Летний сезон — время охоты на ваши данные. Как распознать фишинговую атаку и избежать её?

Совсем скоро наступит лето — время отпусков и путешествий. Но это также и время повышенной активности мошенников, которые используют тематические уловки для фишинга. Как не стать жертвой киберпреступников и защитить свои деньги и конфиденциальные данные?

Недавний опрос McAfee показал, что 30% опрошенных совершеннолетних хотя бы раз попадали в ловушки онлайн-мошенников при поиске выгодных предложений в сфере туризма и путешествий. Многие жертвы теряли до 1000 долларов, с большим трудом заработанных в душном офисе.

Центр по борьбе с фишингом (PDC) от компании Cofense рассказал об одной из фишинговых кампаний, в основе которой лежит BEC-атака. В ходе кампании злоумышленники выдают себя за отдел кадров организации жертвы и предлагают подать заявку по ссылке на оформление отпуска с оплачиваемым заграничным путешествием. Переход по ссылке приводит к появлению окна авторизации поверх корпоративной домашней страницы жертвы. То есть сайт настоящий, а форма для ввода данных — фиктивная, передающая корпоративный логин и пароль пострадавшего прямиком злоумышленникам.

Эта атака сочетает в себе две эффективные фишинговые тактики: поддельные сообщения от представителей целевой организации и крючок социальной инженерии на тему отпуска и путешествий. В ходе атаки мошенники используют самые обычные процедуры, выполняемые отделом кадров целевой организации, но также играют на ожидании и волнении, связанным с летним сезоном путешествий, что дополнительно усыпляет доверие жертвы.

«Это сложная тактика сбора учётных данных», — говорит Мика Аалто из Hoxhunt. «Атакующие не только полагаются на электронную почту, но также используют социальные сети, текстовые сообщения и даже телефонные звонки, чтобы завоевать доверие потенциальных жертв и стрясти с них побольше полезных данных».

Аалто также предупреждает, что преступники могут использовать искусственный интеллект для того, чтобы сделать свои фишинговые стратегии ещё более убедительными.

Распространённые фишинговые кампании, нацеленные на людей, так или иначе заинтересованных в путешествиях, часто включают в себя большие скидки или бесплатные перелёты, бронирование отелей или различные пакетные предложения. Существуют также афёры с поддельной арендой недвижимости, ложными страховыми полисами и т.п.

Как же защититься от фишинга? Исследователи Cofense дали целый ряд полезных рекомендаций:

• не открывайте подозрительные электронные письма, сообщения или приложения от незнакомых отправителей;
• не переходите по ссылкам и не загружайте вложения из таких источников;
• проверяйте правописание и грамматику в текстах, а также дизайн и домены сайтов;
• обязательно используйте двухфакторную аутентификацию для своих аккаунтов, особенно для корпоративных;
• регулярно меняйте свои пароли и не используйте одинаковые пароли для разных сервисов;
• устанавливайте антивирусное программное обеспечение на своих устройствах и регулярно обновляйте его;
• будьте осторожны с предложениями, которые кажутся слишком хорошими, чтобы быть правдой;
• если вы столкнулись с фишингом, сообщите об этом своему IT-отделу, банку или соответствующим органам, там подскажут, что делать.

Будьте бдительны и не дайте мошенникам испортить вам летний отдых!