Что вам нужно знать о фишинге?

Фишинг (phishing) – вид интернет-мошенничества, главной целью которого является получение конфиденциальной информации пользователя. Обычно к этому относятся логины и пароли от финансовых аккаунтов. В случае с криптовалютой – это приватный ключ. При наличии данных для входа мошенники обычно очень быстро выводят деньги жертв на собственные аккаунты и просто исчезают.

Описание техники фишинга было доступно уже в 1987 году. С появлением интернета способы выуживания информации перекочевали в цифровой мир, потому что большинство активов на сегодняшний день хранятся именно в цифровом виде. При этом традиционные “разводы” по телефону до сих пор распространены.

Популярные техники фишинга

Первое, что приходит в голову, когда думаешь о фишинге – электронные письма. Практически каждый сталкивался со служебными письмами из банков и других сервисов. Но это не единственные техники фишинга на сегодняшний день:

• Вишинг (vishing) – это вид голосового мошенничества. Например, вам звонят из службы безопасности финансового учреждения и сообщают, что у вас в аккаунте была замечена подозрительная активность. Далее во время разговора у человека выуживают нужную информацию.
• Смишинг (smishing) – это вид мошенничества с помощью смс-сообщений. Чаще всего текст таких сообщений содержит уведомление о блокировке счета, краже активов или попытке взлома аккаунта.
• Почтовый фишинг – наиболее распространенная форма кражи личных данных. В таком случае пользователю приходит письмо на электронную почту, сообщая о манипуляциях, проблемах с аккаунтом или предлагая пройти тестирование за вознаграждение.
• Фишинг в поисковых и социальных сетях. Этот тип предполагает помещение в поисковую выдачу поддельного сайта, а в социальных сетях могут от имени “официального” аккаунта рассылать личные сообщения или отмечать вас в публикациях.

Это только часто встречающиеся типы фишинга. В действительности их больше 10. И все они работают по одному принципу.

Какие предлоги используют мошенники, чтобы украсть ваши данные?

Профессионалы своего дела используют десятки предлогов, чтобы заставить вас поделиться с ними конфиденциальной информацией. Все эти уловки можно разделить на две группы.

1. Служебное сообщение. В таком уведомлении вас попросят актуализировать информацию на сайте, предложат протестировать новую функцию с обязательной авторизацией, расскажут о подключении новой услуги и предложат перейти на сайт, чтобы узнать как она работает.
2. Сообщения с кражей, взломом аккаунта, неавторизованными транзакциями. От первого типа отличается содержанием – в этом случае давление на психику ощущается более остро.

В основе всех уведомлений такого рода лежит социальная инженерия. То есть попытка манипулировать человеком, чтобы узнать необходимую информацию. При чем везде используется упоминание срочности, что якобы нужно перейти по ссылке именно сейчас иначе будет поздно.

Если говорить о служебных сообщениях, то для воздействия на человека используется награда или необходимость произвести актуализацию своих данных в целях безопасности.

Как защититься от фишинга?

Важно не только понимать в чем заключается фишинг, но и что вам нужно делать, чтобы защититься от такого рода атак и последствий.

Способ 1: внимательно проверять адрес сайта, на котором хотите авторизоваться. Часто в url-адресе страницы отличается домен одной буквой, иногда регистром. При этом, изменения практически незаметны глазу. Например, 1-l, I-l (английская большая буква “I” и маленькая английская “l”). Также не рекомендуем вводить пароли и логины на сайтах без протокола https (рядом с ним стоит значок замка). Он защищает соединение и шифрует данные.

Способ 2: не переходить по подозрительным ссылкам из сообщений и писем. Вы должны понимать, что никаких бесплатных розыгрышей не бывает. Поэтому не рассчитывайте на бесплатные подарки, если не хотите распрощаться со своими средствами. Даже если мероприятие реально, то призы там довольно скромные и приурочены к годовщине работы сервиса, общему количеству транзакций в сети. Хотя такую информацию лучше перепроверять через работников учреждения.

Способ 3: если вы ищете сайт, на котором хотите приобрести финансовые активы или обменять их, то выбирайте надежных провайдеров финансовых услуг. Они гарантируют сохранность ваших данных и денег.

Способ 4: проверяйте поступающую информацию. Если вам пришло сообщение о блокировке вашего аккаунта, то обязательно сначала свяжитесь с официальной службой поддержки сервиса от которого пришло уведомление. Канал связи можно найти на официальном сайте. Узнайте у представителей компании о блокировке.

Помните, что сотрудники финансовых организаций сами никогда у вас не спросят данные вашего аккаунта (логины, пароли, приватные ключи)!

Какие действия мы предпринимаем для вашей защиты?

Криптовалютный рынок полон рисков. Мы понимаем это и с ответственностью относимся к безопасности наших клиентов. Помимо хранения основных активов на холодных кошельках и использования двухфакторной аутентификации, мы дополнительно внедрили метод подтверждения подлинности электронного письма. Для этого используем функцию Анти-Фишинг (Anti-Phishing). При ее включении вам будет предложено ввести собственный код, который будет сигнализировать, что письмо пришло именно от нас.

Как подключить эту функцию?

1. Войдите в ваш аккаунт.
2. Зайдите на вкладку Безопасность.
3. Найдите под полями для изменения пароля Анти-Фишинг.
4. Нажмите на кнопку Включить и введите придуманный вами код.
5. Затем сохраните настройки.

После того как вы сохраните этот код, каждый раз, когда вам будет приходить электронное письмо технического характера от WhiteBIT, оно будет содержать этот код (это не относится к промо письмам).

Таким образом, вы сможете проверять подлинное ли письмо, сверяя код в тексте письма и ваш собственный.

Запомните:

• технические письма (вывод средств и пополнение баланса, WhiteBIT-коды, смена пароля) приходят с домена whitebit.com;
• промо письма (обучающий контент, новые листинги) рассылаются с домена whitebit.promo.

Рекомендуем вам быть осторожными и подходить к чтению подозрительных уведомлений с холодной головой. Фишинг рассчитан на незамедлительную реакцию на фоне всплеска интереса или нервов. Но стоит трезво оценить ситуацию и, возможно, вы увидите, что вас просто хотят обмануть.

Желаем вам сохранности ваших активов!