Как не клюнуть на фишинг?
Михаил Терешков, руководитель направления информационной безопасности «ЭР-Телеком Холдинг» (ТМ Дом.ru, Дом.ru Бизнес)
Один из самых распространенных видов мошенничества в интернете — фишинг. Он направлен на то, чтобы «выудить» у людей персональную информацию и платёжные данные. Не стоит думать, что все уловки давно известны — мошенники постоянно изобретают что-то новое. Количество фишинговых сценариев, придуманных мошенниками, увеличивается из года в год.
В последнее время получила распространение очередная разновидность подобного мошенничества. Пользователю показывается веб-страница, которая сообщает, что тот выиграл ценный приз от своего провайдера услуг связи. Чтобы закрепить за собой фантомный приз, предлагается ввести на этой странице персональные данные. Механизм такого фишинга прост: алгоритмы злоумышленников считывают IP-адрес пользователя, по которому и определяют его оператора связи. Затем на странице автоматически подставляется соответствующий бренд, чтобы вызвать доверие у жертвы. Мошенники даже могут потребовать перевести небольшую сумму денег, сославшись на необходимость уплаты налога на выигрыш.
Как не попасться на такую уловку?
- Всегда обращайте внимание на адресную строку страницы. Если там сумбурный набор из букв и цифр, то крайне маловероятно, что это официальная акция, проводимая провайдером.
- Информацию о розыгрышах и конкурсах всегда лучше уточнять напрямую у представителей компании — в соцсетях или по телефону, который указан на официальном сайте. Полные правила официальных акций всегда доступны в официальных сообществах компании в социальных сетях или на сайте.
- Помните, что оператор связи никогда не попросит с вас деньги за выигрыш. Если в соответствии с законодательством победитель акции должен самостоятельно оплатить налог на выигрыш, то он отражает это в своей налоговой декларации за год. В этом случае сумма налога зависит от стоимости подарка и не является фиксированной.
Другая большая проблема для операторов — отдельные фишинговые сайты, созданные с целью похищения данных платежных карт клиентов. Например, если клиент не пользуется личным кабинетом для оплаты услуг связи, то он может просто ввести запрос в поисковике — например, «оплата Дом.ru». С некоторой долей вероятности, в выдаче появится фишинговый сайт. Он будет очень похож на официальный, а в своем названии может содержать элементы поискового запроса — «oplata domru», «domru oplata» и т.д. Чтобы гарантированно не столкнуться с этим, лучше осуществлять оплату через личный кабинет.
Мы отслеживаем фишинговые сайты — как нашими собственными силами, так и с помощью сообщений от клиентов или ФинЦЕРТ (центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России). Примерно раз в неделю мы блокируем по одному подобному сайту.
Советы, как не стать жертвой мошенников
1. Обращайте внимание на сертификат безопасности сайта. Все веб-ресурсы, на которых присутствует возможность онлайн оплаты, должны применять сертификат шифрования соединения. Адреса таких сайтов в строке браузера начинаются с https://
2. Если вы самостоятельно приобретаете и устанавливаете роутер, то всегда меняйте заводские пароли, установленные по умолчанию, на более сложные. Минимум раз в полгода проверяйте и устанавливайте обновленные версии программного обеспечения для своих устройств.
3. Не используйте для платежей общественный Wi-Fi. Мошенники могут создавать собственные Wi-Fi-сети с названиями, похожими на обычные сети операторов. Цель здесь та же — получить доступ к персональным данным, банковским картам и другой личной информации. Рекомендуем отключать на своих устройствах функцию автоматического подключения к Wi-Fi. Дополнительной защитой может стать антивирус для смартфона.