Фішынг (па-ангельску. phishing ад fishing «рыбная лоўля, выуживание») — від інтэрнэт-махлярства, мэтай якога з'яўляецца атрыманне доступу да канфідэнцыйных дадзеных карыстальнікаў — лагін і пароль. Гэта дасягаецца шляхам правядзення масавых рассыланняў электронных лістоў ад імя папулярных брэндаў, а таксама асабістых паведамленняў унутры разнастайных сэрвісаў, напрыклад, ад імя банкаў або ўнутры сацыяльных сетак. У лісце часта змяшчаецца прамая спасылка на сайт, вонкава неадрозныя ад сапраўднага, альбо на сайт з редиректом. Пасля таго як карыстальнік трапляе на падробленую старонку, ашуканцы спрабуюць рознымі псіхалагічнымі прыёмамі заахвоціць карыстальніка ўвесці на падробнай старонцы свае лагін і пароль, якія ён выкарыстоўвае для доступу да пэўнага сайту, што дазваляе ашуканцам атрымаць доступ да акаўнтаў і банкаўскіх рахунках.(па матэрыялах wikipedia.org)
Атрымліваючы ад зламысніка ліст або спасылку, выглядаюць нявінна, але якія змяшчаюць нешта шкоднаснае, Вы сутыкаецеся з фішынгам.
Фішынгавая атака звычайна ажыццяўляецца ў форме паведамлення, які адпраўляецца ў сеткі Інтэрнэт, убеждающего Вас:
- перайсці па спасылцы,
- адкрыць дакумент,
- ўсталяваць прыкладанне на прыладу або
- ўвесці імя карыстальніка і пароль на сайце, выглядящем цалкам аўтэнтычна.
У выніку фішынгавай атакі вы можаце выдаць свае паролі або ўсталяваць шкоднаснае прыкладанне на прыладу. А зламыснікі (фішэры) змогуць выдалена кантраляваць ваша прылада, красці інфармацыю або сачыць за вамі.
Фішэры могуць падманам атрымаць вашыя паролі, даслаўшы вам шкоднасную спасылку. Вэб-адрас гэтай спасылкі, названай у паведамленні фішэра, пакажа на адзін сайт, але на самой справе прывядзе на іншы. На кампутары, вы можаце ўбачыць адрас прызначэння спасылкі, затрымаўшы над ёй паказальнік мышы. Але і ў гэтым выпадку вас можна ўвесці ў зман, выкарыстоўваючы падобныя сімвалы або найменні, якія адрозніваюцца на адну літару ад арыгінальных. Падобная спасылка прывядзе вас на сайт, які выглядае ў дакладнасці як сапраўдны (які вы і збіраліся наведаць): напрыклад, Gmail або Dropbox. Гэтыя падробленыя старонкі ўваходу часцяком выглядаюць настолькі сапраўды, што так і вабяць ўвесці свае ўліковыя дадзеныя – лагін і пароль. І калі вы гэта зробіце, то адразу адправіце іх у хакерам.
Такім чынам, перад уводам любога пароля зірніце на адрасную радок браўзэра. Там будзе паказана цяперашні даменнае імя старонкі. Калі яно не супадае з імем неабходнага сайта, нічога не ўводзіце і зачыніце старонку! Памятаеце аб тым, што наяўнасць афіцыйнага лагатыпа на сайце не з'яўляецца паказчыкам сапраўднасці сайта. Любы можа скапіяваць і прайграць лагатып і дызайн ўсяго сайта на сваім вэб-старонцы для таго, каб паспрабаваць падмануць вас.
Памятаеце, што зламыснікам не складзе працы падрабіць адрас электроннай пошты, і ў графе «Адказаць» вы ўбачыце ілжывы адрас. А гэта значыць, што глядзельная праверка адрасы адпраўніка не дастатковая для пацверджання сапраўднай асобы адпраўніка паведамленні.
Лепшы спосаб абароны ад фішынгу – ніколі не пераходзіць ні па якіх спасылках і не адчыняць ніякія файлы укладанняў. Але гэты савет не падыдзе большасці людзей. Таму далей вы даведаецеся некалькі практычных спосабаў абароны ад фішынгу.
Як абараніць сябе ад фішынг-нападаў
1. Абнаўляць сваё праграмнае забеспячэнне
Шкоднасныя праграмы, якія выкарыстоўваюцца фишерами, часцяком грунтуюцца на памылках і недапрацоўках праграмнага забеспячэння, усталяванага на кампутары карыстальніка. Звычайна, як толькі вытворца даведаецца пра памылку ў яго ПА, выпускаецца абнаўленне, исправляющее дадзеную памылку.
2. Увага да мэнэджэра пароляў з аўтазапаўнення
Не рэкамендуецца аўтаматычна захоўваць паролі ў браўзэры. Але калі гэта зрабілі, то звярніце ўвагу на наступнае акалічнасць. Менеджэры пароляў з аўтазапаўнення лагінаў і пароляў вядуць ўлік сайтаў, на якіх неабходна выкарыстоўваць захаваныя паролі. І калі чалавека яшчэ можна падманам прымусіць ўвесці ўліковыя дадзеныя акаўнта на падробленым сайце, то менеджэр пароляў «абвесці вакол пальца» ужо не атрымаецца. Калі пры выкарыстанні мэнэджара пароляў (напрыклад, убудаванага ў браўзэр), ён адмовіцца падстаўляць пароль на патрэбным вам сайце, то варта пераправерыць, на тым ці сайце вы знаходзіцеся.
3. Праверка адрасы адпраўніка
Адзін са спосабаў пераканацца ў тым, што ліст не нясе ў сабе пагрозу фішынгу - звязацца па альтэрнатыўнаму каналу з меркаваным адпраўніком лісты. Калі ліст прыйшоў ад імя банка, не варта адразу ж адчыняць укладанні і пераходзіць па спасылцы. Спачатку патэлефануйце ў банк або зайдзіце на яго сайт, напісаўшы адрас у браўзэры самастойна. Дзейнічайце падобным чынам таксама і тады, калі знаёмы адпраўляе вам ліст з укладаннем. Проста патэлефануеце яму да таго, як адкрыць ліст, і удакладніце, ці не адпраўляў ён фатаграфіі.
4. Адкрывайце падазроныя дакументы ў Дыску Google
Не варта запускаць файлы, атрыманыя па электроннай пошце на сваім прыладзе. Лепш загрузіць яго на знешні жорсткі дыск (напрыклад, Google Drive) або яму падобны сэрвіс па хмарнаму чытання дакументаў у сеткі інтэрнэт. Такім чынам, вы преобразуете дакумент ў малюнак або HTML-файл, што амаль напэўна спыніць спробу ўстаноўкі шкоднаснага праграмнага забеспячэння на ваша прылада.
5. Ставіцеся насцярожана да інструкцыі, дасланым па электроннай пошце
Некаторыя фішэры прадстаўляюцца ў лістах супрацоўнікамі аддзелаў падтрымкі кліентаў і просяць даць паролі, дазволіць «спецыяліста па рамонце» выдалена падлучыцца да вашага кампутара або адключыць некаторыя налады бяспекі на вашым прыладзе. Яны могуць тлумачыць неабходнасць дадзеных дзеянняў, напрыклад, переполненностью вашага паштовага скрыні ці тым, што ваш кампутар ўзламалі хакеры. Сляпое прытрымліванне падобных указаннем ашуканцаў прывядзе да жаласных наступстваў. Трэба праявіць асаблівую пільнасць перад перадачай каму-небудзь тэхнічных дадзеных або выкананнем інструкцый і не рабіць гэтага, пакуль вы не будзеце абсалютна ўпэўнены ў сапраўднасці крыніцы такіх запытаў.
Калі ў вас выклікае падазрэнне атрыманае ліст (спасылка), не адкрывайце яго (не пераходзіце па спасылцы), пакуль не пераканайцеся ў яго бяспекі, згодна пунктах гэтага кіраўніцтва.