Рекомендации Министерства цифрового развития, связи
и массовых коммуникаций Российской Федерации по эффективному
распознаванию фишинговых писем
Фишинг (англ. phishing) — вид интернет- мошенничества, целью которого
является получение идентификационных данных пользователей (логин,
пароль, номер кредитной карты и другой конфиденциальной информации),
а также запуск вредоносного программного обеспечения на компьютере
пользователя.
Такой вид интернет- мошенничества, как правило, основан
на психологической манипуляции и его цель – вывести человека на такие
эмоции, как интерес, страх, жадность, злость, желание помочь. Это позволяет
ослабить концентрацию человека, усыпить его бдительность.
Так, применение различных психологических приемов делает такой вид
интернет- мошенничества чрезвычайно эффективным, в том числе в органах
государственной власти.
Пример. Для злоумышленника не составляет труда найти в открытых
источниках информацию о структуре Вашего органа власти, определить
ключевых должностных лиц и домен корпоративной почты Вашего органа
власти. Это позволяет злоумышленнику сделать фишинговую рассылку
примерно следующего содержания: «Уважаемый ….! В период с 1 марта по 3
апреля Управлением информационных технологий производится ревизия
почтовых ящиков сотрудников …. Все неиспользуемые почты будут
отключены. Если вы получили данное письмо и планируете использовать
данный почтовый ящик в будущем, просьба оперативно войти в личный
кабинет по следующей ссылке:……...»
При этом ссылка, конечно же, ведет на поддельную форму авторизации в
корпоративную почту. Если тот или иной сотрудник органа власти вовремя не поймет, что данная рассылка является фишинговой, и перейдет по ссылке, он окажется на странице, которая внешне неотличима от настоящей формы ввода учетных данных. Конечно же, введя логин и пароль, такой сотрудник
«добровольно» передаст их злоумышленникам.