Как понять, что ссылка, по которой вы собираетесь перейти, потенциально опасна? Эффективно победить мошенника поможет только внимательность. Распознать фальшивку можно, изучив адресную строку сайта.
Основные способы обмана:
- Длинная ссылка, содержащая поддомен, похожий на настоящий
Создатели фишинговых сайтов используют привычную для глаза пользователя и похожую на настоящую «длинную ссылку», содержащую поддомен. Например: outlook.office.com.rbkmoney.com.
- Короткая ссылка с опечаткой
Короткая ссылка при этом может писаться с опечаткой или с использованием символов из различных алфавитов, но в целом напоминает что-то очень привычное. Например: rbkmaney.com.
- Использование сервиса сокращения ссылок
Например: Bit.ly/af23wfeaFa2, Go.g/aw4fFaef2.
- Использование IP-адреса вместо домена
Например: 34.19.0.47/owa/email.
- Использование пути в строке домена
Например: F3f3af.tk/outlook.office.com.
- Имитация оформления и функционирования сайта. Это так называемые омографические атаки с использованием интернационализированных доменных имен
C 2003 года можно регистрировать доменные имена, используя различные местные алфавиты, в том числе кириллические. При этом нельзя использовать написание на двух языках одновременно. Но многие языки содержат буквы как кириллического, так и латинского происхождения. Этим часто пользуются мошенники, перемешивая алфавиты. Например, заменяют похожие или одинаковые буквы: «с» кириллицей пишут вместо «си» латиницей и т. д.
Используются и другие ухищрения с игрой букв. Необходимо помнить, что в начале адресной строки указывается протокол, по которому осуществляется соединение: http:// или https://. Отсутствие S показывает, что не используется защищенный протокол. Это не обязательно признак фишингового сайта, но перед вами домен, где нет защищенной информации. То есть это точно не сайт с интернет-банкингом или чем-то серьезным, когда требуется защищенное соединение.
Далее следует доменное имя. Доменное имя первого уровня — это .ru. Домен второго уровня, скажем yandex.ru, домен третьего уровня — bb.yandex.ru и т. д. Основная масса фишинговых сайтов прячется на втором и третьем уровнях.
Например, после регистрации домена hacker.ru может появляться бесконечное количество поддоменов различного уровня, в том числе и фрагменты популярных интернет-ресурсов. В этом главная задача мошенников — ввести пользователя в заблуждение. Например, может появиться поддомен hacker.ru.yandex.ru. Возможно, некоторые пользователи не обратят внимания на особенности написания сайта и зайдут туда.
Возможны и другие комбинации. Например, вероятно появление ресурса с названием файла yandex.ru.html. Это будет означать, что пользователь попал в домен hacker.ru/yandex.ru.html. Совершенно точно ничего хорошего он там не найдет.
Пользователь всегда сам может проявить бдительность, нажав гиперссылку на PC правой кнопкой мыши и выбрав пункт «проверить». В этом случае название домена состоящее, скажем, из букв кириллического алфавита, имитирующих латиницу, будет отражаться в кодировке Unicode. Например, не авс.сом, а xn-… Главное правило тут следующее: если вы переходите по хорошо известному вам URL на латинице, а он неожиданно меняет написание в браузере на xn-****, это, возможно, фишинг.
Можно еще кликнуть на иконку с изображением замка слева от адресной строки, чтобы проверить информацию о сертификате сайта. Но бывают фишинговые сайты, у которых на первый взгляд «все правильно» — сертификат, зеленый замок. Как их распознать? Изучить дополнительную информацию. Может оказаться, что в данных о сертификате она противоречивая. Например, перед нами вроде бы всем известный сайт «Яндекса», а в информации о сертификате написано, что он выпущен компанией, которая специализируется на бесплатных сертификатах. Маловероятно, что крупная известная компания не будет пользоваться бесплатными сертификатами.
Кроме всего прочего, стоит обратить внимание и на самые очевидные признаки: кривая верстка сайта, кричащие заголовки и баннеры, которые призывают немедленно ввести номер телефона или карты, чтобы выиграть призы, которых раньше никогда не было. Если во внешнем виде сайта что-то смущает, не спешите вводить реквизиты карты или другие личные данные.
Бизнес, который страдает от фишинговых сайтов не меньше своих клиентов, тоже может (и должен) принимать меры по борьбе с мошенниками. В распоряжении корпоративных пользователей есть различные сервисы, которые предоставляют бизнесу услуги по предотвращению фишинга. Например, такие, которые ищут в сети сайты-двойники.
Есть компании, которые предоставляют клиентам информацию о выданных сертификатах. Эти сервисы работают со всеми регистраторами. Когда они выявляют предполагаемую атаку или обнаруживают существующую, то связываются с регистраторами и добиваются того, чтобы фишинговый сайт был разделегирован.
Эта работа достаточно кропотливая. В России есть национальный регистратор, аналогичный имеется в Китае, и еще десятки других в разных странах. Поэтому, как правило, компании, предоставляющие услуги мониторинга новых доменов, для повышения эффективности своей деятельности группируются по сферам бизнеса.
Для борьбы с фишингом используют и превентивные меры. Например, можно заранее сгенерировать всевозможные комбинации названия сайта с различными опечатками и зарегистрировать, чтобы потенциальные злоумышленники не могли их взять себе. В этом случае риск фишинга снижается, но не исключается полностью, потому что абсолютно все сочетания, конечно, закрыть не удастся. Еще один хороший способ — обучать своих пользователей, рассказывать им о видах мошенничества с помощью email-рассылок, в соцсетях и так далее.