На рыбалке ловят... ваши деньги - «Финансы и Банки»
Чтобы заразить компьютер, злоумышленникам необходимо запустить на нем вредоносный код. И чаще всего им в этом помогает сама жертва, обманутая с помощью фишинга – популярного метода интернет-мошенничества. Что такое современный фишинг, как он работает и как отбивать такие атаки?
Пришло лето – народ рванул на рыбалку. Причем не только на реальную, но и на виртуальную. Активизировались интернет-мошенники, использующие фишинг, программы-кейлоггеры и прочие инструменты финансового мошенничества в системах ДБО. Об атаках на стороне банка – целевых (таргетированных) атаках, атаках с использованием уязвимостей веб-приложений, мошенничестве с использованием сотрудников банка – мы подробно говорили в предыдущей статье «Большой куш для хакера». Сегодня же рассмотрим более детально виды финансового мошенничества на стороне клиентов.
По наблюдениям аналитического центра InfoWatch, большинство атак и основной объем воровства средств со счетов происходит не на стороне банков, а на стороне клиентов. И в этих случаях повышение уровня защищенности систем ДБО, усложнение пользовательских логинов и паролей для входа в онлайн-банк не играет никакой роли. В атаках на клиентов банка основными методами являются фишинг в различных вариациях и использование программ-кейлоггеров.
Фишинг (англ. phishing, от искаженного fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей. Фишинг — одна из самых популярных разновидностей социальной инженерии, основанная на доверчивости пользователей и незнании ими основ сетевой безопасности.
Фишинг осуществляется путем проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов. Например, от имени банков. В письме часто содержится прямая ссылка на сайт, внешне не отличимый от настоящего, либо на сайт с редиректом (перенаправлением). Пользователь попадает на поддельную страницу банка. После чего мошенники пытаются различными психологическими приемами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа в онлайн-банк. Это позволяет злоумышленникам получить доступ к учетным записям и банковским счетам пользователя.
В базе аналитического центра InfoWatch зафиксирован инцидент, произошедший в начале июня. В Санкт-Петербурге были задержаны мошенники, похищавшие средства пользователей интернет-банкинга. Криминальная группировка с помощью вредоносного программного обеспечения получала доступ к счетам клиентов: одни программы перенаправляли клиентов банков на фишинговые страницы, на которых у пользователя запрашивались логин и пароль, а также номер телефона. Другие вредоносные программы позволяли запросить номер телефона прямо на настоящих сайтах банков. Далее с помощью социальной инженерии, представляясь сотрудниками банков, группировка выманивала у потерпевших СМС-коды авторизаций, необходимые для кражи денег. В результате с банковских счетов пользователей было похищено более 11 млн рублей. Жертвами киберпреступников стали клиенты крупных банков, включая Сбербанк и ВТБ 24.
Фишинг бывает почтовый (рассылка различных электронных сообщений), онлайновый (копирование страниц онлайн-банкинга наиболее популярных банков) и комбинированный.
Почтовый фишинг обычно содержит вирусы, «черви» или троянские программы. Злоумышленники часто используют технологии, которые позволяют обходить установленные на компьютере пользователя спам-фильтры, которые сегодня не гарантируют полноценную защиту.
Кроме того, получаемые сообщения могут принимать вид официальной страницы банка, клиентом которого является получатель, и сбивать его с толку. Также может использоваться так называемая поддельная адресная строка.
Онлайновый фишинг подразумевает подмену страницы онлайн-банкинга, которым пользуется жертва, на мошенническую, внешне не отличимую от оригинала. Пользователь заходит на такую поддельную страницу, вводит логин и пароль для доступа в онлайн-банк, эти данные становятся доступны мошенникам, которые затем входят в личный кабинет пользователя и переводят деньги с банковского счета жертвы на свои счета.
Комбинированный фишинг начинается с создания поддельного сайта банка, на который завлекаются потенциальные жертвы. Мошенники предлагают пользователям (с учетом знания психологии) произвести некие операции самостоятельно. Под видом банка мошенники вступают с вами в переписку, рассказывают о якобы появившихся новых привлекательных банковских продуктах и рекомендуют перебросить средства вашего счета на якобы открытый для вас этим банком депозит. В результате этих действий мошенники получают доступ к вашему счету и переводят деньги на свои счета.
По данным «Лаборатории Касперского», Россия в I квартале 2015 года вошла в первую пятерку стран по количеству фишинговых атак на пользователей.
Страна
% пользователей
1
Бразилия
18,28
2
Индия
17,73
3
Китай
14,92
4
Казахстан
11,68
5
Россия
11,62
6
ОАЭ
11,61
7
Австралия
11,18
8
Франция
10,93
9
Канада
10,66
10
Малайзия
10,40
Топ-10 стран по доле атакованных фишингом пользователей. Источник – «Лаборатория Касперского».
Защититься от фишинга не так сложно, если не терять бдительности. Специалисты InfoWatch рекомендуют прежде всего обращать внимание на URL (адрес) ссылки, присланной по почте, и загрузившейся страницы банка. Адрес может напоминать настоящий, отличаясь при этом в самом главном: домене второго уровня. Пример: https://online.sberbank.ru – правильно, https://online.sberbank.abc123.ru – неправильно.
Если обнаружится, что страница загружена не через безопасный протокол HTTPS, то с данной страницы также следует уйти. Уточним, основной сайт банка может работать и по HTTP, но страница интернет-банка во всех случаях должна отмечаться рисунком замка слева от адресной строки (обозначение протокола HTTPS). Пример: https://online.sberbank.ru – правильно, http://online.sberbank.ru – неправильно.
У фишинга имеются разновидности – вишинг, смишинг и фарминг.
Вишинг (голосовой фишинг) подразумевает использование war diallers (автонабирателей) и возможностей интернет-телефонии (VoIP) для кражи личных конфиденциальных данных, таких как пароли доступа, номера банковских и идентификационных карт и т. д.
В полученном письме или сообщении «клиента» просят позвонить по бесплатному телефону для уточнения остатка средств на банковском счете или карте. При этом автоответчик приятным голосом пудрит мозги и в конце просит ввести номер счета и ПИН-код. Далее деньги списываются с карты на счет мошенников.
Применение протокола VoIP помогает компаниям снизить расходы на телефонную связь, но вместе с тем делает сети компаний более уязвимыми для атак. Банки и другие организации, использующие для голосовой связи IP-телефонию, рискуют подвергнуть своих клиентов вишинг-атакам, для профилактики которых пока нет средств.
Смишинг (СМС-фишинг) является преступной схемой, направленной на то, чтобы пользователь, получив СМС-сообщение от якобы надежного отправителя, выдал данные своей кредитной карты, пароли или другую персональную информацию. В полученном СМС-сообщении «клиента» просят перейти на сайт и отправить данные, включая ПИН-код. Далее деньги списываются с карты на счет мошенников. Здесь с вас могут дополнительно списать определенную сумму, как за оказание услуги посредством СМС (платная СМС).
На самом деле банк никогда по собственной инициативе не будет звонить и запрашивать логины и пароли от онлайн-банкинга, номера кредитных карт, ПИН-коды и т. п. Если вам поступил такой звонок, знайте – это мошенники!
Однако сейчас некоторые банки начинают использовать более продвинутые системы защиты электронных платежей, когда при осуществлении операции по снятию наличных через банкомат больше определенной суммы или при оплате по карте в магазине на сумму, превышающую установленную банком, вам действительно могут позвонить из кредитной организации и попросить назвать проверочное слово.
Соответственно, начинают появляться и новые, связанные с этой системой сложные виды мошенничества, когда ваш платеж отслеживают, перехватывают, узнают ваш номер телефона, звонят вам и узнают ваше проверочное слово. В результате данная легитимная операция проходит, а следующая осуществляется мошенниками, и ваши средства уходят со счета. С этим сложно бороться: важно быть всегда очень внимательными к звонкам и сообщениям подобного рода.
Фарминг (замена DNS адресов) заключается в перенаправлении жертвы по ложному адресу. Мошенники заменяют на серверах законных сайтов DNS-записи, что приводит к перенаправлению посетителя на похожий поддельный ресурс. Результат этой деятельности наиболее опасен, так как отличить подделку очень сложно.
Специальных механизмов защиты от фарминга сейчас не существует, так что необходимо внимательно контролировать входящую почту, пользоваться антивирусными средствами защиты, закрывать окна предварительного просмотра в почтовом клиенте и т. д.
В целом, по прогнозам аналитиков InfoWatch, финансовое мошенничество будет более активно развиваться именно в сторону использования методов социальной инженерии и фишинга, нежели в сторону взлома систем безопасности банков. Представьте себе, что перед вами стоит задача взломать сейф либо отнять у человека деньги на выходе из дверей – второе гораздо проще осуществить.
Банки тратят немало средств на информационную безопасность, используют мощные системы защиты, содержат штаты специалистов в области информационной безопасности, выполняют комплаенс-контроль. Клиенты банков в этом смысле гораздо более уязвимы и поэтому более привлекательны для мошенников.
Так, самой распространенной среди пользователей платежной онлайн-операцией является оплата мобильного телефона. Помимо этого, пользователи часто покупают через Интернет книги, музыку и софт в ценовом диапазоне от 100 до 1 000 рублей. Когда банки начинают слишком усложнять систему безопасности, вводить многоуровневые системы подтверждения платежей, люди жертвуют безопасностью ради удобства пользования сервисом и становятся мишенью злоумышленников.
Фактически атаки на клиентов мало заботят банки, поскольку, во-первых, не влияют на безопасность самого банка и, во-вторых, банки мало что могут с этим поделать. Если клиент стал жертвой фишинга, банки не компенсируют ему ущерб, так как инцидент произошел по вине клиента (эта оговорка есть в любом клиентском договоре).
Клиентам банков надо быть очень внимательными, чтобы не попасться на удочку финансовых мошенников. Никакой банк не защитит вас от вашей собственной беспечности.
Всеволод ИВАНОВ, заместитель генерального директора ГК InfoWatch, для