Рекомендации Министерства цифрового развития по эффективному распознаванию фишинговых писем.
Фишинг (англ. phishing) — вид интернет-мошенничества, целью которого является получение идентификационных данных пользователей (логин, пароль, номер кредитной карты и другой конфиденциальной информации), а также запуск вредоносного программного обеспечения на компьютере пользователя.
Такой вид интернет-мошенничества, как правило, основан на психологической манипуляции и его цель – вывести человека на такие эмоции, как интерес, страх, жадность, злость, желание помочь. Это позволяет
ослабить концентрацию человека, усыпить его бдительность. Так, применение различных психологических приемов делает такой вид интернет-мошенничества чрезвычайно эффективным, в том числе в органах государственной власти.
Пример. Для злоумышленника не составляет труда найти в открытых источниках информацию о структуре Вашего органа власти, определить ключевых должностных лиц и домен корпоративной почты Вашего органа власти. Это позволяет злоумышленнику сделать фишинговую рассылку примерно следующего содержания: «Уважаемый ….! В период с 1 марта по 3 апреля Управлением информационных технологий производится ревизия почтовых ящиков сотрудников …. Все неиспользуемые почты будут отключены. Если вы получили данное письмо и планируете использовать данный почтовый ящик в будущем, просьба оперативно войти в личный кабинет по следующей ссылке:……...»
При этом ссылка, конечно же, ведет на поддельную форму авторизации в корпоративную почту. Если тот или иной сотрудник органа власти вовремя не поймет, что данная рассылка является фишинговой, и перейдет по ссылке, он окажется на странице, которая внешне неотличима от настоящей формы ввода учетных данных. Конечно же, введя логин и пароль, такой сотрудник
«добровольно» передаст их злоумышленникам.
Такой вид интернет-мошенничества, как правило, основан на психологической манипуляции и его цель – вывести человека на такие эмоции, как интерес, страх, жадность, злость, желание помочь. Это позволяет
ослабить концентрацию человека, усыпить его бдительность. Так, применение различных психологических приемов делает такой вид интернет-мошенничества чрезвычайно эффективным, в том числе в органах государственной власти.
Пример. Для злоумышленника не составляет труда найти в открытых источниках информацию о структуре Вашего органа власти, определить ключевых должностных лиц и домен корпоративной почты Вашего органа власти. Это позволяет злоумышленнику сделать фишинговую рассылку примерно следующего содержания: «Уважаемый ….! В период с 1 марта по 3 апреля Управлением информационных технологий производится ревизия почтовых ящиков сотрудников …. Все неиспользуемые почты будут отключены. Если вы получили данное письмо и планируете использовать данный почтовый ящик в будущем, просьба оперативно войти в личный кабинет по следующей ссылке:……...»
При этом ссылка, конечно же, ведет на поддельную форму авторизации в корпоративную почту. Если тот или иной сотрудник органа власти вовремя не поймет, что данная рассылка является фишинговой, и перейдет по ссылке, он окажется на странице, которая внешне неотличима от настоящей формы ввода учетных данных. Конечно же, введя логин и пароль, такой сотрудник
«добровольно» передаст их злоумышленникам.
