Внимание, фишинг! Как нас обманывают?

Внимание, фишинг! Как нас обманывают?

Такое случается. Ты живешь, по будням ходишь на работу, а в выходные в театр либо кино, при этом копишь деньги на что-либо важное: обучение, поездку или всего лишь покупку.

А позже, в один неприятный день, замечаешь пропажу денег. Причем разговор касается не просто карманничества, а кражи денег с банковских карт.

Те, кто старается разжиться за счет других, существовали уже давным-давно. Одно преступление разоблачается, и тут же возникает другое, более хитрое. И чем дальше развивается мир, тем умнее становятся аферисты. И нет ничего странного в том, что с возникновением банковских карт, возникли и те, кто хочет получить деньги, причем не всегда с собственной карты. Обычной кражей из сумочки дело здесь не заканчивается, так как любая карта защищена паролем, номером, который хозяин обычно хранит в надежном месте.

Есть много методов воровства номеров и паролей карт: от переустройства банкоматов до электронного воровства посредством интернета. В данной статье мы изучим один из самых популярных способов воровства карточных кодов – фишинг.

Название фишинг (phishing) образовалось с переиначенного английского слова “fishing” – «рыбалка». Аферист сначала как бы проверяет хозяина карты, отправляя на электронный адрес письмо от банка. Содержания данных посланий могут быть достаточно разнообразны. Иное дело, что результат чаще всего одинаков – неожиданное исчезновение средств с карты.

Уловки и "типы" фишинга

Фишинг сводится к тому, что злоумышленник получает пароли и банковскую информацию, нужную для доступа к электронным счетам владельцев.

К стандартному фишингу причисляют создание клона портала. Аферисты создают точную копию сайта фирмы (или же сайта, деятельность которого сводится к операциям с электронными средствами, например web-money), причем копируется и внешний вид, и адресная строка, обычно довольно похожая на настоящую. После аферисты рассылают письма. Основная задача фишинга – заставить владельца ввести свои личные финансовые сведения или пароль. План аферистов основан на том, что «жертва» не заметит подмены адреса сайта и подумает, что это действительный портал фирмы.

Обычные операции аферистов: «жертве» отправляется письмо о необходимости обновить информацию, разблокировать пин-код либо о долге или даже о переводе на счет больших средств. При этом для устрашения в письмо могут быть добавлены данные о наказаниях – штрафах, блокировке счета, перечислении средств обратно владельцу. Так, в рассылке может сообщаться, что пользовательская запись будет отключена до того момента, как владелец еще раз не заполнит заявку на портале или не войдет в личный кабинет.

Пример из жизни

Мне приходит зарплата на банковскую карту. Однажды мне пришло электронное письмо, - сообщает на одном форуме Сергей Н. – «Здравствуйте! Вас приветствует сотрудник вашего банка. Из-за того что мы обновляем сайт, мы осуществляем проверку наших пользователей и просим вас отправить номер вашей кредитной карты и период ее действия». Я сразу же отправил эти сведения, а вскоре увидел, что средств на карте нет.

Как выглядит типичная фишинг-рассылка:

От: Bank N Кому: Иванов С.Г. Тема: Уведомление о задолженностиФишинг

Уважаемый клиент!

На Вашем счету обнаружен недостаток денежных средств, просим Вас пополнить

баланс, в противном случае в ближайшее время Ваш счет будет заморожен.

Проверить лицевой счет Вы можете в Личном кабинете.

Для входа в кабинет, нажмите сюда >>

С уважением, Служба Bank N

Показательная ситуация случилась с клиентами Национального Банка Австрии, получившими на электронную почту достаточно устрашающее письмо. В этом сообщении находилась ссылка на сайт, выглядевший как настоящий. Сведения на ней говорили, что банк закрывается, так что народ забеспокоился, клиентам рекомендовали срочно проверить статус активов и кредитов. Троян, находившийся в ссылке, использовал банковскую информацию владельцев, чтобы получить доступ к счету, и создатель трояна без трудностей мог совершать любые финансовые действия.

Не боятся аферисты посредством фишинга получать доступ к личным страницам в социальных сетях. Данная ситуация случилась с помощью социального сайта MySpace. Нападение совершалось с помощью ссылки, отправленной в сообщении. Сайт, ссылающийся на MySpace, потребовал имя пользователя и пароль. Портал был поддельным, а информацию сохранилась, и мошенники получили доступ к персональной странице владельца. После аферисты воспользовались для осуществления разных действий, выставляя себя как третье лицо.

Вообще, мошенники очень любят прикрываться именем известных сетевых брендов.

Даже Google пострадал от мошенников: не так давно пользователям предложили отправить номер своей пластиковой карты на копии домашней страницы данной популярной поисковой системы, ссылаясь на то, что они получили выигрыш.

О крупном аукционном интернет-сайте eBay знают многие, и аферисты решили этим воспользоваться, создав свой поддельный портал. Сайт требовал вводить информацию о кредитных картах, банковских счетах, водительских правах и номере соц. страхования. Позже эти данные мошенники направили на то, чтобы снимать средства с карт.

В настоящее время аферисты идут на еще более хитрые уловки: сейчас ссылки на поддельные порталы прячут внутрь кода сообщения, отправляя владельцу ссылку в виде действительного адреса. К тому же аферисты могут отправлять письма, в которых указан скрипт, перехватывающий коды и номера при вводе их на действительном портале банка и отправляет мошеннику. Для включения скрипта нужно всего лишь открыть сообщение.

Чтобы избежать уловок, нужно запомнить несколько легких правил:

  • Фирмы не отправляют сообщений с требованиями указать онлайн номер кредитки и ее пароль.
  • Все недоразумения хорошо решать прямо в отделении фирмы, а не по телефону и тем более не с помощью электронной почты.

Советы

Хорошо, разумеется, не обращать внимания на данные рассылки и, не открывая, удалять их. Однако если вы все-таки перешли на сайт, пока не узнаете, действительный ли он, не отправляйте свою личную информацию. А подтвердить подлинность достаточно просто, нужно лишь посмотреть на следующие детали:

  • Веб-адрес. Тщательно проанализируйте ссылку. Например, клон сайта "Sbank.ru" будет носить название вроде "Sbank.org.ru".
  • E-mail. Если на портале нет адресов или же он зарегистрирован на одной из бесплатных почтовых служб, то перед вами, скорее всего клон.
  • Грамотность. Наличие грамматических ошибок тоже показывает на то, что сайт – подделка. На официальных порталах действует целый отдел работников, которые проверяют грамотность.

И, разумеется, после перехода на данный сайт обратитесь в ваш банк по телефону, написанному в договоре, объясните случившееся. Карточный счет нужно закрыть, а карту переизготовить. И запомните: после того как аферисты снимут средства с вашей карты, банк уже не придет на помощь.

Как фишеры крадут Яндекс-деньги и почтовые ящики

МошенникиК слову, целью фишера может быть как ваша банковская карта, так и электронные деньги и даже почтовые адреса. Методы здесь те же, что при воровстве с карт.

"Уважаемый пользователь! Согласно пункту 4.6.2.5. Соглашения об использовании Системы Яндекс.Деньги", Ваш счет заблокирован. Необходима реактивация счета в системе. Для реактивации перейдите по ссылке. Либо свяжитесь с одним из наших операторов. Далее следуют поддельные реквизиты и телефоны. Письмо сгенерировано автоматически, не отвечайте на него. С уважением, ООО "ПС Яндекс.Деньги".

Обычно владельцы тут же переходят по ссылке, не утруждая себя звонком, после чего имя пользователя и код от электронного счета, разумеется, тут же отправляются аферистам.

О взломах почтовых электронных ящиков и их последствий упоминалось не раз. Мы изучим лишь одну ситуацию, касающуюся фишинга. На электронный ящик отправляется письмо от имени тех. поддержки о том, что почтовая служба обновляет пользовательские записи. Если вы не желаете, чтобы вашу запись удалили, отправьте ответ, написав в теме ваше имя и пароль. При этом аферисты используют достаточно правдиво выглядящие названия: admin@ххх.ru, support@ххх.ru, webmaster@хххl.ru и т.д.

А, добравшись до почты, фишер получает ваши пароли ко многим личным данным.

О защите от фишинга

Для того чтобы избежать фишинга производители известных браузеров договорились об использовании одинаковых методов сообщения пользователям о том, что они заметили подозрительный портал, который может быть создан аферистами. Последние версии браузеров уже включают такую функцию, которая называется «антифишинг». Также пользователи могут защититься от фишинга посредством антивирусных программ и межсетевых экранов.

Напоследок

Правда, аферисты не брезгуют и простыми смс либо телефонными звонками. Вот что сообщил пользователь сайта www.aferam.net. «Как-то раз мне поступило сообщение, что банк отказал мне в выдаче займа. Честно говоря, тогда я не придал ей значения, потому как никаких кредитов не оформлял. Но позже на мобильный поступил звонок, и мне сказали об этом же странном кредите и задолженности по взносу. «Чтобы прослушать сообщение еще раз, кликните 1. Чтобы связаться с оператором, нажмите 2», - проинформировал голос. Разумеется, я выбрал 2. Позже начался довольно занятный разговор. Сначала оператор спросил мои ФИО и сказал, что мой долг равняется 50 тысячам рублей. На мои отказы он перевел на службу безопасности, там просили личную информацию и спросили, не мог ли кто-нибудь воспользоваться моим именем. Позже полюбопытствовали, имеется ли у меня карточка другого банка, и потребовали ее номер для изучения в «единой межбанковской сети», я отверг это предложение, попросив приехать в их отделение, после чего трубку повесили».

План аферистов несложно понять. Обладая информацией о паспортных данных, названии банка, виде карты и ее номере, они позже с помощью интернет-магазинов приобретают вещи за ваши деньги. А интернет-магазинов сейчас полно, имеются и те, с которыми не нужны пароли.

Данный способ, несмотря на банальность, гораздо более действенен, так как по сравнению с сообщениями и письмами банки по-настоящему его тоже применяют. Однако ни одна фирма не потребует номер карты, а тем более другой компании.

Обратив внимание на большое число преступлений, невольно думаешь, откуда аферисты узнают наши номера, ФИО, электронные адреса. Естественно, они обычно действуют способом «пальцем в небо», наугад вводя почтовые адреса в спам-рассылку и отправляя сообщения по первым подвернувшимся номерам. Но часто мы сами предоставляем аферистам доступ к себе, размещая данные о себе в открытом доступе в интернете. Пишем в блогах и социальных сетях, где и кем работаем, указываем телефоны и почту.

Рекомендация: не нужно стараться отправлять на данные сайты о себе всю информацию, лишние данные следует закрыть от посторонних (если имеется такой шанс).

И самое основное: быть внимательным, особенно с телефоном при разговоре, с неизвестными людьми и сомнительными сообщениями.

Москва