Що таке фішинг і як від нього захиститись?

Уявіть ситуацію: в один момент вам надходить повідомлення про те, що ваш рахунок в банку ось-ось буде заблоковано, якщо терміново не оновити свої дані. Ви переходите за посиланням в SMS, вводите всю необхідну інформацію про себе і зітхаєте з полегшенням, але вже за кілька хвилин помічаєте, що з рахунку раптом зникли всі кошти. Це — фішинг, а точніше приклад однієї з популярних його схем. Сьогодні розповідаємо, що таке фішинг, чим це небезпечно та як розпізнати шахрайство, а також що робити, якщо ви стали жертвою обману.

Що таке фішинг простими словами?

Фішинг або фішінг — це вид шахрайства в мережі, коли зловмисники методом обману отримують конфіденційні дані користувачів, які жертви передають їм власноруч. Так, люди дійсно самостійно надають шахраям доступ або дані, адже не знають, що їх обманюють. Аферистам цікава будь-яка важлива інформація, що може призвести до збагачення, серед якої:

• паролі, логіни та дані для входу в акаунти;
• особисті дані (паспортні дані, РНОКПП, судимість тощо);
• особисті та інтимні фотографії;
• дані банківських рахунків і карток;
• коди верифікації для доступу до акаунтів;
• робочі та особисті листування;
• корпоративні дані.

Після отримання бажаного зловмисники або просто напряму забирають гроші у жертви з рахунків, або шантажують її, вимагаючи винагороду за мовчання та нерозповсюдження даних, або ж продають крадене третім особам.

Перейдемо до аналізу самого слова: з англійської фішинг це риболовля (fishing), і цим словом назвали такий вид шахрайства недарма — аферисти ніби закидають вудочки з наживкою (наприклад, надсилають email-лист з вашим начебто виграшем великої суми), чекають, поки хтось «клюне» (перейде за посиланням і введе дані картки), а після підсікають та радіють вилову (за допомогою даних картки шахраї спустошують рахунок жертви).

Фішингова атака — це загальна назва процесу, коли шахрай робить спробу крадіжки чи виманювання даних. Це те саме, що й фішинг, проте атака говорить про певну конкретну дію, тоді як фішинг — про всі схеми та види шахрайства з використанням обману.

Інтернет-фішинг — це різновид фішингу, який здійснюється виключно в мережі інтернет. Шахрайство відбувається в соцмережах, месенджерах, на сайтах і в застосунках, в той час як звичайний фішинг можливий і при особистій зустрічі, і під час дзвінка без використання інтернету.

Як працює фішинг: принципи та інструменти зловмисників

Ми вже дізнались про фішинг, що це та хто стоїть за цими діями. Але як нам, як користувачам, розпізнати обман і де його взагалі шукати? Для цього варто знати більше про методи та принципи, якими керуються злочинці:

1. Соціальна інженерія. Тут аферист прикидається кимось іншим, наприклад працівником банку чи інтернет-провайдера, а після обманом і маніпуляціями виманює дані жертви (говорить, що потрібне термінове оновлення даних або підтвердження особи для блокування рахунка від ніби шахраїв). Людина, збентежена новиною, швидко видає всю потрібну інформацію, щоб уникнути проблем, але в результаті залишається з пустим рахунком.
2. Фішингові посилання. За допомогою маніпуляцій та вигідних пропозицій (акція, подарунок, виграш тощо) зловмисники змушують користувача клікнути на посилання та відкрити сайт. Там вже людина вводить свої дані власноруч і таким чином передає їх шахраям. Розповсюджують такі лінки через месенджери, електронну пошту, підроблені QR-коди тощо.
3. Сайти-клони. Booking.com — оригінальний вебсайт, тоді як Bookiing.com — підробка. Так, аферисти часто повністю клонують популярні сайти та навіть беруть схожі домени, щоб користувач не запідозрив обману. В результаті жертва, сама того не розуміючи, вводить свою інформацію на сайті-підробці.
4. Застосунки-клони. Так, клонують не лише сайти, а й програми та застосунки: це як оригінальні парфуми та підробка, які майже не відрізнити, за винятком невеликих деталей (буква в домені, відтінок логотипа, шрифт тощо). Мета — щоб користувач не зрозумів, що завантажив фішинговий застосунок, і ввів там свої дані.
5. Фішингові застосунки. Програми, які вже не копіюють інших, але заманюють людей явно нереальними пропозиціями (айфон за 1000 грн, швидкий заробіток на крипті, виграш 1 млн грн тощо) та виманюють доступи й дані, серед яких доступ застосунку до галереї, вимога ввести дані картки для отримання виплати й так далі.
6. Spear-фішинг. Метод, де зловмисники завчасно вивчають дані працівників певної компанії та вибирають одну жертву, якій від чийогось імені надсилають фішингове посилання, email-лист чи телефонують, представившись знайомим працівника. Все це — для легкого та швидкого виманювання корпоративних даних.

Ці схеми є «скелетом» фішингу, тоді як в реальності методики можуть комбінуватися та змінюватися: наприклад, зараз часто поєднують телефонні дзвінки (vishing) та SMS-повідомлення (smishing), щоб ще більше втертися в довіру та отримати бажане. Найпоширенішими інструментами зловмисників є повідомлення в месенджерах і соцмережах, електронні листи, телефонні дзвінки та віруси, що завантажуються на пристрій через посилання та дають шахраям доступ до даних на ньому.

Найпоширеніші приклади фішингу

За даними Kaspersky, понад 893 млн фішингових атак було заблоковано у 2024 році, а основним каналом стала електронна пошта, де відбулося 74% всіх атак. Тож як зрозуміти, що на вас було скоєно спробу атаки? Пропонуємо ознайомитися з найпоширенішими схемами обману в Україні:

OLX-доставка. Щойно людина публікує оголошення з продажем певного товару, їй одразу починають писати в месенджерах (Viber або WhatsApp) щодо можливості відправлення продукту OLX-доставкою. Більшість погоджується, адже цей метод є безпечним для обох сторін, але далі починається фішинг: покупець каже, що вніс оплату, а після надсилає посилання, за яким користувачу треба ніби-то підтвердити продаж або отримати гроші. Натискаючи на лінк, відкривається дуже подібний до OLX сайт, де жертві треба ввести дані своєї картки. Щойно дані введені, шахраї отримують доступ до рахунку та спустошують його.

Дзвінок з банку. Ще одна популярна схема — коли зловмисник телефонує людині, представляючись менеджером банку, та повідомляє власника рахунку про підозрілу активність та ніби-то шахрайство. Щоб захистити рахунок, аферист просить жертву надати дані картки, необхідні для доступу до неї (CVV-код, PIN-код, номер картки тощо). Після того як людина в паніці ділиться всією інформацією, з рахунку раптово зникають всі кошти.

Повідомлення від знайомого. В цьому випадку шахраям доводиться спершу зламувати акаунти людей в соцмережах чи месенджерах, а після писати всім контактам людини однакові смс. Це — і прохання позичити кошти та переказати їх на нову картку, і повідомлення з текстом типу «не можу повірити, що ти зробила ТАКЕ…» з посиланням на фішинговий сайт з вірусом, і прохання проголосувати за знайомого, де лінк теж веде на фішинговий ресурс.

Як розпізнати фішинг?

Фішинг — це першою чергою повідомлення, яке привертає увагу та спонукає до дій. Саме на цьому етапі вже можна виявити шахрайство, і ось на що варто звернути увагу:

• помилки. Граматичні, лексичні, орфографічні. Серйозні реальні компанії, платформи чи сайти такого не допускають;
• заклики. Якщо все в тексті ніби кричить про те, щоб ви перейшли за посиланням і натиснули на кнопку, це може бути фішинг;
• дивні посилання. Домен, який ніби нагадує знайомий, але має відмінності, незахищене з'єднання та попередження в браузері, дивні домени верхнього рівня (ml, cc, xyz тощо, замість com, org, ua і так далі) — все це змушує насторожитися;
• «дешевий» дизайн. Особливо це помітно з сайтами-клонами: можна порівняти реальний сайт компанії та сайт-клон, дизайн якого, як правило, значно простіший, менш зручний та зроблений з іншими відтінками та шрифтами;
• невідомий відправник. Якщо до цього ви не реєструвалися на нових сайтах і не підписувалися на розсилки, а також не знаєте, хто вам пише, це може бути ознакою фішингу;
• маніпуляції. Спроби пришвидшити вас, налякати чи змусити діяти «тут і зараз, адже кожна секунда вирішальна» — ознака як фішингу, так і просто недобросовісних продавців, що намагаються продати вам неякісний або непопулярний товар;
• надто «солодкі» пропозиції. Айфон за 1000 гривень, 1 млн грн гарантованого виграшу чи робота 3 години на день із зарплатою в 100 тисяч гривень на місяць — все це використовують шахраї, щоб заманити людину у пастку.

Якщо сумніваєтесь, краще не переходьте за посиланням і не надавайте свої дані третім особам, адже це може призвести до набагато гірших наслідків, ніж ігнорування «дзвінків з банку» чи продаж речі на ОЛХ не за перші кілька хвилин.

Як захиститися від фішингу: практичні поради

Аналізуйте текст. Якщо у повідомленні чи під час дзвінку на вас тиснуть, або ж вам надають надто заманливі пропозиції, краще проігноруйте таке смс. Уважно перевірте наявність помилок і невідповідностей. 

Перевіряйте посилання. Написали від імені відомої компанії? Знайдіть її сайт в Google та перевірте, чи однаковий домен має бренд і ресурс, вказаний у листі. Лінків, що були скорочені, теж варто уникати. Ще один «дзвіночок» — попередження від браузера після натискання на посилання про те, що з'єднання не є захищеним. 

Не передавайте свої дані. Банк НІКОЛИ не буде запитувати у вас PIN-код, CVV-код та інші дані ваших рахунків. Так, для оплати на деяких сайтах треба вводити дані картки, але, якщо є така можливість, радимо користуватись Apple Pay та Google Pay. Те саме стосується паспортних даних: вони потрібні для отримання кредиту та для доступу до державних сайтів, але не для «отримання виграшу» чи «підтвердження особи».

Захищайте акаунти. Вмикайте двофакторну аутентифікацію всюди, де вона доступна. Використовуйте складні паролі (перевірити можна тут), які не містять загальновідомих даних про вас (дата народження чи номер автомобіля). Встановіть антивірусне ПЗ на ноутбук чи ПК, фільтри спаму в електронній пошті та браузерні розширення, які попередять про фішинг.

Що робити, якщо ви вже стали жертвою фішингу?

1. Змініть пароль, який було втрачено/скомпрометовано.
2. Заблокуйте картку, якщо її дані потрапили до шахраїв.
3. Зверніться до правоохоронних органів, якщо вже втратили щось (кошти, конфіденційні дані тощо).
4. Перевірте пристрій на наявність вірусів, якщо переходили за підозрілим посиланням чи завантажували файли нещодавно.
5. Зв'яжіться з банком, щоб дізнатися, чи можна та як повернути втрачені гроші з рахунку, якщо це вже сталося.

Головне — не панікувати, а діяти швидко, щоб не втратити ще більше. Пам'ятайте, що навіть фото у вашій галереї можуть стати ціллю, а тому подбайте про безпеку ВСІХ своїх акаунтів і пристроїв.

Висновки

Фішинг — одна з головних кіберзагроз сучасності. Шахраї використовують довіру та страхи людей, щоб змусити їх передати власні важливі дані. Рятує тут лише уважність та холодний розум: перевіряйте посилання, не ведіться на маніпуляції та не вірте у «зараз або ніколи». В інтернеті працює просте правило — якщо щось виглядає занадто привабливим, щоб бути правдою, то так воно і є.