Фішинг є особливо хитрим видом Інтернет шахрайства. Основною мішенню для “фішингу” є клієнти банків, фінансових інституцій та платіжних систем, а саме їх персональні та конфіденційні данні, що надають доступ до платежів та фінансових ресурсів. Одна з причин, чому фішинг настільки успішний, тому що повідомлення електронної пошти, що отримають жертви, виглядають і мають всі атрибути справжніх офіційних листів відповідних фінансових установ, а сторінки, на які посилаються шахрайські листи виглядають так само, як і офіційні. Фішинг часто проводиться з розмахом – орієнтований на сотні тисяч споживачів. До деяких атак залучається більше мільйона фішинг-повідомлень електронної пошти. Залежно від шахрайства, частка постраждалих становить від 1 до 20 відсотків – тобто втрати можуть бути феноменальним.

Є кілька простих кроків, що можуть уберегти вас від лиха: не заходьте на будь-які сайти, що викликають найменшу підозру та, у випадку з веб-сторінками, уважно перевіряти, що веб-адреса посилання (URL) не видозмінена. Також будьте уважні при заповненні будь-яких форм на веб-сторінках. Наведемо невеличкий приклад – зімнемо в адресі нашого сайту один символ “i” на “1”:

http://www.dis.k1ev.ua

Різниця в адресі майже непомітна (особливо якщо ви використовуєте якийсь ресурс доволі часто), але перенаправить вас вже на інший веб-сайт. Або, наприклад, посилання може бути замасковане:

<a href="http://www.dis.k1ev.ua">www.dis.kiev.ua</a>

Ви будете бачити в листі посилання www.dis.kiev.ua, а насправді, якщо ви натисните на таке посилання, то відкриється сторінка www.dis.k1ev.ua.

Так само легко можна підробити\скопіювати вигляд будь-якої сторінки, шаблону електронного листа вашого банку та адресу звідки вам було надіслано листа (реальний приклад наведено поруч – отриманий лист замаскований під офіційне повідомлення від Twitter).

Доцільно прийняти наступні правила для захисту та використовувати:

  • детектори спаму для блокування шкідливих і шахрайських повідомлень електронної пошти та миттєвих повідомлень;
  • фільтри для автоматичного виявлення і виділення шкідливих програм;
  • якісні програмно-апаратні засоби для захисту від спаму та вірусів.

Організацій підвищують рівень безпеки за допомогою впровадження додаткових заходів, таких як:

  • створення корпоративної політики, що регламентує роботу з електронною поштою ти миттєвими повідомленнями;
  • надання можливості користувачам перевіряти справжність електронної пошти;
  • створення сильної аутентифікації веб-сайтів та регулярний аудит;
  • постійний моніторинг мережі Інтернет для виявлення потенційних фішинг-сайтів.

Існує дуже багато різних фішинг-атак, що відрізняється від традиційних атак в основному масштабами їх шахрайства, які можуть бути вчинені. Фішинг не є явищем, що розповсюджено десь далеко від нас, оскільки Інтернет не має меж та вже на території України зареєстровано численні випадки такого виду шахрайства. Одним з прикладів може слугувати попередження Райффайзен Банк Аваль – подібні попередження постійно видають служби безпеки фінансових установ і потрібно уважно відноситися до них та бути обережними з використанням своїх ідентифікаційних даних, паролів та електронних ключів.