Вот свежий пример. На днях информационное агентство "ЕвроНьюс" передало сообщение о том, что мошенниками был взломан пароль личного почтового ящика министра юстиции Великобритании Джека Строу (Jack Straw). После этого всем знакомым министра якобы от его имени были разосланы письма с просьбой, перевести на его счет 3 тыс. долларов, потому что он во время поездки в Нигерию потерял кошелек, и ему нечем расплатиться за гостиницу и другие услуги. Надо отдать должное друзьям и знакомым Джека Строу, которые, чтобы удостовериться в достоверности письма, стали ему звонить. В данном случае поживиться мошенникам не удалось.
Но "удачных" примеров достаточно. Так в 2007 году было открыто уголовное дело по факту хищения мошенниками со счетов клиентов Альфа-банка 12 млн. рублей. На протяжении нескольких месяцев преступники считывали учетные имена, пароли банковских карточек клиентов банка, после чего обналичивали деньги с этих карточек. Наблюдалась рассылка фишинговых писем и клиентам Ситибанка. По оценкам российских банкиров объем мошеннических операций с банковскими картами в нашей стране превысил 850 млн. рублей.
Системы удаленного банковского обслуживания возникли и используются далеко не первый год. Идея этой услуги заключается в возможности управлять своими средствами на банковском счете из дома, а также из любой точки земного шара, где есть доступ в глобальную сеть. Различные исследователи рынка предрекают, что к 2010 году число пользователей (физических лиц) интернет-банкинга в нашей стране вырастет в три раза (на сегодняшний день их число составляет более одного миллиона).
Однако так ли безопасен способ дистанционного банковского обслуживания? Никакой специалист не даст вам 100%-й гарантии безопасности любой системы, тем более, когда в нее включен человек, который, как известно, всегда самое слабое звено. Этим с успехом пользуются мошенники. Одно только перечисление видов мошеннических операций способно повергнуть в уныние кого угодно. Так, фишинг бывает: целенаправленный, контекстно-зависимый, "охота на китов", голосовой (vishing), SMS фишинг (smishing). И это далеко не всё, что имеется в арсенале злоумышленников.
Чтобы завладеть определенной информацией: именем пользователя, паролем и данными о параметрах платежных карт - мошенник выступает от заслуживающей доверия организации, например, от имени банка, где хранятся деньги клиента. Он высылает письмо, либо голосовое сообщение по телефону, или SMS-сообщение. Обычно клиента банка просят зайти через Интернет по прилагающейся ссылке. Там находится точная копия интернет-страницы банка, на которой предлагается, под предлогом проверки данных, ввести подробные данные о своей карточке, включая pin-код. Подобных сайтов-обманок в 2007 году в Интернете насчитывалось более 25,5 тысяч, что вдвое больше, чем в 2006 году. Эти данные приводит The Guardian.
Люди доверчивы. Если человек получает письмо, в котором обращаются к нему по имени-отчеству, то доверие такое письмо вызывает практически 100%-ное. Тем более, если оно на бланке банка. Человеку и в голову не приходит, что неплохо бы наведаться в любимый банк и на месте разобраться с якобы возникшей проблемой.
А поддавшийся на провокацию клиент, кликнув на ссылку, действительно получает что-то похожее на ключ, но это "что-то" на поверку оказывается ничего не значащим набором символов. Обнаруживается это уже слишком поздно, во всяком случае, после того, как он ввел в систему свой логин и пароль на сайте, как две капли воды похожем на сайт банка… Таким образом "фишеры" завладевают нужной для махинаций информацией.
Или еще один известный случай. В City-банке клиенты от "фишеров" получили письмо-приманку, в котором сообщалось: "Уважаемый Иван Иванович, на Ваш счет поступила сумма 2 тыс. долларов. Если Вы действительно ожидаете данную сумму, то зайдите по этой ссылке и дайте свое подтверждение, после чего мы произведем зачисление на Ваш счет. В противном случае мы будем ждать прихода бумажных документов…" Надо ли говорить, что некоторые клиенты банка поддались соблазну и стали жертвами мошенников.
Кевин Митник, попавший в тюрьму в 15-летнем возрасте за хакерство, говорил: "Я не хакер, я - специалист по социальной инженерии, потому что против человеческой глупости "патча" (заплатки) еще нет". Однако только ли в глупости дело? Ведь фишинг - это хорошо развитый бизнес. Сегодня оптом продаются украденные персональные данные, есть предложения о продаже украденных кредитных (платежных) карточек - их продают целыми блоками. Здесь полностью отлаженное разделение функций. Одни добывают данные, другие эти данные приобретают, и третьи - непосредственно похищают деньги со счетов клиентов, передают их по всей цепочке, расплачиваясь за полученную информацию.
При этом используется, например, факт, что людям свойственно не обращать внимания на мелочи. Новичок, зайдя на сайт банка, может обратить внимание на замочек SSL (Secure Socket Layer - защита сетевого соединения), а вернее, на его отсутствие, или на сообщение браузера о том, что SSL-сертификат не соответствует заявленному названию сайта. А у "опытного" пользователя, уже "глаз замылен", и он, скорее всего, не обратит внимание, например, на то, что SSL-сертификат может быть просрочен. Вот любопытный факт: в 2007 году практически все британские банки забыли вовремя обновить свои SSL-сертификаты. Но это не помешало всем клиентам, зайдя на привычные сайты продолжать управлять средствами на своих счетах. То есть внимательность человека - это тот фактор, на который рассчитывать не приходится. Мошенники этим прекрасно пользуются.
К сожалению, защита с помощью пароля тоже не всегда надежна. Если пароль сложный, человек обязательно начинает его записывать на бумажке, и таких бумажек он может наплодить много.
Контекстно-зависимый фишинг ("spear phishing") - это хорошо нацеленная фишинговая атака, нацеленная на группу сотрудников предприятия, учреждения. Фишер посылает письмо, которое не вызывает сомнения у адресатов, потому что отсылается подчиненным якобы от имени вышестоящего начальника. Однако высокопоставленные сотрудники - президенты и директора компаний также могут оказаться жертвами специально нацеленной фишинговой атаки. Это уже "охота на китов". Данный вид фишинга часто представляет собой не только письмо, посланное по электронной почте, но, например письмо и CD, на котором содержится шпионское ПО.
Конечно, многие банки стараются использовать различные средства безопасности - это клиентские карты с набором одноразовых паролей, либо генераторы одноразовых паролей с коротким сроком действия. Это и электронно-цифровая подпись, и биометрические средства аутентификации и т.д. Но всё это становится надежной защитой, если человек сам с достаточной долей внимания относится к взаимоотношению с банком.
Мы рассказали о таком явлении, как фишинг. Но это самый простой вид мошенничества. Ему на смену приходит "фарминг". Кто-то сказал, что "фишинг" по отношению к "фармингу", это как ловля рыбы удочкой по сравнению с российским рыболовецким траулером (российским, потому что у него самая мелкая сетка, и он гребет всё)…
