Яндекс защита паролей от фишинга. Защита от фишинга действительно работает

Мошенники существовали всегда, и теперь, в эпоху Интернета, они используют всемирную сеть для охоты на доверчивых пользователей. Масштабы Интернет-мошенничества неуклонно растут, и методы изготовления злонамеренных сообщений электронной почты и веб-узлов совершенствуются с каждым днем.

Что такое Интернет-мошенничество или «phishing»?

Фишинг - это способ обмана, используемый интернет-мошенниками для того, чтобы получить личные сведения о пользователе. Фишинг - это самый быстроразвивающийся способ мошенничества в сети, применяемый для кражи личных средств и идентификационных сведений.

В качестве приманки мошенники, которые занимаются фишингом, используют электронные письма и веб-узлы, которые имитируют хорошо известные и надежные торговые марки.

Распространенным способом фишинга является рассылка нежелательных сообщений электронной почты, напоминающих подлинные сообщения известных веб-узлов или компаний, которым доверяют получатели (например, операторов кредитных карт, банков, благотворительных организаций или интернет-магазинов).

# Личное имя и имя пользователя.
# Адрес и номер телефона.
# Паспортные данные или PIN-код.
# Номер банковского счета.
# Номер банкоматной, дебетовой или кредитной карточки.
# Код проверки карточки (CVC) или контрольное число карточки (CVV).
# Номер социального страхования.

Преступники используют эти сведения различными способами для получения прибыли. Например, типичным примером является кража идентификационных сведений, когда преступник похищает личные сведения и использует идентификационные данные с целью совершения перечисленных ниже действий:

# Запрос и получение кредита от лица жертвы.
# Снятие всех средств с банковского счета или исчерпание кредита на карточке жертвы.
# Перевод денег со счета капиталовложений или кредитного счета на текущий счет жертвы с последующим использованием копии дебетовой или кредитной карты для извлечения наличных средств с текущего счета через банкоматы по всему миру.

Примеры схем выуживания конфиденциальной информации (phishing)

Далее приведены примеры схем выуживания конфиденциальной информации:

# Рассылка поддельных сообщений электронной почты, имитирующих предупреждения от компании, с которой ведется сотрудничество, о необходимости подтверждения сведений о счете во избежание его замораживания.

# Мошеннические действия при использовании аукциона с применением поддельных веб-узлов условного депонирования. Товары выставляются на продажу через легальный Интернет-аукцион, чтобы заставить покупателя перевести деньги поддельному веб-узлу условного депонирования.

# Фиктивные торговые сделки через Интернет, когда преступник предлагает оформить заказ на покупку товара с переводом суммы, значительно превышающей стоимость покупки. Для покрытия разницы преступник просит прислать ему чек на соответствующую сумму. В результате продавец не получает плату за товар, а преступник погашает чек и присваивает себе разницу. Кроме того, отправленный продавцом чек содержит номер его банковского счета, банковский путевой индекс (routing code), адрес и номер телефона.

# Фиктивные благотворительные организации, обращающиеся с просьбой о пожертвованиях. К сожалению, многие преступники готовы воспользоваться вашей добротой в целях наживы.

Как распознать сообщения электронной почты, рассылаемые мошенниками?

К сожалению, поскольку фишинг-атаки становятся все более изощренными, обычному пользователю очень сложно распознать поддельное сообщение. Именно поэтому схемы фишинга так часто и успешно используются злоумышленниками.

Например, многие фиктивные сообщения электронной почты содержат ссылки на эмблемы хорошо известных торговых марок реальных компаний. Тем не менее для многих поддельных сообщений характерны указанные ниже признаки.

# Запрос личных сведений по электронной почте. В большинстве легальных компаний существует политика, запрещающая запрос личных сведений по электронной почте. Сообщение с запросом личных сведений должно вызывать серьезные подозрения, даже если оно кажется подлинным.

# Экстренный характер сообщения. Обычно сообщения электронной почты, рассылаемые мошенниками, составлены в вежливой и любезной форме. Мошенники почти всегда стараются заставить получателя ответить на сообщение или щелкнуть содержащуюся в нем ссылку. Для увеличения числа откликов преступники пытаются придать сообщению экстренный характер, чтобы вызвать немедленную, необдуманную реакцию получателя. Обычно поддельные сообщения электронной почты не персонализированы, в отличие от сообщений, отправляемых банками и электронными магазинами. Ниже приведен пример реальной схемы выуживания конфиденциальной информации (phishing):

Уважаемый клиент банка, в связи с поступившими сообщениями о неактивности, мошенничестве и подделке сведения о вашем счете должны быть обновлены. Обновите сведения, чтобы избежать удаления счета. Воспользуйтесь приведенной ниже ссылкой для подтверждения ваших данных.

# Поддельные ссылки. Злоумышленники, которые используют фишинг, настолько преуспели в создании поддельных ссылок, что обычному пользователю не под силу отличить их от подлинных. Лучший способ избежать перехода по поддельной ссылке - ввести правильный веб- или URL-адрес в обозревателе вручную. Также можно сохранить правильный URL-адрес в папке обозревателя «Избранное». Не копируйте и не вставляйте URL-адреса из сообщений в обозреватель. Далее перечислены некоторые способы подделки ссылок, ранее использовавшиеся злоумышленниками.

# Если сообщение электронной почты имеет формат HTML , то ссылки, которые предлагается щелкнуть, могут содержать название реальной компании или его часть и обычно «замаскированы», т. е. ссылка ведет не на тот адрес, который в ней отображается, а, как правило, на поддельный веб-узел. В следующем примере показано, как при наведении указателя на ссылку в сообщении отображается всплывающее окно с желтым фоном, в котором отображается другой числовой адрес в Интернете. Этот признак должен вызвать самые серьезные подозрения.

# Обращайте внимание на URL-адреса с символом @. В следующем примере URL-адрес приведет на веб-узел, адрес которого указан за символом @, а не на веб-узел банка Wood Grove. Это происходит потому, что обозреватели не учитывают ту часть URL-адреса, которая указана до символа @.

https://[email protected]/secure_verification.aspx
Реальный веб-узел, nl.tv/secure_verification.aspx, вполне может быть небезопасным.

# Другой распространенный метод заключается в использовании URL-адреса , который можно принять за название хорошо известной компании, но при более внимательном рассмотрении можно увидеть, что он немного изменен. Например, вместо www.microsoft.com может быть указан один из следующих адресов:
www.micosoft.com
www.verify-microsoft.com
www.mircosoft.com

За последнее время корпорация Майкрософт выиграла несколько судебных процессов против лиц, использовавших подобные адреса URL для имитации подлинных узлов Майкрософт. Тем не менее эта практика все еще распространена и зачастую защищена государственными границами.

# Использование изображения в теле сообщения. Чтобы обойти фильтры нежелательной электронной почты, мошенники, реализующие схемы выуживания конфиденциальной информации, часто используют изображения вместо текста в теле сообщения. Если нежелательное сообщение содержит текст, то фильтр нежелательной почты с большой вероятностью переместит его в папку Нежелательная почта. Изображение в теле сообщения обычно представляет собой гиперссылку. При наведении указателя на тело такого сообщения он принимает вид руки:

Другие изображения, помещаемые в сообщения электронной почты, могут указывать на сервер отправителя нежелательной электронной почты и выполнять роль веб-маяков. При открытии сообщения изображения загружаются и сведения об этом передаются на сервер. Эти сведения подтверждают, что адрес электронной почты активен и может использоваться в последующих рассылках.

# Вложения. Во многих схемах фишинга пользователю предлагается открыть вложение электронной почты, которое может загрузить на компьютер вирус или программу-шпион. При загрузке такой программы на компьютер она может регистрировать нажатия клавиш, используемые для входа в учетные записи, а затем отправлять данные о них злоумышленнику. Не открывайте вложения в подозрительных сообщениях электронной почты! Перед открытием любого вложения необходимо сначала сохранить его, а затем проверить с помощью обновленной антивирусной программы. В целях защиты компьютера приложения, автоматически блокируют файлы вложений некоторых типов, которые могут использоваться для распространения вирусов.

# Слишком заманчивые обещания. Опирайтесь на здравый смысл и проявляйте осторожность, если вам предлагают деньги или скидки, которые выглядят слишком заманчивыми.

Как распознать поддельный веб-узел?

Как и мошеннические сообщения электронной почты, поддельные веб-узлы содержат убедительные эмблемы и веб-ссылки. Это усложняет определение подлинности веб-узла.

Наилучший способ избежать такого мошенничества - не щелкать ссылки в подозрительных сообщениях. Далее перечислены некоторые элементы, которыми должны обладать подлинные веб-узлы.

# Безопасность SSL. Подлинные веб-узлы используют протокол SSL или другие технологии безопасности для защиты личных сведений, вводимых пользователем при создании учетной записи и последующем входе на веб-узел. Если на странице используются технологии безопасности, в строке состояния обозревателя отображается значок в виде замка. Кроме того, веб-адрес содержит префикс https:// (обратите внимание на букву s после http, которая обозначает безопасный) вместо обычного префикса http://

Важно! Следует отметить, что префикс https:// иногда используется в поддельных ссылках, как показано на примере «замаскированной» ссылки в разделе «Поддельные ссылки».

# Цифровой сертификат веб-узла. Дополнительным преимуществом технологии SSL является проверка подлинности - процедура идентификации веб-узла. Технология SSL обеспечивает данное преимущество за счет использования цифрового сертификата, предоставляемого веб-узлом. Для просмотра сертификата необходимо дважды щелкнуть значок в виде замка Замокв правом нижнем углу окна обозревателя и проверить данные в поле Кому выдан. Имя, указанное в сертификате, должно соответствовать узлу, который открыт. Например, если узел действительно принадлежит банку Wood Grove Bank, то имя в поле Кому выдан должно соответствовать URL-адресу woodgrovebank.com. Если указано другое имя, возможно, веб-узел поддельный. Как отмечалось выше, следует уделять особое внимание едва заметным различиям в названиях. Если срок действия сертификата истек, сертификат не утвержден центром сертификации или имя сертификата не соответствует имени в строке адреса, обозреватель Microsoft Internet Explorer выводит предупреждение.

Чтобы получить дополнительные сведения о сертификате, откройте вкладку Состав. Если уверенности в подлинности сертификата нет, не вводите личные сведения на веб-узле. В целях безопасности рекомендуется покинуть такой веб-узел.

В данной статье будет рассказано о том, что собой представляет фишинг паролей, как он осуществляется, для чего злоумышленники его используют и как можно обезопасить себя от этой напасти.

Начало

Всего 15 лет назад далеко не все пользователи могли похвастаться наличием домашнего ПК. О быстром безлимитном Интернете можно было только мечтать. К счастью, подобные технологии сегодня развиваются очень быстро. В наше время уже тяжело удивить кого-то наличием персонального компьютера или доступа в сеть. Цифровые технологии с каждым годом становятся все более простыми и доступными. Сегодня уже практически все предприятия перешли на электронную форму документооборота.

Спектр услуг, оказываемых через Интернет, растет с каждым годом. Все то приводит к тому, что в виртуальном пространстве оказывается сосредоточено очень много важной персональной секретной информации, такой как данные электронных кошельков, паролей к ними и т.п. Все это, конечно же, привлекает внимание злоумышленников. Сегодня уже никого не удивляют истории о том, как хакеры добыли компрометирующую информацию или «положили» сайт конкурирующей компании. Злоумышленников помимо информации и перечисленных ценностей также интересует нематериальная составляющая.

Например, пароль и логин к аккаунту в какой-нибудь онлайн-игре или платном сервисе. Довольно часто помимо самой обычной вирусной атаки используется такой метод, как фишинг. Что собой представляет фишинг паролей? Как можно обезопасить себя от этого явления? В этом мы и попытаемся разобраться в данной статье.

Фишинг: определение

Прежде всего, поговорим о терминологии. Слово «фишинг» было позаимствовано из английского языка. В переводе с английского fishing означает «выуживание» или «рыбная ловля». Смысл данного действия, как и в случае с настоящей ловлей рыбы, состоит в том, чтобы закинуть пользователю какую-то наживку и просто ждать, когда последний на нее клюнет и просто «сольет» злоумышленникам логины и пароли. Но что собой представляет фишинг паролей и как он может быть реализован с технической точки зрения?

Фишинг паролей в отличие от троянских программ, вирусных атак, бэкдоров и кейлогеров, может быть реализован довольно просто, но в то же время и более хитро таким образом, что пользователи даже не замечают подвоха. Как же может быть реализован данный метод? Все довольно просто. Злоумышленник копирует исходный код страницы, например, страницы авторизации в почтовом сервисе, загружает копию на арендованный хостинг, где размещены его фиктивные данные. Затем он создает адрес данной страницы, который оказывается очень похожим на оригинальный.

Так, например, если подлинный адрес звучит как e.mail./login?email, то поддельный может иметь вид e..mail./login?email. В данном случае разница заключается всего в одной точке. Согласитесь, не все смогут ее увидеть. Фиктивная страница настроена таким образом, что после ввода необходимой информации, а именно логина и пароля пользователя, она будет сохранена на сайте хакера. Теперь вы знаете, что собой представляет фишинг паролей. Конечно же, при последующей попытке авторизации пользователь получит сообщение об ошибке. В некоторых случаях, чтобы ввести пользователя в заблуждение, злоумышленники создают скрипты, которые сообщат о том, что комбинация логин-пароль неверна, и перенаправит пользователя на настоящую страницу авторизации.

Как защититься от фишинга?

Теперь мы перешли к очень важному вопросу: как же защититься от подобного воровства паролей? Прежде всего, нельзя переходить по различным подозрительным ссылкам. В особенности это касается форм авторизации каких-либо сервисов и служб, которые для вас важны, тем более, если вы уже авторизовались на сервисе и не завершали сессию. Во-вторых, необходимо всегда обращать внимание на адрес страницы. Злоумышленники делают его максимально похожим на оригинал, но определенные отличия все-таки присутствуют. Стоит также помнить, что на любом устройстве с выходом в сеть должна быть установлена антивирусная программа.

Все современные версии антивирусов умеют распознавать поддельные страницы в интернете. В дополнение стоит также отметить, что многие службы и сервисы автоматически защищают себя от этого особыми кодами и скриптами, из-за которых исходный код страницы нельзя просто так скопировать и использовать в качестве приманки. Данный вид мошенничества получил особое распространение около 10 лет назад. В то время появилась даже специальная программа для фишинга паролей. Смысл данной программы состоял в том, что с ее помощью любой пользователь мог легко и быстро создать копию страницы для фишинга. Сегодня подобные программы не актуальны, поскольку дизайн форм авторизации и их код очень часто меняется, чтобы не допустить воровства логинов и паролей.

Фи́шинг (англ. phishing, от fishing - рыбная ловля, выуживание) - вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей - логинам и паролям.

Цель как всегда банальна - доступ к персональной информации с целью обогащения. Методом рассылки электронных писем от имени популярных брендов, сообщений от банков, сервисов или у пользователей выспрашиваются пароли, логины и другие различные доступы к счетам, банковским картам, личным страничкам и т.д.

В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, после того, как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определенному сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.

Происходит это зачастую из-за пренебрежениями пользователями безопасности или обычного незнания, в частности, многие не знают простого факта: сервисы не рассылают писем с просьбами сообщить свои учётные данные, пароль и прочее.

Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам. Новые версии браузеров уже обладают такой возможностью, которая соответственно именуется «антифишинг».

Обычно, фишинговые атаки направляют получателя на веб-страницу, спроектированную так, что она имитирует настоящий сайт организации и собирает личную информацию, причем чаще всего пользователь даже не подозревает, что на него производилась атака такого рода. Чаще всего жертвы терпят огромные финансовые потери или кражу личных данных в криминальных целях.

Выуживание чужих паролей или другой чувствительной информации имеет долгую историю среди общества взломщиков. Традиционно такие действия осуществлялись при помощи социальной инженерии. В 1990-ых, с ростом числа компьютеров, подключенных к сети, и популярностью , атакующие научились автоматизировать этот процесс и атаковать рынок массового потребления. Сам термин фишинг ("password harvesting fishing" – ловля и сбор паролей) описывает мошенническое овладение чувствительной информацией, когда жертве сообщают совсем другую причину, по которой она должна сообщить эти данные, а о настоящей цели она даже не догадывается.

Фишинговые атаки обычно осуществляются несколькими простыми инструментами и методами, позволяющими обмануть не о чем не подозревающих пользователей. Основной инфраструктурой, поддерживающей фишерные сообщения, обычно служит HTML страница, скопированная на недавно порутанный сервер и серверная часть скриптов для обработки всех данных, введенных пользователем. Могут вовлекаться и более комплексные веб-сайты и перенаправление содержания, но в большинстве случаев цель всегда одна – поднять фейковый сервер, имитирующий работу реального брэнда, который предоставит все данные, введенные пользователем в руки злоумышленника. Используя современные утилиты редактирования HTML, создание фейкового веб-сайта не займет много времени, и плохо защищенные веб-серверы могут быть легко запущены и взломаны в случае, если атакующий возьмется за сканирование диапазонов IP адресов в поисках уязвимых хостов. Однажды порутанные, даже домашние компьютеры могут стать эффективными хостами для фишерных сайтов, поэтому под прицелом находятся не только корпоративные или академические системы. Атакующие часто не делают различий между целевыми компьютерами, тупо выбирая большие диапазоны IP адресов для поиска случайных или одной конкретной уязвимости.

С момента создания фейкового сайта главной задачей фишера становится перенаправление пользователей с легального сайта компании на фейковый сайт. Пока фишер имеет возможность подменять DNS на целевой сайт (DNS poisoning) или каким-либо другим способом перенаправлять сетевой трафик (метод, часто называемый pharming), они все равно должны полагаться на некоторую форму хорошего уровня содержимого, чтобы заманить несчастного пользователя на фейковый сайт. Чем лучше качество приманки, тем большая сеть может быть раскинута и тем больше шанс невинного пользователя посетить фейковый сайт (и ввести данные, запрошенные фишером).

Однако для атакующего есть одна проблема – когда он выбрал конкретную организацию (банк или др.), у него возможно не будет никакой информации о том, кто является реальным покупателем в Интернете, что может быть особенно заметно для определенных ловушек. Если даже фишер запостит пару линков, ведущих на фейковый сайт в чатах и форумах, принадлежащих реальному брэнду (сайт технической поддержки или группы по связям с общественностью), велика вероятность что реальная организация будет быстро информирована, а неправильные ссылки будут удалены или подвергнуты сомнению до того, как достаточное число пользователей посетят фейковый контент и пришлют личные данные. Также существует существенный риск, что реальная организация может зафиксировать и отключить фейковый сайт. Следовательно, фишеру требуется метод достижения максимального количества потенциальных жертв с минимумом риска, плюс идеальный партнер в целях спама по email.

У спамеров имеются в наличии базы данных с миллионами рабочих email адресов, таким образом, массовые методы рассылки могут быть использованы фишером для рассылки приманок очень многим юзерам с малым риском. Спамные сообщения чаще всего посылаются через хакнутые серверы в различных странах, или через глобальные сети (ботнэты), таким образом, реальное местоположение фишера определить в принципе невозможно. Если не о чем не подозревающий юзер получает официально оформленное сообщение, причем, похоже, что его отправил банк и просит пользователя перейти по ссылке, содержимое которой будет максимально походить на реальный сайт банка. Далее юзера просят поменять пароль для онлайновых операций в целях безопасности, и вероятность, что он сделает это, велика, если у него в почтовом ящике находится приличная куча другого спама с предложениями купить какой-либо новый товар и ссылками на неизвестные сайты.

Для увеличения видимости того, что сообщение подлинное, фишер может воспользоваться некоторыми методами для улучшения изощренности попыток жульничества:
Использование IP адресов вместо доменных имен в ссылках на фейковый веб сайт.

Многие пользователи не будут проверять (или не будут знать как проверить) принадлежит ли IP адрес реальному хосту организации.
Регистрирование созвучных DNS доменов (к примеру, b1gbank.com or bigbnk.com).
Вставка ссылок из реального сайта компании в сообщение о фишерном сайте таким образом, что браузер пользователя выполнит большинство соединений на реальный сайт и минимум из них – на фейковый.
Кодирование линка в браузере. Одним из вариантов этого метода может быть IDN spoofing с использованием Unicode. Будет казаться, что линк ведет на подлинный сайт, однако фактически соединение пойдет на фейковый сервер с другим адресом.
Использование уязвимости в веб-браузере пользователя.

Приложения Microsoft Internet Explorer и Outlook имеют множество дырок (такие как address bar spoofing или IFrame element)
Конфигурирование фишерного сайта

Сайт делается так, чтобы записывались любые введенные данные (имена пользователей и пароли), причем скрытно, а затем направлять пользователя на реальный сайт. Можно выдать сообщение «пароль неверный», после чего пользователь вообще не заподозрит неладного и тупо введет все данные снова.
Фейковый сайт в роли прокси-сервера для реального сайта

Данный сайт полностью журналирует все данные, незашифрованные SSL (или даже регистрируя валидные SSL сертификаты для спуфных доменов)

Использование malware

Перенаправление жертв на фишерный сайт, используя malware для установки злоумышленного Browser Helper Object на локальный компьютер. BHO это DLL’ки, созданные для контроля браузера Internet Explorer, и если они выполняются успешно, жертва может быть обманута, т.к. будет думать, что находится на реальном сайте, а на самом деле будет на фейковом.
Использование malware для правки файла hosts на PC жертвы, который используется для хранения соответствий между DNS и IP адресами. Путем вставки фейкового DNS в этот файл можно заставить браузер жертвы соединяться на нелегальный сервер.

Благодаря комплексной природе многих приложений электронной коммерции или онлайновых банков, которые чаще всего используют HTML фреймы и саб-фреймы или другие структуры комплексных страниц, пользователю будет трудно определить является ли определенная страница законной. Использование методов, указанных выше, может скрыть исходник страницы, а пользователь будет легко обманут. С этого момента фишер сможет свободно использовать акаунты пользователя или другие электронные идентификаторы, а пользователь становится другой жертвой успешной фишерной атаки.

Методы защиты от фишинг-атак существуют, и они вполне действенны. Для начала следует использовать наиболее популярные интернет-браузеры, производители которых идут в ногу со временем и снабжают свои программы возможностями "антифишинга" - Internet Explorer, Mozilla , Google , Safari, Opera. Также следует запомнить, что банки, социальные сети и другие сервисные службы не занимаются массовыми рассылками с требованиями об указании конкретных данных пользователя конфиденциального характера. В случае получения подобного спама сразу обращаться в отдел обслуживания компании, от которой якобы получено письмо с запросом личной информации для проверки подлинности сообщения. Не следует открывать подозрительные ссылки в письмах. Кроме того, нужно использовать специальные почтовые сервера со встроенными антифишинговыми спам-фильтрами и проверять, используется ли зашифрованное соединение (в адресной строке должно быть указано "https://", а не "http:// ").

Если у вас не получается самостоятельно настроить антифишинговую защиту в вашем интернет-обозревателе, обращайтесь за помощью к профессионалам во избежание потери конфиденциальных данных.

Оставьте свой комментарий!

Фишинг - один из видов интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей - логинам, паролям, данным лицевых счетов и банковских карт. В основном, используется метод проведения массовых рассылок от имени популярных компаний или организаций, содержащих ссылки на ложные сайты, внешне неотличимые от настоящих.

Как фишинг проникает на устройство пользователя

Внешне кажется, что фишинговые сообщения приходят от имени популярных организаций или компаний (как PayPal, UPS, правительственные организации или ваш банк), однако на самом деле они являются поддельными. В письмах вас вежливо попросят обновить или подтвердить верность персональной информации, нередко упоминают какие-либо проблемы с данными. Затем вас перенаправляют на поддельный сайт, внешне неотличимый от настоящего, где вас просят ввести учетные данные. Если злоумышленники заполучат необходимую информацию, это может вести к краже персональных данных или средств.

Как распознать фишинг

Как правило, пользователи получают сообщение по эл. почте или через сайт с просьбой указать свои персональные данные.

Как отстранить фишинг

Фишинговая приманка не может быть отстранена, однако возможно и важно ее вовремя обнаружить. Отслеживайте свой сайт и проверяйте его на наличие элементов, которых на нем не должно быть. Если это возможно, регулярно меняйте корневые файлы своего сайта.

Как не стать жертвой фишинговой атаки