Как распознать мошеннический сайт?
Сегодня я хочу сфокусироваться на теме фишинговых сайтов.
Конечно, можно сказать: не ходите на подозрительные сайты, посещайте только легитимные.
Но проблема подобных советов заключается в самой сути мошеннических сайтов: они притворяются настоящими и нацелены на то, чтобы ввести нас в заблуждение.
Знание, на что обратить внимание, поможет пользователям не попасться на уловку мошенников, даже если они вдруг зашли на их ресурс.
Чаще всего ссылки на мошеннические сайты приходят по почте. Поэтому обратите внимание на письма.
Базовые признаки письма, которое приведет пользователя на мошеннический сайт:
- его настойчиво побуждают к действию,
- предлагают срочно сменить пароль
- как можно быстрее оплатить просроченный штраф;
- письмо приходит незапланированно.
А если копнуть глубже, то ссылки доставляются жертвам по следующим каналам:
1. Фишинговые письма – классический способ распространения ссылок на поддельные сайты. В самом письме ссылка может быть замаскирована: например, текст ссылки выглядит как example[.]com, в то время как гиперссылка выдает на другой ресурс – example[.]com[.]nephishing[.]cc или что-то еще.
Самый простой способ проверить это – кликнуть по ссылке правой кнопкой мыши, скопировать ее и изучить в текстовом редакторе.
2. Сообщения в мессенджерах или социальных сетях – то же самое, но в более современных каналах коммуникации.
3. QR-коды. Есть примеры, когда объявления с QR-кодами, ведущими на поддельные сайты, развешиваются на улице (например, в Красноярске так рекламировали "замену домофонов").
Также QR-коды могут рассылаться по почте и в мессенджерах.
4. Реклама в социальных сетях, через нее мошенники создают поддельные аккаунты или используют украденные учетные записи для покупки рекламы, продвигающей поддельные сайты, или создают для этого псевдо-группы.
5. Баннерная реклама. Мошенники используют ее в своих интересах – размещают баннеры на популярных сайтах, в том числе на крупных новостных порталах.
6. Поисковики типа Yandex и Google активно борются с такой практикой, но несмотря на это мошенники порой попадают в поисковую выдачу на первую страницу.
7. Зараженные сайты появляются из-за уязвимостей в системе управления сайтом, и тогда при посещении будет запускаться вредоносный код.
Например, при открытии легитимного сайта у вас всплывает еще одно окно уже с мошенническим сайтом.
Список иллюстрирует множество вариантов, как сотрудник может столкнуться с ссылкой на мошеннический сайт.
Один из основных признаков, на который следует обратить внимание, это адрес или доменное имя сайта.
Мошенники часто используют технику тайпсквоттинга, которая заключается в замене букв на цифры, опечатки или использование другой доменной зоны (например, .com вместо .ru).
Также важно проверить "свежесть" сайта и информацию о его владельце с помощью сервиса Whois.
Если сайт, притворяющийся корпоративным, появился недавно и владельцем указано частное лицо, есть вероятность, что это мошеннический сайт.
Мошенники используют домены как временные, их "жизнь" может составлять всего несколько часов или дней, в то время как домены реальных организаций, как правило, зарегистрированы много лет назад.
Давайте погрузимся глубже и рассмотрим дополнительные признаки фишинговых сайтов.
Для наглядности мы будем использовать примеры из коллекции фиктивных сайтов, связанных с "Газпромом" (а также наше воображение):
- Использование омоглифов, то есть графически похожих знаков, например, использование цифры 0 вместо буквы o или заглавной буквы I вместо строчной l. Например, gazpr0n[.]ru или gazpr0m[.]ru.
- Еще один признак - это намеренные опечатки, когда буквы пропущены или перепутаны, например, gzprom[.]ru или gazporm[.]ru.
- Мошенники также могут использовать легкие вариации названия, когда подменный домен отличается всего одним-двумя символами, например, gasprom[.]ru или gaz-prom[.]ru.
- Еще один метод - это комбинированный домен, где название бренда соединяется с другими словами, например, gazinvestpro[.]ru или gazprom-russia[.]net.
- Мошенники также могут использовать элементы URL, добавляя узнаваемые элементы адреса сайта, такие как протокол (http, https), домен верхнего уровня (.ru, .com) или расширение (html), например, gazprom-ru[.]site или http-gazprom[.]ru.
- Еще один метод - это "нанизывание" доменов, когда название компании используется не в качестве домена второго уровня, а третьего, четвертого и т.д., например, gazprom[.]fin[.]shn-host[.]ru или gazprom-corp[.]msk[.]ru.
- Мошенники также могут использовать нестандартные доменные зоны, отличные от привычных .ru или .com, например, platforma-gaz[.]host или progaz[.]invest-now2021[.]monster.
- Еще один метод - это использование адреса, не связанного с компанией, например, злоумышленники могут разместить внешне похожий на оригинал сайт на произвольном домене, например, zonacash[.]cyou, fixefinance[.]website или financecost[.]uno.
- Название компании может встречаться, но уже после слэша, например, whichoptimal[.]top/gazpromm/.
- Еще один метод - это использование сторонних сервисов, таких как платформы для блогинга (livejournal.com), конструкторы сайтов (ucoz.ru) или опросы (mrqz.me, quizgo.ru), а также быстрое создание интернет-страниц (telegra.ph).
Злоумышленники не обязательно используют эти методы в чистом виде, они скорее сочетают их в разных пропорциях, создавая самые странные сочетания, например, gazprOm[.]i-manage[.]fun или gazpromholdingaz[.]store.
Однако в некоторых ситуациях эти методы могут быть недостаточными.
Что делать, если мы попали не на сайт известной компании, у которой официальный адрес хорошо известен, а на страницу небольшой фирмы?
В этом случае нужно внимательно изучить содержимое сайта.
Некоторые темы, как правило, сами по себе являются мошенническими.
Например, обещание 100% возврата денег, украденных нечестным брокером, или серая схема предоставления какой-либо услуги.
Текст: слишком завлекающий. Содержит ошибки. В нем используются фрагменты, которые можно найти на других аналогичных сайтах через интернет-поиск.
Видео: для создания убедительности встроены видео «клиентов», которые все описывают свой опыт только с положительной стороны и весьма однообразно. На youtube-каналах этих пользователей больше нет видео.
Изображения: используются украденные картинки. Например, фотографии сотрудников реально существующей организации, но с указанием других имен и должностей. Также мошенники часто используют картинки, сгенерированные искусственным интеллектом – это можно заметить по неправильному количеству пальцев на руке, «кракозябрам» вместо букв и цифр и другим артефактам, характерным для широко доступных инструментов для генерации картинок.
Заглушки и имитация функционала: функционал ограничен, сводится к заполнению формы-заявки для последующего звонка; оплате услуги или вводу банковских данных (номер карточки, секретный код) в форму; скачиванию файлов, которые могут содержать вредоносный код. Остальные разделы сайта являются имитацией нормального функционала. Например, при попытке перейти в блог или другой раздел, вы будете перенаправлены на главную страницу.
Оплата: возможна только онлайн или через перевод.
Ссылки и адреса электронной почты: мошенники создают множество сайтов, поэтому могут допускать ошибки и использовать один почтовый адрес на разных доменах. Поэтому следует обратить внимание на расхождения, например, если домен на сайте А не совпадает с доменом, указанным в якобы официальной электронной почте в «подвале» сайта.
Как защитить себя и других от мошенников.
Полностью искоренить фишинг в обозримом будущем вряд ли возможно, так как люди часто невнимательны, доверчивы и иногда жадны.
Ежедневно злоумышленники создают десятки тысяч фейковых сайтов, которые привлекают пользователей различными информационными поводами, заманчивыми акциями, скидками и «выгодными» предложениями увеличить свои активы.
Только обладание полной и актуальной информацией о хакерских уловках и соблюдение правил защиты от фишинга поможет избежать попадания на крючок киберпреступников.
Помимо перечисленных выше рекомендаций, можно дополнить список следующими пунктами:
Используйте антивирус. Во всех крупных антивирусах есть встроенная проверка на фишинг. Если вы еще не установили антивирус, то лучше сделать это сейчас.
Ищите в интернете отзывы о сайте, часто кто-то уже успел оставить негативный отзыв о мошенниках, попав на их уловку.
Включите двухфакторную аутентификацию. Это увеличит шансы сохранить доступ к аккаунту.
Будьте бдительны и не верьте «сигналам доверия». Мошенники знают, что пользователи чаще совершают покупки на сайте, который представляет себя как социально надежный, например, с помощью наград на отраслевых конкурсах и различных сертификатов качества. Однако любую из наград можно подделать.
Сообщайте брендам о попытках мошенничества. Официальные бренды могут создавать дополнительные домены для конкретных акций, но информация об этом обычно содержится на официальном сайте. Если у вас есть подозрения, что сайт маскируется под известный бренд, жалобы – это эффективный способ сократить срок действия сайтов злоумышленников.
Надеюсь, эти советы помогут вам распознать мошеннические сайты и избежать попадания в их ловушки.
Будьте внимательны и осторожны в сети!
Комментарии