Нещодавно аналітики з компанії Positive Technologies опублікували звіт, в якому назвали найпоширеніші види фішингового шахрайства станом на 2021 рік. Вони кажуть, що із зростанням популярності віддаленного режиму роботи та епідемією COVID-19, найпопулярніші теми звісно були пов’язані з цими двома. Проте шахраї використовували і інші не менш широко розповсюдженні теми сучасного онлайн-світу, зокрема різні онлайн-сервіси, сайти знайомств та інвестиції в газ, нафту, криптовалюту. Для інвестиційних ентузіастів вони створювали навіть цілі шахрайські платформи. Можна сказати, що практично для всіх потенційних жертв шахраї вигадали різного роду відповідні схеми. Минулий рік, звичайно, був неспокійним, оскільки світ досі переживав епідемію, але шахраї не витрачали зайвого часу, щоб підзаробити. Ці конкретні особи різними хитрими способами намагалися заманити людей у свої схеми. Згідно зі статистикою проведеного дослідження, кількість шахрайських атак, спрямованих спеціально на індивідуальних осіб з використанням методів соціальної інженерії, зросла з 67% у 2020 році до 83% у 2021 році.
Найпопулярніші шахрайські схеми в 2021 році
Згідно з дослідженням Positive Technologies, найпопулярнішими темами 2021 року, які експлуатувалися шахраями, стали:
Інвестиції в нафту, газ та криптовалюту. Зі збільшенням популярності приватних інвестицій шахраї навіть створювали інвестиційні платформи для проведення шахрайських операцій. Вони також імітували ресурси відомих і з широкою публічною довірою компаній. Таким чином шахраї проводили кампанії, вдаючи, що пропонують справжні пропозиції щодо інвестування. На додачу, обіцяючи дуже вигідні перспективи прибутку.
Підписки на онлайн послуги. Шахраї використовували зростаючу популярність різних онлайн-сервісів і пропонували людям різні підроблені підписки під виглядом офіційних або інших сумнівних послуг, на які нічого не підозрюючі жертви могли підписатися. Особи також могли отримати пропозиції підписки на послуги, які вони ніколи не замовляли, або фейкову підписку на послуги, якими вони справді користуються.
Онлайн знайомства. Шахраї використовували природну потребу людей у спілкуванні та обманювали їх фальшивими побаченнями і подібним. Іноді вони навіть могли створювати цілі драматичні історії вигаданих героїв, щоб хтось повірив, що він чи вона потрапили в біду, і в ході схеми просили у жертв гроші на допомогу. Або в інший спосіб, наприклад, вони прикидалися знайомими жертви і проводили подібну схему, тільки тут люди були схильні більше вірити шахраям, оскільки насправді знали людину, за яку шахраї видавали себе. Відсоток успішних шахрайств тут міг бути дуже високим, оскільки онлайн-комунікації в наш час займають більшість часу людей, і дослідники припускають, що такий вид шахрайства не скоро занепаде.
Шахрайство в індустрії туризму. Шахраї робили різні пропозиції різноманітних знижок і на перший погляд дуже привабливих пропозицій купити дешеві авіаквитки. У подібних випадках жертви не завжди знали,куди “приведе” їхня подорож. Це міг бути Єгипет, а могла бути просто втрата грошей.
Поштова служба. Тут жертви могли отримувати фейкову офіційну та неофіційну кореспонденцію на свою електронну пошту. Зазвичай це були такі послуги, як «перевірка статусу вашого замовлення», різні перевірки платежів, повідомлення про різного роду замовлення тощо. Наприклад, потенційні жертви отримували підроблені повідомлення про замовлення, які вони насправді ніколи не робили. Але шахраї вміло надсилали конкретні шахрайські замовлення конкретним жертвам. Якщо вони якимось чином знали, що ви точно робили попереднє замовлення в певній компанії,то тоді потенційна жертва, швидше за все, отримувала електронний фейковий лист саме від такого “фейкового”відправника.
Банківська клієнтура. У цій категорії шахраї маскувались під відомі та з широкою довірою публіки банківські установи, щоб «пропонувати» жертвам різні послуги або розсилати повідомлення про ймовірні проблеми з рахунками в банках жертв. Крім того, вони ще «пропонували» різноманітні бонуси, пільгові кредити тощо.
Спортивні події. У 2021 році шахраї використовували теми Олімпіади в Токіо, Чемпіонату Європи з футболу і вже почали експлуатувати тему майбутнього ЧС-2022. Шанувальникам подібних заходів і просто тим, хто ними цікавиться, варто остерігатися шахрайств під прикриттям таких тем.
Гучні прем’єри серіалів і фільмів. Експерти кажуть, що дана тематика принесла шахраям один з найбільших «урожаїв». Під час найгучніших резонансних прем’єр шахраї маскувались під популярні потокові сервіси, щоб таким чином “виловити” чиюсь персональну інформацію.
Корпоративні розсилки. Дослідження показало, що найуспішнішими також були шахрайські листи, замасковані під інформаційні бюлетені про оновлення соціальних пакетів та банківські витрати, зміни зарплат. Здається, люди другий раз не думають,коли випадає нагода обговорити свою зарплату навіть з потенційними шахраями. Але головною темою року дослідники назвали COVID-19. Тут шахраї пропонували підроблені QR-коди та сертифікати. Вони також проводили шахрайські анкетування про щеплення співробітників під прикриттям законного збору даних.
Крім того, дослідники прогнозують, що в майбутньому фішинг-шахрайство може перерости в більш складні форми і навіть виробити бізнес-модель фішингу як послуги. У такій моделі шахраї зможуть купити вже створені шахрайські сайти або шкідливі скрипти. Це також дасть їм можливість працювати у співпраці з іншими шахраями.
«У 2022 році ми також очікуємо збільшення кількості фішингових атак, пов’язаних з темами значущих подій, зокрема масових розсилок з приводу Чемпіонату світу з футболу чи Зимових Олімпійських ігр. А у зв’язку з виходом прототипу цифрового рубля зловмисники можуть створювати фейкові сайти, що будуть пропонувати купити цифрову валюту. Також можна очікувати більший розвиток шахрайських схем із використанням соціальної інженерії у сфері інвестуваннь», – каже Катерина Кілюшева, керівник дослідницької групи Департаменту аналітики інформаційної безпеки компанії Positive Technologies.
Як уникнути фішингового шахрайства?
Наприкінці звіту фахівці дали кілька рекомендацій, як не потрапити на шахрайство за тими ж, що описані вище, або подібними схемами. Вони ще раз нагадують, що користувачі завжди повинні перевіряти фактичну адресу відправника електронної пошти. Не переходьте ні за якими підозрілими посиланнями, якщо вони присутні в електронному листі. Перш ніж вводити будь-яку інформацію на сайті, переконайтеся, що він є офіційним. Здійснюйте бронювання готелів, квитків, а також оформлюйте підписку лише на надійних і відомих сайтах. Щоб уникнути зараження шкідливим програмним забезпеченням, скануйте кожен надісланий файл. Для корпоративних мереж це слід робити в пісочницях.
Хоча шахраї щоразу все хитромудріше розробляють свої тактики, є деякі загальні ознаки, які можуть допомогти вам розпізнати потенційні фішингові атаки. А саме те, що часто ці листи виглядають як листування від відправників, з якими ви раніше мали справу. Але крім того, такі листи несуть в собі певні легенди в текстах, які при уважному розгляді можуть викрити фішинг. Фішингові електронні листи можуть пропонувати вам купон на безкоштовні речі або повідомляти, що ви маєте право зареєструватися на державне відшкодування. Вони можуть включати підроблений рахунок-фактуру та в інших випадках закликати вас здійснити певну оплату. Будьте обережні, якщо він стверджує, що вам потрібно підтвердити деяку особисту інформацію. Інші типи шахрайських електронних листів міститимуть тексти про ймовірну підозрілу активність або спроби входу в деякі з ваших облікових записів. Шахраї також можуть написати вам про “проблеми” з обліковим записом або платіжною інформацією.