Фишинг «своими руками». опыт компании «актив», часть первая

Содержание:

Условия по дебетовым картам
Common Features of Phishing Emails
Как распознать фишинговое сообщение?
- Проверьте адрес страницы, на которую ведет ссылка
- Не увлекайтесь
- Запрос конфиденциальных данных – это всегда афера
- Трудности перевода
- Остерегайтесь вложений
Prevent Phishing Attacks:
Отзывы о дебетовых картах в банке «ВТБ»
Знакомство с phishing-атакамиLearn the signs of a phishing scam
Статьи об ипотеке
Контактная информация
История
- Ранний фишинг на AOL
- Переход к финансовым учреждениям
- Фишинг сегодня
Отзывы о Konga (Конга)
Как защитить себя от фишинга?
Отзывы об ипотеке в Газпромбанке
Технические меры: продвинутые
Обучение
- Пентест на заказ
- Игровые варианты
- GoPhish
  - Установка GoPhish
Фишинг через социальные сети
Что такое фут фишинг
Рефинансирование от МТС Банк
Требования к заемщикам
Контакты Конга Займ: телефон, адреса, сайт
Приманки в интернет-фишинге
Как узнать внешние ссылки на сайт
- Внешние ссылки из вебмастерских поисковых систем
  - Яндекс Вебмастер — Внешние ссылки
  - Google Search Console — Ссылки на ваш сайт
- Он-лайн сервисы проверки обратных ссылок
  - SERanking — Анализ бэклинков
Что такое фишинг

Условия по дебетовым картам

Common Features of Phishing Emails

Too Good To Be True — Lucrative offers and eye-catching or attention-grabbing statements are designed to attract people’s attention immediately. For instance, many claim that you have won an iPhone, a lottery, or some other lavish prize. Just don’t click on any suspicious emails. Remember that if it seems to good to be true, it probably is!
Sense of Urgency — A favorite tactic amongst cybercriminals is to ask you to act fast because the super deals are only for a limited time. Some of them will even tell you that you have only a few minutes to respond. When you come across these kinds of emails, it’s best to just ignore them. Sometimes, they will tell you that your account will be suspended unless you update your personal details immediately. Most reliable organizations give ample time before they terminate an account and they never ask patrons to update personal details over the Internet. When in doubt, visit the source directly rather than clicking a link in an email.
Hyperlinks — A link may not be all it appears to be. Hovering over a link shows you the actual URL where you will be directed upon clicking on it. It could be completely different or it could be a popular website with a misspelling, for instance www.bankofarnerica.com — the ‘m’ is actually an ‘r’ and an ‘n’, so look carefully.
Attachments — If you see an attachment in an email you weren’t expecting or that doesn’t make sense, don’t open it! They often contain payloads like ransomware or other viruses. The only file type that is always safe to click on is a .txt file.
Unusual Sender — Whether it looks like it’s from someone you don’t know or someone you do know, if anything seems out of the ordinary, unexpected, out of character or just suspicious in general don’t click on it!

Как распознать фишинговое сообщение?

Предугадать действия мошенников не всегда просто, но если мы не позволяем себе увлечься и спокойно подходим к каждому и особенно подозрительному сообщению, проверяем его несколько элементов, то у нас есть хороший шанс не стать жертвой фишинга. Ниже приведены некоторые примеры вредоносных сообщений. В них будут указаны основные элементы фишинговых атак, которые должны помочь вам их распознать.

Обратите внимание на отправителя сообщения

В большинстве случаев мошенники не пытаются скрыть адрес, откуда поступают опасные сообщения, или неумело выдают себя за доверенного поставщика услуг. Приведенный пример ясно показывает, что в поле «От» отсутствует адрес из домена банка, как утверждают киберпреступники. Вместо этого вы можете найти домен *.com.ua или *.org.ua вместо *.ua, который используется финансовыми учреждениями, действующими в Украине. Иногда мошенники более хитры и используют адреса, похожие на службы, которые они олицетворяют, но отличаются от оригинала небольшими деталями, такими как содержание письма или аннотации к ним.

Проверьте адрес страницы, на которую ведет ссылка

Особое внимание в сообщениях электронной почты следует уделять адресам страниц, на которые они ссылаются. Вопреки внешнему виду, вам не нужно нажимать на них, чтобы увидеть, куда они вас перенесут

Просто наведите указатель мыши на ссылку и подождите, пока браузер или программа электронной почты не покажет URL, скрытый под текстом. Особое внимание следует уделять сайтам, не имеющим отношения к предоставляемой услуге.

Не увлекайтесь

Спешка никогда не бывает хорошим помощником. Тоже самое касается анализа полученных сообщений, которые приходят на нашу почту. Преступники часто пытаются заставить потенциальных жертв поторопиться и, конечно же, для того, чтобы спровоцировать ошибку. Они всячески стараются ограничить промежуток действия акции или розыгрыша, когда вы получите свой приз или денежное вознаграждение.

В некоторых случаях мошенники даже угрожают блокировкой учетной записи в каком-либо сервисе. Не обманывайтесь этим и всегда тщательно проверяйте подозрительные сообщения. Помните, что бесплатный сыр бывает только в мышеловке. К тому же организаторы розыгрышей и акций вряд ли будут блокировать вашу учетную запись. Им нужны подписчики и поклонники для других подобных акций.

Запрос конфиденциальных данных – это всегда афера

Основной принцип безопасности при электронной связи поставщиков услуг и их клиентов состоит в том, чтобы не отправлять конфиденциальные данные в переписке. Если вас попросят ввести логин и пароль для службы, потому что ваша учетная запись заблокирована или нечто подобное, вы можете быть уверены, что сообщение было отправлено преступниками. Однако, если у вас есть сомнения, пожалуйста, свяжитесь с поставщиком, к примеру, услуг телефонной связи, который рассеет любые ваши сомнения. Помните, ни банки, ни мобильные операторы или иные службы не имеют права заставлять вас отправлять им персональные данные.

Читать также: Почему в наше время без VPN в Интернет лучше не заходить

Трудности перевода

Значительная часть фишинговых кампаний подготовлена иностранными преступниками, которые не имеют представления о нашем языке. Они используют онлайн-сервисы для перевода содержимого электронных писем на русский или украинский языки, что часто оказывается довольно забавным. Такие сообщения не лишены грамматических ошибок, в них отсутствуют знаки препинания и куча неправильно написанных слов. Если вы заметили что-то подобное, можете без сомнений удалить сообщение.

Остерегайтесь вложений

Преступники также используют вредоносные программы для захвата конфиденциальных данных или взлома компьютеров и целых сетей. Механизм действия тот же и ограничен попыткой убеждения жертвы открыть вредоносное вложение. Чаще всего они скрыты в архивах ZIP или RAR и имеют форму исполняемых файлов EXE или BAT

Однако они также могут скрыть вредоносный код в макросах документов программ Microsoft Office или Google Docs, поэтому вам следует обратить на них внимание и выполнить сканирование с помощью антивирусной программы перед запуском

Если вы обращаете внимание на эти элементы при анализе подозрительных сообщений, скорее всего вас не одурачат преступники

Prevent Phishing Attacks:

Красивый фотоальбом своими руками

Though hackers are constantly coming up with new techniques, there are some things that you can do to protect yourself and your organization:

To protect against spam mails, spam filters can be used. Generally, the filters assess the origin of the message, the software used to send the message, and the appearance of the message to determine if it’s spam. Occasionally, spam filters may even block emails from legitimate sources, so it isn’t always 100% accurate.
The browser settings should be changed to prevent fraudulent websites from opening. Browsers keep a list of fake websites and when you try to access the website, the address is blocked or an alert message is shown. The settings of the browser should only allow reliable websites to open up.
Many websites require users to enter login information while the user image is displayed. This type of system may be open to security attacks. One way to ensure security is to change passwords on a regular basis, and never use the same password for multiple accounts. It’s also a good idea for websites to use a CAPTCHA system for added security.
Banks and financial organizations use monitoring systems to prevent phishing. Individuals can report phishing to industry groups where legal actions can be taken against these fraudulent websites. Organizations should provide security awareness training to employees to recognize the risks.
Changes in browsing habits are required to prevent phishing. If verification is required, always contact the company personally before entering any details online.
If there is a link in an email, hover over the URL first. Secure websites with a valid Secure Socket Layer (SSL) certificate begin with “https”. Eventually all sites will be required to have a valid SSL.

Related Pages: History of Phishing, Phishing Techniques, 10 Ways To Avoid Phishing Scams

Отзывы о дебетовых картах в банке «ВТБ»

Знакомство с phishing-атакамиLearn the signs of a phishing scam

Предприятиям следует обучать и обучать своим сотрудникам возможность принимать любые сообщения, которые запрашивают личную или финансовую информацию.Enterprises should educate and train their employees to be wary of any communication that requests personal or financial information. Кроме того, они должны подать сотрудникам сообщение о том, что группа «операции по обеспечению безопасности компании» немедленно сообщит об этом.They should also instruct employees to report the threat to the company’s security operations team immediately.

Вот несколько telltaleных ложных phishing-атак.Here are several telltale signs of a phishing scam:

Сообщение содержат ошибки.The message contains errors. Легальные и грамматические ошибки в корпоративных сообщениях менее возможны либо содержат неверные данные.Legitimate corporate messages are less likely to have typographic or grammatical errors or contain wrong information.
В поле «Кому» есть несколько получателей и они являются случайными адресами.There are multiple recipients in the “To” field and they appear to be random addresses. Корпоративные сообщения обычно отправляются непосредственно отдельным получателям.Corporate messages are normally sent directly to individual recipients.
Этот веб-сайт выглядит знакомым, но есть несоответствия илиневерное количество вещей.The website looks familiar but there are inconsistencies or things that aren’t quite right. Эти признаки содержат устаревшие логотипы, опечатки или попросить пользователей предоставить вам дополнительные сведения, которые не запрашиваются на веб-сайтах с легальным входом.Warning signs include outdated logos, typos, or ask users to give additional information that is not asked by legitimate sign-in websites.
Открытая страница не является действующей, а также изображением, которое будет выглядеть так, как на сайте, с которым вы знакомы.The page that opens is not a live page, but rather an image that is designed to look like the site you are familiar with. Возможно, появится всплывающее окно с запросом учетных данных.A pop-up may appear that requests credentials.

Статьи об ипотеке

Разница между аннуитетными и дифференцированными платежами

Условия ипотеки на строительство жилья

Как оплатить ипотечный кредит?

Как получить господдержку по ипотеке

Контактная информация

История

Техника фишинга была подробно описана в 1987 году, а сам термин появился 2 января 1996 года в новостной группе alt.online-service.America-Online сети Usenet, хотя возможно его более раннее упоминание в хакерском журнале .

Ранний фишинг на AOL

Фишинг на AOL тесно связан с варез-сообществом, занимавшимся распространением программного обеспечения с нарушением авторского права, мошенничеством с кредитными картами и другими сетевыми преступлениями. После того, как в 1995 году AOL приняла меры по предотвращению использования поддельных номеров кредитных карт, злоумышленники занялись фишингом для получения доступа к чужим аккаунтам.

Фишеры представлялись сотрудниками AOL и через программы мгновенного обмена сообщениями обращались к потенциальной жертве, пытаясь узнать её пароль. Для того, чтобы убедить жертву, использовались такие фразы, как «подтверждение аккаунта», «подтверждение платёжной информации». Когда жертва говорила пароль, злоумышленник получал доступ к данным жертвы и использовал её аккаунт в мошеннических целях и при рассылке спама. Фишинг достиг таких масштабов, что AOL добавила ко всем своим сообщениям фразу: «Никто из работников AOL не спросит Ваш пароль или платёжную информацию».

После 1997 года AOL ужесточила свою политику в отношении фишинга и вареза и разработала систему оперативного отключения мошеннических аккаунтов. В то же время многие фишеры, по большей части подростки, уже переросли свою привычку, и фишинг на серверах AOL постепенно сошёл на нет.

Переход к финансовым учреждениям

Захват учётных записей AOL, позволявший получить доступ к данным кредитной карты, показал, что платёжные системы и их пользователи также уязвимы. Первой известной попыткой стала атака на платёжную систему e-gold в июне 2001 года, второй стала атака, прошедшая вскоре после теракта 11 сентября. Эти первые попытки были лишь экспериментом, проверкой возможностей. А уже в 2004 году фишинг стал наибольшей опасностью для компаний, и с тех пор он постоянно развивается и наращивает потенциал.

Фишинг сегодня

Диаграмма роста числа зафиксированных случаев фишинга

Целью фишеров сегодня являются клиенты банков и электронных платёжных систем. В США, маскируясь под Службу внутренних доходов, фишеры собрали значительные данные о налогоплательщиках. И если первые письма отправлялись случайно, в надежде на то, что они дойдут до клиентов нужного банка или сервиса, то сейчас фишеры могут определить, какими услугами пользуется жертва, и применять целенаправленную рассылку. Часть последних фишинговых атак была направлена непосредственно на руководителей и иных людей, занимающих высокие посты в компаниях.

Фишинг стремительно набирает свои обороты, но оценки ущерба сильно разнятся: по данным компании Gartner, в 2004 году жертвы фишеров потеряли 2,4 млрд долларов США, в 2006 году ущерб составил 2,8 млрд долларов, в 2007 — 3,2 миллиарда; в одних лишь Соединённых Штатах в 2004 году жертвами фишинга стали 3,5 миллиона человек, к 2008 году число пострадавших от фишинга в США возросло до 5 миллионов.

Отзывы о Konga (Конга)

Как защитить себя от фишинга?

К сожалению, нет такого инструмента, который бы гарантировал высокий уровень защиты от такого рода мошенников. Чтобы их избежать, нужно использовать несколько элементов. Наиболее важными из них являются здравый смысл и ограниченная уверенность в каждом сообщении. Помните, мы на переднем крае борьбы с преступниками и только от вас зависит, насколько эффективно вы сможете им противостоять.

Также рекомендуется использовать антивирусные программы, несмотря на то, что они не смогут указать, что просматриваемая электронная почта является фишинговой, но они смогут заблокировать некоторые небезопасные сайты и вложения. Уверен, что антивирусное ПО обязательно поможет вам защитить компьютеры и персональные данные.

Также важно использовать актуальное программное обеспечение, в частности операционные системы, потому что новые уязвимости и проблемы безопасности постоянно обнаруживаются разработчиками и обезвреживаются. Помните, что только использование самых последних версий ОС гарантирует получение своевременных обновлений безопасности

Хорошей практикой также является использование двухэтапной проверки личности пользователя в web-сервисах. Она широко используется в электронном банкинге, но доступна во все большем количестве сервисов и веб-сайтов. Двухэтапная (или двухкомпонентная) проверка состоит в вводе дополнительного кода в дополнение к традиционному паролю и логину

Код для входа может быть отправлен вам по электронной почте, в SMS или сгенерирован приложением, предоставленным поставщиком услуг. Существуют также сторонние программы, которые позволяют связывать учетные записи со многими веб-сайтами и создавать коды в одном месте, например, на вашем смартфоне.

Однако наиболее удобной формой двухэтапной проверки являются физические ключи безопасности U2F, которые устраняют необходимость переписывать пароли и коды в блокнот. Просто вставляете ключ в USB-порт компьютера, тем самым связываясь с поддерживаемыми службами для авторизации.

Фишинг представляет собой огромную угрозу, поскольку, согласно некоторым исследованиям, он является не только причиной потери денег многими пользователями, но и основной причиной утечки данных компаний. Однако, как мы показали в этой статье, в большинстве случаев намерения киберпреступников легко распознать и предотвратить их.

Отзывы об ипотеке в Газпромбанке

Технические меры: продвинутые

Внедрите средство для защиты от фишинговых атак в электронной почте (например, Cisco E-mail Security), включающее различные защитные меры (анализ репутации, антивирусный сканер, контроль типов вложений, обнаружение аномалий, обнаружение спуфинга, инспекция URL в ссылках, песочница и т.п.).
Установите средства защиты на ПК (например, Cisco AMP for Endpoint) или мобильные устройства (например, Cisco Security Connector) для защиты от вредоносного кода, установленного на оконечном устройстве в результате успешной фишинговой атаки.
Подпишитесь на фиды Threat Intelligence для получения оперативной информации о фишинговых доменах (например, Cisco Threat Grid или SpamCop).
Используйте API для проверки доменов/отправителей в различных сервисах Threat Intelligence (например, Cisco Threat Grid, Cisco Umbrella и т.п.).
Фильтруйте взаимодействие с C2 по различным протоколам — DNS (например, с помощью Cisco Umbrella), HTTP/HTTPS (например, с помощью Cisco Firepower NGFW или Cisco Web Security) или иных протоколов (например, с помощью Cisco Stealthwatch).
Отслеживайте взаимодействие с Web для контроля кликов на ссылки в сообщениях, подгрузки вредоносного ПО при запуске вложений или для блокирования фишинга через социальные сети.
Используйте плагины для почтовых клиентов для автоматизации взаимодействия со службой безопасности или производителем в случае обнаружения фишинговых сообщений, пропущенных системой защиты (например, Cisco E-mail Security plugin for Outlook).
Интегрируйте систему динамического анализа файлов («песочницу») с системой защиты электронной почты для контроля вложений в сообщения электронной почты (например, Cisco Threat Grid).
Интегрируйте ваш центр мониторинга безопасности (SOC) или систему расследования инцидентов (например, Cisco Threat Response) с системой защиты электронной почты для оперативного реагирования на фишинговые атаки.

Обучение

Как мы будем учить? А учить мы будем, устраивая социальный пентест своей компании. Можно пойти несколькими способами.

Пентест на заказ

Побродив по просторам интернета можно достаточно легко найти несколько компаний, которые с радостью выпустят вашими социальными пентестерами:

Например, www.infosec.ru — phishman.ru — http://www.antiphish.ru

Можно пойти этим путем, но нужно понимать, что бюджет данного мероприятия будет зависеть от размеров организации и составлять несколько сотен тысяч рублей в минимальном варианте. По желанию заказчика, представители пентесторов даже могут провести полноценный социальный поиск и добыть адреса почты сами, а могут работать и уже с готовыми данными. Обучение по результатам пениста будет стоить отдельных денег. Из интересного в интернете мы нашли еще пару SaS сервисов:

• phishme.com
• infosecinstitute.com/phishsim

Стоить подобные сервисы будут около 20$ в год за почтовый адрес, но нужно учитывать, что готовые базы шаблонов, которые содержатся в них, будут англоязычными (хотя можно всегда загрузить свои шаблоны) + все международные сервисы (видимо для того, чтобы избежать юридических претензий) в обязательном порядке пишут маленькими буквами внизу письма, что это проверка на фишинг, что, по моему мнению, несколько снижает чистоту эксперимента.

Игровые варианты

Одной из лучших методик обучения является игровая. К примеру, недавно так поступил Сбербанк. Метод, без сомнения, эффективный, но содержит пару недостатков. К сожалению, данный метод действует по факту один раз, а учитывая развитие средств и возможностей, фишингу обучаться нужно на регулярной основе. Но что самое главное, игру нужно делать самому и под себя. В открытом доступе готовых решений найти не удалось.

GoPhish

Теперь давайте я расскажу о решении, которое в конечном счете выбрали для себя мы: GoPhish — OpenSource фреймворк для фишинга

GoPhish, пожалуй, незаслуженно обойден вниманием на Хабре. Поиском удалось найти всего одну статью по данному продукту, а продукт стоит того

Установка GoPhish

Продукт написан на Go и в скомпилированном виде представляет собой один бинарник. Установка проста и не вызывает проблем, есть хороший и простой мануал. Вся процедура установки сводится к генерации ssl сертификат и созданию простого и понятно config.json файла.

Если отметить флажок «Add tracking image», в письмо будет добавлена «следящая картинка» размером 1х1 пиксель. Картинка используется для отслеживания факта открытия письма пользователем. В тексте письма можно использовать следующие ссылочные значения:

Значение	Описание
«.`FirstName`	Имя
«.`LastName`	Фамилия
«.`Position`	Должность
«.`From`	Отправитель
«.`TrackingURL`	url для отслеживания
«.`Tracker`	Картинка для отслеживания
«.`URL`	url страницы перехода

Далее создаем «фишинговые» страницы (вкладка «Landing Pages»), HTML -код страницы нужно ввести в соответствующее окно интерфейса. Поскольку мы не собираемся заниматься реальным фишингом среди своих сотрудников, а хотим их обучать, в качестве фишинговый страницы мы использовали страницу с обучающим материалом, рассказывающим сотрудникам, что такое фишинг и как не попасться на его удочку. (Шаблон страницы выложим во второй части статьи).

Можно также создавать страницы с полями ввода. Причем есть опции, которые сохраняют в том числи и пароли, введенные пользователями, но лучше пользоваться этим очень аккуратно. Теперь создаем профили отправки (вкладка «Sending Profiles»), т.е. по сути некие почтовые данные от имени кого, сотрудник получит письмо и какой почтовый сервер мы будем использовать для рассылки. На последнем шаге создаем кампанию (вкладка Campaigns). «Компания» объединяет все ранее описанное. После ввода всех параметров нужно нажать кнопку «Launch campaign», и компания запустится автоматически.

За результатами компании можно следить на вкладке «Dashboard».

Фишинг через социальные сети

Иногда фишинг может быть направлен к определенным людям или отделам организации. Такие атаки имеют общее название направленного фишинга и зависят от подробной информации об объекте. Например, грабитель может использовать информацию, собранную из недавних писем, чтобы создать привлекательный ответ, который предположительно отправлен коллегами этого пользователя.

Грабители могут также включать ссылки к вредному – зараженные программы в личных сообщениях, помещенных в социальные сети. Это особенно широко распространено после любых глобальных катастроф или в течение периодов быстрого расширения важных новостей, когда люди щелкают по интригующим ссылкам без своего тщательного исследования чаще.

Мы коротко рассмотрели фишинг: происхождение термина “фишинг”, действия взломщиков, как защитить себя, фишинг через социальные сети. Оставляйте свои комментарии или дополнения к материалу

Что такое фут фишинг

Рефинансирование от МТС Банк

Требования к заемщикам

Контакты Конга Займ: телефон, адреса, сайт

Приманки в интернет-фишинге

Киберпреступники начинают свою охоту с писем, содержащих заманчивые предложения. Они выглядят вполне правдоподобно: содержат логотипы компаний, реквизиты брендов и сайтов, под чьи названия маскируются мошенники. Ссылки, с помощью которых осуществляется фишинг в Интернете, обычно тоже подделываются под настоящие веб-ресурсы

Далее задача преступников – привлечь внимание пользователя к этой информации и заставить совершить действие.

Итоговыми действиями должна стать необходимость подтвердить платежные реквизиты, ввести ПИН-код; обновить данные учетной записи для защиты от возможных взломов.

Фишинг в Интернете может быть как целевым, так и случайным. В последнем случае охота ведется вслепую, на всех пользователей, которые могут иметь учетную запись (например, на Ebay, где таких людей довольно много). Когда целью аферистов является конкретный человек, они стараются выяснить, где он зарегистрирован: в каком банке, платежном сервисе, на каких сайтах, услугами какого провайдера пользуется. Это, конечно, дольше и сложнее, но и вероятность успеха выше.

Оплачивать по карте или с веб-кошелька аудиозаписи, книги, курсы, мобильную связь и другие товары (услуги) через Интернет очень удобно, особенно если это небольшие, в пределах 100−1000 рублей, денежные переводы. Чтобы обезопасить своих клиентов, банки всё больше усложняют процедуру аутентификации, что провоцирует людей пренебрегать всеми такими мерами. Это создает уязвимости, которыми пользуются мошенники.

Кстати, сами банки не озабочены проблемой безопасности клиентов: благополучие организации от неё не зависит. Кроме того, у банков почти нет эффективных рычагов влияния на киберпреступников

То есть клиент остается беззащитным перед мошенниками: банк посчитает его виновным по неосторожности и не возместит ущерб от интернет-фишинга. Поэтому безопасность клиента остается его личной проблемой

Приходится быть внимательным и держать в уме, что доверчивость открывает путь мошенникам и грозит денежными потерями.

Даже те люди, у которых нет банковского счета, не могут чувствовать себя в безопасности. Фишерские ссылки, помимо воровства личной информации, представляют и другие угрозы: можно подхватить троян, кейлоггер или шпионский софт на свой компьютер.

Вас также может заинтересовать: Секреты контекстной рекламы, о которых не знают даже некоторые профи

Как узнать внешние ссылки на сайт

Существует только два способа узнать внешние ссылки на сайт:

Вебмастерские поисковых систем, в которых должен быть зарегистрирован сайт.
Он-лайн сервисы проверки обратных ссылок.

Давайте рассмотрим каждый способ отдельно.

Внешние ссылки из вебмастерских поисковых систем

В таких вебмастерских как Яндекс Вебмастер и Google search console можно найти все ссылки на ваш сайт, которые известны роботам данных поисковых систем. Однако, некоторые ссылки могут не отображаться в их разделах обратных ссылок по следующим причинам. (см. Таблицу)

№	Причины	Яндекс
1	Если непроиндексирована страница с ссылкой на ваш сайт
2	Если в ссылке указано другое имя хоста вашего сайта (с префиксом www или без него; http или https)
3	Если есть большое количество ссылок на одну страницу вашего сайта с одинаковым текстом и с одного ресурса, то учитывается только 1 ссылка		✘
4	Если ссылка на ваш сайт оформлена как строка текста, а не как ссылка		✘
5	Если ссылка ведет на ваш сайт с переадресацией, т.е через 301 или 302 редирект		✘
6	Если страница вашего сайта, на которую ведет внешняя ссылка, заблокирована с помощью файла robots.txt	✘
7	Если ссылка, которая ведет на ваш сайт, повреждена, т.е ответ сервера равен 4xx	✘

Как можно увидеть из таблицы, причины по которым поисковые системы не учитываю те или иные ссылки разные. Однако для эффективного роста ссылочной массы, следует не размещать сквозные ссылки и битые ссылки (301 или 404 кодом ответа).

Яндекс Вебмастер — Внешние ссылки

Для того, чтобы узнать внешние ссылки ведущие на ваш сайт в Яндекс Вебмастер, необходимо:

зайти в Яндекс Вебмастер → Выбрать интересующий сайт;
перейти в раздел Ссылки → Внешние ссылки;
Яндекс Вебмасте — Внешние ссылки
пролистать страницу до самого низа и нажать на кнопку «Архив от …»;
после чего произойдет выгрузка всех известных Яндексу ссылок на ваш сайт.

Google Search Console — Ссылки на ваш сайт

Для того, чтобы узнать внешние ссылки ведущие на сайт в Google Search Console, необходимо:

зайти в Google Search Console → Выбрать интересующий сайт;
перейти в раздел Ссылки → Сайты, ссылающиеся чаще всего;
нажав на кнопку «Дополнительно» откроется раздел содержащий только название доменов, которые ссылаются на сайт;
для того, чтобы увидеть, непосредственно, ссылки, необходимо открывать каждый домен отдельно и производить скачивание.

Для удобного получения всех обратных ссылок на ваш сайт, лучше всего воспользоваться старым интерфейсом Google Search Console. Там можно скачать все ссылки за один раз, что гораздо удобнее для крупных сайтов. Для этого, необходимо:

зайти в Google Search Console → Выбрать интересующий сайт;
перейти в раздел Поисковый трафик → Ссылки на ваш сайт, на странице которой нас интересует блок «Наиболее часто ссылаются»;
нажав на кнопку «Дополнительно» откроется раздел содержащий только название доменов, которые ссылаются на сайт;
для того, скачать все ссылки необходимо нажать на кнопку «Загрузить больше ссылок для примера», после чего произойдет скачивание всех ссылок.

Он-лайн сервисы проверки обратных ссылок

Существую десятки хороших он-лайн сервисов для получения обратных ссылок на ваш сайт. Полнота их базы зависит от мощностей компании. Однако количество найденных ссылок +/- одинаковая между ними. Где-то чуть больше, где-то чуть меньше.

К таким хорошим сервисам относятся: SERanking, SEMrush, Ahrefs, Majestic, Megaindex.

Все данные сервисы, конечно, отличные, но чтобы воспользоваться их услугами необходимо платить. И это нормально, так как они сканируют интернет, хранят данные, обрабатывают, развиваются. А это все затраты

Однако, за доступ к их сервису они взимают довольно дорогую оплату за месяц и не важно сколько раз ты воспользуешься их услугами. Поэтому я рекомендую использовать SERanking, так как он предоставляет выбор между «Ежемесячной подпиской» и «Оплатой за проверку»

Таким образом, выбрав тариф «Оплатой за проверку» стоимость получения обратных ссылок для любого домена составляет всего 45 рублей.

SERanking — Анализ бэклинков

Для того, чтобы узнать обратные ссылки любого домена, необходимо:

зарегистрироваться на сайте SERanking;
пополнить баланс на 10 долларов;
перейти в раздел Инструменты → Анализ бэклинков;
ввести название домена, который вас интересует и нажать на кнопку «Получить бэклинки».

Что такое фишинг

Фишинговая атака — разновидность сетевого мошенничества с использованием принципов социальной инженерии. Цель — секретные данные пользователя, обычно состоящие из:

логинов и паролей;
номеров банковских карт;
пин-кодов и других цифровых кодов доступа.

В дальнейшем, на основании полученных данных, злоумышленниками выполняется вход от имени пользователя для совершения действий в интересах взломщика. В случае банковской карты это похищение средств, если взламывается социальная сеть или электронная почта — спам-рассылка списку контактов.

В базовой модели фишинговая атака представляет тривиальный процесс, для которого не требуются уникальные знания. Требуется заманить пользователя на целевую страницу, точную копию реальной с отличающимся одной-двумя буквами URL-адресом для получения конфиденциальной персональной информации, чаще логина и пароля.

Для этого жертве отсылается сообщение с включенной в него ссылкой. В роли инструмента обычно используется электронная почта, но определенную долю занимают другие коммуникаторы:

мессенджер;
социальная сеть;
форум.

Временами используются средства голосовой связи (вишинг) и печатная информация (смишинг).

Алгоритм действий злоумышленника выглядит так:

Вход в контакт;
Передача сообщения со ссылкой для перехода;
Ожидание введения логина и пароля доверчивым пользователем.

До тех пор, пока пользователь собственноручно не ввел личные данные, злоумышленнику ничего не достается. Исключение представляет редкий пока еще фарминг — комплексное воздействие с внедрением вредоносной программы, которая в нужный момент изменяет содержимое кэша DNS-адресов на рабочей станции или маршрутизаторе. В результате чего пользователь во всех вариантах попадает на мошеннический сайт.