Октябрь 2020 –– Компания Avast (LSE: AVST), мировой лидер в области цифровой безопасности и решений защиты, опубликовала результаты своего опроса –– согласно полученным данным, 42% россиян сталкивались с фишингом, 27% стали его жертвами, и чуть больше трети (35%) не смогли дать точный ответ. Две трети респондентов, подвергшихся фишинговой атаке, пострадали, занимаясь личными вопросами, одна треть –– решая рабочие задачи.
В ходе опроса россиян спрашивали, сталкивались ли они со следующими видами фишинга и страдали ли от них:
Фишинг по электронной почте: электронные письма, которые выглядят так, как будто они отправлены с законных адресов известной организации, (что затрудняет их распознавание), но на самом деле содержат вредоносную ссылку или вложение.
Фишинговые сайты: страницы, которые выглядят так же, как обычные сайты, но предназначены для кражи информации или загрузки вредоносного ПО посетителям.
Телефонный фишинг: злоумышленник звонит жертве и убеждает ее выполнить нужные действия на ее компьютере, например, отказаться от личной или конфиденциальной информации, предоставить мошеннику доступ к системе или учетной записи, или отправить деньги.
Смишинг: SMS-фишинг –– SMS или сообщения в WhatsApp и других мессенджерах. В них злоумышленники могут сообщить, что жертва якобы выиграла смартфон (или что-то другое), и дальше попытаются получить контроль над ее учетной записью (WhatsApp, например), убеждая сообщить им код подтверждения, необходимый для входа в учетную запись, или отправив вредоносную ссылку, которая ведет либо на вредоносное ПО, либо на вредоносный веб-сайт.
Физический фишинг: мошенник притворяется кем-то, кем он не является, например, полицейским, администрацией или обслуживающим персоналом здания, чтобы получить доступ на закрытые территории или обмануть людей и получить деньги или нужную информацию.
Типы фишинговых атак, с которыми люди столкнулись или стали жертвами
В России чаще всего люди сталкивались с телефонным фишинго
|
Вид фишинга
|
Сколько столкнулись
|
Сколько пострадали
|
|
Фишинг по электронной почте
|
52%
|
34%
|
|
Фишинговые сайты
|
37%
|
29%
|
|
Фишинг по телефону
|
56%
|
37%
|
|
Смишинг (фишинг по SMS)
|
50%
|
31%
|
|
Физический фишинг
|
16%
|
13%
|
«Злоумышленники сегодня могут проводить фишинговые атаки по самым разным каналам, поэтому важно, чтобы люди знали о них и об актуальных схемах. С января по сентябрь 2020 года Avast ежемесячно защищал от фишинговых атак в среднем 2770 из 100000 россиян, –– рассказывает Алексей Федоров, глава представительства компании Avast в России и СНГ.
Последствия фишинга
Из россиян, ставших жертвами фишинга, чуть больше четверти (27%) заявили, что им пришлось сменить пароли от аккаунтов, 13% заявили, что у них украли деньги, и у 11% украли личные данные. 11% жертв пришлось аннулировать кредитные или дебетовые карты.
Из тех, кто понес финансовые потери, 43% потеряли до 3500 рублей, каждый пятый (20%) потерял от 3500 до 6999 рублей, 11% потеряли от 7000 до 13999 рублей, 5% –– от 14000 до 20 999 рублей и один из пяти (20%) более 21000 руб.
«Социальная инженерия используется при фишинговых атаках, чтобы заставить людей совершить нужные киберпреступнику действия. Злоумышленники воздействуют на поведение, психику жертвы, поскольку обмануть человека проще, чем взломать систему, –рассказывает Татьяна Шемякина, психолог, эксперт по социальной психологии. –– Мошенники играют с эмоциями людей, используют страх, оказывают давление на жертву. Они могут пугать срочностью, заставляют волноваться, нервничать, или рассказывают, что они нуждаются в благотворительных пожертвованиях».
Жертвы не сообщают о большинстве фишинговых атак
Трое из пяти (61%) россиян, пострадавших от фишинга, не сообщили о мошенничестве. Основные причины, по которым люди не сообщают о мошенничестве: думают, что атака не стоит хлопот (30%), не знают, кому сообщать об этом (29%), уверены в том, что все равно ничего не произойдет, если они сообщат (29%), считают, что полученная ими информация ничего не стоит (23%).
Из жертв фишинга, которые сообщили об атаке, почти половина (49%) сообщили о мошенничестве в полицию, 43% –– в компанию, сотрудником которой притворялся злоумышленник, 26% сообщили об этом своим коллегам и 16% рассказали своему
Как не стать жертвой фишинга
Алексей Федоров рассказывает, как не попасться на фишинговые атаки:
Сомневайтесь: независимо от контекста, личного или профессионального, пользователям важно распознавать сообщения, которые не адресованы лично им. Многие фишинговые сообщения носят общий характер и распространяются массово. Или, например, они могут содержать предложение, которое кажется слишком хорошим, чтобы быть правдой –– выигрыш нового смартфона или получение в наследство крупной суммы денег от неизвестного родственника. Кроме того, должно насторожить, если в письме есть требование сделать что-то срочно. Например, сообщения программ-вымогателей известны тем, что пытаются убедить жертв, что сообщение пришло от ФБР, что они совершили что-то незаконное, и поэтому срочно нужно заплатить штраф, чтобы восстановить доступ к своей заблокированной системе.
Проверяйте ошибки: фишинговые сообщения, как правило, содержат грамматические ошибки, неправильные ссылки, странно написаны или содержат вложения для чего-то, что обычно доступно только пользователю конкретной учетной записи, например, ежемесячный счет. Нужно смотреть, от кого пришло сообщение –– если его отправили из сервиса, компании, услугами которой человек больше не пользуется (или вообще никогда не пользовался) или о заказе, который никто не размещал –– это также может быть признаком фишингового сообщения.
Будьте осторожны: ни при каких обстоятельствах законный представитель компании (например, утверждающий, что он представитель банка или ИТ-специалист, которому требуется доступ к системе или учетным данным) не будет спрашивать учетные данные для входа, независимо от того, откуда (по электронной почте или телефону) приходит запрос.
Избегайте перехода по ссылкам или открытия вложений: ссылки могут вести на вредоносные сайты, предназначенные для сбора конфиденциальной информации или учетных данных, а вложения могут устанавливать вредоносное ПО при загрузке. Не открывайте ссылки и вложения, если только не уверены точно, что отправитель заслуживает доверия. В противном случае лучше посетить нужный сайт напрямую, чтобы загрузить ПО или получить доступ к информации.
Если сомневаетесь, перепроверьте через другой канал.
Если пользователь не уверен, можно ли доверять полученному сообщению, телефонному звонку или личному визиту, не стоит на него как-либо реагировать. Вместо этого рекомендуется использовать другой канал, чтобы связаться с компанией, в которой якобы работает звонящий или пришедший человек. Например, можно написать в официальные аккаунты компании в социальных сетях, позвонить по телефонам с сайтов, написать на почту.
