В последний месяц в Беларуси активизировалась рассылка писем с замаскированной кражей паролей.
«Постановление суда», «Квитанция из налоговой инспекции», «Гарантийный лист» и другие на первый взгляд безобидные документы на самом деле могут быть так называемым фишингом, пишет «Наша Ніва».
Письма приходят как минимум с mail.ru и gmail.ru (второй не связан с почтой Google) на ящики почты Google, gmail.com. Они содержат ссылку на присоединенный документ. Сам документ безобидный, но чтобы получить доступ к нему, нужно сдать свой пароль злоумышленникам.
При попытке открыть присоединенный файл высветится «идентичное натуральному» окошко ввода пароля — полная копия интерфейса ввода пароля Google.
Если туда ввести пароль (любой — хоть «1111»), откроется файл на Google Drive — настоящем хранилище документов Google.
Пользователь вряд ли заметит подмену, но его пароль уже будет в руках злоумышленников. А вместе с паролем от почты злоумышленник получит доступ к зарегистрированным на взломанный ящик соцсетям, а то и банковским карточкам.
Единственный способ избежать взлома - внимательно смотреть на адресную строку. Настоящая почта Google расположена по адресу mail.google.com либо inbox.google.com, окно ввода пароля — на accounts.google.com. Другие адреса вроде mail-google.com, gmail.ru или googte.com — подделки.
Подобным способом, известным как фишинг, не так давно вытаскивали пароли от соцсетей. Например, «ВКонтакте» приходило сообщение со ссылкой на vkontakle.ru (обратите внимание на отличие от vkontakte.ru). В окне, идентичном окну «ВКонтакте», пользователя просили вновь ввести свой пароль, после чего он доставался злоумышленникам.
Таким же образом могут красть пароли от любых других популярных сервисов — «Яндекс», Facebook, да хоть Tut.by. При любой просьбе ввести пароль внимательно смотрите, не вводите ли вы его на сайт-фальшивку.
Дополнительно защитить себя от кражи паролей можно с помощью так называемой двухфакторной или двухэтапной аутентификации — когда кроме пароля при входе из необычного места у вас попросят ввести одноразовый код, который высылается вам по SMS. Включить такую функцию можно на практически любом сервисе в разделах настроек «Безопасность» или «Аккаунт».