ფიშინგი

ფიშინგი (ინგლ. phishing < phost — „ფოსტა“/phone — „ტელეფონი“ და fishing — „თევზაობა“) — ინტერნეტთაღლითობის და კიბერდანაშაულებრივი ფორმა, ელფოსტის ან სხვაგვარი შეტყობინებების გაგზავნა ცნობილი რეალური ორგანიზაციის სახელით ან ლოგოთი (მაგალითად: ბანკი, Hotmail, eBay, Mail.ru, Facebook). ფიშინგის სუბიექტის მიზანია, აიძულოს მიმღები (ობიექტი), გამოავლინოს პირადი დაცული ინფორმაცია შემდგომი ქურდობის მიზნით.

ფიშინგის დროს მომხმარებელს მისდის მოწვევა საიტზე, სადაც მას ეკითხებიან დაცულ ინფორმაციას — პაროლებს, საკრედიტო ბარათის, სოციალური უსაფრთხოების ან საბანკო ანგარიშის ნომრებს. ეს საიტი, ჩვეულებრივ, ჰგავს ცნობილი ორგანიზაციის გვერდს და ინფორმაციის შეგროვების შემდეგ შეიძლება მოხდეს მომხმარებლის გადამისამართება რეალურ საიტზე. მაგალითისთვის, შესაძლებელია ასეთი ყალბი წერილი იტყობინებოდეს, რომ ანგარიში შეჩერებული იქნება, თუ არ მოხდა მისი პაროლის ან საკრედიტო ბარათის ინფორმაცის განახლება მოცემულ საიტზე.

ფიშინგის სახეები

ფიშინგი სოციალურ ქსელებში ერთ-ერთი და ყველაზე შედეგიანი გზაა, მაგალითად, მავნებელი და ზიანის მომტანი გვერდებზე დაწკაპუნება რომელიც არის ფიშერი იწვევს მსხვერპლის დავირუსებას, პირველი შემთხვევა სოციალურ ქსელებში დაფიქსირდა Facebook გავრცელება, როდესაც მსხვერპლს სთხოვდა პირადი მონაცემების შეყვანას რათა მომხმარებელმა გაიაროს ავტორიზაცია.

ფიშინგი მეტწილად გამაღიზიანებელია იმის გამო, რომ საზოგადოების უმრავლესობამ იცის მისი არსებობის შესახებ, მაგრამ მაინც ტყუვდება და ებმება მის მახეში.

ფიშინგი შეიძლება ზედაპირულად განსხვავდებოდეს საბაბით, მაგრამ მათი საერთო ტექნიკა ან იშვიათად ან საერთოდ არ იცვლება. ფიშინგის ყოველი ახალი მეთოდი მიმართულია იქეთკენ, რომ უფრო დამაჯერებლად გამოიყურებოდეს და დააცდევინოს საზოგადოების წევრებს საკუთარი პერსონალური ინფორმაცია.

Email ფიშინფი

Email ფიშინფი (ინგლ. Email phishing) — ფიშინგ შეტევების უმეტესობა იგზავნება ელექტრონული ფოსტით. იგი, ყველაზე გავრცელებული, მაგრამ ამავე დროს ძალიან პრიმიტიული ტიპის შეტევაა, რომელიც ხორციელდება ელექტრონული ფოსტით. ის არ არის მიმართული კონკრეტული პირის მიმართ. როგორც წესი, თაღლითები უგზავნიან იმავე ელ-წერილს ათასობით მომხმარებელს იმ იმედით, რომ ზოგიერთი მათგანი მაინც შეცდება და გადავა ყალბ საიტზე, ჩამოტვირთავს მავნე ფაილს ან მიჰყვება სხვა ინსტრუქციებს.

ხშირად, თაღლითი არეგისტრირებს ყალბ დომენს, რომელიც წარმოადგენს ნამდვილი ორგანიზაციის დომენის მიბაძვას და აგზავნის ათასობით სახვადასხვა სახის მოთხოვნას. ყალბი დომენი ხშირად გულისხმობს სიმბოლოების ჩანაცვლებას, როგორიცაა „r“ და „n“ ერთმანეთის გვერდით გამოყენება „rn“-ის ნაცვლად „m“-ის შესაქმნელად. სხვა შემთხვევაში, თაღლითები ქმნიან უნიკალურ დომენს, რომელიც მოიცავს ლეგიტიმური ორგანიზაციის სახელს URL-ში.

ვინაიდან ამ ტიპის თაღლითობა არ არის პერსონიფიცირებული, წერილში გამოიყენება უნივერსალური შეტყობინებები, როგორიცაა „ძვირფასო ანგარიშის მფლობელი“, „ძვირფასო პროგრამის მონაწილე“. ისეთი საგანგაშო სპეციალური სიტყვები, როგორებიცაა: „გადაუდებელი“, „მყისიერად“, „დაბლოკილი“ მიმართულია მომხმარებლის აღგზნებისკენ, ხოლო დაპირება „მოგების შესაძლებლობაზე“ — აქვეითებს მსხვერპლის სიფხიზლეს.

პოპულარული ტექნიკაა — მომხმარებლის შეშინება, იმით რომ მისი ანგარიში გატეხილია და საჭიროა სასწრაფო მოქმედება. პირველ წამებში, მსხვერპლს ეჩვენება, რომ გამგზავნი არის ნამდვილი ორგანიზაცია, რომელთანაც თქვენ გაქვთ ურთიერთობა, ან საიტი, სადაც დარეგისტრირდით. მაგრამ თუ მაუსს თუ მიიტანთ წერილში მოცემულ ბმულზე (დაკლიკების გარეშე), ბრაუზერის ფანჯრის ბოლოში გამოჩნდება რეალური ბმული, რომელზეც გადაგიყვანთ აღნიშნული ლინკი.

სპამინგი

მთავარი სტატია: სპამინგი.

სპამინგი (ინგლ. spamming) სარეკლამო და სხვა ხასიათის ელექტრონული წერილების (სპამის) მიმღების დაუკითხავად და მისი სურვილის გარეშე გარკვეული პიროვნების ან კომპანიის მიერ დაგზავნაა. აღსანიშნავია, რომ სპამინგი ყველა შემთხვევაში ფიშინგს არ წარმოადგენს. სპამინგი იმ შემთხვევაშია ფიშინგის სახე, თუ ელექტრონულ წერილში თაღლითური ბმულებია მოცემული. ზოგადად კი, გაითვალისწინეთ, რომ სპამინგის სახით მოსულ შეტყობინებებს სიფრთხილით უნდა მოეკიდოთ, რამდენადაც მას ჰაკერები და თაღლითები არა მხოლოდ ფიშინგის, არამედ სხვა თაღლითური სქემებისთვისაც იყენებენ.^[1]

მიზნობრივი ფიშინგი

მიზნობრივი ფიშინგი (ინგლ. Spear phishing) — ფიშინგის სახეობა, რომელიც იგზავნება ასევე ელფოსტის საშუალებით, სადაც თაღლითი წერილის სანდოობას ზრდის ტექსტში შეტანილი პერსონალური ინფორმაციით.^[2]

E-mail ფიშინგისაგან განსხვავებით, ამ ტიპის თაღლითობა ბევრად უფრო დახვეწილი და მოწინავეა. მისი სამიზნე არის კონკრეტული პიროვნება ან ადამიანთა ჯგუფი. მას ხშირად იყენებენ ცნობილი ჰაკერები ორგანიზაციების გასატეხად.

მიზნობრივ ფიშინგს წინ უძღვის მომზადება. თავდამსხმელები აგროვებენ ინფორმაციას მსხვერპლის, მისი წარსულისა და სოციალური წრის შესახებ. ეს ყველაფერი კეთდება იმისთვის, რომ წერილი მაქსიმალურად პერსონიფიცირებული და დამაჯერებელი იყოს. სწორედ ამიტომ, შუბის ფიშინგის მსხვერპლთა უმეტესობა მაშინვე ვერ აცნობიერებს, რომ ისინი თაღლითობის სამიზნენი არიან.

ამ შემთხვევაში გამომგზავნი მსხვერპლის შესახებ უკვე ფლობს განსაზღვრულ ინფორმაციას:

მიმღების სახელი;
მიმღების სამუშაო ადგილი და სახელწოდება;
ელექტრონული ფოსტის მისამართი;
კონკრეტული ინფორმაცია მათი სამუშაო როლის შესახებ.

მსგავს წერილებში თაღლითებს მეტი დამაჯერებლობისათვის აქცენტი გადააქვთ ისეთი ტიპის მიმართვაზე, სადაც გამოიყენება ზემოდჩამოთვლილი პერსონალური ინფორმაციები, რის გამოც იზრდება წერილის მიმართ სანდოობა.

თაღლითს აქვს საშუალება, მიმართოს ინდივიდს სახელით და (სავარაუდოდ) იცის, რომ მათი სამუშაო როლი მოიცავს კომპანიის სახელით საბანკო გადარიცხვების განხორციელებას.

ელ-ფოსტის სანდოობა ასევე იზრდება იმითაც, რომ ტექსტი აკრეფილია წერილის მიმღებისთვის ყოველდღიურ სასაუბრო ენაზე, რაც ქმნის განცდას, რომ ეს არის რეალური შეტყობინება და არა შაბლონი.

მაგრამ უმეტეს შემთხვევაში შესაძლებელია შეტევის დანახვა. თუ თქვენ მიიღებთ სანდო კონტაქტისაგან უჩვეულო მოთხოვნას (ხმის მიცემა ბმულის საშუალებით, ჩამოტვირთეთ რამე), ამან დაუყოვნებლივ უნდა გამოიწვიოს ეჭვი. ნებისმიერი დანართების ჩამოტვირთვამდე ან რომელიმე ბმულის დაწკაპუნებამდე, უნდა შეამოწმოთ ელ-წერილის სანდოობა გამომგზავნთან უშუალო კომუნიკაციის გზით. ეს შეიძლება განხორციელდეს, როგორც იმავე ელ-ფოსტით ასევე სხვა საკომუნიკაციო საშუალებითაც.

უეილინგი

უელინგის ანუ „ვეშაპებზე ნადირობის“ სამიზნე ობიექტებია, ორგანიზაციებში ფინანსური და მმართველობითი რგოლის უმაღლესი ფიგურები

უეილინგი (ინგლ. Whaling < ინგლ. whale — „ვეშაპი“) — ფიშინგის სახეობა, რომელიც მიმართულია მაღალი რანგის ჩინოვნიკებზე — მენეჯერებზე, დირექტორებზე, ჩინოვნიკებზე და ბიზნესისა და პოლიტიკის სხვა „ვეშაპებზე“.

წერილში შეტყობინება, როგორც წესი, არის პირადი სახელით და თავად წერილი შეიძლება იყოს გამოძახების, იურიდიული საჩივრის ან რაღაცის სახით, რომელიც მოითხოვს სასწრაფო პასუხს.

თავდამსხმელები დიდ დროს ხარჯავენ პიროვნების ფართო კვლევასა და სარწმუნო გზავნილის შემუშავებაში. მსხვერპლნი ხშირად არიან ორგანიზაციების ძირითადი წევრები, რომლებსაც აქვთ წვდომა კონფიდენციალურ ინფორმაციაზე ან კომპანიის ფინანსურ რეზერვებზე.

თავდასხმის დროს ადამიანი იღებს ბმულს ჭკვიანურად გაყალბებულ ვებსაიტზე, სადაც უნდა შეავსოს შესვლის ფორმა. იქ შეყვანილი შესვლა, პაროლები და წვდომის კოდები კრიმინალების ხელშია და შემდგომში გამოიყენება უკანონო გამდიდრებისთვის. ზოგჯერ ელ-წერილში ტექსტი სრულად არ ქვეყნდება და შემდეგ მსხვერპლს მოეთხოვება დანართის ჩამოტვირთვა, რათა ნახოს დანარჩენი შეტყობინება. ამ დანართის ჩამოტვირთვისას, ჩნდება მავნე კოდი, რომელიც ხსნის დაცვას თქვენი პერსონალური კომპიუტერიდან. ეს შეიძლება იყოს განსაკუთრებით საშიში, რადგან შეიძლება გამოიწვიოს დიდი ფინანსური ზარალი ან სავაჭრო საიდუმლოების გაჟონვა.^[3]^[4]

სმიშინგი

სმიშინგი და ვიშინგი (ინგლ. Smishing < Short Message და phishing) — ფიშინგის სახეობა, ტექსტური შეტყობინებების გამოყენებით მყისიერ მესინჯერებში ან SMS-ში. პრინციპი შემდეგია: ადამიანი ტელეფონზე იღებს SMS-შეტყობინებით ბმულს ყალბი საიტისკენ, სადაც მას სთხოვენ ღირებული ინფორმაციის შეყვანას.

ზოგიერთ შემთხვევაში, ჰაკერები ცდილობენ ითამაშონ ადამიანის სიხარბეზე: შეტყობინებაში ნათქვამია, რომ თქვენ მოიგეთ პრიზი, მაგრამ სანამ არ შეიყვანთ საჭირო მონაცემებს, ანგარიშის საათობრივი საფასური ჩამოიჭრება მოგებული თანხიდან.

იმისათვის, რომ არ მოტყუვდეთ, უბრალოდ არ გახსნათ შეტყობინებები უცნობი გამგზავნისგან და არავითარ შემთხვევაში არ დააჭიროთ ბმულებს, რაც არ უნდა საინტერესო იყოს თქვენი ცნობისმოყვარეობა.

ერთ-ერთი ყველაზე გავრცელებული გავრცელებული საბაბია შეტყობინებები ბანკიდან, რომელიც გაფრთხილებთ საეჭვო აქტივობის შესახებ. როგორც წესი, მსგავსი შეტყობინებები გამოიყურება, როგორც მსხვერპლზე ზრუნვის მცდელობა „ბანკის“ მხრიდან და ტესტის შინაარსი ზოგადი ფორმით გულისხმობს, რომ თქვენ გახდით თაღლითობის მსხვერპლი და გეუბნებათ, რომ მიჰყევით ბმულს შემდგომი ზიანის თავიდან ასაცილებლად. თუმცა, ბმული მიმართავს მიმღებს ვებსაიტზე, რომელსაც აკონტროლებს თაღლითი და შექმნილია თქვენი საბანკო დეტალების დასაფიქსირებლად.^[5]

ვიშინგი

ვიშინგი (ინგლ. vishing — „ხმოვანი ფიშინგი“ < Voice და phishing) — ფიშინგის სახეობა. იგი ეფუძნება არა მიმოწერას, არამედ სატელეფონო კომუნიკაციას. როგორც წესი, თაღლითები თავს ასაღებენ ფინანსური ორგანიზაციების თანამშრომლებად და ცდილობენ მოიპოვონ სხვის ანგარიშზე შესვლის ინფორმაცია ან ინფორმაცია საბანკო ბარათზე.

ისინი ცდილობენ მსხვერპლს თავზე მოახვიონ ინფორმაცია ვადაგადაცილებულ გადასახადებსა და მოგების შესახებ. ზოგჯერ თაღლითები თავს ტექნიკურ პერსონალად ასაღებენ და ითხოვენ დისტანციურ წვდომას კომპიუტერზე, რათა მოაგვარონ ნებისმიერი „პრობლემა“ ანგარიშთან დაკავშირებით. ზოგიერთ შემთხვევაში, პირდაპირი საუბრის ნაცვლად გამოიყენება წინასწარ ჩაწერილი შენიშვნები და ტელეფონის ნომერი გაყალბებულია ისე, რომელიც ერთი შეხედვით ადგილობრივია. თაღლითები რთულადგადამოწმებადი სიტყვებით ავსებენ სატელეფონო საუბარს და მსხვერპლს არ უტოვებენ დროს ლოგიკური აზროვნებისთვის. უფრო ხშირად, ვიშინგის მსხვერპლნი უფროსი თაობის წარმომადგენლები ხვდებიან, რადგანაც საკმარისად არ იცნობენ მაღალ ტექნოლოგიებს, ასევე გულუბრყვილო და შთამბეჭდავი ადამიანები, რომლებიც ასევე ადვილად ეგებიან ვიშინგის სატყუარას.

კიბერუსაფრთხოების ექსპერტები აფრთხილებენ, რომ კონფიდენციალური ინფორმაციის ტელეფონით გაზიარება, როგორიცაა ანგარიშის პაროლები, პასპორტის დეტალები, გადახდის ინფორმაცია და ა.შ., უკიდურესად საშიშია. იმის გასარკვევად კი, რეალურად არის თუ არა რაიმე პრობლემა თქვენს ფინანსურ ანგარიშთან დაკავშირებით, გათიშეთ ზარი და აკრიფეთ ბარათზე დაბეჭდილი ბანკის ტელეფონის ნომერი. ამ გზით თქვენ გარანტირებულად დაუკავშირდებით ბანკის ოფიციალურ წარმომადგენლებს.

Angler-ფიშინგი

Angler-ფიშინგი (ინგლ. Angler phishing < angler — „ზღვის ეშმაკი“) — შედარებით ახალი თავდასხმის ვექტორი, სოციალური ქსელი თაღლითებს ადამიანების მოტყუების რამდენიმე გზას სთავაზობს. ყალბი URL-ები; კლონირებული ვებსაიტები, პოსტები და ტვიტები; და მყისიერი შეტყობინებები (რომელიც არსებითად იგივეა, რაც სმიშინგი) შეიძლება გამოყენებულ იქნას ხალხის დასარწმუნებლად, რომ გაამჟღავნონ პირადი ინფორმაცია ან ჩამოტვირთონ მავნე პროგრამები.

Angler-ფიშინგი შემდეგნაირად გამოიყურება. დავუშვათ, თქვენ გამოაქვეყნეთ შეშფოთება თქვენს ანგარიშზე თარგმანის დაგვიანების, პერსონალის არაკეთილსინდისიერი მოპყრობის ან სხვა რამის შესახებ, რაც მიუთითებს მომსახურების არაშესაბამის ხარისხზე. თქვენს შეტყობინებაში ცალსახად იყო აღნიშნული ორგანიზაციის სახელი. გაითვალისწინეთ: თუ ამ ორგანიზაციის წარმომადგენელი დაგიკავშირდებათ მალე, ის თავისუფლად შეიძლება აღმოჩნდეს თაღლითი.

შეტევა სოციალურ ქსელში პირადი შეტყობინების გაგზავნისთანავე დაიწყება. თქვენ მოგეთხოვებათ მიჰყვეთ ბმულს, რათა განიხილოთ თქვენი საკითხი მხარდაჭერით და შემდეგ მიაწოდოთ კონფიდენციალური ინფორმაცია თქვენი ვინაობის დასადასტურებლად.

ასეთი შეტყობინებების მიღებისას სწორი ნაბიჯი იქნება მხარდაჭერასთან დაკავშირება უსაფრთხო არხებით, როგორებიცაა: ოფიციალური ვებსაიტი, ოფიციალური Twitter ან Instagram ანგარიშები, სადაც არის ხატულა, რომელიც მიუთითებს, რომ ანგარიშის მფლობელის ვინაობა გადამოწმებულია.

CEO-ფიშინგი

CEO-ფიშინგი (CEO phishing) — თითქმის იგივეა, რაც უეილინგი, მხოლოდ ამ შემთხვევაში მსხვერპლნი არიან კომპანიების მმართველები და მენეჯერები. მეთოდი თავისთავად განსაკუთრებით დახვეწილია, ვინაიდან თაღლითი არა მხოლოდ სტყუებს კონფიდენციალურ ინფორმაციას, არამედ საკუთარ თავს ასაღებს მაღალი თანამდებობის პირად. ვითომ რომელიმე მმართველური რგოლიდან იყოს, უგზავნის წერილს თავის ქვეშევრდომებს თანხის გადარიცხვის ან მნიშვნელოვანი მონაცემების გაგზავნის მოთხოვნით.

როგორც წესი, თავდასხმა მიზნად ისახავს კონკრეტულ თანამშრომელს, რომელიც უფლებამოსილია განახორციელოს ფულის გადარიცხვები, ან პირებს, რომლებსაც აქვთ წვდომა შიდა ინფორმაციაზე. მესიჯი თავისთავად შექმნილია ისე, რომ მსხვერპლს ეჭვი არ ეპარება დაუყოვნებელი მოქმედების აუცილებლობაში: ის შეესაბამება კომპანიაში მიღებულ ნორმებს და შეიცავს პირად მიმართვას.

საძიებო ფიშინგი

ფიშინგის შეტევების ერთ-ერთი უახლესი ტიპი მოიცავს საძიებო სისტემებს. დასაწყისისთვის, თაღლითები ქმნიან ონლაინ მაღაზიას უფასო საქონლით, ფასდაკლებითა და აქციებით, ან ვებსაიტს სამუშაოსა და სერვისების შეთავაზებებით. ამის შემდეგ გამოიყენება ოპტიმიზაციის მეთოდები, რათა საიტი იყოს ინდექსირებული და გამოჩნდეს ძიების შედეგებში, როდესაც მოხდება შესაბამისი მოთხოვნა. მომგებიანი გარიგებით მოტყუებული მსხვერპლი ცდილობს შეკვეთის გაკეთებას და შეაქვს მონაცემები, რომლებიც პირდაპირ არაკეთილსინდისიერი პირების ხელშია.

რესურსები ინტერნეტში

სქოლიო

[1] ინტერნეტთაღლითობა (სპამინგი)

[2] Что такое Spear Phishing и как от него защититься?

[3] Whaling фишинг

[4] Что такое уэйлинг-атака?

[5] Фишинг, вишинг, смишинг, фарминг — в чем разница

[1]

[2]

[3]

[4]

[5]