наверх

Главная » 2012 » Декабрь » 4 » Прореха в "электронном кошельке"
17:03
Прореха в "электронном кошельке"
«Ваша банковская карта заблокирована. Центробанк. Телефон №...» Такие SMS-сообщения получили на свои мобильники несколько моих коллег. И, подозреваю, далеко не только они.

Автор сообщения явно предлагал им позвонить по указанному номеру и выяснить, что случилось с их картами. Коллеги мои, почувствовав, что дело явно нечисто, звонить не стали. А когда я это попытался сделать за них (увы, с некоторым опозданием), номера уже были отключены. Впрочем, было понятно и так - получатели подобных посланий явно стали объектами внимания мошенников ХХI века - так называемых фишеров.

По секрету - всему свету

Fish, как известно, по-английски значит «рыба». Fishing - рыбная ловля. В сленговом варианте - ловля дураков. Авторы «новояза» объединили старый термин с компьютерным password - пароль. Получилось phishing - ловля «компьютерных дураков». Одним из которых может стать каждый из нас. «Удочку» забрасывают в Сеть с единственной целью - выудить из нее пароли доступа к индивидуальным банковским счетам.

Для этого одновременно по тысячам адресов рассылают письма от имени банков, провайдеров, платежных систем или каких-либо известных брендов.
Письма содержат тревожные сообщения: ваш банковский счет заблокирован, в связи со сбоем в системе потеряны ваши индивидуальные данные, наша компания проводит мероприятия по борьбе с несанкционированным доступом (иногда даже пишут - с фишингом) и т. д. «Срочно перейдите по такой-то ссылке на наш специальный сайт!» Перешел - а там: «Введите свои индивидуальные данные - логин, пароль и прочее». Ввел - и привет. Заглотил крючок! С деньгами можешь попрощаться.

При получении SMS-сообщения может быть точно такой же сценарий, учитывая то, что многие заходят в Сеть посредством мобильной связи. А может быть, и проще - позвонил по указанному номеру, и тебя попробуют «развести» в режиме «приятной беседы» с автоответчиком. Ответишь на SMS таким же письмом - мошенники вступят с тобой в письменный диалог. И уж совсем банальный вариант - просто тупо снимут за отправленный ответ рублей 500. Обидно, конечно, но из-за такой суммы никто жаловаться не пойдет.

Фишинг идет по миру, что называется, семимильными шагами. Информационно-поисковые системы выдают на это слово миллионы (!) ответов. Творческая мысль «электронных мошенников» работает непрерывно - «продукт» совершенствуется, захватывает все новые сферы.

Приобрел, к примеру, популярность «мобильный фишинг», когда мошенники воруют IP-адреса и рассылают друзьям и близким их владельцев просьбы «помочь с деньгами». Другим «выдающимся достижением» стал «фарминг», который позволяет просто подменять на серверах легитимные сайты на идентичные по виду, но мошеннические. В этом случае установить, что ваши деньги уходят налево, практически невозможно.

В 90% случаев объектами фишерских атак становятся банковские системы. Вероятно, потому, что здесь и крутятся самые большие деньги. Хотя электронные платежные системы гораздо более уязвимы. Если банк твои персональные данные хранит в «бронированном сейфе», то «электронный кошелек» ты закрываешь сам, выстреливая пароль буквально «в белый свет». Кто его украдет и с какой целью им воспользуется, предугадать невозможно.

С поличным - с наличными

Попытка пострадавшего обратиться в банк, где хранятся его средства, чаще всего ничего не дает. У банкиров один ответ: вы сами виноваты. Скорее всего, не слишком надежно хранили тайну реквизитов карты. Может, кому-то дали ею попользоваться. Или, не надеясь на свою память, записали эти данные на бумажку и плохо ее спрятали. Или, снимая наличные в банкомате, не обратили внимания на слишком близко стоящего человека. А, впрочем, обращайтесь в суд - как он скажет, так и будет.

Собственно, к этому и свелся мой разговор с одним из крупных банкиров. Основная его рекомендация сводилась к одному: «не щелкайте клювом». Тем более что в прессе уже неоднократно описывалось применение так называемых скиммеров - специальных накладок на клавиатуру банкомата, позволяющих злоумышленникам считывать набираемые коды. Для той же цели применялись также небольшие видеокамеры, незаметно укрепленные рядом с банкоматом и направленные прямо на его клавиатуру.

Используя эти средства, жулики получали заветные коды. А дальше уже дело техники. Берется «белый пластик» («болванка» с магнитной полосой) или магазинная скидочная карта, покупается (если речь о Петербурге - то на всем известной «Юноне») специальная машинка для записи магнитной информации - и вперед. Липовая карта с вашими данными вставляется в банкомат - и денежки тю-тю...

Конечно, если, перед тем как воспользоваться банкоматом, сначала его внимательно осмотреть, то эти хитроумные прибамбасы можно заметить и карту запрятать поглубже в карман. На это банкиры и намекают.

Впрочем, прикидываться совсем уж белыми и пушистыми им не стоит. Безгрешных, как сказал поэт, не знает природа. Некоторое время назад, к примеру, прокатилась волна хакерских атак на банкоматы. «Умельцы» через Интернет залезали в их память и считывали персональные коды клиентов. Далее - по вышеописанной схеме. Эту дыру, правда, сейчас удалось заткнуть, и сообщений о подобных атаках в последнее время не поступает. Зато есть случаи гораздо более вопиющие - из серии «кто что охраняет, тот то и имеет».

4 марта нынешнего года в помещении офиса одного из банков оперативниками питерского ГУ МВД был задержан сотрудник данного банка Ш., снимавший в банкомате крупную сумму по поддельной банковской карте.

Оказывается, этот ушлый гражданин по работе и занимался выдачей карт клиентам. А перед тем тайно вскрывал конверты с ПИН-кодами и списывал оттуда данные. Конверты снова заклеивал, а данные использовал для изготовления липовых карт. Имея возможность проследить движение денег на счетах, дожидался, когда на них появятся существенные суммы. А потом шел и снимал деньги через банкоматы. При этом, зная, что там стоят видеокамеры, использовал средства маскировки: куртку с капюшоном, кепку, темные очки и перчатки, а также мотоциклетный шлем и маску телесного цвета с красной помадой на губах... Пока его не прихватили с поличным, Ш. успел наснимать около 3 миллионов рублей.

Случаи использования инсайдерской (внутрибанковской) информации в целях личного обогащения, увы, не так уж редки. Правда, не всегда предатели-сотрудники идут к банкоматам сами. Часто «за долю малую» нанимают каких-нибудь бомжей или студентов. Задержи такого с пачкой карточек в руках - он сделает большие глаза и скажет, что ничего не знает. Мол, какой-то незнакомый дяденька попросил деньги снять. А дяденьки того и след простыл.

Борьба безнадежна?

Как свидетельствует статистика, количество фактов мошенничества с банковскими картами в России за последний год выросло в девять (!) раз. Сбербанк, к примеру, вынужден был признать (а такие признания для банков в буквальном смысле дорогого стоят!), что только с начала года у его клиентов «карточные шулеры» похитили 800 миллионов рублей. И это притом что большая часть попыток была пресечена.

И тем не менее Россия пока в полной мере фишинга не вкусила, поскольку система электронных платежей у нас по сравнению с лидерами мировой экономики еще в зачаточном состоянии. Впереди планеты всей по распространению этой заразы США, Южная Корея и Китай. В Штатах явление приобрело масштаб национального бедствия - на удочку злоумышленников, к примеру, не так давно попались 1400 топ-менеджеров ведущих компаний, в том числе специалисты по компьютерной безопасности. Украденные суммы исчисляются многими миллионами долларов.

Мировое банковское сообщество встревожено не на шутку. Если так дело дальше пойдет, человечество вынуждено будет вернуться к системе наличных расчетов, что для некоторых современных людей равносильно возврату к эпохе каменного топора. На борьбу с этой глобальной угрозой брошены лучшие компьютерные умы. Создана даже специальная международная антифишинговая рабочая группа.

Идет интенсивная разработка защитных программ, которые либо предупреждают пользователя, получившего подозрительное письмо, об опасности, либо сразу это письмо «убивают». Есть попытки усложнить способы авторизации при регистрации в платежных системах - к примеру, к стандартным буквенно-цифровым кодам добавить некое изображение. Фишеру, подделывающему письмо «из банка», такой «лэйбл» будет трудно воспроизвести. Подключились и продвинутые пользователи - изобличив в невинном письме фишера, они тут же оповещают об этом службу поддержки своего веб-браузера и собратьев по Сети.

Продолжают активно бороться с фишингом и полиции всех стран. Первый иск в отношении фишера был подан еще 26 января 2004 года Федеральной комиссией по торговле США. Обвиняемым оказался подросток из Калифорнии, подделавший веб-страницу американского медийного конгломерата AOL. Прошла волна аналогичных процессов и в других странах.

Россия в этой борьбе не в числе передовиков. В первую очередь потому, что нашим специалистам не хватает соответствующих знаний и опыта. Но некоторые успехи все же имеются. Например, сотрудники питерского угрозыска не так давно изобличили команду, которая умудрилась... подменить терминал оплаты на одной из автозаправок. Специально привезенный из Канады «умный ящик» спокойно проводил оплату купленного топлива, но деньги с банковской карты снимал полностью и направлял их не в банк, а на некий левый счет...

Увы, радикальным образом вся эта деятельность множества специалистов разного профиля из разных стран проблему не решила. Хитроумные защиты вскрывают. Заблокированные фишинговые сайты тут же перемещаются на другой сервер (в среднем, как говорят специалисты, такой сайт живет на одном месте менее четырех дней). А вместо одного посаженного фишера появляется четыре других...

Есть эксперты, которые полагают, что это тупик. Борьба, дескать, себя исчерпала, и банкам нужно находить другие помимо электронной почты способы общения с клиентами. А пока такие способы не изобретены, «утопающим» нужно спасать себя самим. Потратиться, к примеру, на недорогой сервис - SMS-извещение о снятии денег с банковской карты. Внимательно относиться ко всем электронным письмам, требующим от вас «поделиться» конфиденциальными данными. Помнить, что никакой банк или платежная система таких писем посылать не может.

Россиянам же, до сих пор имевшим самое лояльное законодательство по отношению к киберпреступности, можно, как ни странно, слегка расслабиться. С 1 января вступит в силу 9-я статья закона «О национальной платежной системе», в соответствии с которой банки будут обязаны в течение суток (!) возмещать клиенту пропавшие с его карты деньги. Банки, естественно, не в восторге - говорят, что в этом случае будут мухлевать сами владельцы карт. Что ж, борьба с «пластиковым мошенничеством» выйдет на новый виток. Скучно не будет!

Михаил РУТМАН

КМ: капитализм + общество потреблятства = закономерные результаты...
Сколько же развелось уродов, желающих всё и сразу, и чтоб не работать. Да и само слово "работа" в угоду сегодняшним временам, стало иметь совершенно немыслимые смыслы. Например "работой" называется спекулятивная торговля на валютном рынке. Т.е. фактически перекачивание денег из одного кармана в другой... Да мало ли примеров?
Но главные красавцы, задающие тон всему процессу - сами знаете где...
Просмотров: 592 | Добавил: mohoff | Рейтинг: 0.0/0
Всего комментариев: 0
Имя *:
Email *:
Все смайлы
Код *:

Литературный блог