati dani karti yaki rozgoloshuvati ne mozhna Smishing Provedennya fishingovoyi ataki za dopomogoyu SMS Zlovmisnik nadsilaye SMS vid imeni yakoyis kompaniyi abo banku de prosit perejti na fishingovij sajt abo nadati yakis dani Dipfejk fishing Dipfejk fishing ce novij vid fishingovih atak cherez zasobi video ta audio komunikacij Cej vid atak nabuv populyarnosti pid chas koronavirusnogo lokdaunu PrimitkiFishing Terminologichnij slovnik z pitan zapobigannya ta protidiyi legalizaciyi vidmivannyu dohodiv oderzhanih zlochinnim shlyahom finansuvannyu terorizmu finansuvannyu rozpovsyudzhennya zbroyi masovogo znishennya ta korupciyi A G Chubenko M V Loshickij D M Pavlov S S Bichkova O S Yunin Kiyiv Vaite 2018 S 709 ISBN 978 617 7627 10 3 Maria Korolov 1 chervnya 2016 CSO Arhiv originalu za 10 zhovtnya 2017 Procitovano 9 zhovtnya 2017 Sho take fishing Microsoft Ukrainskaya mezhbankovskaya associaciya chlenov platezhnyh sistem EMA ru RU Arhiv originalu za 9 zhovtnya 2017 Procitovano 25 listopada 2016 Brain Krebs 7 grudnya 2017 Krebs on Security Arhiv originalu za 15 grudnya 2017 Procitovano 14 grudnya 2017 Div takozhVishing Smishing Ketfishing Zlij dvijnik DMARC Socialna inzheneriya bezpeka LiteraturaFishing Hto i yak manipulyuye vashim viborom D Akerlof R Shiller per z angl O Gerasimchuk K Nash format 2017 272 s Svitoglyadna lit ra ISBN 617 7388 80 6