ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 03.02.2024
Просмотров: 24
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
едение
Онлайн-мошенничество — это действия киберпреступников, направленные на завладение информационными данными или финансовыми средствами пользователя интернета. Оно не считается отдельным преступлением, а включает ряд незаконных действий, совершаемых в киберпространстве. Ежедневно множество людей совершает онлайн-покупки билетов, оплату телефонных или коммунальных услуг, товаров интернет-магазинов. Суммарно ежегодный оборот виртуального мира составляет сотни миллиардов долларов. Эти деньги привлекают не только бизнесменов, но и киберпреступников. Многочисленные онлайн-мошенники стали неотъемлемой частью виртуального мира, и их доходы исчисляются миллиардами. Способов и вариаций обмана придумано много, однако большинство из них укладывается в одну из нескольких схем, зная которые, можно избежать большинства угроз.
Статистика за 2020
Число преступлений, совершенных в России с помощью информационных технологий, выросло в январе на 75,2% по сравнению с аналогичным периодом 2019 года, сообщается на портале правовой статистики Генпрокуратуры РФ.
"За январь 2020 года правоохранительными органами РФ зарегистрировано 28,14 тысячи (+75,2%) преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации", - говорится в сообщении.
Из общего числа предварительно расследовано 6,15 тысячи преступлений, что на 51,7% выше уровня 2019 года.
Актуальность работы:
Эта исследовательская работа будет актуальна для тех, кто встречался и может встретиться с онлайн-мошенничеством, и хочет обезопасить себя от онлайн-мошенников.
Задачи:
-
Узнать, что такое фишинг и кто такие фишеры. -
Узнать, какие виды фишинга существуют. -
Познакомиться с правилами защиты от фишинга.
Цель проекта:
Создать памятку, которая поможет нам обезопасить себя и окружающих от онлайн-мошенничества, а также побольше выяснить о видах фишинга и провести анализ среди учащихся школы по поводу знаний о фишинге
Глава 1. Фишинг
1.1 Что такое Фишинг.
Фишинг - вид интернет-мошенничества, целью которого является получение идентификационных данных пользователей (логины и пароли к банковским картам, учетным записям и пр.).
Чаще всего фишинг представляет собой массовые рассылки писем и уведомлений от имени известных брендов, банков, платежных систем, почтовых сервисов, социальных сетей. Такие письма, как правило, содержат логотип, сообщение и прямую ссылку на сайт, внешне неотличимый от настоящего. По ссылке требуется перейти на сайт «сервиса» и под различными предлогами ввести конфиденциальные данные в соответствующие формы. В результате мошенники получают доступ к аккаунтам и банковским счетам пользователей.
С английского языка слово phishing переводится как рыбалка или другой вариант – выудить. Фишеры обманом вынуждают жертву добровольно сообщить им пароли своих учетных записей и другую персональную информацию, интересующую злоумышленников.
Атаки фишеров становятся все более продуманными, применяются различные методы. Но в любом случае клиента пытаются напугать, придумать критичную причину для того, чтобы он выдал свою личную информацию. Как правило, сообщения содержат угрозы, например, заблокировать счет в случае невыполнения получателем требований, изложенных в сообщении («если вы не сообщите ваши данные в течение недели, ваш счет будет заблокирован»). Забавно, но часто в качестве причины, по которой пользователь якобы должен выдать конфиденциальную информацию, фишеры называют необходимость улучшить антифишинговые системы («если хотите обезопасить себя от фишинга, пройдите по этой ссылке и введите свой логин и пароль»).
Фишинговые сайты, как правило, живут недолго (в среднем — 5 дней). Так как анти-фишинговые фильтры довольно быстро получают информацию о новых угрозах, фишерам приходится регистрировать все новые и новые сайты. Внешний же вид их остается неизменен — он совпадает с официальным сайтом, под который пытаются подделать свой сайт мошенники.
Зайдя на поддельный сайт, пользователь вводит в соответствующие строки свой логин и пароль, а далее аферисты получают доступ в лучшем случае к его почтовому ящику, в худшем — к электронному счету. Но не все фишеры сами обналичивают счета жертв. Дело в том, что обналичивание счетов сложно осуществить практически самостоятельно, к тому же человека, который занимается обналичиванием, легче засечь и привлечь мошенников к ответственности. Поэтому, добыв персональные данные, некоторые фишеры продают их другим мошенникам, у которых, в свою очередь, есть отработанные схемы снятия денег со счетов.
Наиболее частые жертвы фишинга — банки, электронные платежные системы, аукционы, а также частные лица.
1.2 История фишинга
Фишинг на AOL тесно связан с варез-сообществом, занимавшимся распространением программного обеспечения с нарушением авторского права, мошенничеством с кредитными картами и другими сетевыми преступлениями. После того, как в 1995 году AOL приняла меры по предотвращению использования поддельных номеров кредитных карт, злоумышленники занялись фишингом для получения доступа к чужим аккаунтам.
Фишеры представлялись сотрудниками AOL и через программы мгновенного обмена сообщениями обращались к потенциальной жертве, пытаясь узнать её пароль. Для того, чтобы убедить жертву, использовались такие фразы, как «подтверждение аккаунта», «подтверждение платёжной информации». Когда жертва говорила пароль, злоумышленник получал доступ к данным жертвы и использовал её аккаунт в мошеннических целях и при рассылке спама. Фишинг достиг таких масштабов, что AOL добавила ко всем своим сообщениям фразу: «Никто из работников AOL не спросит Ваш пароль или платёжную информацию».
После 1997 года AOL ужесточила свою политику в отношении фишинга и разработала систему оперативного отключения мошеннических аккаунтов. В то же время многие фишеры, по большей части подростки уже переросли свои привычки, и фишинг на серверах AOL постепенно сошёл на нет.
Захват учётных записей AOL, позволявший получить доступ к данным кредитной карты, показал, что платёжные системы и их пользователи также уязвимы. Первой известной попыткой стала атака на платёжную систему e-gold в июне 2001 года, второй стала атака, прошедшая вскоре после теракта 11 сентября. Эти первые попытки были лишь экспериментом, проверкой возможностей. А уже в 2004 году фишинг стал наибольшей опасностью для компаний, и с тех пор он постоянно развивается и наращивает потенциал.
1.3 Виды фишинга
Цели у фишинга могут быть самые разные. Например
-
Приватная информация частных лиц с целью их скомпрометировать. Хакеры могут охотиться как за известными личностями (например, с целью шантажа), так и за обычными людьми. -
Получение доступа к банковским счетам путем хищения логина и пароля от платежных сервисов. -
Коммерческая тайна. Фишинг используется недобросовестными конкурентами, рейдерами (специалисты по смене собственников предприятия, действующие незаконными способами) и другими лицами, заинтересованными в получении доступа к ценной информации или к деньгам компании.
Целью любого фишингового мошенничества всегда является кража личной информации, существует множество различных видов фишинга, о которых мы должны знать.
Рассмотрим наиболее распространённые виды фишнга:
«Приемы социальной инженерии»
Представляясь представителями известных компаний, фишеры чаще всего сообщают получателям, что им нужно по какой-либо причине срочно передать или обновить персональные данные. Такое требование мотивируется утерей данных, поломкой в системе или другими причинами.
Фишеры стараются встревожить пользователя и вызвать его немедленную реакцию. Так, считается, что электронное письмо с заголовком «чтобы восстановить доступ к своему счету…» привлекает внимание и заставляет человека пройти по ссылке для получения более подробной информации.
«Фишинг с обманом»
Это самый распространенный тип фишинговых атак. Сообщениями, построенными на использовании этого метода, мошенники могут заспамить миллионы адресов электронной почты в течение нескольких часов. В данном случае фишер присылает фальшивое письмо от имени организации с просьбой пройти по ссылке и проверить данные учетной записи.
Для кражи личных данных создаются специальные фишинговые сайты, которые размещаются на домене максимально похожем на домен реального сайта. Для этого фишеры могут использовать URL с небольшими опечатками или субдомены. Фишинговый сайт оформляется в похожем дизайне и не должен вызвать подозрений у попавшего на него пользователя.
Следует отметить, что фишинг с обманом — наиболее традиционный метод работы фишеров и при этом наименее безопасный для организаторов атак, поэтому в последнее время он постепенно уходит в прошлое.
«Гарпунный» фишинг»
Объектами «гарпунного» фишинга выступают не широкие группы пользователей, а конкретные люди. Чаще всего этот способ является первым этапом для преодоления средств защиты компании и проведения целевой атаки на нее. Злоумышленники в таких случаях изучают своих жертв с помощью социальных сетей и других сервисов и таким образом адаптируют сообщения и действуют более убедительно.
«Охота на китов»
Охоту за конфиденциальной информацией топ-менеджеров и других важных персон называют «охотой на китов». В этом случае фишеры тратят достаточно много времени на определение личностных качеств целевой жертвы, чтобы подобрать подходящий момент и способы для кражи учетных данных.
«Рассылка вирусов»
Кроме кражи личных данных мошенники также ставят себе целью нанесение ущерба отдельным лицам или группам лиц. Ссылка фишингового письма при клике может загружать на ПК вредоносный вирус: кейлоггер, троянскую программу или программу-шпиона.
«Фарминг»
Это новая разновидность фишинга. Используя этот метод, фишеры получают личные данные не через письмо и переход по ссылке, а непосредственно на официальном сайте. Фармеры меняют цифровой адрес официального сайта на DNS-сервере на адрес подменного сайта, и в результате ничего не подозревающий пользователь перенаправляется на поддельный сайт. Такой фишинг опаснее традиционного, поскольку увидеть подмену невозможно. От подобных атак уже страдают аукцион Ebay, платежная система PayPal и известные мировые банки.
«Вишинг»
Вишинг — это метод фишинга, использующий для получения информации через телефонную связь. В уведомительном письме указывается номер телефона, по которому нужно перезвонить, чтобы устранить «возникшую проблему». Затем во время разговора оператор или автоответчик просит пользователя для решения проблемы назвать идентификационные данные.
«Спеарфишинг или Целевой фишинг»
Cпеарфишинг включает в себя отправку вредоносных электронных писем конкретным лицам внутри какой-либо организации. Вместо того, чтобы рассылать массовые электронные письма тысячам получателей, этот метод нацелен на определенных сотрудников в специально выбранных компаниях. Такие типы писем часто более персонализированы, они заставляют жертву поверить в то, что у них есть отношения с отправителем.
«Уэйлинг»
Уэйлинг очень похож на спеарфишинг, но вместо того, чтобы преследовать любого сотрудника в компании, мошенники специально нацеливаются на руководителей (или «крупную рыбу», отсюда и термин «уэйлинг», что в переводе с английского языка означает «китобойный промысел»). К таким сотрудникам относятся генеральный директор, финансовый директор или любой руководитель высокого уровня, имеющий доступ к более конфиденциальным данным, чем сотрудники более низкого уровня. Часто эти электронные письма используют ситуацию, способную оказать на таких руководителей серьезное давление, чтобы «зацепить» своих потенциальных жертв, например, передавая информацию о поданном против