признаки фишинга
Сегодня я расскажу, как почти попалась на приманку интернет-мошенников. Осознание этой ситуации было для меня просто шокирующим. Я была уверена, что знаю достаточно много про всякие разводы в Интернете и веду себя в Сети осторожно: уж кого-кого, а меня-то обмануть точно не выйдет! Но нет, жизнь постоянно преподносит новые сюрпризы.
Я неспешно присматривала себе новый смартфон. Подобрала неплохую модель в среднем ценовом диапазоне — не iPhone, конечно, но c вполне приличными отзывами, которые я как раз изучала на одном из популярных маркетплейсов. Под одним из рассказов о достоинствах и недостатках выбранной модели обнаружился любопытный комментарий: «Телефончик просто супер! Сейчас на него хорошая акция есть, можно по докризисной цене купить» — и ссылка. Я, не задумываясь, кликнула по ней.
Магазин хороший и акции интересные
Открылась страница крупного интернет-магазина, имя которого у всех на слуху, с узнаваемым дизайном… Но о дизайне я даже не думала, ведь цена была просто отличная! Раза в полтора ниже, чем в других местах.
Мне стало любопытно: может, на этой распродаже найдется еще что-то хорошее? Посмотрю на айфоны… Вау, последняя модель стоит лишь чуть больше, чем я готова была потратить на китайца! Какая-то невероятная удача. Надо брать, пока распродажа не кончилась! Кстати, она ведь должна была уже закончиться — на странице написано, что распродажа идет до конца месяца, а сегодня уже первый день следующего…
Почему бы не побаловать себя iPhone за полцены?
Наверное, продлили или забыли снять акцию — неважно, главное, что цена пока старая, убедила себя я. Рука уже тянулась к кнопке «Купить», но в этот момент Kaspersky выдал предупреждение о том, что это опасный сайт и доверять ему нельзя.
Торможу, выдыхаю и начинаю изучать проблему. Так и есть, мошенники!
Сайт мимикрирует под известный сетевой магазин электроники, недаром он показался мне знакомым: название, дизайн — практически все совпадает, кроме нескольких мелочей.
Первая мелочь — в адресной строке браузера. Вместо привычного «известный_магазин.ru» там красуется «известный_магазин.ru-acw.xyz«. Сходство в начале полное, подсознание его считывает как что-то знакомое и потому подлежащее доверию. Но это совсем другой адрес, в другом домене и даже доменной зоне.
Какое интересное доменное имя!
Разумеется, магазин не обязан быть в доменной зоне.ru или.com, хотя это и самые привычные варианты. Но имитация имени известного бренда в сочетании со странными дописками, несомненно, тревожный звонок. Большие и популярные магазины стараются избегать сомнительных нагромождений в адресах — ведь покупатели должны легко их находить. Так что чаще всего домен второго уровня у таких сайтов содержит просто название компании.
Как устроено доменное имя?
Полное доменное имя сайта состоит из доменов разных уровней, разделённых точкой. Уровни доменного имени считаются справа налево. Домен первого уровня обычно указывает на страну или категорию, к которой относится сайт (.ru — Россия, .com — коммерческая организация). Домен второго уровня чаще всего совпадает с названием компании. Домен третьего уровня, или поддомен, обычно используется для обозначения подразделов сайта.Перед доменным именем в адресной строке указывается протокол доступа:
- https:// — защищенный протокол, данные при передаче шифруются;
- http:// — незащищенный протокол, данные передаются в открытом виде.
После доменного имени ставится слэш (/), а за ним следует адрес конкретной страницы или раздела сайта.
Доменное имя уникально, и его невозможно ни подделать, ни создать поддомен без разрешения владельца домена, поэтому мошенники часто полагаются на невнимательность пользователей. Они либо регистрируют похожие доменные имена, отличающиеся одной-двумя буквами, либо придумывают сложные конструкции, чтобы адрес выглядел похожим на оригинал.
В нашем примере имя домена первого уровня — «xyz», второго — «ru-acw», а совпадающее с настоящим имя магазина мошенники поместили в домен третьего уровня. Но на первый взгляд кажется, что все в порядке: далеко не все знают, что адрес страницы должен быть отделен от доменного имени исключительно слэшем, но ни в коем случае не дефисом.
Если возникают сомнения, официальный ли это сайт, всегда можно погуглить магазин по его названию и посмотреть, какую ссылку выдаст поисковик. Только не смотрите на самые верхние строчки с пометкой «реклама», там может оказаться что угодно, — мошенники тоже умеют продвигать свой бизнес.
Еще один полезный прием — с помощью одного из сервисов Whois, выдающих информацию о владельце доменного имени, посмотреть, кто и когда его зарегистрировал. Если сайт большого онлайн-магазина зарегистрирован совсем недавно… Ну, вы сами понимаете.
После разбирательств с адресной строкой мне стало любопытно, как устроена схема мошенничества. Я успокоила приложение Kaspersky, добавила товар в корзину и пошла выбирать способ доставки. Оказалось, что оплатить покупку можно было только онлайн на сайте, — никаких тебе наличных курьеру и прочих альтернатив. Само по себе это тоже не криминал, но в сочетании со всем остальным — диагноз ясен: с заплаченными онлайн деньгами можно будет гарантированно попрощаться. Как, вероятно, и с прочими средствами на засвеченной банковской карточке — но пробовать что-то не хочется.
Выбирайте, каким способом вы предпочитаете попрощаться с деньгами
Внимательный читатель наверняка задаст вопрос: а что же это Kaspersky так поздно спохватился? Я успела побродить по мошенническому сайту и почти дошла до того, чтобы положить товар в корзину.
Тут не помешает небольшой экскурс в то, как устроена система блокировки опасных сайтов на примере Kaspersky Security Cloud.
Категорий опасных сайтов много. С какого-то можно заполучить трояна, на другом засветить свои личные данные, и за каждую категорию отвечает свой модуль системы защиты. В данном случае сработала система антифишинга, у которой есть три алгоритма блокировки: локальные базы, облачные базы и эвристический анализ.
Локальные базы — список плохих сайтов, который хранится прямо на вашем устройстве. Он относительно небольшой, и в нем хранится только самое важное и опасное. Пока сайт не будет проверен по этому списку, он не откроется в браузере. Из соображений производительности локальные базы ограничены по объему — вы же не хотите, чтобы любая веб-страница открывалась через минуту-две?
Облачные базы — аналогичный список, хранящийся на серверах Kaspersky. Эти базы можно быстро и часто обновлять, и у них нет ограничений по размеру. Но облако может быть в какой-то момент недоступно, поэтому проверка по облачным базам, в отличие от локальных, не задерживает загрузку веб-страницы — если что-то не сработало, запрос на проверку повторится чуть позже.
Эвристика — кардинально иной подход: вместо сличения со списком «плохишей» система машинного обучения смотрит на то, как устроена веб-страница, анализирует поведение сайта и по набору подозрительных признаков делает выводы.
В нашем случае на одной из страниц мошеннического сайта сработал как раз эвристический анализ. Почему он не поднял тревогу раньше? Да просто на других страницах не было достаточного набора подозрительных элементов.
Если бы мошеннический сайт был внесен в локальную или облачную базу, его бы заблокировали сразу. Но невозможно поделить на «хорошие» и «плохие» сайты весь Интернет, ведь новые ресурсы появляются ежечасно. Команды аналитиков их постоянно классифицируют, но всегда есть что-то, что еще не попало ни в какие списки. Эвристический же анализ по определению не дает стопроцентной гарантии, зато способен распознавать новые угрозы.
Итак, переходим к скучной морали:
- В любой ситуации первым делом посмотрите на адресную строку. Если URL кажется вам странным, остановитесь и подумайте пару секунд — а надо ли вам туда?
- Будьте внимательны к деталям. Опечатки и противоречия на сайте магазинов, конечно, бывают, но это тревожный сигнал. Особенно если вас пытаются уверить, что перед вами — крупный сетевой магазин.
- Если у всех товар стоит примерно одинаково, а у кого-то он вдвое дешевле — возможно, вас хотят надурить.
- Если что-то кажется подозрительным, не спешите платить, особенно если вас убеждают сделать это срочно. Пробейте название сайта по поисковикам.
Понятно, что сохранять стопроцентную бдительность всю свою жизнь невозможно — спешка и эйфория или, напротив, усталость или болезнь часто заставляют нас принимать неправильные решения. И тут на помощь приходят защитные решения.
Хороший антивирус способен защитить от множества бед, включая еще не описанные никем угрозы. Но все же, бродя по Интернету, старайтесь совсем не отключать голову. Здоровая паранойя — штука полезная.
Советы