Сієл – Фішингові атаки, коли злодії приймають роль довірених осіб, таких як банк, державна організація або служба доставки, стають найбільшою кіберпогрозою для більшості американців. Ці електронні повідомлення, призначені на викрадення особистої інформації, таких як номер соціального страхування, паролі або номери кредитних карт, відповідальні за більшість кіберзлочинів, за даними звіту FBI про інтернет-крадіжки 2026 року.
Надзвичайна кількість атак через електронну пошту та повідомлення відбивається на думку. За перший квартал 2026 року компанія Microsoft Threat Intelligence виявила приблизно 8,3 мільярда електронних фішингових атак.
Фішингові атаки тепер не обмежуються електронною поштою та повідомленнями. Злодії використовують месенджерів, соціальні мережі, небезпечні рекламні оголошення, фальшівні QR-коди та копії офіційних сайтів для виконання атак.
‘Тактичні методи, які колись працювали у 2010-х роках, сьогодні не зовсім такі’, сказав Марк Бейр, керівник бізнесу для споживачів у компанії Malwarebytes, цифрової безпеки. ‘Вони набагато, набагато, набагато розробленіші’.
Фішинг став таким прибутковим, що злодії вирішують витрачати гроші на викрадення даних, як маркетингові компанії використовують гроші на набір клієнтів.
Термін ‘фішинг’ офіційно введений у 1995 році, щоб описати криміналів, які використовували цифрову ‘підкідку’, щоб ‘вивести’ жертв у відкриття особистої інформації.
У порівнянні з ‘нігерійським принцем’, який пропонував збагатіти, якщо допоможеш перевести мільйони доларів з Африки, ці листи зазвичай містили помилки та граматичні помилки.
Більшість фішингових атак все ще засновані на соціальному інженерингу – використанні страху, відчуття відстрічі, любопитства та емоційних викликів, щоб маніпулювати людьми і зменшити їхню безпеку. Вони включають фальшівні повідомлення та листи, які стверджують, що є проблема з доставкою, нагадують про паркування, або що є проблема з податковим звітом. Вони призначено, щоб отримати відповідь без думки.
Найновіші атаки розвинулися у високотехнологічні кампанії, які важко виявити. Ось два приклади нової загрози: фальшівні запрошення та змінені форми CAPTCHA.
Злочинці знають, що більшість людей відкриває електронні запрошення на вечірку або іншу соціальну подію. Тому вони відправляють шкідливі запрошення, які виглядають, ніби вони від добре відомої онлайн-платформи, такої як Evite, Paperless Post або Punchbowl.
‘Хоча страх і відчуття відстрічі є загальними елементами багатьох схем, це не обов’язково’, сказала Ева Веласкес, голова некомерційної організації Identity Theft Resource Center. ‘У випадку з атакою на Evite злодії використовують ваше бажання зв’язуватися та бути соціальним, щоб отримати непередбачене натиснення на посилання’.
Якщо ви натиснете на посилання, може відбутися багато неприємностей: або на вашій пристрої буде встановлено вірус, що дозволить злодіям викрасти особисту інформацію, або ви будете перенаправлені на сайт, який є копією сайту злодіїв, що запитуватиме ввести вашу електронну адресу та пароль, що надасть злодіям прямий доступ до вашого електронного кабінету, що може мати серйозні наслідки.
Ви можливо не вважаєте свою електронну пошту особливою, але ‘це ключ до королівства’, наголосила Веласкес, оскільки якщо злодії зможуть компромітуючи вашу електронну пошту, вони можуть використовувати її для скидання паролів на інші облікові записи. Тому ніколи не вводьте свій пароль електронної пошти, крім як для входу до вашого кабінету.
Перевіряйте електронну адресу відправника.
Запрошення завжди приходить від офіційного корпоративного URL. Якщо є особиста електронна адреса, наприклад, від Gmail, Yahoo або Hotmail, це фальшівне.
Багато сайтів вимагають від вас довести, що ви людина, а не робот, перед тим, як ви зможете увійти. Однією з загальних методів є перевірка CAPTCHA.
Зазвичай ви бачите сітку зображень і вам потрібно натиснути на об’єкти (наприклад, світлофори, автомобілі або велосипеди), або вам буде запропоновано ввести послідовність зміщених літер або чисел, які відображаються на екрані.
Оскільки ми часто бачимо виклики CAPTCHA, ми можемо автоматично відповідати на наведені інструкції, щоб отримати наступну сторінку. Як наголосили в Malwarebytes, діяльність цієї атаки полягає в поєднанні звичайного процесу з інструкціями, які не звичайні.
Існує багато варіантів атаки CAPTCHA, але найпоширеніший варіант починається з шкідливого команди, яка автоматично копіюється в вашу буферну пам’ять, разом з інструкціями щодо запуску у діалоговому вікні Windows Run (Win + R). Зображення нижче від Malwarebytes показує справжній CAPTCHA зліва та фальшивий нижче.
Захистіть себе: Серйозна CAPTCHA ніколи не попросить вас…
Також зверніть увагу на те, що у випадку з фішингом з CAPTCHA, злодії можуть використовувати вже встановлені програми для виконання команд, що викликає відкриття веб-сайту, що є копією офіційного сайту, щоб зловмисники могли отримати доступ до вашого облікового запису.
Також варто відмовитися від використання додатків, які вимагають введення CAPTCHA, якщо вони не відповідають офіційним стандартам. Варто перевіряти усі запити на доступ до облікових записів, а також використовувати двофакторну аутентифікацію, щоб збільшити безпеку.
поділитися в твіттері: Фішинг вражає 14 разів на добу AI підвищує рівень крадіжок