УДК 004.9

ФИШИНГОВЫЕ АТАКИ И МЕТОДЫ БОРЬБЫ С НИМИ

Стрижкова Дарья Андреевна
Магнитогорский государственный технический университет имени Г. И. Носова

Аннотация
Автор статьи поднимает вопрос и безопасности всемирной паутины для обычного пользователя; описывает способы мошенничества в сети и дает советы, которые могут предотвратить неприятности для многих доверчивых посетителей всемирной паутина.

Ключевые слова: информационная безопасность, коммуникационные технологии, СМС-фишинг, фишинг


PHISHING ATTACKS AND METHODS OF DEALING WITH THEM

Strizhkova Daria Andreevna
Nosov Magnitogorsk State Technical University

Abstract
The author raises the question of the security of the world wide web for the average user; describes the ways of online fraud and provides tips that can prevent trouble for many unsuspecting visitors to the world wide web.

Keywords: communication technologies, information security, phishing, SMS phishing, vishing


Рубрика: 05.00.00 ТЕХНИЧЕСКИЕ НАУКИ

Библиографическая ссылка на статью:
Стрижкова Д.А. Фишинговые атаки и методы борьбы с ними // Современные научные исследования и инновации. 2017. № 1 [Электронный ресурс]. URL: http://web.snauka.ru/issues/2017/01/76973 (дата обращения: 02.06.2017).

В современном мире, с развитием технологий, компьютер и смартфон стали неотъемлемой частью жизни каждого человека. С помощью компьютера и Интернета, человек, не выходя из дома, может с легкостью получать различную информацию, контролировать свои финансы, выполнять различные операции. Интернет – это безграничный мир информации, который дает широкие возможности для общения, обучения, организации работы и отдыха и в то же время представляет собой огромную, ежедневно пополняющуюся базу данных, которая содержит интересную для злоумышленников информацию о пользователях. Существует два основных вида угроз, которым могут подвергаться пользователи: технические и социальная инженерия. Техническая инженерия представляет собой, как правило, работу различных вредоносных программ, социальная инженерия-это в первую очередь фишинг-атаки.

Фишинг, в переводе с английского языка, означает ловить рыбу, рыбачить. Если разобраться в сути данного вида мошенничества, то оно напоминает именно своего рода рыбалку, где добычей будут люди, их личная информация и финансы.

Фишинг-атаки организуются следующим образом: злоумышленники создают подложный сайт, который выглядит абсолютно таким же, как и необходимый сайт банка или любой другой организации. Следующий этап- привлечение потенциальных жертв на подложный сайт, для того, чтобы последние, посетив сайт-клон, оставили персональные данные: логин, пароль, PIN-код. Используя полученные данные, кибер-мошенники крадут деньги со счетов пользователей [1].

Как правило, для того, чтобы привлечь пользователей на подложный сайт, мошенники делают почтовую рассылку электронных сообщений, которые выглядят так,  будто письма отправлены именно с банка или другой финансовой организации, т.е. используется логотип организации, его стиль письма, оформление  и даже ссылки в фишинг-сообщениях  похожи на реальный адрес банка в интернете. Кроме того, сообщение может содержать ваше имя, как будто оно действительно адресовано вам лично. В письмах мошенников обычно приводится правдоподобная причина, требующая ввода вами на сайте «банка» своих данных. Злоумышленник, выступающий от имени банка или другого известного сервиса (например, PayPal или Facebook), требует от вас ввести конфиденциальные данные якобы с целью их проверки и обновления информации об ученой записи. Другой вариант: злоумышленник сообщает, что от имени вашей учетной записи была замечена подозрительная активность, и вы должны «доказать», что являетесь владельцем аккаунта. Таким образом, атакующий закидывает «приманку» в огромное море Интернет-пользователей, получает личную информацию, добровольно (в большинстве случаев) переданную пользователем, и использует ее в злонамеренных целях: будь то кража личных данных, мошенничество с кредитными картами и т. д.

Наиболее распространенная форма фишинга– массовый фишинг, поскольку в данном виде атаки отсутствую конкретные цели и используется мошеннический метод социальной инженерии против множества людей. Таким образом, при данном виде фишинга нет необходимости в сборе информации, так как атакующий маскирует свое сообщение будто бы посылаемое от представителя популярного, всемирно-известного бренда [2].

Фактически, лишь малая часть этих людей будет клиентом банка, авиакомпании, Интернет-магазина или пользоваться социальными сетями или любой другой службой, от имени которой рассылаются письма. Однако, небольшая часть все же откроет присланное сообщение, проследует по ссылке или откроет вложение.

Сегодня фишинг выходит за пределы интернет-мошенничества, а поддельные веб-сайты стали лишь одним из множества его направлений. Письма, которые якобы отправлены из банка, могут сообщать пользователям о необходимости позвонить по определённому номеру для решения проблем с их банковскими счетами. Эта техника называется вишинг (голосовой фишинг). Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счёта и PIN-код. К тому же вишеры могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций, используя фальшивые номера. В конечном счёте, человека также попросят сообщить его учётные данные [3].

Набирает свои обороты и SMS-фишинг, также известный как смишинг. Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт, — входя на него и вводя свои личные данные, жертва аналогичным образом передает их злоумышленникам. В сообщении также может говориться о необходимости позвонить мошенникам по определённому номеру для решения «возникших проблем» [4].

Существует несколько простых правил, следуя которым, пользователи смогут обезопасить себя от атак кибер-мошенников:

  1. Необходимо внимательно относиться к сообщениям, в которых вас просят пройти по ссылке и указать личные данные. Вероятность того, что банк будет запрашивать такую информацию по электронной почте, чрезвычайна мала.
  2. Не стоит заполнять сомнительные анкеты, полученные по электронной почте. Такую информацию можно вводить только на действительно проверенных и безопасных сайтах. Также стоит убедитесь, что его адрес начинается с «https://» и найдите пиктограмму, похожую на запертый висячий замок, в правом нижнем углу окна браузера.
  3. Если у вас возникли малейшие подозрения относительно сообщения, которое пришло с «банка», у вас всегда есть возможность связаться непосредственно с банком и уточнить, проводилась ли рассылка электронных сообщений и т.д.
  4. Не проходите по ссылкам в электронных письмах в формате HTML: киберпреступники могут спрятать адрес подложного сайта в ссылке, которая выглядит как настоящий электронный адрес банка. Вместо этого наберите адрес вручную или скопируйте ссылку в адресную строку браузера.
  5. Стоит также контролировать работу антивирусных программ на вашем ПК, убедитесь, что антивирусное решение вашего компьютера способно блокировать переход на фишинговые сайты. Есть возможность также установить интернет-обозреватель, оснащенный фишинг-фильтром [5].
  6. Регулярно проверяйте состояние своих банковских счетов и просматривайте банковские выписки, чтобы убедиться в отсутствии «лишних» операций.
  7. Следите за тем, чтобы у вас всегда были последние обновления безопасности.

Таким образом, мы приходим к выводу, что кибер-мошенники, на сегодняшний день,  имеют реальную возможность не только завладеть нашей конфиденциальной информацией, но и похитить с ее помощью наши сбережения, поэтому задача каждого пользователя внимательно следить за электронными сообщениями, а также проходить только по проверенным и безопасным ссылкам и сайтам [6].


Библиографический список
  1. А.П.Микляев, Настольная книга пользователя IBM PC 3-издание М.:, “Солон-Р”, 2010
  2. Ковтанюк Ю.С., Соловьян С.В. Самоучитель работы на персональном компьютере – К.:Юниор, 2009
  3. Плотникова Е.Б. К вопросу об интеллектуальной социализации личности в 21 веке / Е.Б. Плотникова / В сборнике: теория и практика современной науки. Материалы XII Международной научно-практической конференции. Под ред. А.Ф. Долматова, 2013. С. 272-277
  4. Боброва И.И. Информационная безопасность облачных технологий /В сборнике: Информационная безопасность и вопросы профилактики киберэкстремизма среди молодежи Материалы внутривузовской конференции. Под редакцией Г.Н. Чусавитиной, Е.В. Черновой, О.Л. Колобовой. 2015. С. 80-84
  5. Гусева Е.Н., Ефимова И.Ю., Боброва И.И., Мовчан И.Н., Савельева Л.А. Математика и информатика /практикум , Из-во: ФЛИНТА, Москва, 2015. (2-е издание, стереотипное), 197 с.
  6. Мостовой Д.Ю. Современные технологии борьбы с вирусами // Мир ПК. – №8. – 2013.


Все статьи автора «Стрижкова Дарья Андреевна»


© Если вы обнаружили нарушение авторских или смежных прав, пожалуйста, незамедлительно сообщите нам об этом по электронной почте или через форму обратной связи.

Связь с автором (комментарии/рецензии к статье)

Оставить комментарий

Вы должны авторизоваться, чтобы оставить комментарий.

Если Вы еще не зарегистрированы на сайте, то Вам необходимо зарегистрироваться: