Як не потрапити на гачок шахраїв — про фішинг та як його уникнути

Фішинг (англ. рhishing, від fishing — риболовля) — це вид шахрайства, метою якого є виманювання у довірливих або неуважних користувачів мережі персональних даних. Це досягається шляхом проведення масових розсилок електронних листів або повідомлень всередині соціальних мереж від імені популярних компаній в т.ч. і від імені банків. У листі часто міститься пряме посилання на сайт, який зовні не відрізнити від справжнього. Після того, як користувач потрапляє на підроблену сторінку, шахраї намагаються різними психологічними прийомами спонукати його ввести на цій фіктивній сторінці свої логін і пароль, які він використовує для доступу до певного сайту/аккаунту/сервісів, що дозволяє шахраям отримати доступ до облікових записів чи банківських рахунків користувача. 

Загалом активність шахраїв зростає. Так, згідно з інформацією Асоціації ЄМА, показники «здобутків» аферистів у 2021 році зросли майже вдвічі у порівнянні з попереднім роком. Лише за останній рік із використанням методів соціальної інженерії українці втратили близько 484,6 млн гривень. А за два роки пандемії шахраї вкрали 736,6 млн гривень.  

Фішинг є популярною формою кіберзлочинності через свою значну ефективність. І каналів розповсюдження фішингу стає все більше — фішингові посилання можна зустріти в електронних листах, спливаючих вікнах, в СМС, повідомленнях у Viber та різних соціальних мережах, рекламних оголошеннях, відеоіграх тощо. У 2021 році редакція «Мінфіну» зокрема писала про активізацію фішингу українських користувачів Telegram, про фішинг-розсилку клієнтам Райфайзен Банку. А минулого тижня вийшла стаття на тему, як за допомогою фішингу крадуть гроші у любителів криптовалют.

Основною зброєю перед фішингом є знання та розуміння дії даної шахрайської схеми, а також уважність та принцип «не довіряй, а перевіряй».

Нижче наводимо поради від різних компаній та установ.

ФГВФО для уникнення фішингу рекомендує:

1) користуйтесь лише захищеними офіційними сайтами та перевіреними платіжними сервісами;

2) якщо вас було переадресовано на невідомий сайт, з незнайомим, або іншим доменним іменем – не вводьте конфіденційну інформацію в запропоновані поля;

3) при відвідуванні банківських сайтів, стежте, щоб було встановлено захищене з’єднання HTTPS. В адресному рядку повинен відображатися спеціальний символ – замок. Ви також можете перевірити сертифікат для HTTPS при кліку по цьому замку. Звертайте увагу на підтверджений сертифікат у вікні що спливає.

Представники Фонду гарантування вважають за краще ніколи не переходити за підозрілими посиланнями. Часто бувають ситуації, коли на пошту або в особистому повідомленні приходить дивне посилання, яке складно ідентифікувати. За ним цілком може ховатися вірус або фішинговий сайт. Навіть якщо таке посилання прийшло нібито від вашого друга – варто бути напоготові. Обліковий запис вашого знайомого могли зламати та він навіть і не здогадується, що від його імені надсилається  шахрайська розсилка.

Варто пам’ятати, що Google ніколи не надсилатиме небажані повідомлення з проханням повідомити пароль або іншу особисту інформацію. Представники Google радять бути обережними, коли отримуєте повідомлення від сайту з проханням надати особисту інформацію. Якщо вам надходять такі повідомлення, не надавайте інформацію, не переконавшись у надійності сайту. Якщо можливо, відкрийте сторінку в іншому вікні, а не натискайте посилання в електронному листі.

Базові правила безпеки від OLX щодо уникнення фішингу:

1. Обговорюйте деталі угоди лише в чаті офіційного сайту або застосунку, де плануєте купувати чи продавати.

2. Не переходьте до інших месенджерів та за сторонніми посиланнями, які вам надсилають потенційні покупці чи продавці.

3. Завжди перевіряйте адресу сайту, на якому домовляєтеся про покупку/продаж. До речі, перевірити чи посилання справжнє можна, наприклад, у Центрі підтримки клієнтів OLX та на освітньому сайті Онлайн[за]хист (safety.olx.ua).

4. Не довіряйте отриманим скриншотам, будь то начеб-то правила платформи або чеки про оплату. Їх можна підробити. Читайте уважно, як працює сервіс та його послуги лише на офіційних сайтах компанії.

5. Нікому не повідомляйте тризначний CVV-код на звороті картки, баланс та термін дії, коди-підтвердження від банку в SMS.

Якщо ви продаєте товар, то 16-значний номер картки — єдине, що можна вказувати під час угоди.

Якщо ви купуєте, звертайте увагу на адресу сайту та платіжну форму, в яку вводите свої дані для оплати.

Інші публікації на сайті з корисними порадами по темі:

Шахрайський фішинг: як захистити кошти при покупках в інтернеті

Поради для представників компаній, що працюють у фін.секторі

Три правила проти онлайн-шахраїв