Що таке фішинг?
Фішинг - це схема, при якій хакери змушують користувачів обмінюватися конфіденційною інформацією, наприклад паролями та номерами соціального страхування. Зазвичай це передбачає надсилання спаму, який виглядає так, ніби надходить із надійного джерела, наприклад, з банку (що є наживкою), після чого відбувається посилання на шахрайський веб-сайт, який видає себе за надійне джерело (це пастка).
Розуміння суті цих атак і принципу їх роботи може допомогти виявити спроби фішингу, а також отримати певну інформацію про те, як діяти, якщо на вашому веб-сайті розміщено фішингову пастку.
Фішингові електронні листи видають себе за надійні організації, щоб викрасти облікові дані користувачів. У наведеному нижче прикладі в електронному листі застосовується типова фішинг-процедура, в якій користувачі просять оновити відомості облікового запису. Проте, якщо навести курсор на посилання, воно не призведе до фактичного веб-сайту компанії, а натомість відкриється сайт фішингової пастки.
Іноді єдиний спосіб визначити, що веб-сайт є видаванням себе за іншу особу, - переглянути URL-адресу веб-сторінки. Наприклад, на зображенні вище сторінка може виглядати як від PayPal, але за URL-адресою видно, що вона не є законною.
Нижче наведено приклад переконливої на вигляд фішингової сторінки.
Єдиний спосіб визначити, що це не справжня сторінка входу до Google, - переглянути адресний рядок браузера. У цьому прикладі ви помітили, що доменне ім’я насправді не є google.com.
Наприклад, уhttp://login.google.com.evilphishingsite.com/index.html , сайт, на якому ви насправді перебуваєте, - evilphishingsite.com .
Якщо ваш сайт страждає від порушення безпеки FTP, хакери можуть використовувати ваш акаунт для розміщення фішингового веб-сайту. Подальші дії див. У статтіМій веб-сайт зламано. Що робити?
Переглядаючи свої файли та каталоги, будьте певні щодо того, що каталоги з назвами відомих компаній (наприклад банків або Google) використовуються для фішингу. Наприклад:
- ./html/HSBC/hsbc.com/
- ./html/Gmail/googledocs/Googledock/
Додатковий крок
- Можна повідомте про фішинг тут .
Додаткові відомості
Перегляньте наведені нижче відомості про фішинг та способи захисту:
- Головна сторінка Робочої групи з протидії фішингу (APWG)
- Порада Федеральної торгової комісії: як визнати та уникнути фішинг-шахрайства
- Інформація від PayPal: Як визначити підроблені повідомлення