Кража денег в интернете - это просто

Если вы доверяете только крупным, проверенным банкам, имеющим хорошую репутацию, то вы чувствуете себя спокойно. Но знайте: за вами, а точнее, за вашим банковским счетом идет охота. В любой момент вы можете оказаться жертвой фишинг-атаки.

О технологии фишинга нам рассказал Александр, бывший фишер, в настоящее время – специалист по информационной безопасности.

Схема, описанная Александром, не предполагает наличие мощного и дорогостоящего оборудования. Не нужны также высококлассные хакеры. Даже знания PHP и HTML требуются в этом деле минимальные, фишеры редко являются хорошими программистами или дизайнерами. А вот то, что действительно нужно для организации «бизнеса», - отличные знания психологии, или, как принято сейчас говорить, навыки социального инженеринга.

Фишинг-атака проводится в три этапа. На каждом из этих этапов применяются простые, но эффективные методы:

Этап 1. Добыча базы e-mail

Все, что нужно мошеннику для начала работы, – список адресов электронной почты клиентов атакуемого банка. Добыча таких адресов – отдельная специализация в преступном мире.

Для того чтобы получить базу, вербуют сотрудника банка, имеющего доступ к списку e-mail клиентов банка.Вербовка проводится как в сети, так и офлайне, в барах и на улице. В сети сотрудников банков несложно найти, используя технологии бизнес-разведки.

Сотрудник банка, как правило, продает базу за свой месячный оклад. Фишер базу e-mail покупает. В сети существуют закрытые биржи, на каждую из которых допущены всего несколько человек.

Обычный фишер покупает информацию на такой бирже через посредников. За пару тысяч долларов можно купить базу адресов средних по величине банков. Информация о клиентах больших, известных банков стоит больше, но, как правило, ее стоимость не превышает десяти тысяч долларов.

Этап 2. Сайт-имитатор и письмо от имени банка

Получив базу адресов, фишер должен сделать две вещи. Первая – создать страницу, имитирующую страницу входа в систему интернет-банкинга атакуемого банка. Главная задача при этом – зарегистрировать домен, похожий на доменное имя банка.

В ход идут любые уловки: регистрация домена в другой доменной зоне, подмена одной или двух букв в адресе, добавление слова support к имени банка. Главное, чтобы при беглом взгляде на адресную строку браузера жертве казалось, что он находится именно на сайте своего банка.

Само создание страницы-ловушки не требует особенных профессиональных знаний. Шаблон сохраняется при помощи соответствующей опции распространенных браузеров. Для захвата персональных платежных данных используется простейший PHP-код. Интересно, что даже на этом этапе организаторы фишинг-атаки прибегают к помощи сторонних специалистов, выплачивая им по 50−70 долларов за каждую сгенерированную страничку.

Чтобы жертва как можно дольше не заподозрила неладное, после того как данные будут введены, скрипт переправляет пользователя на настоящую страницу авторизации банка. Пользователь думает, что просто неправильно ввел данные или произошел сбой связи. Но теперь, даже внимательно изучив сайт, он ничего подозрительного не обнаружит – ведь теперь он находится на настоящем сайте банка.

Второе, что делает фишер - забрасывает наживку. Заманить на страницу-ловушку обладателя банковской карты можно письмом с логотипом банка. Образец письма и его содержание показаны в нашем ролике. Ссылка в тексте письма содержит текстовый адрес настоящего сайта банка. Но если посмотреть свойства ссылки внимательно, можно увидеть, что ведет она на страницу-ловушку, расположенную на похожем домене.

Фишер знает, что из сотен клиентов банка внимательными и осторожными будут далеко не все.

Этап 3. Обналичка

После того как данные о банковских картах окажутся в распоряжении фишера, мошенник совершает несколько переводов, уводя деньги через подставные банковские счета и платежные системы.

Если мошенник умный и не жадный, то он не опустошает счета жертв полностью, а лишь снимает с них сравнительно небольшие суммы. Действуя таким образом, фишер отдаляет тот момент, когда служба безопасности банка поднимет тревогу после жалобы одного из обманутых клиентов.

Несмотря на все меры предосторожности, фишеры, как правило, заканчивают свою карьеру не так, как они рассчитывают. Многие просто пропадают для родных и знакомых навсегда, внезапно и не по своей воле. Многих используют криминальные структуры, в таком случае ясно, что выйти из «бизнеса» им никто никогда уже не позволит.

Единицам везет – они становятся специалистами по безопасности в курируемых спецслужбами структурах. О фишерах, которым удалось «уйти на пенсию» и насладиться плодами своей деятельности, никто ничего не слышал.

Простым владельцам банковских карт нужно быть очень осторожными, когда случается не вполне понятная ситуация. Рекомендации, как не стать жертвой фишинг-атаки, Александр дал в нашем видеоинтервью.

Примечание: Уязвимые банки

Чем лучше защищен банк от фишинг-атаки, тем менее удобно его клиентам пользоваться услугами интернет-банкинга. Больше степеней защиты – значит, больше этапов авторизации, больше кодов и паролей, чаще их смена. Самые защищенные банки мира, по мнению фишеров, – японские и швейцарские.

Японцы привыкли к использованию сложных алгоритмов, их банки имеют множество степеней защиты, а клиенты этих банков спокойно относятся к сложным процедурам, сопровождающим доступ к счетам.

Швейцарские банки также не уступают японским в сложности алгоритмов, а авторитет этих банков позволяет усложнить для европейских клиентов все процедуры без боязни их распугать.

Наиболее уязвимыми являются латиноамериканские и испанские банки. Связана эта уязвимость как с простыми алгоритмами защиты, так и с особенностями национального менталитета. Клиентов этих банков легче всего обмануть, а с сотрудниками банков проще всего договориться о покупке нужной информации.

Американские банки хоть и не являются самими удобными объектами фишинг-атак, но пользуются популярностью у мошенников из-за большого числа состоятельных клиентов.