Фишинг: как не попасть на удочку мошенников

Как это происходит?

Чаще всего злоумышленники присылают письмо от имени популярного интернет-магазина, социальной сети или платежной системы с просьбой перейти по ссылке изменить свой пароль или ввести номер банковской карты и секретный код подтверждения для проверки подлинности счета. А если вы этого не сделаете, вам якобы грозит блокировка аккаунта или серьезный штраф. Мошенники пытаются психологически давить и запугивать, чтобы вы не успели критически осмыслить происходящее.

Ссылка ведет на подставной сайт. Злоумышленники тщательно подделывают дизайн и адрес веб-страницы, который может отличаться всего одним символом (например, paypa1.com вместо paypal.com). Отличить такой сайт от официального на глаз непросто, особенно в спешке. Либо вы переходите по подменной ссылке, которую злоумышленник встраивает в официальный сайт. Кликнув по ней, вы оказываетесь на имитации платежной страницы, после ввода данных на которой ваши деньги попадут к мошенникам. Сбивает с толку то, что все остальные ссылки на сайте настоящие.

На что обратить внимание?

На адресную строку браузера
Страницы ввода конфиденциальных данных любого серьезного сервиса всегда защищены, а данные передаются в зашифрованном виде. Адрес сайта должен начинаться с «https://», рядом с которым нарисован закрытый замок зеленого цвета.

На необычное поведение вашего банка или платежной системы
Если вас просят ввести новые данные, которые раньше не запрашивали — отмените операцию и позвоните в службу поддержки.

На адрес сайта
Наведите курсор на кнопку сайта или ссылку в левом углу адресной строки. Если адрес, который показывают по клику, не совпадает с указанным в адресной строке — закрывайте страницу. Если адрес страницы отличается хотя бы на один символ (например, paypa1.com вместо paypal.com), введите его вручную самостоятельно или перейдите по ссылке из поисковика. К примеру, Яндекс точно знает официальные адреса сайтов крупных банков и сервисов и умеет предупреждать о подозрительных страницах.

На стиль электронного письма
Письма серьезных компаний должны быть написаны без орфографических и грамматических ошибок.
Ваш банк или платежная система знают, как вас зовут, и в письмах обращаются по имени и фамилии (или имени и отчеству). Обезличенное приветствие в духе «Уважаемый пользователь» или обращение по адресу электронной почты — знак того, что письмо, скорее всего, отправили мошенники.
Призывы к безотлагательным действиям («Немедленно оплатите задолженность!», «Срочно смените пароль!») означают, что вас хотят заставить действовать быстро и необдуманно. Смело звоните в банк и уточняйте, правда ли вам нужно сделать то, о чем просят в письме.

Как отличить настоящее письмо?

• Сервисные письма всегда приходят с корпоративного аккаунта. Например, по поводу вашей почты на gmail.com вам напишут с адреса no-reply@accounts.google.com.
• Письмо написано грамотно, без явных логических противоречий.
• Для связи с администрацией ресурса вам предложат перейти по специальной ссылке («Не отвечайте на это сообщение. Чтобы связаться с нами, нажмите здесь» где последние два слова — это ссылка). Ее адрес нужно проверить: при наведении курсора должен высветиться правильный адрес в безопасном протоколе https (например, https://support.google.com/accounts/contact/).
• Все равно не уверены? Зайдите на главную страницу сервиса и обратитесь в службу поддержки, чтобы уточнить, действительно ли вам нужно делать то, о чем говорится в письме.

Напоследок напомним общие правила безопасности:

• Заведите несколько адресов электронной почты: личная, рабочая и развлекательная (для подписок и сервисов).
• Придумайте сложный пароль, для каждого ящика разный.
• Никогда не отвечайте на спам.
• Прежде чем нажать ссылки «Подписаться»/«Отписаться», наведите курсор и проверьте высвеченный адрес.

• Не заходите в онлайн-банки и подобные сервисы через открытые Wi-Fi-сети в кафе или на улице.
• Внимательно проверяйте адреса ссылок, логотипы, текст и отправителя сообщений.

Инфографика: что такое фишинг? >>>