151 угроза вашему кошельку
Шрифт:
Если же за дело берётся не ремесленник, а человек, владеющий делом на уровне искусства, защита не сработает. Скажем, для атаки будет создан не просто нестандартный, а уникальный троян с учётом специфики системы. Да и не всегда для запуска трояна нужно внедрять его через Интернет – мошенник может просто срежиссировать ситуацию, при которой сотрудник интересующей компании сам загрузит троян в свою корпоративную сеть. Причём даже не догадываясь о том, что он сделал. Вот это и называется искусством фишинга. Известен случай, когда в Лондоне утром на парковках возле офисов компаний были кем-то «потеряны» флешки. Нашедшие их сотрудники, не долго думая, засовывали устройства в рабочие компьютеры – видимо, хотели посмотреть, что на них записано. Вот так без особых усилий во многие корпоративные сети проник троян. Или такой вариант. Топ-менеджеру компании приходит письмо с просьбой зайти на некий сайт. В данном случае письмо вроде настоящее, а не просто «давай познакомимся» или «пупсик, глянь мои фотки». В графе «Отправитель»
Затем мошенник меняет указанный в профиле пользователя адрес мейла на свой и делает запрос с просьбой выслать «потерянный» пароль. Интернет-ресурсами с подобными прорехами чаще всего бывают онлайновые издания, блоги, сообщества, сайты знакомств, форумы и т. д. Соответственно, необходимо соблюдать осторожность – для регистрации на сомнительных или слабо защищённых ресурсах завести отдельный e-mail, который не выводит ни на какие иные личные секреты и который в случае чего не жалко потерять.
Но что делать, если любимый мейл всё-таки увели? Службы технической поддержки бесплатных почтовых серверов всячески способствуют возвращению мейлов законным владельцам. Как правило, похититель одновременно с паролем меняет и все данные в форме регистрации пользователя (имя, ответ на секретный вопрос, адрес для восстановления пароля и т. д.). Однако доказать свои права на ящик не так уж и трудно: подтверждением личности владельца может стать информация об отправленных или полученных письмах, прежних паролях и т. п. А вернув себе мейл, можно, соответственно, предъявив последний, вернуть до ступ и к прочим похищенным с его помощью бесплатным ресурсам (ЖЖ, ICQ и т. д.), просто обратившись в администрации данных систем.
Но если похищение пароля к почте или мейлу может стать лишь косвенной причиной каких-либо потерь, то кража пароля доступа к интернет-кошельку или банковскому счёту сулит прямые материальные убытки. Тем более что, предоставив клиенту разного рода интернет-сервис и прочие электронные удобства, российские банки не успевают обеспечить реальную защиту при их использовании. Помимо нерасторопности банков почва для электронного мошенничества отлично унавожена и отсутствием специальных знаний у большинства законопослушного населения, которое пользуется платёжными услугами уже в массовом порядке. Пароль (код доступа) к управлению собственным счётом в системе интернет-банкинга преступники могут получить абсолютно теми же методами, что и в случае с паролем к мейлу, – с помощью троянов, фишинга и т. п. Заметим, что трояны засылаются обычно не целенаправленно тому или иному адресату, а массово. В итоге у владельца трояна скапливаются тысячи записей (логов). Сам он с ними не работает (разделение труда!), а продаёт на мегабайты (то есть устанавливает цену не за единицу (одну запись), а за целую кучу электронных записей, считая в мегабайтах, – как яблоки оптом: не по штуке и даже не килограммами, а тоннами) другим «узким специалистам». Так, похитители денег из электронных кошельков или с банковских счетов, разбирая купленный материал, выберут по определённым признакам логины и пароли, относящиеся именно к их сфере.
Кстати, с постепенным ростом активности отечественных частных инвесторов можно прогнозировать интерес мошенников и к личным брокерским счетам/портфелям в брокерских конторах. Украсть эти деньги или акции очень трудно. Даже имея доступ к ним, максимум, что можно сделать, – это лишь напакостить пользователю, проведя ту или иную невыгодную операцию. Но это в том случае, если имеешь доступ всего лишь к одному брокерскому счёту. А если их тысячи (учитывая объём купленных у поставщиков логов), то, консолидировав чужие активы на миллионы долларов, можно провести настоящую биржевую операцию. Допустим, сыграть на понижение или повышение акций какой-то конкретной компании, объём дневных биржевых торгов по которой сопоставим с размером сконцентрированных активов. И таким образом можно заработать сотни тысяч долларов. Что же будет с инвестиционными портфелями использованных абонентов
Пользуясь предоставленным интернет-сервисом, необходимо быть крайне внимательным не только в момент совершения операций, но вообще всегда. Например, при получении писем по электронной почте, которые предлагают перейти по ссылке и ввести свои логин и пароль либо реквизиты карты, ничего никогда не вводите. Не важно, для чего это просят – пусть даже ради спасения мира от ядерной войны. Ни один банк не взаимодействует со своими клиентами таким образом. В случае особых сомнений можно позвонить в банк – уточнить, отправлялось ли вам то или иное письмо. При этом, если телефон банка указан в присланном письме, то звонить надо не по нему, а по имеющемуся в банковских документах или пропечатанному на обратной стороне кредитной карты. Кстати, сотрудники большинства банков никогда не пересылают клиенту по электронной почте в открытом виде информацию, в которой фигурируют данные карт. Даже по его личной просьбе.
Бывает, что при обращении к системе интернет-банкинга внедрённый в компьютер пользователя или на какой-либо сайт троян переадресует клиента на специальную страничку, по дизайну очень похожую на соответствующую страницу сайта банка. Ничего не подозревающий пользователь вводит данные кредитной карты, которые тут же становятся известны мошенникам. Например, есть даже такой вид взлома сайтов интернет-магазинов, когда клиента на последнем этапе переадресуют на сайт злоумышленника с формой для введения данных кредитки. При заказе товаров в онлайне надо внимательно следить за адресной строкой браузера. На страницах, где вводится личная информация, протокол обмена должен быть обязательно https:. Сертификат сайта – соответствовать имени сайта. Современные браузеры отмечают несоответствие сертификата строгими предупреждениями и красной адресной строкой, но пользователи старых версий могут попасться на этот вид взлома. Кроме того, должно вызывать подозрение, если «сайт банка» чем-то отличается по дизайну от того, которым вы пользовались ранее. Как защититься от проникновения троянов? Поставить хороший антивирус. Он хоть и не панацея, но позволит выловить старые либо не очень хорошо сделанные вирусы. Более надёжно вообще не использовать Internet Explorer и Microsoft Outlook для веб-серфинга и получения электронной почты соответственно, поскольку большинство троянов пишутся в расчёте на «дыры» именно этих программ.
Крайне важно быть осторожным, если выход в Сеть осуществляется из публичного места, такого как интернет-кафе или хот-спот. Беспроводные хот-споты, как правило, не используют шифрование трафика, и любой желающий может увидеть все отправляемые или получаемые данные. Использование корпоративной беспроводной сети тоже не гарантирует безопасности. Многие корпоративные сети до сих пор не применяют шифрование или используют уязвимый для взлома электронный ключ в стандарте WEP. Сидящий за соседним столиком в кафе или припарковавшийся рядом с офисом злоумышленник с ноутбуком и специализированным программным обеспечением очень быстро получит доступ к желаемым данным. Если предполагается, что электронная переписка содержит что-то более важное, чем приветы от знакомых, то лучше использовать защищённые протоколы TLS и SSL – нужно обратиться к своему провайдеру и узнать, как это сделать. Помните, что любая страница в браузере, просмотренная по открытому протоколу HTTP или FTP, может быть скопирована злоумышленником. Программы мгновенного обмена сообщениями ICQ и MSN вообще не защищены. То же относится к большинству протоколов IP-телефонии, так что и использование Wi-Fi-телефона для разговора с банком – тоже идея не очень хорошая.
Сейчас многие банки практикуют использование дополнительных одноразовых паролей, список которых выдаётся пользователю. Причём пароли принимаются только в последовательности, указанной в списке. То есть пока, допустим, пароль № 2 не будет использован, пароль № 3 не сработает. Но и эту предосторожность воры уже научились обходить. Пользователь заходит на страницу банка, забивает пароль, а сидящий в его компьютере троян имитирует отказ в авторизации и предлагает ввести другой пароль. Пользователь пытается войти в систему по второму паролю – сработало, доступ к счёту получен. Вот только получен он именно вводом первого пароля, а второй пароль из списка, на самом деле ещё не использованный, попадает в руки воров.
Или другой, вроде бы надёжный вариант, когда необходимый для дополнительного ввода одноразовый пароль высылается на мейл пользователя в момент авторизации по основному паролю. Считается, что перехватить его не успеют. Как показывает практика, успевают. Собственно, всеми данными для доступа к почтовому ящику жертвы злоумышленники располагают благодаря тому же трояну. Единственная на сегодняшний день более или менее эффективная защита пользователя, по мнению экспертов, – это двухфакторная аутентификация. То есть когда одновременно вводится два пароля, каждый из которых поступает по разным каналам. Один, допустим, приходит на мейл, а второй – на мобильный телефон. Естественно, у злоумышленника не должно быть возможности дистанционно заменить номер мобильного телефона, на который будут приходить SMS, – меняют его только в отделении банка и только при личной явке клиента. Или второй пароль генерируется специальным устройством (крипто-калькулятором), выдаваемым пользователю банком.