Озвучена стаття Технології — 22 квітня, 2022

Фішинг під час війни — як розпізнати та що робити

ТЕКСТ:

ІЛЮСТРАЦІЇ: Antony Filyk

Щороку зловмисники розсилають близько 3,5 мільярда фішингових листів. Це число вражає. Ще більше вражає винахідливість фішингових атак. «Принци» з Нігерії та «нащадки» Нельсона Мандели відійшли у минуле – сучасні кіберзлочинці використовують тонкі психологічні маніпуляції та хмарні технології. На тлі війни з росією проблема фішингових атак є особливо актуальною. Адже зловмисники не тільки отримують додатковий важіль емоційного впливу на населення, але й можуть використовувати здобуті дані для диверсійної діяльності проти України.

З 2014 року кількість кібератак з території росії суттєво збільшувалась. Можна пригадати лавину повідомлень про мінування та спроби здійснити атаки на державні підприємства й об’єкти інфраструктури, що передували початку повномасштабного вторгнення. Наразі зберігається висока ймовірність як кібератак з боку росії, так і звичайних «побутових» фішингових атак від людей, що прагнуть скористатися вразливістю українців під час війни. Разом з експерткою з інформаційної безпеки «Лабораторії цифрової безпеки» Аліною Елєвтєровою розібрали, як діють фішингові атаки, як їх розпізнати, та що робити, щоб убезпечити себе.

Британський центр національної кібербезпеки визначає фішинг як спроби шахраїв обманом змусити користувачів зробити «щось не те»1. Наприклад, тицьнути на посилання, яке завантажить шкідливе програмне забезпечення на пристрій користувача, або ж переадресувати користувачів на підозрілий сайт. Джек Морзе, технічний оглядач Mashable, спеціаліст із кібербезпеки та, за власним визначенням, професійний параноїк, додає, що фішинг – це передусім продукт соціальної інженерії2. Тобто фішинг використовує набір технік, що спрямовані на взаємодію з людиною та на маніпуляцію її емоціями. Шахраї часто апелюють до нашого бажання зробити добрий вчинок, змушують нас злякатися чи перейнятися нібито «терміновістю ситуації» або прикидаються особою, що має певну владу і може розраховувати на субординацію. Спеціалістка з інформаційної безпеки «Лабораторії цифрової безпеки» Аліна Єлевтерова також вважає, що інтернет-шахраї найчастіше атакують користувачів через емоції: «Людина залишається найслабшою ланкою у ланцюжку “користувач–інтернет-пристрій”. Замість того, щоб зламувати складні системи безпеки фейсбуку чи телефону, шахраям легше змусити людей самих віддати свої дані чи гроші. Тому ставки завжди робляться на емоції — сором, страх, спонукання до негайної дії тощо».

Види фішингових атак

«Класична» фішингова атака – це електронний лист, що приходить на пошту та намагається в той чи інший спосіб виманити дані користувачів. Крім того, атаки можуть здійснюватися й через смс або пости у соціальних мережах. «Фішингові атаки можуть використовувати різні “легенди”, – розповідає Аліна Єлевтерова, – Починаючи з листа від “служби безпеки банку” до смс-ки “мамо, я потрапив/ла у ДТП, будь ласка, перекажи грошей”. Також зловмисники можуть писати “вам необхідно терміново змінити пароль, або ваш акаунт заблокують за годину”».   

Загалом фішингові атаки можна поділити на дві групи: таргетовані та масові. Масові фішингові атаки покладаються на кількість. Зловмисники розсилають безліч листів випадковим людям, сподіваючись, що хтось із них перейде за посиланням і завантажить шкідливу програму. У масових атаках зловмисники можуть додавати вкладення, внаслідок завантаження яких на пристрій користувача потрапить шкідлива програма, або ж спрямовувати користувачів на сайти, де необхідно ввести персональні дані (номер картки, паспортні дані тощо). 

«Фішинг може виглядати “нормальним”, замаскованим під перевірені сервіси або просто перекидати на сайти, які за дизайном схожі на оригінальні, – пояснює Аліна Єлевтерова. – Нещодавно ми мали такий випадок: журналістській редакції прийшов фішинговий лист, який імітував лист від Google. Шахрайський лист переадресовував користувачів на фішингову сторінку, яка скопіювала дизайн оригінального Google і просила змінити пароль. Користувачам пропонували спочатку ввести старий пароль, і саме так зловмисники отримували справжній пароль до облікових записів.

Ще один приклад – фішинг із посиланням на шкідливий вкладений файл. Такої фішингової атаки зазнавали українські ГО. Їм розсилали листи з вкладеним pdf-файлом і посиланням на Google Drive. Після його запуску на комп’ютер користувачів непомітно встановлювалось шкідливе ПЗ для віддаленого доступу».

Інший тип атак – таргетовані фішингові атаки – найчастіше має такі самі техніки, а саме обман через вкладення чи фейкові сайти. Проте таргетовані атаки завжди фокусуються на конкретній людині, групі людей чи компанії. Перед атакою зловмисники проводять ретельне дослідження, щоб дізнатися більше інформації про свою ціль. Вони можуть прикидатися колегою чи керівником, просити про термінову послугу або дати доручення. Саме такої фішингової атаки зазнали деякі співробітники Twitter у 2020 році. Як наслідок, зловмисники отримали доступ до акаунтів відомих осіб, зокрема Барака Обами та Ілона Маска. Після цього зловмисники використали чужі облікові записи, щоб провернути аферу з біткоїнами, та отримали понад 100 тисяч доларів.

Фішинг під час війни

Спеціалісти «Лабораторії цифрової безпеки» зазначають, що кількість фішингових атак в Україні зросла, проте не можуть сказати напевне, чи пов’язане це безпосередньо з війною або ж спричинене загальносвітовим зростанням кіберзлочинності. Так, згідно з доповіддю IBM3, фішингові атаки були головним інструментом злочинців у 2021 році та становили 41% від усіх кіберзагроз. Це на 8% більше, ніж у 2020 році. Спеціалісти вважають, що кількість кібератак збільшується паралельно з пришвидшенням цифровізації суспільства та бізнесу. Впродовж останнього десятиріччя 30% від світових кібератак проводили з росії та Китаю4, тому можна припустити що під час російської військової агресії кіберзлочини становитимуть велику загрозу. І справді, Google зафіксуваврізке зростання фішингових атак на державні установи за декілька місяців до повномасштабної війни й одразу після її початку. 

«Наразі злочинці продовжують атакувати ті самі державні структури та важливі ГО, які піддавалися кібератакам впродовж останніх восьми років – від початку російської агресії в Криму та на сході України, – каже Аліна Єлевтерова. – Почастішали випадки шахрайств, які за допомогою фішингу та інших методів наживаються на волонтерській справі. Тобто зловмисники видають себе за волонтерів, але кошти, які їм переводять, привласнюють собі. Також знаємо випадки, коли шахраї створили підробний сайт “Повернись живим” з підробними реквізитами. Справжній фонд “Повернись живим” – це один із найбільших фондів допомоги українським військовим та волотерам, який з 2014 року зібрав понад 190 мільйонів гривень. Крім того, розсилають ось такі фішингові листи»:  

Зловмисники активно використовують теми, пов’язані з війною, для здійснення кібератак, зокрема на державні підприємства та військові структури України. Так, наприклад, Computer Emergency Response Team of Ukraine (CERT-UA) повідомляє6, про розсилку листа з файлом, що начебто містить відомості «щодо фактів переслідування та вбивства працівників Прокуратури з боку російських військових на тимчасово окупованих територіях». Спроба завантажити ці «факти» призводила до встановлення шкідливої програми на комп’ютер користувачів.  

Як розпізнати фішингову атаку

Аліна Єлевтерова радить пильнувати листи чи повідомлення, що занадто сильно апелюють до емоцій. Офіційна інформація зазвичай подається у стриманому, виваженому стилі. Якщо лист містить багато «зради», панічних фраз, перебільшено сентиментальних або агресивних посилів, це може вказувати на фішинг. Обіцянки несподіваного та великого виграшу – особливо якщо ви не брали участь в жодному розіграші – теж є приводом запідозрити обман. Крім того, ознакою фішингової атаки є жорсткі часові обмеження. Вас проситимуть надати свої дані негайно, переслати гроші якнайшвидше, погрожуватимуть, що заблокують ваш акаунт за дві години, якщо ви не зміните пароль. 

«Обов’язково звертайте увагу на адресу сайту, куди перекидає посилання, – радить Аліна. – Чи це не facelook.com замість facebook.com? Або googIe, де замість маленької «l» використовують велику «і». Як показує наведений вище приклад фішингового листа, орфографічні помилки можуть міститися і в самому тексті, так само як і нетипові для української мови конструкції чи звороти (як-от «ми відданні міцному миру» чи «ми хочемо зробити висновок всі платежі якомога швидше»). В будь-якому випадку, якщо посилання підозріле та викликає у вас відчуття, що тут щось не так, не переходьте за ним».

У Службі Безпеки України теж рекомендують7 приділяти особливу увагу адресам сайтів та поштових скриньок. Ознаками фішингу можуть бути:

– Наявність @ в назві сайту;

– Наявність будь-яких цифр після @ в адресі електронної пошти;

– Наявність будь-якої ІP адреси після @ (наприклад, @127.0.0.1);

– Наявність літер іншої абетки.

Кіберполіція України радитьне відкривати незнайомі файли з такими розширеннями, як ‘.exe’, ‘.vbs’ та ‘.scr’.

«До постів у соцмережах теж варто ставитись критично, – додає Аліна. – Не треба репостити все підряд без належної перевірки. Перед тим, як поділитися чиїмось дописом, з’ясуйте, чи правдива ця інформація. Особливо, коли йдеться про фінансову допомогу. Здебільшого краще ділитися лише дописами тих людей, яких ви знаєте особисто і яким довіряєте».

Підписатися на Куншт

Корисна розсилка про науку.
Статті, відео і подкасти щотижня та без спаму.
 

Що робити, щоб убезпечити себе

«Найголовніше – це заспокоїтися, – каже Аліна Єлевтерова. – Коли ви отримуєте емоційного листа чи смс, що вимагає від вас негайної реакції, глибоко вдихніть та почніть аналізувати ситуацію. Дослідіть те, що ви отримали. Якщо це лист від друга з проханням грошей, зателефонуйте другові. Якщо у листі вас просять перейти за посиланням і заново ввести пароль, уважно подивіться на адресу сайту: чи немає там помилки. Не завантажуйте підозрілі файли, особливо, якщо ви не очікували жодних листів або відправник вам невідомий. До того ж налаштуйте багатофакторну автентифікацію всюди, де можна: на пошті, у месенджерах та соціальних мережах». Пам’ятайте також, що не варто надавати свої паспортні дані чи копії документів неперевіреним особам. Також не повідомляйте термін дії та CVV-код вашої банківської карти – ці дані необхідні, лише якщо ви самі збираєтесь на щось витратити гроші з карти.  

Якщо ви все ж відкрили невідоме посилання або перейшли на підозрілий сайт, Кіберполіція України наводить низку ознак9, за якими можна зрозуміти, що на ваш пристрій було встановлено шкідливу програму. Серед них:

– Уповільнення роботи комп’ютера;

– Нетиповий шум або перегрівання пристрою;

– Велика кількість спливаючих вікон чи реклами;

– Поява незнайомих програм і додатків, які користувачі не встановлювали на пристрій;

– Неможливість доступу до операційної системи;

– Самовільні рухи курсора по екрану.

Запідозривши атаку на ваші акаунти чи пошту, обов’язково повідомляйте про це, радить Аліна Єлевтерова:

– Кіберполіція та CERT-UA. Якщо на ваш пристрій було здійснено атаку чи зловмисники вимагають гроші за повернення ваших персональних даних, звертайтеся в Кіберполіцію. Повідомити про дезінформацію, фішинг чи російську пропаганду також можна на сайті CERT-UA.

– Служба підтримки. Помітивши підозрілих або агресивних користувачів соціальних мереж, які розсилають спам або надсилають незрозумілі приватні повідомлення, звертайтеся до служби підтримки цих соціальних мереж та повідомляйте про неприйнятну поведінку онлайн. 

– Банк. Якщо зловмисники намагаються зняти гроші з вашої карти або в разі, коли ви вже переказали гроші на невідому карту, звертайтеся до служби підтримки вашого банку. Ви зможете заблокувати свою карту та дізнатися алгоритм дій по поверненню коштів, якщо це можливо. 

Бережіть себе!

Ставайте Другом Куншт

Отримайте доступ до ексклюзивного контенту й беріть участь у вебінарах з провідними українськими і світовими науковцями!

Посилання:

  1. Що таке фішинг
  2. Стаття Джека Морзе
  3. Доповідь ІВМ
  4. Кібератаки, пов'язані з геополітикою
  5. Фішингові атаки на держустанови
  6. Computer Emergency Response Team of Ukraine про фішингові листи
  7. Ознаки фішингу
  8. Як не попастися на фішингові листи
  9. Ознаки фішингу

0:00/0:00

Популярні статті

Стаття Суспільство — 27 березня

Як Росія завойовувала вплив у країнах Африки

Стаття Космос - 29 лютого

Куншткамера з Девідом Сперґелом про реліктове випромінювання, НАЯ (НЛО) та співпрацю з українськими науковцями

Стаття Пост правди - 25 березня

Пост правди, епізод 7: Анонімність в телеграмі