Xakep #305. Многошаговые SQL-инъекции
Компания Avast опубликовала результаты своего опроса, проведенного среди российских пользователей. Согласно полученным данным, 42% россиян сталкивались с фишинговыми атаками. При этом жертвами таких атак стали 27% пользователей, и чуть больше трети (35%) не смогли дать точный ответ.
Две трети респондентов, подвергшихся фишинговой атаке, пострадали, занимаясь личными вопросами, одна треть — решая рабочие задачи.
В ходе опроса россиян спрашивали, сталкивались ли они со следующими видами фишинга:
Фишинг по электронной почте: электронные письма, которые выглядят так, как будто они отправлены с законных адресов известной организации, (что затрудняет их распознавание), но на самом деле содержат вредоносную ссылку или вложение.
Фишинговые сайты: страницы, которые выглядят так же, как обычные сайты, но предназначены для кражи информации или загрузки вредоносного ПО посетителям.
Телефонный фишинг: злоумышленник звонит жертве и убеждает ее выполнить нужные действия на ее компьютере, например, отказаться от личной или конфиденциальной информации, предоставить мошеннику доступ к системе или учетной записи, или отправить деньги.
Смишинг: SMS-фишинг –– SMS или сообщения в WhatsApp и других мессенджерах. В них злоумышленники могут сообщить, что жертва якобы выиграла смартфон (или что-то другое), и дальше попытаются получить контроль над ее учетной записью (WhatsApp, например), убеждая сообщить им код подтверждения, необходимый для входа в учетную запись, или отправив вредоносную ссылку, которая ведет либо на вредоносное ПО, либо на вредоносный сайт.
Физический фишинг: мошенник притворяется кем-то, кем он не является, например, полицейским, администрацией или обслуживающим персоналом здания, чтобы получить доступ на закрытые территории или обмануть людей и получить деньги или нужную информацию.
Как показал опрос, в России чаще всего люди сталкивались с телефонным фишингом.
Вид фишинга | Сколько людей столкнулись | Сколько людей пострадали |
Фишинг по электронной почте | 52% | 34% |
Фишинговые сайты | 37% | 29% |
Фишинг по телефону | 56% | 37% |
Смишинг (фишинг по SMS) | 50% | 31% |
Физический фишинг | 16% | 13% |
«Злоумышленники сегодня могут проводить фишинговые атаки по самым разным каналам, поэтому важно, чтобы люди знали о них и об актуальных схемах. С января по сентябрь 2020 года Avast ежемесячно защищал от фишинговых атак в среднем 2770 из 100000 россиян, — рассказывает Алексей Федоров, глава представительства компании Avast в России и СНГ.
Последствия фишинга
Среди россиян, ставших жертвами фишинговых атак, чуть больше четверти (27%) заявили, что им пришлось сменить пароли от аккаунтов, 13% заявили, что у них украли деньги, и у 11% украли личные данные. 11% жертв пришлось аннулировать кредитные или дебетовые карты.
Из тех, кто понес финансовые потери, 43% потеряли до 3500 рублей, каждый пятый (20%) потерял от 3500 до 6999 рублей, 11% потеряли от 7000 до 13 999 рублей, 5% –– от 14 000 до 20 999 рублей и один из пяти (20%) более 21 000 руб.
«Социальная инженерия используется при фишинговых атаках, чтобы заставить людей совершить нужные киберпреступнику действия. Злоумышленники воздействуют на поведение, психику жертвы, поскольку обмануть человека проще, чем взломать систему, — рассказывает Татьяна Шемякина, психолог, эксперт по социальной психологии. — Мошенники играют с эмоциями людей, используют страх, оказывают давление на жертву. Они могут пугать срочностью, заставляют волноваться, нервничать, или рассказывают, что они нуждаются в благотворительных пожертвованиях».
Жертвы не сообщают о большинстве фишинговых атак
Интересно, что трое из пяти (61%) россиян, пострадавших от фишинга, никому не сообщили о мошенничестве. Основные причины, по которым люди не сообщают о таких инцидентах: думают, что атака не стоит хлопот (30%), не знают, кому сообщать об этом (29%), уверены в том, что все равно ничего не произойдет, если они сообщат (29%), считают, что полученная ими информация ничего не стоит (23%).
Из жертв фишинга, которые сообщили об атаке, почти половина (49%) сообщили о мошенничестве в полицию, 43% –– в компанию, сотрудником которой притворялся злоумышленник, 26% рассказали о произошедшем своим коллегам.