Fishing. Фишинг атака - подделка станиц сайта

Атака на посетителей сайта

Фишинг (fishing) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей.


Основное фишинг атак - хищение учетных данных доступа пользователей к сайтам, личным кабинетам, доступам к почтовым и платежным интернет сервисам.
Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков (Ситибанк, Альфа-банк), сервисов (Google, Яндекс, Rambler, Mail.ru) или внутри социальных сетей (Facebook, Вконтакте, Одноклассники.ru).

В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того, как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к почтовым ящика, банковским счетам, страницам социальных сетей и т.п.

Большинство методов фишинга сводится к тому, чтобы замаскировать поддельные ссылки на фишинговые сайты под ссылки настоящих организаций. Адреса с опечатками или субдомены часто используются мошенниками. Например, http://www.examplebanc.ru/ похож на адрес http://www.examplebank.ru/, а на самом деле ссылается на фишинговую страницу, внешне неотличимую от оригинала.

Другая распространённая уловка заключается в использовании внешне правильных ссылок, в реальности ведущих на фишинговый сайт. (подмена ссылок).

Обман не заканчивается на посещении жертвой фишингового сайта. Некоторые фишеры используют JavaScript для изменения адресной строки. Это достигается либо путём размещения картинки с поддельным URL поверх адресной строки либо закрытием настоящей адресной строки и открытием новой с поддельным адресом.

Фишинг — одна из разновидностей социальной инженерии, основанная на незнании пользователями основ информационной безопасности: в частности, многие не знают простого факта:
сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.
Человек всегда реагирует на значимые для него события. Поэтому фишеры стараются своими действиями встревожить пользователя и вызвать его немедленную реакцию. Поэтому, к примеру, электронное письмо с заголовком «чтобы восстановить доступ к своему аккаунту …», как правило, привлекает внимание и заставляет человека пройти по веб-ссылке для получения более подробной информации.


Защита от фишинга

Фишинг не является угрозой для сайта. Это атака на пользователей сайта.
Если Ваш сайт популярен, и содержит конфиденциальную информацию своих пользователей, следует позаботится о безопасности этих данных.
В первую очередь - это профилактические меры: популярный ресурс должен предупредить своих пользователей об угрозе фишинга, и призвать их быть внимательными. Использование SSL сертификатов будет дополнительной мерой доверия к Вашему сайту.



Сканер уязвимостей сайтов онлайн Проверьте, наколько устойчив к взлому Ваш сайт