В течение последних двенадцати месяцев 37,3 млн. пользователей интернета по всему миру столкнулось с фишинг-атакой. Это на 87 процентов больше, чем в тот же период годом раньше.
По-прежнему самым привлекательными для атаки мошенников остаются интернет-системы обслуживания клиентов банков и финансовых учреждений, однако, все чаще и чаще атакам подвергаются лица, использующие интернет-аукционы или социальные сети.
По мнению экспертов консалтинговой компании Deloitte слабым звеном, позволяющим проводить такого рода преступления, являются сами пользователи, их плохие привычки и слабости.
Фишинг – это вид мошенничества, заключающийся в краже личных данных или других данных (например. финансовых) с использованием копий веб-сайта (почтового сервиса, онлайн-банка, социальной сети) доверенного учреждения. Ничего неподозревающие пользователь вводит свой логин и пароль или данные с кредитной карты, и эти сведения попадают в руки преступников.
Что интересно, суть фишинга не изменилась с начала существования этого явления. Только методы действия мошенников становятся все более сложными, и попытки атаки все чаще направляются также на владельцев смартфонов и пользователей мобильных приложений.
Это подтверждают и результаты исследования «Лаборатории Касперского». В течение последних двенадцати месяцев мошенники атаковали в день в среднем 102 тыс. человек, что в два раза больше, чем в аналогичный период годом ранее. Попытки обмана чаще всего имели место в России, США, Индии, Вьетнаме и Великобритании. Большинство серверов, на которых находились фишинговые сайты были зарегистрирована в США, Великобритании, Германии, России и в Индии.
В последние годы все более популярным становится целевой фишинг, имеющий личный характер. Хотя главной целью мошенников по-прежнему остаются клиенты финансовых институтов (20% от общего числа фишинг-преступлений), не менее подвержены атакам пользователи услуг торговли (например, аукционов), а также таких сервисов, в которых собираются ценные данные: личные, профессиональные, касающиеся здоровья и особых интересов. Об этом свидетельствует множество атак, которые нацелены на пользователей PayPal, Facebook, LinkedIn или Twitter.
К сожалению, компании и их клиенты слишком часто ошибочно убеждены в эффективности применяемых мер безопасности. Двухкомпонентная проверка подлинности, коды SMS, скретч-карты и зашифрованное соединение, по оценке пользователей, вполне достаточно, чтобы защитить себя от нападения.
Но чаще фишинг-мошенники «прогорают» на низком качестве содержания сообщений и ложных страниц. Несмотря на заметное улучшение внешнего вида имитаций сайтов, содержание сообщений по-прежнему напоминает эффект автоматического перевода с русского языка – через английский – на русский.
Однако, оказывается, что это не препятствие в реализации атак. Потребителям часто достаточно предоставление простой информации (например, название должности, фамилии и имени друга, название города проживания), чтобы дать себя убедить в «подлинности» сообщения.
Эти данные пользователи размещают на веб-сайтах социальных сетей, таких как Facebook или LinkedIn, а неправильные настройки конфиденциальности открывают большой простор для фантазии злоумышленников.
