Как работают фишинговые сайты?
Эти фишинговые сайты с высокой точностью имитируют страницы входа в личный кабинет банковского обслуживания (вариант: предложение пройти опрос от имени банка с обещанием приза). Как правило, после ввода логина и пароля мошенники предлагают пользователю для ускорения или улучшения качества обслуживания скачать плагин для браузера, под видом которого пользователю доставляется троян, ворующий его персональные и платежные данные.
Часто также бывает, что после оплаты с карты на фишинговом сайте появляется сообщение, что оплата не прошла. Жертва мошенников пробует оплатить повторно, и в итоге деньги списывают за все попытки.
Человек, который случайно воспользовался таким сайтом вместо настоящего, рискует лишиться денег на карте, заразить все свои устройства вирусом и стать объектом постоянной бомбардировки рекламой и мошенническими предложениями. Поэтому лучше «отстреливать на подлете» фишинговые страницы, распознав очевидные признаки жульничества.
Как не попасть в ловушку
Соблюдение этих простых правил от Центра цифровой экспертизы Роскачества поможет вам не стать жертвой мошенников:
-
Старайтесь не входить в мобильный банк через браузер, а использовать приложение на мобильном телефоне (на телефоне должен быть установлен антивирус, который надо регулярно обновлять и с помощью которого проводить проверку файлов). Использование десктопного варианта мобильного банка через браузер на телефоне вместо приложения не рекомендуется.
-
Если вы используете десктопный браузер для входа в онлайн-банк на ПК или ноутбуке, обязательно регулярно проверяйте компьютер антивирусом.
-
Запомните и набирайте адрес онлайн-банка в браузере каждый раз вручную вместо того, чтобы искать и выбирать результат из поисковой выдачи. Это минимизирует риск пройти по фишинговой ссылке в поисковой выдаче. Установка в браузере закладки с актуальным адресом банка также не является полностью безопасной, так как определенное вирусное ПО умеет подменять ссылки в избранном.
-
Если же вы перешли на страницу банка по ссылке из поисковой выдачи, обратите пристальное внимание на адресную строку: мошенники, как правило, копируют адрес страницы, но помещают его в экзотическую доменную зону вроде .cf или .icu. Другой частый вариант, когда к официальному домену банка мошенники добавляют один или несколько символов и якобы служебные приставки вроде «online», «cabinet», «vhod» и «login».
-
Для входа в Сбербанк Онлайн (который, наряду с ВТБ, подделывают чаще всего) нужен только логин, личный пароль или одноразовый код из СМС. При запросе на сайте любой другой персональной или платежной информации, например номера банковской карты или мобильного телефона, покиньте сайт и напишите в техподдержку банка.
-
Признаки мошенничества можно, как правило, найти и на самом фишинговом сайте: небрежное оформление; новые, незнакомые формы (например, для ввода кода из СМС сразу на главной странице); неработающие ссылки на разделы, скопированные с официальной страницы; неправильные телефоны и так далее.
-
Соблюдайте базовые правила безопасности при использовании мобильного банка: не заходите в личный кабинет с общественного Wi-Fi; никому не сообщайте пароли для входа в онлайн-банк; убедитесь, что адресная строка начинается с префикса https://; никогда не вводите пароли якобы для отмены операции, которые вам прислали.
- Соблюдайте базовые правила против фишинга: не переходите по ссылкам в почте и мессенджерах от незнакомых отправителей, не открывайте прикрепленные файлы. Предложение очень выгодной акции должно вас не заинтриговать, а насторожить. Убедитесь, что антивирусное программное обеспечение всегда включено и обновлено до последней версии, поскольку это обеспечит дополнительный уровень защиты. Никогда и никому не сообщайте свои платежные данные.
- Всегда обращайте внимание на сумму в СМС с кодом от банка.
Основной способ защитить себя от онлайн-мошенничества – это быть предельно внимательным в Сети и делать осознанно каждый шаг. Все, что делается быстро, на автомате, уже несет потенциальную угрозу, потому что вы не контролируете свои действия и можете случайно установить на устройство вредоносную программу или отдать свои данные не в те руки.