Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Роскачество предупреждает о росте числа фишинговых атак, имитирующих онлайн-банки

02/09/20

hack bank2-2С весны 2020 года происходит резкий рост фишинговых атак, которые нацелены на клиентов российских банков. За один только июль было обнаружено более 300 фальшивых страниц, якобы принадлежащих кредитным организациям. Эти псевдосайты выдаются в поисковике и активно рекламируют себя в сети. Эксперты Центра цифровой экспертизы Роскачества рассказывают о последствиях попадания на такие сайты и поясняют, как себя обезопасить от такого вида мошенничества.

Эти фишинговые сайты с высокой точностью имитируют страницы входа в личный кабинет банковского обслуживания (вариант: предложение пройти опрос от имени банка с обещанием приза). Как правило, после ввода логина и пароля мошенники предлагают пользователю для ускорения или улучшения качества обслуживания скачать плагин для браузера, под видом которого пользователю доставляется троян, ворующий его персональные и платежные данные.

Часто также бывает, что после оплаты с карты на фишинговом сайте появляется сообщение, что оплата не прошла. Жертва мошенников пробует оплатить повторно, и в итоге деньги списывают за все попытки.

Человек, который случайно воспользовался таким сайтом вместо настоящего, рискует лишиться денег на карте, заразить все свои устройства вирусом и стать объектом постоянной бомбардировки рекламой и мошенническими предложениями. Поэтому лучше “отстреливать на подлете” фишинговые страницы, распознав очевидные признаки жульничества.

Соблюдение этих простых правил от Центра цифровой экспертизы Роскачества поможет вам не стать жертвой мошенников:

  • Старайтесь не входить в мобильный банк через браузер, а использовать приложение на мобильном телефоне (на телефоне должен быть антивирус, который надо регулярно обновлять и проводить проверку файлов). Использование десктопного варианта мобильного банка через браузер на телефоне вместо приложения не рекомендуется.
  • Если вы используете декстопный браузер для входа в онлайн-банк на ПК или ноутбуке, обязательно регулярно проверяйте компьютер антивирусом.
  • Запомните и набирайте адрес онлайн-банка в браузере каждый раз вручную вместо того, чтобы искать и выбирать результат из поисковой выдачи. Это минимизирует риск пройти по фишинговой ссылке в поисковой выдаче. Установка в браузере закладки с актуальным адресом банка также не является полностью безопасной, т.к. определенное вирусное ПО умеет подменять ссылки в избранном.
  • Если же вы перешли на страницу банка по ссылке из поисковой выдачи, обратите пристальное внимание на адресную строку: мошенники, как правило, копируют адрес страницы, но помещают его в экзотическую доменную зону вроде .cf или .icu. Другой частый вариант, когда к официальному домену банка мошенники добавляют один или несколько символов и якобы служебные приставки вроде «online», «cabinet», «vhod» и «login».
  • Для входа в Сбербанк Онлайн (который, наряду с ВТБ, подделывают чаще всего), нужен только логин, личный пароль или одноразовый код из СМС. При запросе на сайте любой другой персональной или платежной информации, например, номера банковской карты или мобильного телефона, покиньте сайт и напишите в техподдержку банка.
  • Признаки мошенничества можно, как правило, найти и на самом фишинговом сайте: небрежное оформление, новые незнакомые формы (например, для ввода кода из СМС сразу на главной странице), неработающие ссылки на разделы, скопированные с официальной страницы; неправильные телефоны, и так далее.
  • Соблюдайте базовые правила безопасности при использовании мобильного банка: не заходите в личный кабинет с общественного Wi-Fi; никому не сообщайте пароли для входа в онлайн-банк; убедитесь, что адресная строка начинается с префикса https://, никогда не вводите пароли якобы для отмены операции, которые вам прислали.
  • Соблюдайте базовые правила против фишинга: не переходите по ссылкам в почте и мессенджерах от незнакомых отправителей, не открывайте прикрепленные файлы. Предложение очень выгодной акции должно вас не заинтриговать, а насторожить. Убедитесь, что антивирусное программное обеспечение всегда включено и обновлено до последней версии, поскольку это обеспечит дополнительный уровень защиты. Никогда и никому не сообщайте свои платежные данные.
  • Всегда обращайте внимание на сумму в СМС с кодом от банка.

«Основной способ защитить себя от онлайн-мошенничества – это быть предельно внимательным в сети и делать осознанно каждый шаг. Все, что делается быстро, на автомате, уже несет потенциальную угрозу, потому что вы не контролируете свои действия и можете случайно установить на устройство вредоносную программу или отдать свои данные не в те руки», – подытожил Антон Куканов, руководитель Центра цифровой экспертизы Роскачества.
Темы:приложенияБанки и финансыРоскачествоУгрозыфишинг
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

  • Как соответствовать требованиям ЦБ РФ при защите мобильных приложений
    Юрий Шабалин, Ведущий архитектор Swordfish Security
    Профиль защиты прикладного программного обеспечения – это методический документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • Топ-8 ошибок соответствия ГОСТ 57580.1
    Константин Чмиль, консультант по ИБ RTM Group
    Регулятор вводит все новые положения, которые собраны в ГОСТ 57580.1 и ужесточаются год от года. Если постоянно проходить проверку на соответствие требованиям этого документа, то вероятность возникновения инцидентов можно свести к минимуму.
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...