Ловись рыбка: большая и маленькая!

Возможность удаленного управления банковским счетом, реальное удобство для владельцев современных банковских счетов, порождает сразу несколько видов сетевого мошенничества. Вот как сегодня "электронные взломщики" потрошат счета доверчивых вкладчиков.

Три вида сетевого мошенничества представляют реальную опасность для банковских счетов вкладчиков - в криминальном и сетевом лексиконе они фигурируют как: Трояны, Фарминг и Фишинг (Спуфинг).

Сетевое мошенничество перестало быть уделом талантливых одиночек - сегодня это крупный бизнес хорошо организованных, оснащенных по последнему слову техники, глубоко законспирированных и отменно дисциплинированных международных (глобализация!) преступных группировок, имеющих даже свою агентуру в некоторых банках.

Члены преступных группировок действуют в различных районах и зачастую не знают друг друга. По данным экспертов только зарегистрированный ущерб от мошенничества в этой сфере составляет от 32 до 100 млрд. долларов в год. Это достаточно большие цифры для того, чтобы общество почувствовало всю серьёзность угрозы. "Доходы теневого бизнеса в сети Интернет сегодня могут сравниться с прибылью от незаконной торговли оружием и наркотиками", - заявил главный борец с преступлениями в сфере высоких технологий, начальник управления "Р" ГУВД города Москвы Дмитрий Чепчугов.

Услуга "удаленное управление счетом" позволяет вкладчику с помощью банковского программного обеспечения оперировать со своим счетом при удаленном соединении со своим банком. В минимальный набор удаленных услуг входят: перечисление средств со своих счетов на счета других лиц и организаций, информация обо всех списаниях и зачислениях средств по своим счетам, покупка, продажа или обмен валюты.

Банк обрабатывает данные, получаемые от вкладчика, проверяет их правильность, после чего они поступают в банковскую информационную систему, где и происходит перечисление средств. Все операции выполняются компьютером без участия человека, но с использованием криптографических методов защиты информации от несанкционированного доступа и электронно-цифровой подписи. Вот здесь - поле деятельности сетевых мошенников.

1. Фишинг (англ. phishing) расшифровывается, как password harvesting fishing (сбор и выуживание паролей), и занимается получением из сети сведений, дающих доступ к банковским счетам и хищению активов. Сетевые мошенники используют массовые рассылки электронных писем своим жертвам от имени банков, благотворительных обществ или других, не менее уважаемых адресатов, с просьбой передать конфиденциальную информацию: пароли, номера счетов, пин-коды и т.д.

Обязательный элемент успеха мошенников - создание правдоподобной легенды, побуждающей жертву к необходимым действиям. Поэтому письма выполняются настоящими мастерами своего дела с соблюдением: стиля, манеры изложения и мелочей, придающих посланию правдоподобность (включая подлинные сетевые адреса отправителя). Некоторым доверчивым людям бывает вполне достаточно одного-единственного электронного письма. Широко известный факт: на письмо, якобы отправленное от имени главного бухгалтера известной аудиторской компании, ответило больше половины получателей этого письма. Жертвы мошенничества охотно предоставили всю требуемую мошенниками информацию...

Модификация фишинга - спуфинг. От классической фишинговой схемы этот способ получения интересующих мошенников данных отличается тем, что в письме жертву просят перейти на сайт банка или финансовой компании для заполнения некой "особой VIP-анкеты" по прилагаемой ссылке. Те, кто поверит и захочет стать "VIP‑клиентом" попадет на мошеннический сайт, повторяющий дизайн сайта настоящего банка, где от него требуют сообщить необходимые мошенникам данные. Успех мошенничества обеспечивается точным знанием: банка, которым регулярно пользуется жертва, сайтом на котором производятся платежи, фирмы-провайдера и других немаловажных деталей.

Как же нейтрализовать фишинг? Можно воспользоваться специальными системными программами. Например, протокол транспортного (4) уровня TCP имеет встроенный механизм для предотвращения Спуфинга. Но основное оружие в борьбе с фишингом - обучение пользователей простым правилам безопасности в сети Интернет. Нужно четко знать, что ни одна финансовая организация не попросит сообщить пароль по электронной почте или в ICQ-сообщении. Просто помните это - тогда все искусно изготовленные мошеннические послания и сайты с просьбами "подтвердить" или "восстановить" данные клиента оказываются бесполезными.

А если "домогательства" мошенников не прекращаются, владельцу счета необходимо незамедлительно связаться напрямую с банком. И еще один совет: в критических случаях (а сохранность ваших денег - всегда критический случай!) не надо пользоваться готовой ссылкой, лучше набирать вручную адрес сайта в строке браузера...

2. Фарминг уже не приглашает, а направляет клиента на фальшивый сайт автоматически, когда владелец счета пытается войти на официальный сайт банка. Это делается так искусно, что жертва об этом и не догадывается. Автоматика может работать тремя способами: вирус-перехватчик управления, попавший в компьютер жертвы, преобразует правильный адрес, состоящий из букв в адресной строке браузера, в неправильный фактический адрес сайта из цифр (IP-адрес) в сети; проникновение на настоящие банковские сайты и манипулирование посетителями сайта, с переадресацией их на фальшивый сайт; заражение базы DNS на сервере Интернет-провайдера.

Использование эффективных, современных средств антивирусной защиты позволяет предотвратить проникновение подобных вирусов в компьютер клиента и к провайдеру.

Если же провайдер экономит на антивирусных программах, мошенники могут, взломав сервер, сразу получить данные, удостоверяющие личности многих владельцев электронных банковских счетов. Поэтому, чтобы защититься от фарминга используйте эффективные, современные средства антивирусной защиты на своем компьютере и выбирайте надежного и известного провайдера: сервер Интернет-провайдера - форпост вашей обороны.

Тщательно проверяйте веб-адреса, имеющие знак "вопрос" в тексте - у "нормального" банковского адреса не должно быть никаких лишних символов. Избегайте сайтов, не имеющих сертификатов безопасности. Никогда не входите на сайт с помощью готовой ссылки, если требуется ввод конфиденциальной информации: вводите сами адрес в адресную строку браузера.

3. Трояны - вид сетевого мошенничества, который использует вирусы, управляющие компьютером. Вирусы переносятся электронной почтой, заносятся с часто посещаемых (иногда - порно!) сайтов. Новейшие версии антивирусов в этой ситуации зачастую оказываются бесполезными - еще не изученные вирусы пробираются в компьютер и находятся там в бездействии до тех пор, пока владелец счета не свяжется со своим банком. После этого вирус считывает все, что печатает жертва. Дождавшись последнего щелчка мышью, подтверждающего финансовую операцию, вирус прерывает соединение и молниеносно уводит деньги на другие счета. Противостоять Троянам трудно, но можно, если пользоваться банками, имеющими на своих серверах защиту от Троянов.

Мошенники, используя вышеперечисленные способы обмана клиентов, снимают деньги со счета жертвы и направляют их на счета граждан, которые за определенный процент от переведенных денег соглашаются получать на свой счет украденные активы и переводить их дальше, в соответствии с ранее полученными инструкциями.

В результате - мошенник остается неизвестным, а доверчивый гражданин оказывается в поле зрения правоохранительных органов. Доверчивых граждан вербуют там же, в сети Интернет, на сайтах по трудоустройству. В предлагаемых вакансиях, разумеется, ничего о кражах не говорится, но кандидату ставится непременное условие - наличие банковского счета. Многоступенчатые переводы из одной формы активов в другую "отстирывают", легализуют украденные деньги для мошенников.

Чтобы не попасться на уловки "электронных" мошенников, надо регулярно проверять выписки по банковским и кредитным карточкам и выявлять все подозрительные операции. Если банк вовремя сообщит об использовании "спящих" счетов, мошенническую сеть обязательно разрушат. А вот возместят ли вкладчикам уведенные с их счетов деньги при использовании украденных сведений, решать будет банк вкладчика или суд.

Как всегда, хорошая защита от мошенников - чувство здравого смысла! Нужно выбирать надежные банки, которые дорожат своей репутацией и используют современные средства защиты от несанкционированного доступа. А еще нужно быть бдительными и внимательными - это ваши деньги, не отдавайте их просто так всяким мошенникам!