Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того, как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.
Техника фишинга была подробно описана в 1987 году, а сам термин появился 2 января 1996 года в новостной группе alt.online-service.America-Online сети Usenet, хотя возможно его более раннее упоминание в хакерском журнале 2600
Один из методов борьбы с фишингом заключается в том, чтобы научить людей различать фишинг и бороться с ним. Люди могут снизить угрозу фишинга, немного изменив своё поведение.
Вы получили письмо, СМС или звонок от банка/платежной системы/почтового провайдера с просьбой сообщить свои персональные данные. Вы не пользуетесь данным банком/платежной системой/почтовым провайдером. Значит, письмо определенно мошенническое.
Если в поле «Куда» указано не ваше имя, значит, это массовая безличная рассылка, где имена в поле «Куда» не имеют отношения к реальности или проставляются методом перебора. И если в поле «От кого» указан неизвестный вам адрес, при этом в самом письме в качестве отправителя указывается сайт хорошо знакомый, значит, письмо пришло вовсе не от той организации, под которую подделываются мошенники. Имейте в виду, ни одна крупная организация не будет посылать письма с бесплатного почтового ящика.
Безличные обращения, например, Dear Friend, Dear Customer, Уважаемый пользователь, означают, что адресант не знает вашего имени, то есть письмо разослано наудачу по многим адресам.
Вы получили сообщение от банка/платежной системы/почтового провайдера. У вас есть учетная запись в данной системе. Внимательно прочитайте текст сообщения: если вас под каким-нибудь предлогом просят ввести логин/пароль, пройдя по ссылке, то письмо мошенническое, — банки, платежные и почтовые системы никогда не просят пользователей залогиниться, пройдя по ссылке в письме. В этих системах логин и пароль требуется вводить только для доступа в свой персональный кабинет.
Например, «Lloan» вместо «Loan», «Youwon» вместо «You won». Это один из приемов, которым пользуются спамеры, чтобы обойти спам-фильтры.
Еще один простой способ отличить фишинговое письмо от настоящего — подвести курсор к ссылке. Тогда во всплывающей подсказке, либо в нижнем левом углу почтового клиента, вы увидите настоящий адрес сайта, на который попадете, если пройдете по ссылке. Внимательно посмотрите на него: домен второго уровня (то, что стоит непосредственно перед первым слешем) должен принадлежать организации, от которой идет рассылка.
Смотрите внимательно, на какой сайт вы переходите, зачастую мошенники делают названия своих доменов похожими на названия легальных сайтов, заменяя или переставляя местами лишь одну букву.
Щедрое рекламное предложение, внезапная акция, выигрыш в лотерею, для участия или получения денежного приза в которой требуется ввести данные своей карты или другую персональную информацию также должны вызывать подозрения. Если организатором акции обозначена известная организация — следует связаться с ней напрямую и уточнить условия конкурса. Если нет — не стоит рисковать своими деньгами ради сомнительной выгоды.