Такое случается. Ты живешь, по будням ходишь на работу, а в выходные в театр либо кино, при этом копишь деньги на что-либо важное: обучение, поездку или всего лишь покупку.
А позже, в один неприятный день, замечаешь пропажу денег. Причем разговор касается не просто карманничества, а кражи денег с банковских карт.
Те, кто старается разжиться за счет других, существовали уже давным-давно. Одно преступление разоблачается, и тут же возникает другое, более хитрое. И чем дальше развивается мир, тем умнее становятся аферисты. И нет ничего странного в том, что с возникновением банковских карт, возникли и те, кто хочет получить деньги, причем не всегда с собственной карты. Обычной кражей из сумочки дело здесь не заканчивается, так как любая карта защищена паролем, номером, который хозяин обычно хранит в надежном месте.
Есть много методов воровства номеров и паролей карт: от переустройства банкоматов до электронного воровства посредством интернета. В данной статье мы изучим один из самых популярных способов воровства карточных кодов – фишинг.
Название фишинг (phishing) образовалось с переиначенного английского слова “fishing” – «рыбалка». Аферист сначала как бы проверяет хозяина карты, отправляя на электронный адрес письмо от банка. Содержания данных посланий могут быть достаточно разнообразны. Иное дело, что результат чаще всего одинаков – неожиданное исчезновение средств с карты.
Уловки и "типы" фишинга
Фишинг сводится к тому, что злоумышленник получает пароли и банковскую информацию, нужную для доступа к электронным счетам владельцев.
К стандартному фишингу причисляют создание клона портала. Аферисты создают точную копию сайта фирмы (или же сайта, деятельность которого сводится к операциям с электронными средствами, например web-money), причем копируется и внешний вид, и адресная строка, обычно довольно похожая на настоящую. После аферисты рассылают письма. Основная задача фишинга – заставить владельца ввести свои личные финансовые сведения или пароль. План аферистов основан на том, что «жертва» не заметит подмены адреса сайта и подумает, что это действительный портал фирмы.
Обычные операции аферистов: «жертве» отправляется письмо о необходимости обновить информацию, разблокировать пин-код либо о долге или даже о переводе на счет больших средств. При этом для устрашения в письмо могут быть добавлены данные о наказаниях – штрафах, блокировке счета, перечислении средств обратно владельцу. Так, в рассылке может сообщаться, что пользовательская запись будет отключена до того момента, как владелец еще раз не заполнит заявку на портале или не войдет в личный кабинет.
Пример из жизни
Мне приходит зарплата на банковскую карту. Однажды мне пришло электронное письмо, - сообщает на одном форуме Сергей Н. – «Здравствуйте! Вас приветствует сотрудник вашего банка. Из-за того что мы обновляем сайт, мы осуществляем проверку наших пользователей и просим вас отправить номер вашей кредитной карты и период ее действия». Я сразу же отправил эти сведения, а вскоре увидел, что средств на карте нет.
Как выглядит типичная фишинг-рассылка:
От: Bank N Кому: Иванов С.Г. Тема: Уведомление о задолженности
Уважаемый клиент!
На Вашем счету обнаружен недостаток денежных средств, просим Вас пополнить
баланс, в противном случае в ближайшее время Ваш счет будет заморожен.
Проверить лицевой счет Вы можете в Личном кабинете.
Для входа в кабинет, нажмите сюда >>
С уважением, Служба Bank N
Показательная ситуация случилась с клиентами Национального Банка Австрии, получившими на электронную почту достаточно устрашающее письмо. В этом сообщении находилась ссылка на сайт, выглядевший как настоящий. Сведения на ней говорили, что банк закрывается, так что народ забеспокоился, клиентам рекомендовали срочно проверить статус активов и кредитов. Троян, находившийся в ссылке, использовал банковскую информацию владельцев, чтобы получить доступ к счету, и создатель трояна без трудностей мог совершать любые финансовые действия.
Не боятся аферисты посредством фишинга получать доступ к личным страницам в социальных сетях. Данная ситуация случилась с помощью социального сайта MySpace. Нападение совершалось с помощью ссылки, отправленной в сообщении. Сайт, ссылающийся на MySpace, потребовал имя пользователя и пароль. Портал был поддельным, а информацию сохранилась, и мошенники получили доступ к персональной странице владельца. После аферисты воспользовались для осуществления разных действий, выставляя себя как третье лицо.
Вообще, мошенники очень любят прикрываться именем известных сетевых брендов.
Даже Google пострадал от мошенников: не так давно пользователям предложили отправить номер своей пластиковой карты на копии домашней страницы данной популярной поисковой системы, ссылаясь на то, что они получили выигрыш.
О крупном аукционном интернет-сайте eBay знают многие, и аферисты решили этим воспользоваться, создав свой поддельный портал. Сайт требовал вводить информацию о кредитных картах, банковских счетах, водительских правах и номере соц. страхования. Позже эти данные мошенники направили на то, чтобы снимать средства с карт.
В настоящее время аферисты идут на еще более хитрые уловки: сейчас ссылки на поддельные порталы прячут внутрь кода сообщения, отправляя владельцу ссылку в виде действительного адреса. К тому же аферисты могут отправлять письма, в которых указан скрипт, перехватывающий коды и номера при вводе их на действительном портале банка и отправляет мошеннику. Для включения скрипта нужно всего лишь открыть сообщение.
Чтобы избежать уловок, нужно запомнить несколько легких правил:
- Фирмы не отправляют сообщений с требованиями указать онлайн номер кредитки и ее пароль.
- Все недоразумения хорошо решать прямо в отделении фирмы, а не по телефону и тем более не с помощью электронной почты.
Советы
Хорошо, разумеется, не обращать внимания на данные рассылки и, не открывая, удалять их. Однако если вы все-таки перешли на сайт, пока не узнаете, действительный ли он, не отправляйте свою личную информацию. А подтвердить подлинность достаточно просто, нужно лишь посмотреть на следующие детали:
- Веб-адрес. Тщательно проанализируйте ссылку. Например, клон сайта "Sbank.ru" будет носить название вроде "Sbank.org.ru".
- E-mail. Если на портале нет адресов или же он зарегистрирован на одной из бесплатных почтовых служб, то перед вами, скорее всего клон.
- Грамотность. Наличие грамматических ошибок тоже показывает на то, что сайт – подделка. На официальных порталах действует целый отдел работников, которые проверяют грамотность.
И, разумеется, после перехода на данный сайт обратитесь в ваш банк по телефону, написанному в договоре, объясните случившееся. Карточный счет нужно закрыть, а карту переизготовить. И запомните: после того как аферисты снимут средства с вашей карты, банк уже не придет на помощь.
Как фишеры крадут Яндекс-деньги и почтовые ящики
К слову, целью фишера может быть как ваша банковская карта, так и электронные деньги и даже почтовые адреса. Методы здесь те же, что при воровстве с карт.
"Уважаемый пользователь! Согласно пункту 4.6.2.5. Соглашения об использовании Системы Яндекс.Деньги", Ваш счет заблокирован. Необходима реактивация счета в системе. Для реактивации перейдите по ссылке. Либо свяжитесь с одним из наших операторов. Далее следуют поддельные реквизиты и телефоны. Письмо сгенерировано автоматически, не отвечайте на него. С уважением, ООО "ПС Яндекс.Деньги".
Обычно владельцы тут же переходят по ссылке, не утруждая себя звонком, после чего имя пользователя и код от электронного счета, разумеется, тут же отправляются аферистам.
О взломах почтовых электронных ящиков и их последствий упоминалось не раз. Мы изучим лишь одну ситуацию, касающуюся фишинга. На электронный ящик отправляется письмо от имени тех. поддержки о том, что почтовая служба обновляет пользовательские записи. Если вы не желаете, чтобы вашу запись удалили, отправьте ответ, написав в теме ваше имя и пароль. При этом аферисты используют достаточно правдиво выглядящие названия: admin@ххх.ru, support@ххх.ru, webmaster@хххl.ru и т.д.
А, добравшись до почты, фишер получает ваши пароли ко многим личным данным.
О защите от фишинга
Для того чтобы избежать фишинга производители известных браузеров договорились об использовании одинаковых методов сообщения пользователям о том, что они заметили подозрительный портал, который может быть создан аферистами. Последние версии браузеров уже включают такую функцию, которая называется «антифишинг». Также пользователи могут защититься от фишинга посредством антивирусных программ и межсетевых экранов.
Напоследок
Правда, аферисты не брезгуют и простыми смс либо телефонными звонками. Вот что сообщил пользователь сайта www.aferam.net. «Как-то раз мне поступило сообщение, что банк отказал мне в выдаче займа. Честно говоря, тогда я не придал ей значения, потому как никаких кредитов не оформлял. Но позже на мобильный поступил звонок, и мне сказали об этом же странном кредите и задолженности по взносу. «Чтобы прослушать сообщение еще раз, кликните 1. Чтобы связаться с оператором, нажмите 2», - проинформировал голос. Разумеется, я выбрал 2. Позже начался довольно занятный разговор. Сначала оператор спросил мои ФИО и сказал, что мой долг равняется 50 тысячам рублей. На мои отказы он перевел на службу безопасности, там просили личную информацию и спросили, не мог ли кто-нибудь воспользоваться моим именем. Позже полюбопытствовали, имеется ли у меня карточка другого банка, и потребовали ее номер для изучения в «единой межбанковской сети», я отверг это предложение, попросив приехать в их отделение, после чего трубку повесили».
План аферистов несложно понять. Обладая информацией о паспортных данных, названии банка, виде карты и ее номере, они позже с помощью интернет-магазинов приобретают вещи за ваши деньги. А интернет-магазинов сейчас полно, имеются и те, с которыми не нужны пароли.
Данный способ, несмотря на банальность, гораздо более действенен, так как по сравнению с сообщениями и письмами банки по-настоящему его тоже применяют. Однако ни одна фирма не потребует номер карты, а тем более другой компании.
Обратив внимание на большое число преступлений, невольно думаешь, откуда аферисты узнают наши номера, ФИО, электронные адреса. Естественно, они обычно действуют способом «пальцем в небо», наугад вводя почтовые адреса в спам-рассылку и отправляя сообщения по первым подвернувшимся номерам. Но часто мы сами предоставляем аферистам доступ к себе, размещая данные о себе в открытом доступе в интернете. Пишем в блогах и социальных сетях, где и кем работаем, указываем телефоны и почту.
Рекомендация: не нужно стараться отправлять на данные сайты о себе всю информацию, лишние данные следует закрыть от посторонних (если имеется такой шанс).
И самое основное: быть внимательным, особенно с телефоном при разговоре, с неизвестными людьми и сомнительными сообщениями.
