«Фишинг» (fishing) с английского языка звучит, как «рыбная ловля». Но это в обычном мире. А в мире виртуальном, в Интернете, так называется один из видов сетевого мошенничества. Сущность фишинга состоит в том, чтобы обманом получить доступ к некоторой закрытой информации. Так сказать, поймать пользователя на удочку. Знать и понимать что такое фишинг особенно важно веб-мастерам, которые постоянно работают в Сети, имеют много важной информации, а главное владеют сайтами приносящие доход.
Закрытая информация потому и называется «закрытой», что она хранится в Сети «под замком». А ключиком к «замку» обычно является пара слов, известных только тому, кому доступ к информации разрешен: имя пользователя (username) и пароль (password). Попытки интернет-мошенников выведать у пользователя эти данные и называются «фишингом». По-русски не отличишь, а вот по-английски специально пишут «phishing». Буква «p» – первая буква слова «password». Таким образом, сразу ясно, на какую «рыбку» идет охота.
Кроме паролей интернет-мошенники пытаются выудить у простодушных пользователей номера кредитных карт, паспортов, банковских счетов и другую конфиденциальную информацию. Методы фишинга довольно часто называют обтекаемо, «социальная инженерия». Слово красивое, хотя, в сущности, означает то же самое: попытки обманом выманить информацию у пользователя интернета.
Как работает фишинг?
Как это делается? Давайте рассмотрим элементарный пример, который понятен будет даже обычному пользователю. На электронную почту пользователя посылают письмо, которое выглядит как уведомление от компании-провайдера, от банка, от платежных систем, от социальных сетей или от других организаций. Пользователя просят перейти на сайт уведомителя по прилагаемой ссылке и обновить личные данные. Причиной такой просьбы чаще всего называют неудачную попытку хакеров взломать систему. Как следствие, всех пользователей просят для большей безопасности изменить свои пароли. Иногда письмо сопровождается предупреждением, что в случае невыполнения просьбы будет закрыт счет, отключен Интернет, отменены платежи и прочее в том же духе.
Все, вроде бы, подозрений не вызывает. Беда в том, что ссылка, по которой пользователь, не дай Бог, перейдет, фальшивая и ведет она на фальшивый, фишинговый сайт.
Сайт этот внешне совпадает с тем сайтом, под который маскируются мошенники. Если письмо пришло якобы из банка, фишинговый сайт один к одному похож на сайт банка: реквизиты, надписи, дополнительные ссылки – все на месте. Точно так же мошенники ловко имитируют сайты провайдеров и платежных компаний. Пользователь считает, что он оказался на реальном сайте, вводит в необходимые поля имя пользователя и пароль, нажимает на кнопку и… Правильно, его «ключик» попадает к мошенникам. Теперь у них в лучшем случае имеется доступ к почтовом ящику пользователя, а в худшем – к его банковскому счету.
Иногда вместо хищения конфиденциальных данных (или вместе с ним) на компьютер пользователя, перешедшего по фишинговой ссылке, загружается программа-шпион, которая будет транслировать интернет-злодеям всю информацию, которую пользователь будет вводить с клавиатуры. Прекрасный способ узнать новые пароли и не только их!
Защита от фишинга. Что она собой представляет?
Авторы блога 7bloggers.RU хотят отметить, что защитится от фишинговой атаки достаточно просто. Во-первых, следует четко усвоить правило: никто, ни один банк, ни одна платежная система, ни одна социальная сеть никогда не требуют от своих клиентов конфиденциальных сведений в явном виде (это же касается партнерских программ, хостингов, регистраторов доменных имён и т.д.). Имя пользователя (или номер счета) администрации и так известны, а пароль им знать не нужно, поскольку во всех базах данных пароли хранятся в зашифрованном виде и не доступны даже администратору системы.
Поэтому, получив письмо с просьбой сообщить администрации свой пароль (или же самому его изменить), можете смело, даже не задумываясь, это письмо уничтожить. Нет, лучше всего сообщить администрации о том, что Вы стали жертвой фишинговой атаки и переслать им полученное письмо. Телефон и электронный адрес – не секрет. Они всегда публикуются на сайте банка, провайдера, социальной сети или же платежной системы. И они не фальшивые.
На этом сегодня всё, будьте бдительными!
