Обновена на 01.04.2023 от Questo
От известно време тече масирана фишинг кампания срещу клиенти на български банки. Те получават известия за обновяване на софтуера или за заключени акаунти, които не са действително изпратени от банките. Целта на тези фалшиви имейли е да се измъкнат данните за достъп (потребителско име и парола) до акаунтите за онлайн банкиране на клиентите.
Голяма част от клиентите на банките вече се научиха да разпознават фалшиви имейли. Някои от фишинг кампаниите обаче са доста добре организирани и могат да заблудят потребителите. В тази статия ще разгледаме един конкретен пример за фишинг атака: и как да я разпознаете.
Да кажем, че отваряте пощата си и виждате следното писмо:
Има няколко въпроса, които трябва да си зададете.
1. От какъв адрес е изпратен имейлът?
Първото, на което следва да обърнете внимание, е от какъв адрес е изпратено съобщението. Легитимно писмо от банка би трябвало да е изпратено от имейл адрес с домейна на банката. Така че ако адресът е нещо като ccbank@kawazuka.jp, то писмото очевидно е опит за фишинг.
Както знаем обаче(а ако не знаем е добре да научим), имейл адресите могат да се фалшифицират. Точно такъв случай имаме в разглеждания пример. На пръв поглед изглежда, че съобщението е изпратено от customers@ccbank.bg, което звучи като напълно легитимен имейл адрес. Това обаче не е достатъчно доказателство, тъй като е възможно изпращачът да няма нищо общо с банката. Така стигаме до точка 2, която е:
2. Как да проверя дали имейл адресът е легитимен?
Всеки получен имейл съдържа в себе си информация за сървъра, от който е изпратен. Адресът на този сървър в повечето случаи съдържа домейна на организацията, която го изпраща. В конкретния случай адресът на сървъра би следвало да е нещо като mail.ccbank.bg.
Да, кажем, че имате поща в АБВ. Отворете съобщението, изберете „Още“ и след това „Детайли“. Това изважда информацията за адреса на сървъра, от който е пуснато съобщението. Ще я откриете там, където пише Received: from. Ако има повече от един надпис Received: from, както е на картинката, гледайте адреса, кореспондиращ на най-долния надпис.
Както виждате, адресът на сървъра няма нищо общо с този на банката. Това означава, че той е изпратен от софтуер за фишинг, а адресът customers@ccbank.bg просто е прикачен за него, за да изглежда убедително.
3. Накъде води линкът в писмото?
Фишинг писмата съдържат линкове, които водят към зловредни сайтове или инсталират на компютъра ви зловреден код. Как да проверите дали един линк е опасен?
Първата стъпка е да проверите какво се крие зад този линк. За целта:
Курсора на мишката върху линка>
Десен бутон на мишката>
Избирате Copy Link Location>
Отваряте онлайн скенер за сайтове (ето няколко предложения за такива)>
Пействате адреса и го сканирате
Ако писмото е част от фишинг кампания, в общия случай скенерът ще ви изкара съобщение, че на сайта има малуер или най-малкото, че е blacklisted, което означава, че е маркиран като потенциално опасен. А това предполага, че не трябва да го отваряте.
Да кажем, че все пак отворите линка. Ето какво ще видите в разглеждания пример (цък за уголемяване).
Легитимният адрес за онлайн банкиране на ЦКБ е online.ccbank.bg. Адресът, към който ви отвежда линка, е ccb-online.com.au, което е недвусмислен знак, че става дума за фишинг.
Pingback:Как спам кампания събра 500 хил. долара за един месец | Questona
Pingback:True or Fake: Фишинг кампания от името на български куриер – Questona