Сравнительно новым является использование IRC и IM-сообщений. Однако, вероятно, этот способ станет популярной основой для фишинг-атак. Так как эти каналы связи все больше нравятся домашним пользователям, и вместе с тем в данное ПО включено большое количество функциональных возможностей, то количество фишинг-атак с использованием этих технологий будет резко увеличиваться.
Вместе с тем необходимо понимать, что многие IRC и IM клиенты учитывают внедрение динамического содержания (например графика, URL, мультимедиа и т.д.) для пересылки участниками канала, а это означает, что внедрение методов фишинга является достаточно тривиальной задачей.
Общее использование ботов во многих из популярных каналов, означает, что фишеру очень просто анонимно послать ссылки и фальсифицировать информацию предназначенную потенциальным жертвам.
Использование троянских программ
В то время как среда передачи для фишинг-атак может быть различна, источник атаки все чаще оказывается предварительно скомпрометированным домашним ПК. При этом как часть процесса компрометации используется установка троянского ПО, которое позволит фишеру (наряду со спамерами, программными пиратами, DDoS ботами и т.д.) использовать ПК как распространителей вредоносных сообщений. Следовательно, прослеживая нападение фишеров, чрезвычайно сложно найти реального злоумышленника.
Необходимо обратить внимание на то, что несмотря на усилия антивирусных компаний, число заражений троянскими программами непрерывно растет. Многие преступные группы разработали успешные методы обмана домашних пользователей для установки у них программного обеспечения и теперь используют большие сети развернутые с помощью троянского ПО (на сегодняшний день не редкость сети составляют сети состоящие из тысяч хостов). Данные сети используются, в том числе, для рассылки фишинговых писем.
Однако, не стоит думать, что фишеры не способны к использованию троянских программ против конкретных клиентов, чтобы собирать конфиденциальную информацию. Фактически, чтобы собрать конфиденциальную информацию нескольких тысяч клиентов одновременно, фишеры должны выборочно собирать записываемую информацию.
Троянские программы для выборочного сбора информации
В начале 2004, фишеры создали специализированный кейлоггер. Будучи внедрен в пределах стандартного сообщения HTML (и в почтовом формате и на нескольких скомпрометированных популярных сайтах) он был кодом, который попытался запускать Java аплет, названный “javautil.zip”. Несмотря на свое расширение zip, фактически это был исполняемый файл, который мог быть автоматически выполнен в браузерах клиентов.
Троянский кейлоггер был предназначен для фиксирования всех нажатий клавиш в пределах окон с заголовками различных наименований, включающих:-commbank, Commonwealth, NetBank, Citibank, Bank of America, e-gold, e-bullion, e-Bullion, evocash, EVOCash, EVOcash, intgold, INTGold, paypal, PayPal, bankwest, Bank West, BankWest, National Internet Banking, cibc, CIBC, scotiabank and ScotiaBank.
Направления фишинговых атак
Фишеры должны использовать массу методов мошенничества для того чтобы осуществить успешные нападения. Самые общие включают:
Нападения " человек в середине " (Man-in-the-middle Attacks);
Нападения подмены URL;
Нападения, использующие Cross-site Scripting;
Предварительно установленные сессии атак;
Подмена клиентских данных;
Использование уязвимости на стороне клиента;
Нападения "человек в середине" (Man-in-the-middle)
Одним из самых успешных способов получения управление информацией клиента и ресурсами является нападения "человек в середине". В этом классе атак нападающий располагает себя между клиентом и реальным приложением, доступным через сеть. Из этой точки, нападающий может наблюдать и делать запись всех событий.
Эта форма нападения успешна для протоколов HTTP и HTTPS. Клиент соединяется с сервером нападающих, как будто с реальным сайтом, в то время как сервер нападающих делает одновременное подключение к реальному сайту. Сервер нападающих в таком случае играет роль прокси-сервера для всех соединений между клиентом и доступным через сеть прикладным сервером в реальном масштабе времени.
В случае безопасного соединения HTTPS, подключение SSL устанавливается между клиентом и прокси-сервером нападающих (следовательно, система нападающих может делать запись всего трафика в незашифрованном состоянии), в то время как прокси-сервер нападающих создает свое собственное подключение SSL между собой и реальным сервером.
Рисунок - Структура атаки man-in-the-middle
Для проведения успешных атак "человек в середине ", нападающий должен быть подсоединен напрямую к клиенту вместо реального сервера. Это может быть выполнено с помощью множества методов:
DNS Cache Poisoning
URL Obfuscation
Browser Proxy Configuration
Прозрачные Прокси-серверы
Расположенный в том же сегменте сети или расположенный на маршруте на реальный сервер (например, корпоративный гейтвей), transparent proxy service может прервать все данные, пропуская весь исходящий HTTP и HTTPS через себя. В этом случае никакие изменения конфигурации на стороне клиента не требуются.
DNS Cache Poisoning ( отравление кеша DNS)
DNS Cache Poisoning может использоваться, чтобы прервать нормальную маршрутизацию трафика, вводя ложные адреса IP для ключевых имен домена. Например, нападающий модифицирует кэш доменной системы имен сетевой межсетевой защиты так чтобы весь трафик, предназначенный для адреса IP MyBank теперь шел на адрес IP прокси-сервера нападавших.
URL Obfuscation
Используя
данный метод, нападавший изменяет связь
вместо реального сервера на соединение
с их прокси-сервером. Например, клиент
может следовать по ссылке к
<http://www.mybank.com.ch/
>
вместо
Конфигурация прокси-сервера в браузере клиента
Данный тип атаки может быть легко замечен клиентом при осмотре настроек браузера. Во многих случаях изменение настроек браузера будет осуществлено непосредственно перед фишинг-сообщением.
Рисунок - Конфигурация браузера
Нападения подмены адресов
Тайна многих фишинговых нападений состоит в том, чтобы заставить получателя сообщения следовать за линком (URL) на сервер нападавшего, не понимая, что он был обманут. К сожалению фишеры имеют доступ ко все большему арсеналу методов чтобы запутать конечного клиента.
Самые обычные методы подмены адресов включают:
Bad domain names
Friendly login URL’s
Host name obfuscation
URL obfuscation
Плохие имена домена
Один
из наиболее тривиальных методов подмены
использование плохих имен домена.
Рассмотрим финансовый институт MyBank с
зарегистрированным доменом mybank.com
и
связанный с клиентом деловой
сайт
http://privatebanking.mybank.com.ch
http://mybank.privatebanking.com http://privatebanking.mybonk.com или даже http://privatebanking.mybank.com HYPERLINK "http://privatebanking.mybank.hackproof.com/" http://privatebanking.mybank.hackproof.com
Важно обратить внимание на то, что, поскольку организации регистрации доменов двигаются в направлении интернационализации их услуг, следовательно, возможна регистрация имен доменов на других языках и определенных наборах символов. Например, “o” в символах кириллицы выглядит идентично стандартному ASCII “o”, но доменное имя будет другим.
Наконец, это стоит отмечать, что даже стандартный набор символов ASCII учитывает двусмысленности типа верхнего регистра “i” и нижнего регистра “L”.
Friendly Login URL’s
Много web-браузеров учитывают сложный URL, который может включить опознавательную информацию типа имени входящего в систему и пароля. Общий формат - URL://username:password@hostname/path .
Фишеры могут заменить имя пользователя и поле пароля. Например следующий URL устанавливает имя пользователя = mybank.com , пароль = ebanking , и имя хоста адресата - evilsite.com.
Этот дружественный вход в систему URL может успешно обмануть многих клиентов, которые будут считать, что они фактически посещают законную MyBank страницу. Из-за успеха данного метода, много текущих версий браузеров убрали подержку данного метода кодирования URL.
Подмена имен хостов
Большинство пользователей Internet знакомо с навигацией по сайтам и услугам, используя полное имя домена, типа www.evilsite.com <http://www.evilsite.com >. Для того чтобы web-браузер мог связаться с данным хостом по Internet, этот адрес должен быть преобразован в адрес IP, типа 209.134.161.35 для www.evilsite.com <http://www.evilsite.com >. Это преобразование IP-адреса в имени хоста достигается с помощью серверов доменных имен. Фишер может использовать адрес IP как часть URL, чтобы запутать хост и возможно обойти системы фильтрации содержания, или скрыть адресат от конечного пользователя.
Например, следующий URL:
мог быть запутанным по следующему сценарию:
В то время как некоторые клиенты знакомы с классическим десятичным представлением адресов IP (000.000.000.000), большинство из них не знакомо с другими возможными представлениями. Используя эти представления IP в пределах URL, можно привести пользователя на фишерский сайт.
В зависимости от приложения, интерпретирующего адрес IP, возможно применение разнообразных способов кодирования адресов кроме классического пунктирно-десятичного формата. Альтернативные форматы включают:
Dword - значение двойного слова, потому что это состоит по существу из двух двойных "слов" 16 битов; но выражено в десятичном формате,
Восьмеричный
Шестнадцатеричный .
Эти альтернативные форматы лучше всего объясняются, используя пример. Рассмотрим URL <http://www.evilsite.com/ >, преобразовывая к IP-адресу 210.134.161.35. Это может интерпретироваться как:
Десятичное
число -
Dword - http:// 3532038435/
Восьмеричный
-
Шестнадцатеричный
-
В
некоторых случаях, возможно даже смешать
форматы (например
Подмена URL
Чтобы гарантировать поддержку местных языков в программном обеспечении Internet типа web-браузеров, большинство программного обеспечения поддерживает дополнительные системы кодирования данных.
Cross-site Scripting Attacks
Типичные форматы CSS инъекции в достоверный URL включают:
Полная
замена HTML типа:
Встроенное
внедрение сценария, типа: http:
// mybank.com/ebanking?
Page=1*client
= <
СЦЕНАРИЙ
>
evilcode
Например, клиент получил следующий URL с помощью электронного фишинг-письма:
В
то время как клиент действительно
направлен и связан с реальным MyBank
приложением сети, из-за ошибочного
кодирования приложения
банком, ebanking
компонент
примет произвольный URL для вставки в
пределах поля URL
возвращенной
страницы. Вместо приложения, обеспечивающего
опознавательную форму MyBank, внедренную
в пределах страницы, нападавший пересылает
клиента к странице под управлением на
внешнем сервере (
Методы противодействия фишинговым атакам
Как может обычный пользователь противостоять атаке фишеров? На самом деле, стоит задуматься над несколькими правилами:
Никогда не отвечайте на письма, запрашивающие вашу конфиденциальную информацию
Посетите веб-сайт банка путем ввода его URL-адреса через адресную строку браузера
Регулярно проверяйте состояние своих онлайн-счетов
Проверьте уровень защиты посещаемого вами сайта
Проявите осторожность, работая с электронными письмами и конфиденциальными данными
Обеспечьте защиту своему компьютеру
Всегда сообщайте об обнаруженной подозрительной активности
Рассмотрим данные правила подробнее.
Никогда не отвечайте на письма, запрашивающие вашу конфиденциальную информацию.
Как правило, банки и финансовые компании, занимающиеся электронной коммерцией, рассылают персонифицированные обращения клиентам, а фишеры – нет! Фишеры часто используют кричаще звучащие заголовки писем типа «Срочно! Ваши реквизиты могут быть похищены!» для того, чтобы заставить пользователя немедленно перейти по ссылке.
Стоит помнить, что уважающие себя компании никогда не запрашивают у клиентов пароли или данные счетов посредством электронной почты. Даже, если вам показалось, что письмо легитимное – не стоит отвечать на него, уж лучше приехать в офис компании или, в крайнем случае, перезвонить им по телефону.
Стоит помнить об осторожности при открывании вложений в электронные письма или при загрузке через Интернет по ссылкам, независимо от того, кто является отправителем этих писем!
Посещение веб-сайта банка или компании
Для посещения веб-сайта банка наберите в адресной строке браузера его URL-адрес.
Фишеры часто используют так называемые «похожие» адреса. Однако если пойти по такой «похожей» ссылке, вы можете попасть на фишерский сайт вместо подлинного сайта банка.
Это не даст вам полную гарантию безопасности, однако сможет уберечь хотя бы от некоторых видов атак фишеров.
Регулярно проверяйте состояние своих счетов.
В случае обнаружения подозрительной транзакции немедленно свяжитесь с вашим банком.
Одним из простейших средств проверки состояния счета является так называемый SMS-банкинг.
Не менее распространенный способ на сегодняшний день связан с лимитированием операций. В таком случае клиенту достаточно установить сумму предельно возможного снятия наличности либо платежа в торговой точке, и банк не позволит ни ему, ни мошеннику выйти за установленные рамки.
Проверьте уровень защиты посещаемого вами сайта.
Перед вводом конфиденциальной информации на странце сайта вашего банка, не мешает провести пару проверок, чтобы убедиться в использовании банком криптографических методов.
Проявите осторожность, работая с электронными письмами и конфиденциальными данными
Большинство банков имеют на своих веб-сайтах страничку по вопросам безопасности, где сообщается информация о том, как проводить транзакции в защищенном режиме, а также общие советы по защите конфиденциальных данных: никогда и никому не открывайте свои PIN-коды или пароли, не записывайте их и не используйте один и тот же пароль для всех своих онлайн-счетов.
Не открывайте спамовые письма и не отвечайте на них, потому что этими действиями вы даете отправителю письма ценную информацию о том, что он заполучил действующий электронный адрес.
Пользуйтесь здравым смыслом, когда читаете электронные письма. Если что-то в письме вам кажется неправдоподобным или до такой степени хорошим, что не верится, то, скорее всего, так оно и есть.
Защитите свой компьютер!
Стоит помнить, что наиболее эффективной защитой от троянских программ служит антивирусное ПО. В последнее время некоторые антивирусные компании стали встраивать в свои продукты так называемые антифишинговые фильтры. В частности, антифишинговый фильтр встроен в ПО от Лаборатории Касперского, Symantec и т.д.
Кроме того, в современных версиях браузеров появились свои варианты антифишинговых фильтров.
Скимминг
Скимминг (от англ. skim - снимать) - относительно новый вид мошенничества с использованием банкоматов. При помощи электронного устройства (скиммера), устанавливаемого на банкоматы для считывания информации с кредитных карт, проходящих через эти банкоматы, а также накладной клавиатуры или мини-камеры мошенник получает доступ к карточному счету жертвы и может снимать с него любые суммы.
Международной ассоциацией банкоматной индустрии (The ATM Industry Association) был создан Всемирный союз по обеспечению защиты от мошенничества с использованием банкоматов (Global ATM Security Alliance) с целью защитить клиентов банка и, таким образом, и саму банкоматную индустрию от преступлений и мошенничества. В этот союз входят Канада, США, Европа, Африка, Азия, Австралия. России в списке участников нет. Хотя как раз наши соотечественники, возможно, и являются наиболее активными скиммерщиками. Одно из наиболее громких мошенничеств было совершено двумя русскими братьями, использовавшими в конце 2001 - начале 2002 годов скимминговые устройства в банкоматах Калифорнии, Флориды и Нью-Йорка. Поймали русского и в Канаде. Нелегальный иммигрант из России успел к тому времени похитить с чужих счетов 1,2 миллиона американских долларов.
Как это происходит
С магнитной полосы банковской карты при помощи специального устройства считывается содержащаяся на ней информация. Как правило, оно прикреплено к слоту, который принимает карту в банкомате. Одновременно с помощью мини-видеокамеры или специальной накладки на клавиатуру фиксируется PIN-код. Часто такие устройства оснащены автономными портативными передатчиками, способными транслировать украденные данные на расстояние до 200 метров. Такие устройства называют «скиммерами».
В дальнейшем записанные с магнитной полосы данные мошенники эмбоссируют (наносят) на свои пластиковые заготовки. Чаще всего этим занимаются группы профессиональных мошенников, которые передают данные вашей карты за границу, где их сообщники изготавливают дубликат карты и снимают ваши деньги, причем от момента считывания информации с вашей карты до момента снятия с нее денег мошенниками проходит всего полчаса. Вернуть деньги после такого способа мошенничества практически невозможно.
Злоумышленники прибегают к различным ухищрениям для того, чтобы замаскировать прикрепленные к банкомату считывающие устройства. Дизайн скиммингового оборудования подбирается таким способом, чтобы у потерпевшего не возникло мысли о наличии накладок.
Вот так выглядят накладки на банкоматы:
Иногда злоумышленники монтируют миниатюрную видеокамеру на самом банкомате либо в непосредственной близости от него для того, чтобы фиксировать, какой ПИН-код набирает потерпевший.
Пример монтажа видеокамеры:
Участились случаи использования скимминговых устройств в торговых точках нечестными на руку продавцами и официантами. Потерпевший передает карту для оплаты, продавец при помощи миниатюрного устройства считывает данные магнитной полосы, а при помощи накладки на клавиатуру ПОС-терминала - ПИН-код карты. Наиболее часто такие продавцы встречаются в местах массового скопления туристов. На иллюстрации изображен один из видов миниатюрного скиммингового устройства:
Защита от скимминга
Для того, чтобы минимизировать шансы стать жертвой высокотехнологичных преступников, необходимо внимательнее относиться и к своей банковской карте, и к местам, где Вы ей расплачиваетесь и стараться следовать следующим советам:
Старайтесь пользоваться банкоматом внутри банковских отделений, хорошо просматриваемых помещениях и.т.д. Мошенники редко ставят свои устройства на банкоматах, которые могут находиться под наблюдением, часто посещаются банковскими или инкассаторскими службами. Какой смысл устанавливать дорогостоящее оборудование, если его могут снять в тот же день.
Старайтесь снимать деньги в одних и тех же банкоматах и хорошенько запомните его внешний вид. Как правило, любые изменения банкоматов никак не затрагивают его внешний вид. Если Вы заметили «новую деталь» на банкомате – не пользуйтесь таким банкоматом.
Не стесняйтесь попробовать оторвать с банкомата все подозрительные детали вокруг щели для карточек, постучать по клавиатуре. Если какие-то элементы отваливаются или прикреплены не очень хорошо - ни в коем случае не пользуйтесь банкоматом. Помните, что это самый надежный способ избежать скимминга.
Ни один банк никогда не повесит на свой банкомат оповещение о том, что инструкция по использованию, выводимая на экран, была изменена.
Не используйте устройства, которые требуют ввода пин-кода для доступа в помещение, где расположен банкомат.
Выработайте в себе привычку внимательно смотреть на прорезь для карты. Если Вам кажется, что в районе этой прорези присутствуют выступающие элементы, либо рамка прорези заметно выступает, можно попробовать легонько пошатать её пальцами. Если это накладка, она оторвётся или будет шататься.
Никогда не вставляйте карту в прорезь с усилием. Если чувствуете, что банкомат работает не как обычно, нажмите клавишу отмены и заберите Вашу банковскую карту.
Не прислушивайтесь к советам третьих лиц, а также не принимайте их помощь при проведении операций с банковской картой в банкоматах.
Если при проведении операций с банковской картой в банкомате банкомат не возвращает банковскую карту, следует позвонить в кредитную организацию по телефону, указанному на банкомате, и объяснить обстоятельства произошедшего, а также следует обратиться в кредитную организацию - эмитент банковской карты (кредитную организацию, выдавшую банковскую карту), которая не была возвращена банкоматом, и далее следовать инструкциям сотрудника кредитной организации.
Смотрите внимательно на «козырёк» банкомата.
Не сообщайте свой пин-код никому, даже если человек представляется сотрудником вашего банка.
При наборе пин-кода убедитесь, что стоящий сзади Вас человек не может подсмотреть код через ваше плечо. Лучше всего для снятия денег использовать банкомат, у которого есть выпуклое зеркало. Тогда Вы сможете видеть, что происходит за Вашей спиной.
Обязательно забирайте чеки и ведите учет операций, вы могли сравнить чеки из банкоматов с ежемесячной выпиской. Регулярно проверяйте выписки по Вашему счету карты. Мошенники не всегда снимают деньги сразу.
Вы можете обратиться в банк за установлением ежедневного или ежемесячного лимита расходования по Вашей карточке.
Подключите услугу «SMS-информирования по операциям с использованием банковской карты». С помощью данной услуги можно контролировать состояние своего счета банковской карты и вовремя заметить посторонние списания.
Не используйте банковские карты в организациях торговли и услуг, не вызывающих доверия.
Требуйте проведения операций с банковской картой только в Вашем присутствии. Это необходимо в целях снижения риска неправомерного получения Ваших персональных данных, указанных на банковской карте.
В случае если при попытке оплаты банковской картой имела место "неуспешная" операция, следует сохранить один экземпляр выданного терминалом чека для последующей проверки на отсутствие указанной операции в выписке по банковскому счету.
Если Вы заметили несанкционированные операции с использованием Вашей карты или её реквизитов, необходимо выполнить следующие действия:
Незамедлительно сообщить в Службу клиентской поддержки держателей карт Банка по круглосуточным телефонам и заблокировать карту.
Оформить в Банке заявление о факте неправомерного использования Вашей карты.
Оформить в банке заявление по оспариваемым операциям.
Оформить в Банке заявление о перевыпуске карты с новым номером и новым пин-кодом.
Россия почему-то не участвует в международных организациях и не имеет собственных объединений по вопросам защиты банкоматов, поэтому каждый банк защищает свои банкоматы самостоятельно.
Компании Diebold и ЛАНИТ: многоуровневая безопасность сети банкоматов
Один из ведущих производителей банковского оборудования компания Diebold и ее партнер компания ЛАНИТ разработали решения, обеспечивающие безопасность эксплуатации банкоматов на всех уровнях, начиная от установки систем мониторинга, защиты каналов связи и заканчивая размещением дополнительных камер в слотах выдачи и депонирования наличности, а также устройств, предотвращающих попытки скимминга и траппинга.
S.A.F.E. (SecureAnti-FraudEnhancements). Это комплекс инновационных технических решений, который Diebold разработал для защиты от скимминга и траппинга. Банкоматы оснащаются специальным детектором, который распознает наличие чужеродного устройства. При обнаружении скиммера система посылает сигнал тревоги в службу безопасности банка, мониторинговый центр или отделение милиции. При этом картридер банкоматов оборудован механизмом с переменной скоростью протяжки, что позволяет в процессе приема карты менять скорость ее движения. Подобный эффект делает невозможным точное считывание данных с магнитной полосы карты с помощью скиммеров, которые сейчас широко используются преступниками.
В свою очередь ЛАНИТ для борьбы со скиммингом предлагает устанавливать на банкоматы специальные антискимминговые накладки, которые обеспечивают «пассивную безопасность» (препятствие установки), а также новый продукт компании TMD Security, обеспечивающий «активную безопасность». TMD Security позволяет глушить сигналы со скиммингового устройства, предотвращая несанкционированные попытки передачи персональных данных держателей карт.
Надежный уровень информационной защиты позволяет обеспечить новый продукт DieboldValiTech . Инновационная технология двухфакторной идентификации способна распознавать обслуживающий банкоматы персонал и контролировать его действия. С помощью ValiTech банкомат может точно идентифицировать уполномоченного сотрудника и предоставить ему ограниченный доступ к функциям устройства. ValiTech создает запись в регистрационном журнале, где документируется доступ техперсонала и фиксируются все действия, производимые в ходе техосмотра.
Новая разработка ЛАНИТ - сетевая версия системы контроля и управления доступом СКУД-ATM - предназначена для ограничения доступа к верхнему шасси банкомата. Система позволяет регулировать доступ к банкомату, составлять ежемесячные, недельные и суточные отчеты о сотрудниках, имевших доступ к терминалу. Решение на базе LanAtmAuthority дает возможность осуществлять удаленное управление комплексом СКУД-АТМ.
Для повышения уровня информационной безопасности рекомендуется устанавливать межсетевые экраны, антивирусные программы и программу контроля целостности банкоматного ПО - SymantecEndpointProtection v11.0.
Мошенники не дремлют, они всегда на шаг впереди новых технологий. Поэтому способов незаконно «забрать» деньги с ваших банковских карт больше, чем видов этих банковских карт. Широкое распространение банковских карт и онлайн-бакинга дало мошенникам новые возможности для обмана.
Кардинг
Кардинг - мошеннические операции с банковскими картами. Взламывая платежные системы или сервера интернет-магазинов, мошенники получают реквизиты. А двойники банковских сайтов сами собирают данные обманутых картодержателей.
Скимминг
Скимминг (от англ. skim - снимать сливки) - мошенничество с банковскими картами, когда на банкомат устанавливают устройство (скиммер), который копирует все данные с магнитной полосы. Установив же мини-камеры или накладку на клавиатуру, мошенники получают Ваш ПИН-код.
«Работа» мошенников приносит ущерб (и немалый) не только держателям карт, но и банкам. Только в этом году зарегистрировано более 1,2 тыс. случаев монтажа скиммингового оборудования на банкоматы Сбербанка и это в три раза больше, чем в предыдущем году. Чем больше устанавливается банкоматов, тем выше вероятность стать жертвой скимминга. 600 млн.руб. составляет ущерб от действий мошенников, сообщают представители кредитных организаций. Всего за 40 тыс.руб. в сети можно приобрести оборудование для скимминга, без проблем.
Шимминг
Шимминг - мошенничество, когда в банкомат помещается устройство меньшего размера. Это устройство, толщиной не больше человеческого волоса, очень трудно обнаружить. Но шиммер не умеет считывать ПИН-код.
Не становитесь жертвой, придерживайтесь правил:
- Никому не давайте свою карту, используйте ее только по назначению.
- Будьте внимательны, смотрите, не имеет ли банкомат «странные» конструкции: накладная клавиатура бывает заметна, под ней виден оригинал, а также мини-камера, которая может быть вмонтирована в банкомат.
- Иногда банковские организации устанавливают специальные накладки на картридер - антискиммеры. Антискиммер не дает возможности установить скиммер.
Банкомат-фантом
Банкомат-фантом вроде бы ничем на первый взгляд не отличается от настоящего. Но это просто пустая коробка с установленным скиммером. Если попытаться снять средства в этом банкомате, то банкомат выдает техническую ошибку или отсутствие средств на счете, Жертва идет искать другой банкомат, а мошенники уже получили все необходимые реквизиты и предвкушают обналичивание денежных средств.
Фишинг
Фишинг - мошенничество по получению конфиденциальных данных. Этот вид мошенничества не связан с банковскими картами напрямую. Это самый распространённый способ интернет-мошенничества на сегодняшний день.
Эксперты говорят, что в последнее время случаев взломов банковских систем с целью похищения денег из банкоматов становится всё больше. Этот факт наглядно демонстрирует уязвимость банковских систем, ведь похищенных денег могло быть в десятки, а то и в сотни раз больше, если бы группа злоумышленников была более многочисленной. Потенциал в снятии денег был огромен: всё же речь идёт о полутора миллионах счетов. «Спасало только то, что мошенников было немного, а в банкоматах запредельных сумм не бывает», - заявил Генри. Прокурор Северного округа штата Джорджия Салли Йетс добавляет: система RBS была одной из самых сложных для взлома.
Вы получаете письмо (будто бы от банка или от другой реальной организации), переходите, ничего не подозревая, по ссылке, которая есть в письме. Для входа в аккаунт вводите свой логин и пароль, что и получают злоумышленники. Потому что сайт был сделан мошенниками для сбора конфиденциальной информации.
Для создания сообщений используется логотип, стиль организации, от которой якобы отправлено письмо, оно может быть именным. Поэтому фишинг-сообщения сложно отличить от настоящих, которые присылает Вам банк. Тех, кто создал эти сайты, обычно не находят, хотя и сайты эти долго не живут.
Придерживайтесь правил:
- Проверяйте доменное имя внимательно.
- Не доверяйте сообщениям, которые просят внести Ваши личные данные, лучше созвонитесь с банком, если Вас что-то насторожило.
- Регулярно обновляйте антивирусное ПО, которое отвечает за доступ к сайтам.
Вишинг
Вишинг - мошенничество по сбору конфиденциальной информации с использованием телефона, подвид фишинга. Жертве приходит SMS-сообщение, что с картой проблемы, с ней совершены мошеннические действия, а чтобы устранить угрозу, необходимо позвонить по указанному телефону. Жертва звонит, и ее просят назвать PIN-код или пароль. Информация собрана, дальнейшая схема известна.
Ливанская петля
«Ливанская петля» - мошенничество с изъятием банковской карты. Все описанные способы так или иначе изымают личную информацию, а этот способ изымает банковскую карту. В картридер помещается специальный кармашек, чаще изготовленный из фотопленки. Владелец карты вставляет карту в банкомат, набирает ПИН-код, совершает все необходимые действия, а получить банковскую карту обратно не может.
В России отношения между гражданами по части кредитования регулирует ГК, согласно которому физлица могут заключать договоры между собой на кредит. В первом известном нам российском проекте peer-to-peer-кредитования - «Биржа кредитов» - договоры займа подписываются с помощью электронно-цифровой подписи (ЭЦП) и являются юридически значимыми. Поэтому в случае возникновения каких-либо проблем такой договор может передаваться коллекторам и в суд.
Заботливый прохожий рассказывает похожую историю, которая произошла с ним недавно, и делится способом, который поможет решить проблему: «нужно набрать определенную комбинацию на клавиатуре и ввести ПИН-код». Растерявшаяся жертва невольно сообщает ПИН-код внимательному прохожему, но способ не помогает. Тогда прохожий рекомендует немедленно ехать в банк и блокировать карту. В это время мошенник достает карту и снимает деньги.
Придерживайтесь правил:
- Никому не сообщайте ПИН-код,
- Вводите его, прикрывая клавиатуру рукой.
- На банкомате всегда есть информация о телефоне, по которому Вы можете заблокировать карту. Блокируйте карту, не отходя от банкомата.
Скотч-метод
Щель для выдачи денег на банкомате заклеивается скотчем. Пока жертва уходит выяснять, почему не получила денег, скотч отклеивается, а деньги получает мошенник.
Придерживайтесь правил:
- При получении карты нужно ее подписать, что снизит риск ее использования в случае утраты.
- Регулярно меняйте ПИН-код. Специалисты советуют делать это не реже раза в 30-60 дней.
- Уничтожайте чеки, на которых написан номер карты.
Рекомендации от Сбербанка:
1. Только мошенники могут запрашивать Ваш номер мобильного телефона и другую дополнительную информацию, помимо идентификатора, постоянного и одноразового паролей.
2. Только мошенники могут запрашивать пароли для отмены операций или шаблонов в Сбербанк ОнЛ@йн. Если Вам предлагается ввести пароль для отмены или подтверждения операций, которые Вы НЕ совершали, то прекратите сеанс использования услуги и срочно обратитесь в Банк.
3. Только при мошеннических операциях реквизиты Вашей операции не совпадают с реквизитами в полученном SMS-сообщении.
4. Только на мошеннических сайтах контактный телефон не соответствует официальным.
5. На мошеннических сайтах в адресной строке браузера отображаются цифры ip-адреса или любые домены кроме зарегистрированных доменных имен системы Сбербанк-Онлайн.
Когда в наших кошельках начали появляться пластиковые карты, многим казалось – ну вот оно, счастье. Теперь ваша зарплата всегда под рукой и точно от вас никуда не денется. А о каких проблемах может идти речь, если карточку вы бережете, кому попало в руки ее не даете, ПИН-код держите в секрете, и расплачиваетесь ею только в надежных местах? Если вдруг с картой случилась проблема – банкомат съел, украли или вы ее потеряли, то и здесь все просто – достаточно позвонить в банк и ваша проблема вскоре будет решена. Ее заблокируют, и даже если воры смогли узнать ваш ПИН-код, им не удастся обналичить ваши кровные денежки.
Эта прекрасная утопия по совместному бытию человека и пластиковой карты способна разрушиться в один миг. Думаете – не так? Просто вам еще везло, и на вашем пути не попадались кардеры, а по-простому, взломщики карточных счетов.
Новая разновидность мошенничества – кардерство, появилось в странах Европы и Америки сравнительно недавно, и, похозяйничав там, пришло завоевывать просторы СНГ. Если верить нерадостным данным статистики, жертвами кардеров ежегодно становятся тысячи человек, а суммы, похищенные с их банковских счетов, исчисляются миллионами долларов. Только в Великобритании в 2011 году с банковских карт сняли порядка пяти миллионов евро. А ведь это воспитанная страна, где каждый второй – джентльмен, а за соблюдение порядка отвечают вышколенные копы из Скотланд-Ярда. Разумеется, у жителей постсоветского пространства денег на счетах не так много, как у англичан, зато концентрация кардеров на территории бывших союзных республик сегодня самая высокая в мире.
Но не нужно опускать руки раньше срока, ведь на каждую уловку кардеров у нас найдется свое противодействие. Поэтому давайте сначала поближе познакомимся с самыми распространенными способами снятия средств с чужих счетов.
Простейшая форма мошенничества с кредитными картами – это их кража. Многие люди настолько уверены, что если деньги лежат на их карте, а не в кошельке, то им ничто не угрожает. И поэтому они смело пишут номер пин-кода на карте (да-да, и такие есть), и в памяти мобильного телефона, не слишком это пряча, или хранят номер в кошельке по соседству с картой. И эти они дают шанс мошенникам обналичить средства с карты, пока вы в запарке будете искать помощи у полиции, заявляя о пропаже сумки или кошелька, и напрочь забудете позвонить в банк, чтобы попросить заблокировать вашу карту. А за это время вся ваша наличность с карты становится чужой.
Но настоящие кардеры подобными примитивными способами не пользуются, ведь им даже не нужна ваша карта. А таким образом пусть вас обкрадывают обычные мелкие воришки.
Самый популярный сегодня способ кардеров опустошить ваш банковский счет без карты – это вишинг. Суть его проста – к вам поступает звонок, якобы из банка, в котором у вас открыт банковский счет с прикрепленной к нему картой, и псевдо-банкир просит в тоновом режиме ввести на вашем телефоне данные для восстановления работы системы. Вы, не задумываясь, отправляете им номер карты и пин-код. Так как времени на раздумья вам не дается (на кон-то поставлены ваши деньги) то на удочку мошенников ловятся даже самые подозрительные владельцы карт. Ведь на кону их состояние. А вдруг и правда произошел сбой системы и вы теперь не сможете обналичить свои деньги, если промедлите или вообще откажетесь.
Звонок делается не простым аферистом, а специалистом своего дела, способным наговорить с три короба любому. Итак, вы раскрываете ему все свои секретные данные, мнимый «сотрудник банка» прощается с вами, а вы после этого можете смело прощаться со своими накоплениями. Все концы обрублены, а шанс поймать мошенников минимальный.
Еще один вид мошенничества с картами – фишинг. В нем задействованы служащие разнообразных интернет-магазинов и прочих учреждений, предоставляющие услуги населению, и имеющих базу данных клиентов. Процедура здесь проста. Вы используете карту для приобретения товаров в Интернет-магазине. Некий паренек, работающий там, пользуется полученными данными и создает собственный фиктивный интернет-портал. А вскоре вас «радует» новость о том, что с вашего счета была произведена оплата несуществующего товара (вагон веников или грузовик зубочисток) в этой фиктивной фирме. Не стоит и говорить о том, что вы не только этот несуществующий товар никогда не увидите, но и никогда не вернете свои деньги, а виновные не будут наказаны. И не надейтесь, что правосудие одержит победу, и мошенников найдут.
Но, даже не обладая прямым доступом к базам интернет-магазинов, мошенники могут получить необходимую им информацию. Для этого они создают абсолютную копию сервера авторизации, на котором клиент вводит данные своей карты при оплате покупки. Вместо подлинного сайта вы попадаете на поддельный, и доступ к вашей карте у них есть. Дальше они могут спокойно совершать покупки вместо вас. Сегодня подобный вариант кражи данных встречается уже гораздо реже – большинство уважающих себя браузеров оснащены анти-фишинговой программой.
Еще один способ обчистить вашу карту – скимминг. Для этого кардеры прикрепляют к банкоматам специальное оборудование. Оно занимается считыванием информации с карт клиентов, что позволяет мошенникам получить доступ к их счетам. К примеру, они создают насадки на кнопки, которые невооруженным взглядом не отличишь от настоящих. Человек вел карту, отстучал пин-код, снял деньги и ушел, а устройство запомнило введенный им набор цифр.
Способ попроще – установить около банкомата миниатюрную видеокамеру. Мошенники наблюдают за вами, пока вы вводите пин-код, и получают доступ к вашей карте.
Это всего лишь несколько способов разорить владельцев банковских карт. Есть и более хитрые, пока не слишком распространенные в нашей стране. К примеру, способ прямого подключения. Для мошенников он идеален, ведь гарантирует стопроцентный успех. Суть его в том, что кардеры незаметно подключаются к кабелю, посредством которого информация от банкомата идет в банк. После этого они получают всю информацию по картам, которые вводились в этот банкомат.
Огромный минус для пользователей банковских карт, что согласно законодательству, банк не несет ответственности за подобные потери своих клиентов. И у нас остается всего два пути – хранить деньги в банках (стеклянных, дома под кроватью) или же проявлять максимальную бдительность при использовании карты. Потеряв ее, вы можете потерять нечто гораздо более ценное.
Банковские карты, войдя в нашу повседневную жизнь, значительно упростили многие процессы: стало легче получать зарплату или стипендию, оплачивать счета, можно совершать многие покупки, не выходя из дома, в поездках не приходится возить с собой наличность, при необходимости можно быстро получить или отправить перевод и т.д. Однако, как правило, всё хорошее сопровождается каким-нибудь "но". В данном случае этим "но" является вопрос безопасности, так как мошенничество с банковскими картами, это очень прибыльный "бизнес". Преступное сообщество не упускает возможностей делать деньги, придумывая всё новые и новые схемы мошенничества.
Кардинг - так называют мошенничество с платёжной картой, когда операции, производимые с использованием её реквизитов, были совершены без подтверждения владельцем. Существует множество способов получения преступниками реквизитов карты, "скимминг", "фишинг", "вишинег" и другие.
Скимминг , от английского "Skim" - "снимать сливки". В данном виде мошенничества используются специальные технические средства, которые устанавливаются на банкоматы - "скиммеры" - устройства для считывания данных карты, предоставляют все необходимые реквизиты - имя держателя, номер карты, срок окончания срока ее действия, CVV- и CVC-код, а прозрачные накладки на клавиатуру или маленькие видеокамеры, позволяют получить PIN-код.
Скиммеры используются для расчетов в пунктах питания, магазинах, поэтому особенно важно осуществлять оплату посредством банковских карт только в хорошо знакомых заведениях.
Шимминг - одна из разновидностей скимминга, но если скимеры можно определить визуально, то устройства, используемые при шимминге, находятся внутри кард-ридера и не доступны глазу.
Безусловно, банки ведут активную борьбу с преступниками, придумывая всё новые защитные механизмы. В частности, они оснащают банкоматы устройствами, которые создают электромагнитное поле вокруг банкомата, мешающее считывать информацию с магнитной полосы банковской. Однако и мошенники не дремлют. В частности, можно попасться на использовании банкомата-двойника, когда внешне устройство соответствует привычному для глаз виду, но внутри он пуст, и только работает только специальная программа, выводящая на экран сообщение об ошибке после получения данных карты и PIN-кода. Воспользовавшись таким банкоматом, ничего не подозревающий владелец карты, идёт в другой банкомат или оставляет это "на потом", однако к этому времени денег на карте может уже не быть.
Правила безопасности:
Фишинг , английское phishing, от fishing - рыбная ловля, выуживание. В осуществлении этого вида мошенничества банковская карта участия не принимает, её данные попадают к преступникам посредством интернета. Суть метода заключается в массовой рассылке электронных писем по какому-либо поводу - проверка данных клиента, участие в розыгрыше призов, приводящей клиента на сайт - точную копию сайта банка, где для совершения действий предлагается провести привычную процедуру ввода логина и пароля. Метод точно рассчитан на то, что большинство пользователей проигнорирует письмо, или уточнят информацию по другим каналам, но найдутся доверчивые клиенты, с помощью которых преступники окупят все свои затраты. Отсюда и название Фишинг - тысячи проплывут мимо, но один клюнет.
Вишинг - разновидность фишинга, когда "ловля" осуществляется не через электронную почту, а посредством мобильного телефона. В данном случае мошенники производят смс-рассылку, так же от имени банка, с информацией о попытке снятия средств с карты третьими лицами. В сообщении настоятельно рекомендуется заблокировать карту, позвонив по указанному номеру. Когда владелец карты перезванивает, "специалисты банка" просят его предоставить логин, пароль, PIN-код и другую информацию. Преступники рассчитывают на то, что, будучи озабоченным угрозой потерять деньги, в панике, человек на какое-то время начисто забудет обо всех мерах предосторожности, даже самых элементарных. К сожалению, во многих случаях расчёт оказывается верен.
Правила безопасности:
Помимо перечисленных выше, существуют и другие способы мошенничества с банковскими картами.
Безусловно, невозможно предугадать все возможные варианты действий, которые могут совершать преступники, однако соблюдение некоторых нехитрых правил позволит в разы сократить вероятность попадания в неблагоприятную ситуацию с использованием банковской карты.
Хакеры выходят на охоту в ночь перед Рождеством
Вы пришли в магазин за новогодними подарками и желаете расплатиться банковской картой. “Платеж не может быть проведен, на вашем счете недостаточно средств”, — злобно бурчит кард-ридер. Продавец смотрит с подозрением, его пальцы тянутся к кнопке вызова охраны. После звонка в банк выясняется, что подарки по вашей карте кто-то уже купил, но в Уругвае. И вы еще остались должны. Это не сценарий фантастического фильма, а ситуация, с которой сталкиваются тысячи людей. Корреспондент “МК” побывал в логове хакеров и выяснил, как они готовятся к сезону распродаж и что нужно сделать, чтобы от них защититься.
Украсть за 60 секунд
Банковские карты появились в России 20 лет назад. Одновременно появились и кардеры, то есть хакеры, специализирующиеся на кражах средств с них. Лет пять карты были атрибутом богатства, а кардеры — чем-то далеким, из рубрики «Их нравы». Но глобализация крепчает: примерно с 2000 года сотрудники крупных российских компаний в добровольно-принудительном порядке получили зарплатные карты. Это незаконно; было придумано словечко «боссинг», означающее, что босс навязывает внутри компании какие-то услуги. Автор этих строк тоже получает зарплату на карточку. Как все.
Сейчас на выплату заработанного по безналу перешли не только крупные, но и средние, и мелкие компании. В любом банке предпринимателям — владельцам расчетных счетов настоятельно предлагают «зарплатный проект», как только число сотрудников организации превысит 10 человек. Есть планы перевода выплаты пенсий и пособий исключительно на карточки.
Спору нет: карточки удобны, их преимущества очевидны. Организация, платящая зарплату по карточкам, существенно экономит на инкассации, отчетности и кассирах. Не в обиде и потребитель: например, бензин по карточкам на многих заправках дешевле, чем за наличный расчет. Не говоря уж о том, что платить можно круглосуточно и в разных местах. Перевод всех платежей на пластик поддержан почти всеми государствами мира. Безналичные платежи легко отследить, они оставляют следы. Финансирование криминала, например, торговля оружием или наркотиками, идет исключительно через «черный нал», с которым все государства борются. Дошло до того, что в развитых странах некоторые магазины и рестораны перестали принимать наличные деньги. Правда, это было в начале нулевых; сейчас после протестов потребителей потихоньку возобновляют.
Но у триумфального шествия пластиковых карт по всему миру есть и обратная сторона: раздолье для хакеров. Информация о платежах (транзакциях) сохраняется долго (по закону — 10 лет, в реальности дольше). Соблазн ее добыть и незаконно обогатиться очень велик. Это ж не с ножом в темном переулке на прохожих бросаться: светлый офис, «интеллектуальная работа» на компьютере. А главное — украсть можно больше.
По данным международной Cards Association and Financial Fraud Action, в 2010 году с пластиковых карт было украдено $7 млрд. При этом объем средней кражи составил $10 тыс., то есть было совершено около 70 миллионов (!) незаконных транзакций. В России ситуация также накаляется. В сентябре начальник сектора департамента безопасности Газпромбанка Николай Пятиизбянцев сообщал, что «потери банков от мошеннических действий с картами выросли за первое полугодие 2011 года на 70%. В денежном выражении потери к концу года могут превысить 2,3 млрд. руб.».
При этом сами банки из категории потенциальных мошенников, видимо, следует исключить. Макс, начинающий кардер. По виду типичный российский студент, каковым и является. «Кардингом я два года назад промышлять начал. Сначала наивный был, думал: в банк устроюсь и развернусь. Ни фига! Там слежка такая, что любой шаг фиксируется. И шифры просто так не вскрыть. Не буду грузить математикой, но они сами себя шифруют и автоматически обновляются. Через год я ушел: в банке кардеру ловить нечего. Зато сейчас — смотри».
Макс попросил номер моей карты Райффайзенбанка, на которой лежало 80 тыс. руб. Он ввел его в программу на своем компьютере. Программа работала 20 минут. Затем мне пришла СМС, что с моей карты списано 40 тыс. руб. Через минуту — вторая СМС о списании еще 40 тыс. руб. Еще через минуту третья — о поступлении обратно 79 тыс. 658 руб.: деньги кардер вернул, но комиссия списалась.
Фишинг, скимминг и шимминг
Мошенничество с пластиковыми картами называется фишингом, по-английски — «рыбалка». Процесс действительно напоминает рыбалку: главная задача кардера — найти карточку, на которой точно есть деньги. Как известно, ПИН-код состоит из четырех цифр. Имея мощный процессор — а «рабочие инструменты» у кардеров весьма продвинутые, как говорят они сами, навороченные, — подобрать эти четыре цифры не составляет труда.
Примерно так же подбираются коды к сейфам: вор-«медвежатник» надевает наушники и «дает цифру». Отклик замка на верную цифру иной, чем на неверную, и человек с музыкальным слухом может это уловить. Кардеру слух не нужен: за него все делает программа, предлагающая миллионы вариантов кода в секунду. Максимум через полчаса ПИН-код будет вскрыт, что мне и продемонстрировали.
По идее, банковская система безопасности должна следить, чтобы варианты не подбирались. Она и следит: любой банкомат после трех неверных попыток набора кода блокирует карту. Иное дело — Интернет. Блокировка тоже произойдет после трех неверных наборов, но с маленьким уточнением: наборов с одного компьютера. Контроль по так называемым IP-адресам. Можно сделать себе меняющийся (динамический) IP-адрес. Но это ловится (при случайном подборе наверняка будет задействован недействительный адрес), а облачное программирование — пока нет. Его суть в том, что хакерская программа выбирает многие тысячи компьютеров, подключенных в данный момент к Интернету, и набирает варианты кода с их адресов. Причем пользователи «облака» — вовсе не хакеры, они не знают, что от их имени идет подбор кода.
Но как узнать, к какому именно номеру подбирать код? Номеров миллиарды, и большая часть из них не используется. Какие-то карты заблокированы, какие-то еще не выпущены, другие действуют, но денег на них нет. Тут и начинается рыбалка, фишинг.
Можно ловить на удочку. Старая история: рассылка СМС от имени банка с просьбой «уточнить» номер карты (некоторые наглецы просят еще и ПИН-код). Более изыскано: сделать «зеркалку», то есть сайт, в точности копирующий сайт банка. И прибавить хакерскую программу, перенаправляющую поток клиентов на «зеркалку». Человек заходит якобы в «личный кабинет» вводит номер — и лишается денег. Но банковская безопасность совершенствуется, «зеркалки» ловят. СМС-мошенничество все еще работает, но просветительская компания банков и СМИ приносит плоды: на удочку попадаются все меньше и меньше.
Поэтому лучше ловить сетью, в смысле торговыми сетями и Интернетом. Здесь работают организованные преступные группы, кибермафия. Ее представитель Серж оказался улыбчивым молодым мужчиной. Он рассказал: «Мы работаем с крупной торговой сетью бытовой техники, которую я тебе, конечно, не назову. Вспомни: когда платишь, ты карту из рук выпускаешь, отдаешь продавцу. У них зарплата маленькая, а мы всего-то просим — за вторую зарплату — номера богатых карт запомнить. Доказать, что продавец это делает, невозможно, только с поличным поймать. Пока не ловили. Эх, сейчас новогодние покупки пойдут, народ карты в магазины потащит. Мы уже готовимся, даже оборудование кое-какое прикупили».
Особо опасными в этом отношении являются... официанты. Столик в ресторане не имеет кард-ридера, официант уносит карту клиента за стойку. Результат: в 2010 году в Великобритании была разоблачена кибербанда. Официанты поставляли номера, кардеры воровали. За 5 лет безнаказанной деятельности было похищено порядка £80 млн. Опасны также заправщики: кард-ридер стоит за толстым стеклом, клиент не видит, что делают с его картой. Так что тех, кто собрался в новогодние праздники на отдых за рубеж, предупреждаем: осторожнее! Говорят, особо «приветливые» (в смысле отдал карту — и привет!) официанты действуют в странах Юго-Восточной Азии.
Не забывают кардеры и классику — скимминг. Скиммерами называют устройства, считывающие номера карт и ПИН-коды прямо с банкоматов. Это далеко не банальная веб-камера, отслеживающая цифры за спиной у клиента. Их банки научились отслеживать. Сейчас скимминг осуществляется при помощи накладок на клавиатуру или экран. Кстати, эти устройства можно заказать в Интернете, их доставят экспресс-почтой начинающему кардеру прямо на дом.
У многих банкоматов и платежных систем сейчас ввод сенсорный: клиент тыкает пальцем в кнопки на экране. Тоненькая, незаметная пластиковая накладка на экран — и клиенты становятся жертвами. Деятельность кардеров существенно облегчается тем, что многие банкоматы стоят в малолюдных местах, иные в лесу. Например, ближайший ко мне терминал платежной системы стоит буквально в лесу — в «Лосином Острове». Правда, владельцы осознают опасность и проверяют его ежедневно. И несколько раз находили кей-логеров — программы-шпионы, а один раз сняли с экрана «марлю» скимминга.
Новая придумка кардеров — лживые банкоматы и терминалы. Стоит себе, ничем от настоящего не отличается. Только деньги идут не в платежи, а в пользу хакеров. Такой «ящик» окупается за один день, так что если вам не пришло СМС-подтверждение о прошедшем платеже — бейте тревогу, возможно, вы нарвались на поддельный терминал.
Изысканным развитием скимминга является шимминг. Ведь помимо клавиатуры в банкоматах и терминалах есть еще одно уязвимое место: щель, куда вставляется карта. Шима — хакерское устройство, плата, настолько тонкая, что при помощи специальной карты-носителя (она более тонкая, чем обычно) ее можно ввести в щель. Затем шиму чуть приподнимают при помощи носителя или тонкой отвертки, и она приклеивается внутри щели. С задачей считывания номеров устройство справляется великолепно. Защиты нет. Так что если в банкомате ваша карта туговато входит в щель — бегите от него подальше.
Вампиры и кладбище
Помимо первичного мошеннического рынка кардеров существует и вторичный. Пишутся хакерские программы, изготавливаются поддельные карты, носители шим и скиммеры, продаются массивы номеров карт. Приблизиться к этим центрам кибермафии было тяжело, но все-таки удалось.
Александр (имя подлинное) — один из немногих людей в России, отбывший реальный тюремный срок (три года) за хакерство. В своей среде пользуется уважением. Мужчина чуть за 30, спокойный, уравновешенный. Встречу назначил почему-то на... кладбище. «Нет, я не вампир, — смеется он, — просто это место со спутников не ловится. Любая гугл-карта показывает, что здесь кладбище». Его офис напоминал сарай, да и был им: там работники кладбища хранили инструменты, а кардер «арендовал».
Зато внутри царили самые продвинутые технологии. Особо поразили мощнейшие антенны: раз попавшийся хакер теперь пользуется исключительно радиомодемами. Здесь же стоял аппарат, изготавливающий пластиковые карты. Было много непонятных устройств, как я понял, для производства скиммеров.
«Мы редко кардерим сами, — признался Александр, — больше продаем. Основной доход приносят хакерские программы, здесь они пишутся и тестируются. Можем также купить номера карт на Западе, изготовить карты здесь и отправить ребят снимать деньги. Можем наоборот — продать на Запад российские номера. В Мичиган недавно продавали. (Весной в Мичигане действительно была арестована банда, использовавшая российские номера карт. — „МК“.) Официально оформленные кражи с карт — лишь верхушка айсберга, — продолжал кардер. — Западники, например, после списания „бабок“ в нашу пользу карты блокируют, но как узнают, что взяли из России, — забирают заявления. Русской мафии боятся, а скорее понимают: бесполезно, деньги не вернут. Да и банки озверели: норовят облапошенному пришить неправильное обращение с картой и ничего не компенсировать. Нет, мы не боимся. Здесь все просматриваемся, так что успеем в случае чего уничтожить программы. А оборудование — да бог с ним, оно отбивается за три месяца».
Что же делать, чтобы не стать жертвой кибермошенников? Глобально — ничего, только молиться: напомню, что любая карта вскрывается за полчаса. Немного помогает кибергигиена: никому не давать ПИН-код, не выпускать карту из рук, не пользоваться подозрительными банкоматами, магазинами и ресторанами. Но поможет ли гигиена, когда бушует эпидемия с ростом «заболеваемости» на 70% за полгода? Лично я после общения с кардерами предпочитаю пользоваться пластиковыми картами как можно меньше и сразу снимать наличность.
СЛОВАРЬ ТЕРМИНОВ И ЖАРГОНИЗМОВ
БОССИНГ — новый юридический термин. Навязывание сотрудникам фирмы услуг, например зарплатных карт, по приказу босса. Пока есть только в законодательстве США.
ЗЕРКАЛКА — сайт в Интернете, в точности повторяющий сайт банка. Его название отличается от легального сайта одной буквой, например, не bank, а baank. Хакерская программа-перехватчик направляет поток клиентов банка на зеркальный сайт.
IP-адрес — заводской номер компьютера. Используется для его идентификации в Интернете.
КАРД-РИДЕР — устройство для считывания карт. Устанавливается в любом месте, где принимают карты. Может использоваться мошенниками для перехвата информации.
КАРДЕРЫ — самоназвание мошенников с пластиковыми картами. Они обижаются, если их называют «хакерами»: «Мы не хакеры, мы кардеры».
КАРДИНГ, КАРДЕРИТЬ — мошенничать с пластиковыми картами.
КЕЙ-ЛОГЕР — программа-шпион. Фиксирует, какие цифры или буквы нажимались на клавиатуре.
ОБЛАЧНОЕ ПРОГРАММИРОВАНИЕ — новая технология, использующая ресурсы подключенных к Интернету компьютеров без ведома их владельцев.
СКИММИНГ — от англ. skimming (скольжение) — незаконное считывание данных с пластиковых карт. Осуществляется с помощью специальных устройств — скиммеров. Например, с помощью веб-камер и накладок на клавиатуру и экран банкомата.
СКИММЕР — устройство для незаконного считывания информации с пластиковых карт. Из-за отставания законодательства оборот скиммеров не запрещен: их можно легально купить в Интернете.
ФИШИНГ — от англ. fishing (рыбалка). Процесс вылавливания в Интернете пластиковых карт, на которых есть деньги, с целью кражи. Собирательное название для всех видов мошенничества с незаконным добыванием паролей и ПИН-кодов.
ШИММИНГ — от англ. shim (тонкая прокладка). Очень тонкая (меньше 0,1 мм, вдвое тоньше человеческого волоса) гибкая плата. Вводится в щель банкомата и считывает данные с пластиковых карт. Для производства используются нанотехнологии. Оборот не запрещен. Методов защиты пока нет.
