Рассмотрим самые распространенные техники фишинговых атак в Сети.

– Целевой фишинг (Spear Phishing) похож на обычный фишинг, однако нацелена такая атака на конкретного человека или организацию. В ходе этой атаки взломщики собирают подробные данные о своей цели, чтобы максимально мимикрировать под делового партнера или сотрудника компании. У жертв даже не возникает мысли, что вредоносное письмо отправлено злоумышленником. Целевой фишинг можно назвать логическим продолжением обычного, ибо он требует гораздо тонкой подготовки. Именно за свою «проработку» объекта атаки целевой фишинг и считается практически идеальным – защититься обычными средствами от него нереально. А учитывая, что лицо, подвергающееся целевому фишингу, в большинстве случаев является лишь первой ступенью атаки (конечной целью злоумышленников обычно становится корпоративная сетевая инфраструктура, получив контроль над которой мошенники извлекут свою выгоду), то жертва такой атаки будет атакована с двух сторон – злоумышленниками и отделом безопасности компании.

– Голосовой фишинг (Vishing, Voice Phishing) характеризуется использованием телефона для сбора личной и финансовой информации жертвы. Чаще всего злоумышленники представляются сотрудником банка или страховой компании, входя в доверие и выманивая личные данные жертвы под предлогом рекламы новых услуг. Таким образом, мошенники могут заинтриговать жертву, навязывая кредит на заманчивых условиях. «Услуги» такого рода часто приводят к распространению личной и/или финансовой информации, что может нанести репутационный или финансовый ущерб.

Пример, который можно отнести и к вишингу, и к «китобойному» фишингу: в марте 2019 года генеральному директору британской энергетической компании позвонил человек, который говорил точно таким же голосом, как и CEO страховой компании, клиентом которой являлась энергетическая компания. Мошенник сумел настолько точно воспроизвести интонацию и акцент СЕО Euler Hermes Group, что генеральный директор, практически не задумываясь, перевел 243 тыс. долларов «венгерскому поставщику» на банковский счет, который на самом деле принадлежал мошеннику.

Некоторые злоумышленники без зазрения совести «работают» с больными или пожилыми людьми. Используя нестабильное физическое и/или психическое состояние жертвы, легко убедить человека в наличии каких-то «проблем» – внук попал в ДТП, положена социальная выплата от государства, новый законодательный пакет для лиц с инвалидностью и т. д. Как правило, злоумышленники используют этот метод для получения денежных средств, причем неважно – наличными или переводом на банковский счет. Злоумышленники бывают порой настолько убедительными, что жертва даже забывает, что читает обо всех законодательных актах, не имеет внуков и т. д.

– Смишинг (Smishing, СМС-фишинг) использует специальные устройства (SIM-бокс) для массовой рассылки СМС-сообщений на мобильные устройства. Такие устройства позволяют программно подменять номер отправителя, что часто используется мошенниками различного уровня (именно поэтому их свободная продажа запрещена). Алгоритм действий при такой атаке следующий – жертве злоумышленников приходит СМС-сообщение якобы с номера банка, в котором обычно содержится некоторая пугающая информация (нечто подобное используют в технике Scareware («Лжеантивирус»), после чего описывается решение проблемы. Классический пример: в СМС указывается списание с лицевого счета некоей суммы в адрес запрещенной организации (а их список в наши дни довольно обширен). Чтобы это отменить, нужно срочно перейти на веб-страницу банка (разумеется, поддельную) или перезвонить по указанному номеру (тоже контролируемому мошенниками), чтобы подтвердить, что вы владелец банковской карты. Жертва мошенников, испугавшись уголовного преследования, а также утери средств, даже не понимает, что переходит по поддельной ссылке (все ведь выглядит как страница банка, со всеми логотипами и т. д.), где вводит свои паспортные данные и данные карты. В некоторых случаях людям приходят сообщения с просьбой помочь пострадавшим от какого-либо стихийного бедствия, но чтобы помочь, нужно оставить свои личные данные – как правило, в таких случаях снимают небольшие суммы, чтобы не настораживать своих жертв.