Що таке фішинг, квішинг чи смішинг. У Польщі попереджають про нові види шахрайств – Наш вибір — інформаційний портал для українців у Польщі

Що таке фішинг, квішинг чи смішинг. У Польщі попереджають про нові види шахрайств

5 Лютого 2023
Що таке фішинг, квішинг чи смішинг. У Польщі попереджають про нові види шахрайств

Натиснув на підозрілий лінк, заінсталював невідомий застосунок чи залогувався на невідомій сторінці – так поляки (і не лише) можуть легко втратити свої заощадження. Про нові види шахрайств дізнаємось із Газети виборчої.


Польська поліція повідомила про над 10 тисяч комп’ютерних шахрайств у 2020 році (за словами Газети виборчої, це останні доступні дані від поліції, у них ідеться про 11 219  проваджень). Всупереч численним інформаційним кампаніям у соцмережах та повідомленням поліції, що застерігають від шахраїв, кількість ошуканих людей дедалі зростає (у 2019 році таких проваджень було понад 9,1 тисячі, у 2018 році – 5,8 тисячі).

Свіжі дані щодо інтернет-шахрайств надає зі свого боку Команда реагування на комп’ютерні надзвичайні ситуації CERT Polska (команда, що працює в структурі NASK – Наукової і академічної комп’ютерної мережі – Державного дослідницького інституту). 25 січня вони представили цифри, які отримали внаслідок повідомлень про онлайн-загрози: комп’ютерне шахрайство, активність шкідливих програм, публікацію образливого та незаконного контенту, спроби злому та збір інформації про користувачів.

Зібрані фахівцями дані показують, що протягом 2022 року поляки повідомили про понад 322 тисячі таких інцидентів. Це майже удвічі більше, ніж роком раніше.  Усі ці повідомлення були опрацьовані CERT, у результаті чого вийшло понад 39,6 тисячі унікальних інцидентів  (2021 році було понад 29 тисяч).

«Різниця між кількістю повідомлень і кількістю зареєстрованих унікальних інцидентів пов’язана з тим, що якщо ми маємо справу з масовою фішинговою кампанією, в рамах якої повідомлення розсилаються до кількох сотень тисяч, а іноді й до кількох мільйонів людей, навіть якщо ми отримуємо тисячі запитів щодо однієї кампанії, ми класифікуємо їх як один інцидент, як одну конкретну фішингову кампанію», – пояснює Івона Прушинська з CERT Polska NASK.

Вона наголошує, що кількість повідомлень про інтернет-загрози зростає, а це свідчить також про те, що зростає обізнаність поляків: «У 2022 році кіберзлочинці діяли дуже інтенсивно, але кількість повідомлень показує, що поляки стають дедалі обізнаними, щораз більше людей повідомляють про такі інциденти».

Зникнення «продавця»

Однак все ще існують люди, які стають жертвами шахраїв. Серед простих і відомих способів шахрайства поліція називає «інтернет-пропозиції, в яких обривається зв’язок». Наприклад, подібна ситуація трапилась із жителем Яворського повіту Нижньосілезького воєводства. Чоловік цікавився придбанням автомобіля. На одному із сайтів він знайшов оголошення про автомобіль, який «продавався у Німеччині, але міг бути ввезений до Польщі». Авто коштувало приблизно 86 тисяч злотих.

Обіцяли вигідні умови з доставки автомобіля. В оголошенні зазначалось, якщо хтось заплатить авансом усю суму, отримає першість купівлі. Для того, щоб зробити свою пропозицію вірогідною, шахрай надіслав зацікавленій стороні електронною поштою фотографії автомобіля та ксерокопії необхідних документів. Покупець спершу сплатив необхідний аванс, а потім і всю суму, але до цього часу так і не отримав покупку. Зв’язок із продавцем увірвався.  Саме тоді чоловік зрозумів, що став жертвою шахраїв.

Цього злочинця досі не затримали. Натомість нещодавно до рук поліції потрапив 19-річний шахрай, який у мережі продавав «квитки» на концерти зірок. Він видавав себе за жінку та розміщував у інтернеті оголошення про продаж перепусток на концерти за привабливими цінами. Ошуканих було кілька осіб. Загальна сума втрачених коштів – близько 4 тисяч злотих. Затриманому злочинцю загрожує кара навіть до 8 років позбавлення волі.

Фішинг, спуфінг

Зараз, однак, дедалі частіше практикуються більш складні види шахрайств. Більшість повідомлень, отриманих CERT, стосуються так званого фішингу.

Фішинг (від phishing / fishing – риболовля) – це спосіб шахрайства, який полягає у виманюванні («вивуджуванні») конфіденційних даних – найчастіше через «вхід» у соціальні мережі або електронний банкінг. «Під час віртуальної атаки шахрай намагається ввести нас в оману та переконати (…) відкрити інфікований вкладений файл, натиснути шкідливе посилання або увійти у вікно підробленого веб-сайту (наприклад, формуляри для електронних платежів). Для досягнення мети шахраї намагаються зв’язатися з жертвою за допомогою фіктивних електронних листів, смс-повідомлень, повідомлень у месенджерах та соціальних мережах. Шахрайство також може відбуватися через телефонну розмову (спуфінг, від spoofing — підміна), під час якої злочинець видає себе за співробітника громадських установ або іншого користувача», –  йдеться в «Абетці кібербезпеки», новому виданні експертів NASK.

Квішинг, вішинг та смішинг

Фішинг має багато форм. Одна з новіших — квішинг (quishing від QR-фішинг) — дані фішингуються вже не через посилання з електронних листів, а після того, як ми проскануємо QR-код. Іншими формами нелегального виманювання персональних даних є вішинг (vishing від voice phishing –  голосовий фішинг) дані та гроші вимагаються під час телефонної розмови) і смішинг (smishing — у якому інструментом атаки є текстові або SMS-повідомлення). Це можуть бути повідомлення із запитом невеликої доплати за відправлення від нібито кур’єрської компанії або вимога оплатити борг за надання електроенергії від енергопостачальника, чи повідомлення від нібито банку про блокування нашого рахунку разом із посиланням для його «розблокування».

«Коли люди натискають на посилання в текстових повідомленнях, шахраї отримують несанкціонований доступ до банківських рахунків. Потім вони генерують блік-коди або заходять на наші банківські рахунки і знімають готівку в банкоматах», — попереджає Рафал Яжонб з поліцейської дільниці у Вроцлаві.

Шахрайства у фейсбуці. Лайкджекінг / клікджекінг

Схемою фішингової кампанії, яку найчастіше спостерігали фахівці, був фішинг даних для входу у Facebook. Іншою формою шахрайства в соціальних мережах є так званий лайкджекінг (likejacking – захоплення лайків).

«Іноді кібершахраї, які хочуть збільшити кількість переглядів вибраних профілів, щоб отримати вигоду від розміщеної там реклами, використовують лайки. Для цього вони намагаються зацікавити якомога більше користувачів Інтернету новинами, що шокують, або іншими привабливими матеріалами. Тих, хто потрапляє на гачок, перенаправляють на сторінку, де вони нібито повинні знайти детальну інформацію. Однак, користувач отримує не очікуваний вміст, а створену сторінку з невидимою рамкою, яка активується кліком», – застерігають у CERT.

Користувач «клікає» на таку рамку і шахраї захоплюють його профіль. «Обліковий запис може стати видимим для всіх (ваші налаштування конфіденційності будуть змінені), на стіні з’явиться повідомлення про те, що вам подобається фейкова сторінка, а вашим друзям буде розсилатися спам. На додаток, невдалий клік може спровокувати встановлення програми, яка намагатиметься вимагати гроші, завантажувати інше шкідливе програмне забезпечення та продовжувати поширюватися серед людей із вашого списку друзів», – говорять фахівці.

Польська поліція закликає не лише не переходити на невідомі посилання, а й не завантажувати різноманітні додатки з невідомих джерел. У Газеті виборчій наводять приклад: нещодавно жертвою шахраїв став житель Вроцлава. 47-річному чоловікові зателефонував шахрай, який представився працівником служби безпеки банку, змусив чоловіка встановити на своєму пристрої додаток, за допомогою якого кілька разів було знято кошти на загальну суму майже 1000 злотих.

Фальшиві назви сайтів

Ще одна пастка – фальшиві домени. Шахраї можуть фішингувати наші дані, створюючи адреси веб-сайтів, наприклад, банків, надзвичайно схожі на офіційні. Наприклад, замість літери «О» в адресі використовують цифру «0».

У січні команда CERT Polska застерігала від нового варіанту шахрайства – нібито від Міністерства фінансів. Шахраї на фейковому сайті повідомили про «нову постанову». Згідно з документом, громадяни Республіки Польща, через зростання безробіття та міграцію, пов’язану з російською агресією, матимуть право на одноразову виплату грошової допомоги. На фейковому сайті міністерства було розміщено фальшивий наказ та посилання на форму для подання детальної персональної, контактної та банківської інформації. Після введення цієї інформації жертва отримувала на електронну пошту або SMS-посилання для входу в свій банк, а під час логування надавала зловмисникам повний доступ до свого рахунку.

«Наш вибір» писав також про шахрайську схему, скеровану на громадян України, коли на вулицях польських міст з’явилися оголошення про те, що нібито з метою допомоги українським дипломатичним установам Управління до справ іноземців проводить збір персональної інформації. Тоді ж подібну фальшиву вимогу почали отримувати українці електронною поштою від «польського міністерства».

Поліція попереджає, що після отримання смс-повідомлення, електронної пошти чи інших видів повідомлень, які містять посилання, не натискати на лінк, а перевірити правдивість інформації, сконтактувавшись безпосередньо із банком, постачальником електроенергії чи кур’єрською компанією. Поліцейські закликають звертати увагу на вміст повідомлень:  ті, що надіслані шахраями, часто містять орфографічні помилки, вказано неправильну адресу електронної пошти, а перед адресою веб-сайту може бути невідповідна фраза.

Про будь-які спроби фішингу та шахрайства можна повідомити Команду реагування на комп’ютерні надзвичайні ситуації CERT – incydent.cert.pl.

Джерело: Газета виборча

Читайте також: У Польщі все більше українців потерпають від шахраїв. Як себе захистити?

Новини від “Нашого вибору” в Телеграмі
підписатись