RU
В двух словах
В 2025 году Центр жалоб на интернет-преступления ФБР (IC3) сообщил, что фишинг остается самой распространенной киберугрозой: только в США число жалоб превышает 193 000 в год. Хотя количество жалоб стабилизировалось, финансовые последствия резко возросли: в прошлом году общий ущерб от киберпреступлений составил рекордные 16,6 миллиарда долларов.
Вы являетесь главной мишенью, потому что в эпоху защищенных серверов люди остаются самой "мягкой" точкой входа. Фишинг вышел за рамки простых электронных писем и превратился в многоканальную атаку:
Мошенники скрываются за "отображаемыми именами", в то время как фактический адрес представляет собой случайную строку. Они используют "похожие" домены, например @support-paypal.com вместо @paypal.com.
Сейчас: Злоумышленники теперь используют "захват поддоменов", когда они отправляют электронные письма с легитимных, но взломанных поддоменов известных брендов, чтобы обойти списки "безопасных отправителей".
На кнопке может быть написано "Проверить учетную запись", но код, лежащий в ее основе, направляет вас на сайт, собирающий учетные данные.
На компьютере наведите курсор мыши на ссылку, чтобы увидеть место назначения в нижнем углу браузера. На мобильных устройствах нажмите на ссылку, чтобы просмотреть URL-адрес. Если он не совпадает с официальным доменом компании, это мошенничество.
Фишинг опирается на "вынужденные ошибки", создаваемые искусственными сроками. Мошенники используют такие фразы, как "обнаружен несанкционированный вход" или "необходимо принять меры в течение 4 часов".
Теперь: Мошенники теперь используют атаки MFA Fatigue, когда они бомбардируют ваш телефон десятками запросов многофакторной аутентификации, надеясь, что вы нажмете "Одобрить", чтобы просто остановить уведомления. Никогда не одобряйте запрос MFA, который вы не инициировали.
Старые советы советуют искать "неполноценный английский". Это устарело. С развитием генеративного искусственного интеллекта мошенники теперь создают сообщения без опечаток, профессионально и в соответствии с брендом на любом языке. Вместо того чтобы искать орфографические ошибки, обратите внимание на контекстуальные ошибки: Действительно ли вы пользуетесь этой услугой? Не является ли запрос информации необычным?
Вложения остаются основным средством доставки вредоносных программ. Однако новым рубежом становится квишинг (QR-фишинг). Мошенники вставляют QR-коды в электронные письма, поскольку многие фильтры безопасности не могут "прочитать" ссылку внутри изображения. Если в письме вас просят "Отсканировать этот код, чтобы защитить свою учетную запись", это почти наверняка ловушка.
Легальные компании никогда не будут требовать от вас пароль, номер социального страхования или полные данные кредитной карты по электронной почте или в текстовом сообщении. Если сообщение направляет вас на страницу входа в систему, закройте его и перейдите на сайт вручную, набрав адрес в браузере.
Если ссылка кажется вам хоть немного подозрительной, не нажимайте на нее - сначала проверьте репутацию сайта на ScamAdviser.
Адам Коллинз - исследователь кибербезопасности в ScamAdviser, работающий под псевдонимом для обеспечения конфиденциальности и безопасности. Более четырех лет на цифровом фронте и 1500 с лишним дней, проведенных за разбором тысяч мошеннических схем, он специализируется на переводе сложных угроз в действенные советы. Его миссия: выявлять "красные флажки", чтобы вы могли уверенно перемещаться по Интернету.
