Интернет-мошенничество фишинг: механизм, виды и способы противодействия
Злоумышленники заражают компьютер, запуская на нем вредоносный код. Примечательно, что, чаще всего они делают это с помощью самой жертвы, для обмана которой используется фишинг. О том, как работает этот распространенный метод интернет-мошенничества, и как ему противостоять, пойдет речь ниже.
Данные аналитического центра InfoWatch говорят о том, что большинство случаев хищения денег со счетов происходит по вине клиентов, а не банков. Чаще всего для атак на клиентов банка мошенники используют различные вариации фишинга и программы-кейлоггеры.
Название «фишинг» происходит от англ. phishing (искаженное fishing, то есть, рыбная ловля, выуживание). Его используют для обозначения интернет-мошенничества, с помощью которого получают доступ к конфиденциальной информации о пользователях. Фишинг является разновидностью социальной инженерии, процветающей сегодня из-за доверчивости пользователей и их безграмотности в сфере сетевой безопасности.
Для осуществления фишинга мошенники посылают электронные письма от имени известных брендов или личные сообщения внутри различных сервисов, к примеру, банковских. Обычно письмо содержит прямую ссылку на сайт, очень сходный внешне с настоящим, либо на сайт с редиректом (перенаправлением), чтобы заманить пользователя на фальшивую страницу банка. Теперь цель мошенников – побудить клиента ввести на ней логин и пароль для входа в онлайн-банк. Это нужно им для того, чтобы войти в учетную запись клиента и получить доступ к его банковским счетам.
В начале июня в Санкт-Петербурге была пресечена деятельность группы мошенников, которые воровали деньги пользователей интернет-банкинга. Для доступа к их счетам преступники использовали вредоносное программное обеспечение двух видов. С помощью одних программ клиенты банков перенаправлялись на фишинговые страницы, где у них запрашивались логин, пароль и телефонный номер. Другие вредоносные программы использовались для запрашивания номера телефона на подлинных сайтах банков. Затем преступники выдавали себя за сотрудников банков и выманивали у жертв СМС-коды авторизаций, с помощью которых они похищали деньги. Всего мошенникам удалось похитить таким образом с банковских счетов более 11 млн рублей в нескольких крупных банках.
Фишинг может быть: почтовым (с использованием рассылки электронных сообщений), онлайновым (с использованием копирования страниц онлайн-банкинга самых известных банков) и комбинированным.
Почтовый фишинг основан на использовании вирусов, троянских программ или «червей», а также технологий для обмана установленных на компьютере пользователя спам-фильтров. Кроме того, жертве могут отсылаться сообщения якобы с официальной страницы банка, клиентом которого она является. Используют мошенники и так называемую поддельную адресную строку.
С помощью онлайнового фишинга подменяют страницу используемого жертвой онлайн-банкинга на мошенническую, которая внешне является двойником оригинала. Когда пользователь заходит на такую поддельную страницу и вводит логин и пароль, они становятся доступны мошенникам. Последним остается только войти в личный кабинет пользователя, чтобы перевести деньги с его банковского счета на свои счета.
При комбинированном фишинге мошенники создают поддельный сайт банка для привлечения на него потенциальных жертв. Владеющие психологическими приемами преступники предлагают пользователям самостоятельно произвести некоторые операции. От имени банка они пишут жертвам, якобы с целью ознакомления их с новыми привлекательными банковскими продуктами. При этом они предлагают пользователю перебросить средства со своего счета на депозит, якобы открытый для него банком. Получив таким образом доступ к счету жертвы, мошенники переводят деньги с него на свои счета.
«Лаборатория Касперского» опубликовала данные, из которых следует, что Россия в первом квартале 2015 года стала одной их пяти стран-лидеров по количеству фишинговых атак на пользователей.
Если не терять бдительности, то защититься от фишинга вполне реально. В первую очередь, по мнению специалистов InfoWatch, следует быть внимательнее с URL (адресом) ссылки, полученной по почте, и загрузившейся страницей банка. Адрес обычно похож на настоящий во всем, кроме главного — домена второго уровня. Например, вместо адреса https://online.sberbank.ru может быть использован https://online.sberbank.abc123.ru.
Обнаружив, что для загрузки страницы не был использован безопасный протокол HTTPS, ее следует немедленно покинуть. Конечно, возможна работа основного сайта банка по HTTP, но в любом случае на странице интернет-банка слева от адресной строки должен быть рисунок замка (обозначение протокола HTTPS).
У фишинга есть разновидности, представленные вишингом, смишингом и фармингом.
При вишинге (голосовом фишинге) используются war diallers (автонабиратели) и возможности интернет-телефонии (VoIP), с помощью которых похищаются конфиденциальные данные клиентов (номера идентификационных и банковских карт, пароли доступа и т. д.).
Жертва получает письмо с просьбой позвонить по бесплатному телефону, чтобы уточнить остаток средств на карте или банковском счете. Приятный голос на автоответчике, запутав клиента банка, заканчивает разговор просьбой ввести номер счета и ПИН-код. После этого деньги быстро перемещаются со счета жертвы на счета мошенников.
Компании используют протокол VoIP для снижения расходов на телефонную связь, однако, это делает их сети более беззащитными перед атаками. Применяя для голосовой связи IP-телефонию, банки подвергают своих клиентов риску стать жертвами вишинг-атак, против которых пока не придумано средства.
Смишинг (СМС-фишинг) представляет собой преступную схему, целью которой является получение от клиента данных его кредитной карты, паролей и т. д. Для этого ему присылают СМС-сообщение от якобы надежного отправителя, в котором ему предлагается перейти на сайт и отправить данные, в том числе ПИН-код. Затем происходит списание средств с его карты на счет мошенников, при этом, дополнительно могут быть списаны средства за оказание услуги посредством СМС (платную СМС).
Настоящий банк никогда не звонит и не интересуется логинами и паролями от онлайн-банкинга, номерами кредитных карт, ПИН-кодами и т. д. Такой звонок можно получить только от мошенников!
Сейчас некоторыми банками практикуется использование более продвинутых систем защиты электронных платежей, которые используются, например, при оплате по карте в магазине покупки, сумма которой превышает лимит, установленный банком. В этом случае с клиентом может связаться представитель кредитной организации с просьбой назвать проверочное слово. Для этой системы у преступников также есть сложные виды мошенничества, направленные на отслеживание, перехват и выяснение номера телефона жертвы, и с его помощью — проверочного слова. Заполучив его, им ничего не стоит провести преступную операцию. Поэтому, следует очень внимательно относиться к таким звонкам и сообщениям.
Фарминг заключается в замене DNS адресов с целью перенаправления жертвы на поддельный ресурс. Это очень опасный вид мошенничества, так как отличить такую подделку бывает крайне сложно.
Специальные механизмы защиты от фарминга пока не созданы, поэтому, меры предосторожности клиентов банка заключаются в контроле входящей почты, использовании антивирусных средств защиты и т.д.
Аналитики InfoWatch уверены, что финансовые мошенники возлагают большие надежды на использование методов социальной инженерии и фишинга, так как считают взлом систем безопасности банков менее перспективным. Банки уделяют большое внимание информационной безопасности, поэтому, клиенты банков в этом смысле являются для мошенников более привлекательными кандидатурами на роль жертв.
Например, сегодня у пользователей очень популярны такие платежные онлайн-операции, как оплата мобильного телефона, покупка через Интернет музыки и книг в ценовом диапазоне от 100 до 1000 рублей. Усложняя систему безопасности путем введения многоуровневых систем подтверждения платежей, банки провоцируют клиентов пренебрегать безопасностью ради удобства пользования сервисом, что делает их уязвимыми для злоумышленников.
Сами банки мало озабочиваются атаками на клиентов, ведь их безопасности они не угрожают, да и нет у банков эффективных инструментов для противодействия мошенникам. Став жертвой фишинга, клиент не получит компенсации ущерба, так как банк назовет его виновным в инциденте. Поэтому, чтобы не стать жертвой финансовых мошенников, клиентам банков следует быть очень внимательными и помнить, что их доверчивость может привести к серьезным финансовым потерям.
