Выделяют три основных вида фишинга:
• почтовый;
• онлайновый;
• комбинированный.
Почтовый фишинг появился первым, — об этом виде мошенничества общественность узнала еще в 1996 году.
Примечание
Тогда сразу несколько тысяч клиентов провайдера America Online получили электронные письма от "представителя компании" с просьбой выслать логин и пароль для входа в систему. И многие выслали.
Суть почтового фишинга в том, что жертве отправляется электронное письмо, в котором содержится просьба выслать те или иные конфиденциальные данные. К примеру, от имени интернет-провайдера с похожего (или идентичного) почтового адреса отправляется письмо, в котором написано, что по провайдеру нужно узнать логин и пароль для доступа в Интернет указанного пользователя, так как сам провайдер по тем или иным техническим причинам (база "рухнула") этого сделать не может. Более интересный пример связан с одним известным американским банком, клиенты которого однажды получили сообщения о том, что на их счет пришло большое перечисление (допустим несколько десятков тысяч долларов), и в соответствии с договором, так как сумма перечисления превышает сумму в $1000, им для подтверждения получения перевода необходимо пройти по ссылке, приведенной в конце письма, и ввести всю необходимую информацию для подтверждения перевода. В противном случае перевод будет отправлен назад. Мало кто смог побороть свою жадность, и несколько тысяч клиентов банка стали объектом фишинг-атаки.
Примечание
Это как раз тот случай, когда социальные хакеры блестяще сыграли на одном из людских пороков — жадности.
Онлайновый фишинг заключается в том, что мошенники один в один копируют какой-либо из известных сайтов, причем для него выбирается очень похожее доменное имя (или то же самое, только в другой зоне), и создается идентичный дизайн.
Примечание
В качестве приманки (аттракции) товары в этих поддельных интернет-магазинах продаются практически по демпинговым ценам, что неудивительно, ведь никто ничего на самом деле реально не продает.
Дальше происходит примерно следующее. Решив совершить в магазине покупку, пользователь вводит свои логин, пароль и номер пластиковой карты, после чего все эти данные становятся известными злоумышленнику. После чего мошенник незамедлительно "обнуляет" кредитную карточку жертвы.
Примечание
Данный вид фишинга иногда еще называют имитацией бренда (brand spoofing).
Комбинированный фишинг является объединением двух предыдущих видов фишинга. Его появление вызвано тем, что почтовый и онлайновый фишинг уже достаточно устарели, да и пользователи стали грамотнее в части информационной безопасности. Поэтому фишеры придумали другую тактику. Так же как в онлайновом фишинге создается поддельный сайт, а потом как в почтовом фишинге пользователям отсылаются письма с просьбой зайти на этот сайт.