Немного про фишинг и безопасность на Pokupo.ru

Поговорим о фишинге. Сколько будет жить и развиваться Интернет, столько будет жить и прогрессировать интернет-мошенничество. Попробуем защититься от него раз и навсегда. Конечно, не получится. Но нижеприведённая памятка всё же должна пригодиться.

Источники:

— securelist.ru

— ru.wikipedia.org 

— avast.ru 

Фишингу очень помогает социальная инженерия. Это наука, помогающая прогнозировать поведение человека в той или иной ситуации, и как следствие, «программировать» человека на совершение определённых действий. Иногда эту науку связывают как раз только с фишингом. Но она помогает и в других сферах. В том же маркетинге, например. Так или иначе социальная инженерия всегда связана с манипуляциями человеком.

Под фишингом понимается интернет-мошенничество, целью которого является получение доступа к аккаунтам жертвы и затем к его средствам. Но немного раньше интернет-мошенничества начало процветать мошенничество телефонное, которое тоже не иначе, как фишингом, назвать нельзя. Классический телефонный разговор или смс-сообщение начала 2000-х: «Мама, я попал в аварию, скинь денег на эту карту, мне не звони, потом объясню». Если фишер попал в точку, то у мамы возникает стресс, в состоянии которого она способна на спонтанные и необдуманные поступки. 

Тот же механизм срабатывает в интернете. Фишер шлёт письмо в социальную сеть или на почту. Тематика может быть обширной, статистика выше приведена. Например, сообщение о том, что ваша карта заблокирована, а для её разблокировки нужно перейти по данной ссылке и ввести логин-пароль. 

Необходимо помнить, что главным другом фишера является стрессовая ситуация, в которую попадает жертва. Не обязательно отрицательная — большой выигрыш — тоже стрессовая ситуация, только положительная. Под влиянием эмоций человек способен на ошибку. Соответственно главным врагом фишера будет спокойствие и рассудительность жертвы. 

Что нужно помнить при получении подозрительного сообщения?

1. Не доверять незнакомым пользователям, а также знакомым но с несвойственным им поведением (значит, его могли взломать)

2. Знать, что процент выигравших в какие-то лотереи катастрофически меньше процента клюнувших на уловку фишера (более 15% пользователей, по данным Лаборатории Касперского, ежегодно подвергаются атакам фишера)

Как нужно действовать?

1. Никогда не переходить по ссылке и тем более скачивать вложенные файлы в подобные письма

2. Если вам говорят, что ваша карта заблокирована, прежде всего нужно зайти в онлайн-банк либо позвонить по горячей линии и проверить достоверность сообщения. Но опять же ни в коем случае нельзя брать телефон или сайт из этого письма. Правильно найти через поисковик или через свои закладки. 

3. Через поиск найти сайт, который вам предлагают посетить. Но это может быть рискованно. 

4. Оставить жалобу на сайт в Роскомнадзоре, поисковиках, а также можно пожаловаться сервису, предоставившему доменный адрес. Так вы и сайт заблокируете, и возможно, спасёте чьи-то кошельки.

Какие ещё меры предосторожности нужно предпринять в Сети?

1. Попадая на любой сайт, всегда нужно следить за защищённым соединением (должно быть https, хотя сейчас фишеры могут использовать и такое, но оно всё же безопаснее). Может быть, вы уже на поддельном сайте.

2. Проверять домен первого уровня ([site].com не равен [site].ru)

3. Хранить пароли в надёжном месте

4. Не сообщать их незнакомым пользователям и даже после предоставления знакомым — менять на новые. Что знают двое — знает уже весь мир.

5. Регулярно обновлять используемый браузер и антивирус

6. Если есть возможность, включать на сайтах двухфакторную авторизацию (при которой введение пароля предполагает ещё и дополнительное подтверждение через коды).

Сайт Pokupo.ru пока не такой популярный, поэтому тьфу-тьфу фишеры нами ещё не интересовались. Но вот когда Покупо ещё не было, а была платёжная система Z-Payment, её подделка случалась регулярно. 

Ну и раз затронули вопросы безопасности, напоминаем, что нужно сделать, чтобы аккаунт и средства в вашем личном кабинете на Pokupo.ru были максимально защищены. 

1. Включить двухфакторную авторизацию в личном кабинете (коды приходят вам на почту и по смс).

2. Включить дополнительную авторизацию при выведении средств со счёта.

3. Можно прописать IP-адреса, с которых вы заходите.

4. Хранить пароли в надёжном месте (идеальнее всего — менеджер паролей). 

5. Регулярно обновлять браузеры и антивирус.

6. Для личного кабинета использовать отдельный почтовый адрес.

7. Включить уведомления по почте и по смс о выводе средств.

Разумеется, перечень открыт. Совершенствоваться в безопасности можно так же бесконечно, как и в самом фишинге. И да пребудет сила с вами, а не с ними!