ПоделитьсяМногие из нас уже давно перешли на пластиковые банковские карты. И неудивительно, ведь это удобно, практично, надежно… Стоп. А надежно ли? Ведь существует фишинг - вариант интернет-мошенничества, цель которого - завладеть конфиденциальными данными пользователя, паролями от интернет-кошельков, номером и PIN-кодом кредитки, при помощи массовой почтовой рассылки с подставных сайтов - копий реально существующих.
«Письма счастья»
Да, в случае потери или кражи карточки владелец может заблокировать ее быстрее, чем злоумышленник подберет PIN-код или воспользуется специальным считывающим устройством. И потом преступник все равно засветится, если судорожно будет ломать чужую карту у банкомата, оснащенного видеокамерами. А если пароли и PIN-коды уже известны неким предприимчивым гражданам, и при этом для обналичивания средств сама карта им без надобности и даже из дома выходить не требуется, чтобы провести такую операцию? Фантастика? Нет, всего лишь одна разновидность множества сетевых мошенничеств, а именно - фишинг.
Фишинг (англ. phishing, от password - «пароль» и fishing - «рыбная ловля», «выуживание») - вариант интернет-мошенничества, цель которого - завладеть конфиденциальными данными пользователя, паролями от интернет-кошельков, номером и PIN-кодом кредитки, при помощи массовой почтовой рассылки с подставных сайтов - копий реально существующих. Рассмотрим вариант с пластиковыми картами, по сути виртуальный кардинг (махинации с кредитными картами).
Сначала фишерами составляется база электронных адресов, основанная на информации, сворованной ими с различных крупных форумов или социальных сетей. «Для кражи е-мейлов используются уязвимые места в программах сайтов, так называемые «дыры в движке». Особенно легко это сделать на самых сегодня популярных сайтах. За счет некоторых просчетов программистов мошенник может получить админские права и тупо стянуть базу на несколько тысяч адресов. Далее на ворованные адреса отсылается спам под видом сообщений от служб безопасности банка или техподдержки с просьбой предоставить, обновить или подтвердить те или иные конфиденциальные данные в связи с произошедшими сбоями в системе и утерей данных, со ссылками на сайты-обманки. Дизайн подставных интернет-страниц совпадает с оформлением оригинального ресурса, имя в адресной строке практически то же, за исключением одной какой-нибудь буквы (например, sberbanc.ru). Не бдительный обыватель не видит никакого подвоха и вводит свой PIN-код по просьбе отправителей «письма счастья». После чего преступники благополучно тратят средства жертвы, попавшейся на крючок, там же, во всемирной паутине», - рассказывает программист Максим Новиков.
А кто поймает?
Насколько эффективна борьба с фишингом и кардингом сегодня, в ГУВД Петербурга и области нам узнать не удалось. Зато частично эту тему осветили представители «Яндекса». По словам директора по маркетингу платежной системы «Яндекс-Деньги» Марии Грачевой, существует успешная практика по выявлению интернет-мошенников и передаче дел в суд: «Если пользователь не ограничивается жалобой в службу поддержки, а подходит к проблеме ответственно и с помощью наших сотрудников пишет заявление в милицию, органы внутренних дел получают основания и необходимую информацию для поимки злоумышленников. В последнее время правоохранители уделяют заметно больше внимания сетевым преступлениям, чем раньше, и уже имеется ряд случаев вступления в законную силу приговоров по таким делам».
Однако не все так просто. Десятки пойманных «школьнегов» и единицы профи еще не отражают полной картины ситуации по фишингу. «Чтобы вычислить опытного фишера, придется очень постараться. Нужно понимать, что все липовые сайты регистрируются по чужим документам. Администрирование сайтов и спам-рассылка, дабы не светить IP-адрес мошенников, осуществляется либо через прокси-сервер с любым другим IP, который имеет миллионы соединений, либо через спутниковый Интернет. Найти преступников, конечно, все равно можно, но мне не верится, что в милиции будут этим активно заниматься, если речь идет о краже пары тысяч рублей. Если речь идет о крупных мошенничествах, тогда, наверное, поступит приказ сверху и будут искать. Но и уровень подготовки таких кибер-преступников будет достаточно высоким», - рассуждает Максим Новиков.
Клёв продолжается
О том, что фишеры и кардеры чувствуют себя достаточно вольготно, свидетельствует и широкое распространение в сети всевозможных форумов, где «специалисты» делятся опытом. На одном из форумов автору этих строк удалось связаться с коллегой, работающим в журнале «Хакер» и готовившим интервью с кардерами. Двое молодых людей без указания имен, ников и прочей персональной информации согласились поговорить о своем нестандартном способе заработка. Приводим выдержки беседы с www.xakep.ru, респондентов условно обозначим как 1 и 2.
- Какова специфика современного кардерства?
1: - Кардинг переживает не самые лучшие времена. Если он практикуется в Интернете, то надо уметь хорошо организовать защиту и анонимность.
2: - Ничего не изменилось. Кардерство всегда было занятием для дебилов. Это не хакерство, где нужны знания в области операционных систем и программирования.
- Насколько успешно, по-вашему, правоохранительные органы борются сейчас с интернет-мошенниками?
1: - Очень даже неплохо. Занимается этим ФСБ совместно с банками. Примерно раз в полгода устраивают облавы. Попадаются кардеры из-за своей неосторожности, а также из-за подстав коллег.
2: - Активности с их стороны практически нет. Им нет смысла тратить свои силы, время и деньги на то, чтобы «спасать», например, граждан США. Хотя с отморозками, которые пытаются «кидать» здесь (на территории России), - с ними пытаются бороться. С ними в основном разбирается внутренняя служба безопасности конкретного банка.
- Были ли у вас проблемы с милицией?
1: - У меня проблем не было. Но был случай, когда я весь вечер кардил, а потом заметил, что работаю без прокси-сервера. Потом неделю ходил по улицам оглядываясь.
2: - У меня? Проблемы? Я законопослушный гражданин и честно плачу налоги.
- Применяются ли новые способы защиты кредитных карт?
1: - Вот VISA недавно взяла и резко сократила процент непроверенных транзакций, многие биллинги закрылись, и кардеры потеряли еще одну возможность зарабатывать.
2: - Применительно к сети нет смысла говорить о способах защиты самих карт. Тут они не играют уже никакой роли.
Марина Ярдаева,
полностью материал читайте в свежем номере газеты «Ваш тайный советник» от 22 сентября 2008 года.
