Существуют различные типы фишинговых атак — от классического фишинга через электронную почту до более изобретательных способов, например, направленного фишинга и смишинга. Все они преследуют одну цель — кража ценных сведений о пользователе.
Фишинговые атаки — это атаки с применением социального инжиниринга. Цели для атаки могут быть самые разные, в зависимости от намерений злоумышленника. Это могут быть обычные мошеннические письма, через которые ищут всех, у кого есть PayPal-аккаунт.
Фишинг также может быть нацелен на конкретных лиц. Злоумышленник часто так составляет электронное письмо, чтобы говорить непосредственно с вами, и включает в него информацию, которая может быть известна только вашему знакомому. Как правило, такую информацию злоумышленники узнают, предварительно получив доступ к вашим персональным данным Даже самому осторожному получателю сложно не попасться на крючок, прочитав письмо такого рода. Исследование PhishMe показало, что более 97% фишинговых писем связаны с программами-вымогателями.
При ловле на удочку можно подцепить на крючок много всякого: крупную камбалу, какую-нибудь мелкую рыбешку или просто мусор. При рыбалке с гарпуном вы направляете его на конкретную рыбу. Отсюда и название.
При направленном фишинге (spear phishing — «рыбалка с гарпуном») целью атаки становится конкретная группа людей, например, системные администраторы компании. Пример электронного письма с направленным фишингом Обратите внимание на упоминание фактов об отрасли, в которой работает получатель, на ссылку для скачивания, на которую жертву просят нажать, а также на требование немедленного ответа.
Уэйлинг (от whaling, «китобойный промысел») — вид фишинга, направленный на «китов» — руководителей высшего звена. Уэйлинговым атакам обычно подвергаются генеральные директора, финансовые директора и другие руководители подобного ранга, независимо от того, в какой отрасли и в какой организации они работают. Уэйлинговое письмо может извещать, что у компании появились юридические проблемы и для получения дополнительной информации необходимо нажать на ссылку.
Ссылка ведет на страницу, где вас попросят ввести важные данные о компании, например, ИНН и номера банковских счетов.
Смишинг (smishing — SMS + phishing) — это фишинговая атака с использованием СМС, а также фишинг в мессенджерах. Распространенная техника смишинга: прислать СМС, в котором содержится ссылка или номер, по которому надо перезвонить.
Часто СМС-сообщение выглядит так, будто его прислали из вашего банка. В нем говорится, что ваш аккаунт скомпрометирован, и нужно немедленно принять ответные меры. При этом вас просят подтвердить номер банковского счета и другие детали. Как только злоумышленник получит эту информацию, он сможет контролировать ваш банковский счет.
Вишинг преследует те же цели, что и любой другой тип фишинга. Злоумышленники охотятся за чувствительной личной или корпоративной информацией. Для этого типа атак используются разговоры по телефону. Вишинг (voice phishing) — это голосовой фишинг.
Часто вишинговая атака начинается с того, что вам звонит по телефону, к примеру, якобы сотрудник Microsoft. Он сообщает, что на вашем компьютере обнаружен вирус. Вас просят предоставить информацию по кредитной карте, чтобы установить на ваш компьютер обновленный антивирус. Таким образом, злоумышленник не только получает данные кредитной карты, но и, скорее всего, установит на ваш компьютер вредоносное ПО.
Это ПО может быть каким угодно — от банковского трояна до бота. Банковский троян будет отслеживать онлайн-активность жертвы, чтобы украсть дополнительные данные, чаще всего информацию о банковском аккаунте, включая пароль.
Бот — это программа, разработанная для выполнения тех действий, которые требуются хакеру. Ботнет под управлением командных центров C&C применяется для майнинга биткоинов, рассылки спама или DDoS-атак.
Фишинг с использованием электронной почты — самый распространенный вид фишинга, который используется с 1990-х годов. Злоумышленники массово рассылают фишинговые письма по всем адресам, которые могут получить. В электронном письме обычно сообщается, что ваша учетная запись была взломана и что вам необходимо немедленно ответить, нажав на предоставленную ссылку. Эти атаки обычно легко обнаружить, поскольку в тексте электронного письма часто содержатся орфографические и грамматические ошибки.
Но когда письмо написано грамотно, становится сложнее распознать фишинговую атаку. Проверяйте, нет ли чего-то подозрительного в адресе отправителя и ссылках, по которым вас направляют. Это может дать подсказку, пришло ли письмо из легитимного источника.
Еще один вид фишингового мошенничества — сексторция (sex+extortion, то есть «сексуальное вымогательство», или шантаж порнографией). Письмо от злоумышленника выглядит так, будто оно пришло с адреса самой жертвы. Хакер утверждает, что у него есть доступ к вашей учетной записи в электронной почте и к вашему компьютеру. Он уверяет, что у него есть ваш пароль, и он записал вас на видео.
По словам злоумышленников, пользователь смотрел видео для взрослых, во время чего веб-камера была включена и вела запись. Преступники требуют заплатить им, обычно в биткоинах, иначе они перешлют это (несуществующее) видео семье или коллегам.
Фишинг в поисковых системах, также известный как «заражение SEO» (SEO poisoning) или SEO Trojans, заключается в том, что злоумышленники добиваются подъема подконтрольных им сайтов в топ поисковых систем. Нажав на ссылку в поисковике, жертва попадает на сайт злоумышленников. Там преступники крадут информацию при регистрации аккаунта или при вводе чувствительных данных. Злоумышленники могут выдавать свои веб-сайты за любой тип сайта, но в основном имитируют сайты для денежных переводов, сайты банков, социальных сетей и онлайн-магазинов.