Як розпізнати шахрайський сайт?

Ми звикли до того, що сплачувати покупки онлайн не лише зручніше, а й вигідніше, адже пошта зазвичай бере за пересилку грошей додаткову комісію. Чи безпечно це? Скажімо так, ризики високі.

Фішинг сьогодні залишається одним із найпоширеніших кіберзлочинів. Лише за перші три місяці року робоча група із протидії фішингу (APWG) виявила майже мільйон нових фішингових сайтів. 

То як за такої кількості переграти і знищити? Ми за безпеку у всіх її виявах, тому підготували для вас повне керівництво, як розпізнати фішинговий сайт та захистити свої особисті дані й кошти. 

Що таке фішинговий сайт? 

Фішинговий сайт, або сайт-підробка – онлайн-ресурс, на якому вас обманом можуть змусити поділитися конфіденційною інформацією (наприклад, паролями облікових записів або даними банківських карток), завантажити шкідливе програмне забезпечення або купити продукти, яких не існує.

Варіацій онлайн-шахрайства налічується уже точно більше, ніж хотілося б. Це можуть бути і несправжні онлайн-магазини, і спливаючі вікна, що завантажуть шкідливе ПЗ, і підроблені входи в систему. Часта схема, коли ви потрапляєте на “банківську сторінку входу”, після чого вам надсилають лист із необхідністю зміни пароля, шахраї отримують безпосередній доступ до ваших банківських даних і грошики тю-тю.   

Хоча аферисти і можуть створювати підроблені веб-сайти в надії, що ви натрапите на них просто з пошуку, здебільшого такі ресурси використовуються все ж як частина фішингових атак. Скажімо, ви потрапляєте на такий сайт не напряму, а через посилання в листі або рекламі. 

Нема куди правди діти, відрізнити фішингові сайти від законних стає дедалі важче. Але є й хороші новини – розпізнати такий сайт можливо. Як саме це зробити, читайте далі.  

Що видає шахрайський сайт? 

Домен сайту схожий на назву відомого бренду

Але з неправильним написанням – літери замінені символами, є додаткові букви в назві або інше розширення, скажімо, .com.ua замість .com. 

Також хорошим показником є вік домену. Фальшиві вебсайти рідко залишаються онлайн надовго. Перевірити, скільки часу активне доменне імʼя можна за допомогою сервісу Whois Lookup. 

До сайту не підключений SSL-сертифікат

Або він безкоштовний (Let’s Encrypt). Цей пункт важливий, але не визначальний – іноді і цілком законні сайти можуть просто забути придбати або перевипустити SSL. 

Про те, що зʼєднання незахищене зазвичай вас попередить сам Google. Також ви можете побачити це самостійно – в адресному рядку буде знак оклику замість знака замочка (зверніть увагу, що Google планує незабаром замінити його на знак “налаштування”). 

Онлайн-шахраї можуть також підключити до сайту безкоштовний SSL Let’s Encrypt. З ним ви зможете потрапити на сайт, і фактично зʼєднання буде вважатися безпечним. Для отримання цього типу сертифікату не потрібна перевірка організації, через що він користується популярністю серед кіберзлочинців.  

Аби перевірити деталі підключеного на сайті SSL, натисніть на знак замочка в адресному рядку ⇒ перейдіть у розділ “Зʼєднання безпечне” ⇒ “Сертифікат дійсний”. Тут ви можете побачити, ким, для кого був виданий SSL, а також термін його дії. 

Приклад безпечного сайту:

У текстах багато помилок, помітний машинний переклад, логотип сайту не клікабельний

Звісно, від одруківок не застрахований ніхто, однак шахраї рідко коли вичитують контент. Не обовʼязково бути філологом, аби помітити велику кількість мовних невідповідностей.

Деякі сторінки не заповнені

На ранніх етапах створення вебсайту можуть залишатися ненаповнені контеном сторінки. На нормальних сайтах у таких випадках роблять так звані “заглушки” з інформацією про те, що сторінка в розробці. Якщо сторінки просто порожні чи недороблені, це щось та означає. 

Лише один спосіб оплати

Хороші компанії дбають про зручність оплати і, як правило, дають клієнтам/покупцям свободу вибору. Відсутня можливість оплатити фізичний товар при отриманні також має здатися підозрілою.

Немає угоди користувача (договору надання послуг) / розділу політики конфіденційності

Такі документи зазвичай розміщені у футері сайту. Зверніть увагу, що така угода може бути, але зі згадками сторонніх компаній або реквізитів, які не співпадають із зазначеними на сайті. Це ознака фішингового сайту. 

Немає сторінки контактів

Або ж є, але без зазначення дійсного телефону та юридичної адреси. Краще не полінуватися і таки загуглити адресу. Якщо, скажімо, магазин з продажу телефонів на Гугл картах буде співпадати із взуттєвим складом, це явно вас насторожить. Те ж саме і з телефонами. Часто номери шахраїв уже відомі користувачам мережі, і хтось уже міг поділитися негативним досвідом.  

Що має насторожити поза сайтом?

• Немає картки організації в Google My Business. Так, був період, коли в Google My Business не можна було реєструвати компанії, тож ми не радимо орієнтуватися лише на цей чинник. Але зараз більшість компаній все ж додають туди опис про себе, свої товари, постять новини. А ще в картці можна переглянути відгуки. 
  
• Підозріла реклама у соцмережах, яка обіцяє нечуваний заробіток за короткий термін, наприклад, “Заробіть свою першу $1000 за 24 години”.  
  
• Ви відчуваєте тиск через те, що маєте зробити вибір якомога швидко. Так, кожна компанія буде боротися за вас, але є один нюанс. При співпраці із хорошою компанією ви знайдете відчуття полегшення від вирішення своїх проблем, а от від шахрайської тільки тиск і невизначеність. 
  
• Вас просять завантажити сторонній файл, інструменти спільного використання екрана чи віддаленого доступу. Якщо для цього немає якихось обʼєктивних причин, такі прохання мають здатися дивними.     

Як перехитрити шахраїв? 

• Налаштуйте двофакторну аутентифікацію. 
• Користуйтеся браузерами, які підтримують антифішинговий захист (Google Chrome або Safari). 
• Встановіть хороший антивірус та блокувальник реклами. Огляд популярних антивірусів.  
• Відхиляйте рекламні дзвінки та ігноруйте автоматичні повідомлення.
• Загугліть підозрілий номер телефону чи емейл. Відгуки в мережі допоможуть розпізнати шахраїв. 
• Не заповнюйте сумнівні форми зворотного зв’язку та не переходьте за незрозумілими посиланнями. 

Читайте детальніше про те, як зберегти конфіденційність в Інтернеті.  

На завершення

Сподіваємося, коли наступного разу вам потрібно буде здійснити онлайн-оплату, ви відчуватимете себе більш впевнено й захищено. А якщо вже сталося так, що ви вказали дані своєї картки, і відчуваєте, що діло нечисте – передусім зателефонуйте у банк та заблокуйте рахунок.