Когда вам предлагают войти в тот или иной онлайн-сервис, подтвердить свою личность или скачать документ по ссылке, обычно требуется ввести имя и пароль. Это привычная операция, и многие выполняют ее, не задумываясь. Но мошенники могут выманить ваш пароль от почты, сервисов госуслуг, банковских сервисов или соцсетей, сымитировав форму ввода логина-пароля известного сервиса на своем (постороннем) сайте. Не попадайтесь — пароль от почты может проверять только сам почтовый сервис и никто другой! То же касается госуслуг, банков и соцсетей.
Чтобы не стать жертвой обмана, каждый раз при вводе пароля нужно на секунду задуматься и проверить, куда именно вы входите и что за окошко требует вводить данные. Здесь есть три основных варианта: два безопасных и один мошеннический. Вот они.
Оглавление
Безопасные сценарии ввода пароля
Вы входите в свои почту, соцсеть или онлайн-сервис через их собственный сайт. Это самый простой вариант, но нужно убедиться, что вы действительно заходите на легитимный сайт и в его адресе нет никакой ошибки. Если вы заходите в онлайн-сервис, нажав на ссылку в присланном вам сообщении или перейдя по ссылке из результатов поиска, перед вводом пароля внимательно сверьте адрес сайта с названием требуемого сервиса.
Почему так важно потратить лишнюю секунду на проверку? Создание фишинговых копий легитимных сайтов — любимый прием мошенников. Адрес фишингового сайта может быть очень похожим на оригинальный, но отличаться от него на одну или несколько букв в названии или располагаться в другой доменной зоне — например, в фишинговом адресе вместо буквы «i» может стоять «l».
А уж сделать ссылку, выводящую совсем не туда, куда написано, и вовсе несложно. Проверьте сами: вот эта ссылка якобы на наш блог kaspersky.ru/blog выводит на другой наш блог — securelist.ru.
На рисунке ниже — примеры оригинальных страниц входа на разные сервисы, на которых можно смело вводить имя и пароль от этого сервиса.
Вы входите на сайт при помощи вспомогательного сервиса. Это — вариант для удобного входа без создания лишних паролей: так часто заходят в программы для хранения файлов, совместной работы и так далее. В роли вспомогательного сервиса обычно выступают большие провайдеры почты, соцсетей или государственных услуг. Кнопка входа называется «Вход через Госуслуги», «Войти с VK ID», «Sign in with Google», «Continue with Apple» и так далее.
Для ввода имени и пароля поверх вашего сайта открывается другое окно, принадлежащее вспомогательному сервису (тому самому Google, Apple, Госуслугам, соцсетям и т. п.). Схема работает так: внешний сервис проверяет, что вы — это вы, и подтверждает это сайту, на который вы входите. Очень критично сверить адреса в обоих окнах — проверить, что всплывающее окно с запросом пароля действительно открылось на сайте, от которого вводится пароль, а основное окно действительно принадлежит сайту, на который вы хотите войти. Во всплывающем окне у многих провайдеров также написано, на какой сайт дальше будет проводиться вход. В этой схеме вы попадаете на нужный сайт, но сам он никогда не видит вашего пароля. Проверка пароля проходит на стороне вспомогательного сервиса (Google, Госуслуги и т. п.). У IT-специалистов такой способ входа называется Single Sign-On (SSO).
Пример SSO-входа на mail.ru через внешний сервис — Госуслуги. Вводить имя и пароль тут также безопасно
Мошеннический сценарий кражи пароля
Вы получаете письмо или сообщение со ссылкой для входа, нажимаете на нее и попадаете на сайт, очень похожий на легитимный сервис почты, соцсети, обмена файлами или электронной подписи документов. Сайт просит вас войти в свой аккаунт, чтобы доказать, что вы — это вы, а для этого необходимо указать свой e-mail и пароль от почты, сайта госуслуг, банковского сервиса или соцсети прямо на этом сайте.
Всплывающего окна от легитимного сервиса, как в предыдущем варианте, либо вовсе нет, либо же дополнительное окно также относится к постороннему сайту. Это — обман, чтобы выманить пароль от учетной записи! Ведь этот посторонний сайт даже не может проверить введенный пароль — он его просто не знает, а пароли никогда не передаются между сайтами.
Как защититься от краж паролей
Внимательно проверяйте адрес сайта, на котором у вас запрашивают пароль.
Вводите пароль от любого сервиса только на сайте, принадлежащем самому этому сервису, и нигде больше.
Иногда для ввода пароля появляется отдельное окно — убедитесь, что это обычное окно браузера, в котором вы видите адресную строку и можете проверить адрес.
Злоумышленники могут делать сайты-двойники, адреса которых трудно отличить от настоящих. Чтобы не попасть в такую ловушку, используйте надежную защиту от фишинга на всех устройствах и всех платформах. Мы рекомендуем на эту роль Kaspersky Premium, в 2024 году победивший в тесте на антифишинг.
Продвинутый способ защиты — использовать менеджер паролей для всех аккаунтов. Он проверяет настоящий адрес страницы и ни за что не введет ваши учетные данные в поля незнакомого сайта, как бы тот ни был похож на что-то известное.
Блог Касперского