Фишинг или «ловля на живца» — это метод атаки, при котором злоумышленник, представляясь легитимным и доверенным источником, пытается получить конфиденциальные данные пользователей, такие как логины и пароли или банковские реквизиты. Фишинг основан на психологическом манипулировании и является частью социальной инженерии.
Самые известные формы фишинга включают фейковые электронные письма, SMS и сообщения в мессенджерах или социальных сетях. Они отправляются якобы от известных компаний и содержат ссылки на подставные сайты, которые часто невозможно отличить от оригинальных. Потенциальная жертва, авторизуясь в личном кабинете или производя оплату, вводит свои данные, которые тут же попадают в руки киберпреступников.
Другой распространённый вид фишинга — это прикреплённые для скачивания файлы, чаще всего архивы формата.rar. При загрузке такие файлы могут заражать систему вредоносной программой-шпионом, которая собирает и передаёт данные злоумышленникам.
Основная проблема с фишингом заключается в том, что защититься от него только с помощью программного обеспечения невозможно. Утечка конфиденциальных данных зависит от пользователя: насколько легко он поддается внушению и насколько знаком с принципами сетевой безопасности. Мы знаем случаи, когда жертвами фейковых рассылок становились десятки топ-менеджеров крупнейших технологических компаний. Установка комплексных антивирусов, безусловно, снижает риски, но полагаться только на эти меры мы не рекомендуем.
Эффективный способ повысить бдительность сотрудников — проводить «фишинговые» тренировки. Сначала тестировщики составляют и рассылают письма с вредоносными ссылками. Затем фиксируют, кто перешёл на фейковые сайты и ввёл конфиденциальные данные. Будем откровенны: первые результаты могут удивить — в начале до 80% пользователей попадают на уловку. Однако с каждым разом количество пострадавших будет снижаться, а уровень цифровой грамотности — расти.