Среди наиболее известных фишинговых атак была «Операция Аврора», когда получателями фишингового письма были китайские сотрудники Google. Злоумышленники хотели заразить вирусом компьютеры компании в Китае, чтобы получить доступ к внутренней сети главного представительства Google в Маунтин-Вью, Калифорния. Хакерам это удалось, они очень близко подобрались к исходному коду поисковой системы Google. Пострадал не только Google. Другие компании, например Adobe, жаловались на аналогичные атаки. В итоге компания Google быстро свернула свою деятельность на территории Китая.>126
Каждый раз, когда мы получаем запрос с сайта LinkedIn или Facebook, наша защита потенциально ослабевает. Вероятно, потому что мы доверяем этим сайтам и автоматически доверяем электронным письмам от них. Но как мы видели, кто угодно может подделать сообщение, и оно будет выглядеть правдоподобно. При живом общении мы обычно видим, что у собеседника накладные усы или шиньон или же что он пытается изменить голос. Сотни лет эволюции развили наши инстинкты настолько, что мы подсознательно улавливаем ложь. Эти инстинкты не действуют в Интернете, по крайней мере, у большинства из нас. Софи Кертис была журналисткой, по роду деятельности ей положено быть любопытной и недоверчивой, ведь она должна распутывать клубки событий и проверять факты. Софи могла бы проверить наличие пользователя LinkedIn в списке сотрудников издания Telegraph. Тогда бы она поняла, что письмо, вероятно, фальшивка. Но она так не сделала. И в обычной жизни многие из нас так же беспечны.
У хакера, который занимается фишингом, будет какая-то информация о вас, но не вся. Тот маленький кусочек ваших персональных данных, который есть у мошенника, он будет использовать как наживку. Например, злоумышленник может отправить вам письмо, содержащее последние четыре цифры вашей банковской карты, чтобы вы начали ему доверять, а затем он начнет выпытывать у вас другие сведения. Иногда последние четыре цифры карты неверны, и мошенники в ответ попросят вас поправить их. Не делайте этого. Если кратко, не вступайте ни в какое взаимодействие с мошенником. Не отвечайте на запросы персональной информации, даже если они кажутся вам добросовестными. Наоборот, свяжитесь с указанной организацией с отдельного электронного ящика (если у вас есть ее адрес) или напишите текстовое сообщение (если известен номер мобильного телефона).
Наибольшую опасность представляют те фишинговые атаки, которые обманом заставляют жертву выполнить то действие, в результате которого хакер получает полный контроль над компьютером. Именно этого я пытаюсь достичь путем социальной инженерии. Также распространен такой тип атаки, при котором злоумышленник выведывает логин и пароль жертвы, но настоящая опасность целевого фишинга связана с получением доступа к компьютеру и сети жертвы.