Не попадайся на удочку!

| статьи | печать

Среди всех распространенных способов мошеннического изъятия денег с банковской карточки клиента фишинг занимает сегодня лидирующие позиции. В то же время практика показывает, что соблюдение минимальных правил безопасности поможет уберечь деньги, аккумулированные на картсчете, от самой продвинутой фишинг-атаки.

 

Самая тревожная угроза

О незатейливых способах изъятия наличности с помощью платежных карт пишут сегодня многие издания. Всевозможные рекомендации и памятки клиентам предлагают, пожалуй, все кредитные структуры, занимающиеся эквайрингом, не говоря уже о собственно платежных системах, тратящих немалые средства на преодоление финансовой безграмотности населения. В то же время тезис о том, что банковская карта гораздо надежнее и безопаснее наличных денег, до сих пор пока мало убеждает российских граждан.

Собственно говоря, все способы незаконного изъятия денег с картсчета можно условно разделить на 3 неравные группы:

  • «Классическая кража» – банальное воровство карточки вместе с кошельком, документами и т.д. – удел профессиональных карманников.
  • Разного рода манипуляции с банкоматом с целью получения номеров счетов и пин-кода карты. В данном случае мошенниками используются такие «примочки», как скрытая камера, аппликация в виде тонкой пленки на клавиатуру, фальшивый банкомат и т.д.
  • И наконец, самый сложный, изысканный и наиболее распространенный сегодня способ, получивший красивое название «фишинг». О нем подробнее.

Фишинг (phishing) – вольная интерпретация английского термина «fishing» – «рыбалка». По другой, народной, версии phishing расшифровывается как passwort + fishing (пароль + рыбалка). Карточный фишинг – только часть глобального мирового явления, стремительно распространяющегося по Интернету и наносящего многомиллиардный ущерб как частным лицам, так и организациям. Дело дошло до того, что американское ФБР провозгласило фишинг-атаки самой свежей и наиболее тревожной угрозой в Интернете.

С традиционной рыбалкой, или лучше сказать с браконьерством, данный процесс на самом деле имеет очень много общего. Так, ловец информации – фишер – в самом начале операции осуществляет своего рода оферту, предложение потенциальной жертве, иными словами, забрасывает удочку. Мошенники могут связываться с клиентом по телефону, но чаще используются более продвинутые варианты, такие как отправка SMS-сообщений и  электронная почта. Общий смысл подобных предложений заключается в том, чтобы убедить клиента в необходимости сообщения конфиденциальных сведений. В нашем случае – выудить у картхолдера как минимум номер и категорию карты, а как максимум – еще и пин-код.

 

Их рыболовные снасти

Банальный, но до сих пор эффективный вследствие заповедной доверчивости наших граждан, способ фишинга – телефонный звонок держателю банковской карты. Главные козыри фишера в этом случае – внезапность, быстрота и наглость. «Представитель службы безопасности» предлагает срочно сообщить номер карты и пин-код с целью избежать, к примеру, блокировки счета при обновлении программы «банк – клиент». Если клиент тянет резину, предлагая перезвонить позднее, скорее всего он уже не будет интересен такому мошеннику.

Более современный метод ловцов денег с картсчета – рассылка писем по электронной почте или с помощью SMS. Жертве приходит письмо от якобы клиентского отдела банка (со всеми подробными реквизитами банка и самого клиента), в котором сообщается об открытии новой бесплатной услуги, например личного кабинета, где можно проверить остаток средств на лицевом счете. В письме приводится ссылка на такой лжекабинет. Если клиент воспользуется этим предложением и введет реквизиты карты, то можно быть уверенным, что в течение считанных минут его счет будет обнулен.

Продвинутые фишеры для организации эффективной ловли используют и псевдосайты кредитных структур. На первом, раннем, этапе фишинга банально изобретается двойник сайта банка, мало похожий на подлинник. Невнимательный клиент не сможет сразу почувствовать подвох. Например, сайт банка «Балтийский кредит» – baltcredit.ru – легким движением руки превращается в baltkredit.ru и т.д. Соответственно вся начинка двойников, что называется, «своя», включая пресловутый раздел «банк – клиент». Далее потенциальным жертвам рассылаются типовые сообщения, в которых под разными мотивами предлагается зарегистрироваться на сайте, выложив при этом конфиденциальные сведения.

В настоящее время псевдосайты внешне вообще могут не отличаться от оригинала. Разнятся с оригиналом только контактные телефоны и электронные адреса. К примеру, одним из самых распространенных методов, применяемых фишерами, является запуск фальшивого всплывающего окна после выбора ссылки в фишинг-сообщении электронной почты. При этом для большей убедительности всплывающее окно может отображаться поверх подлинного сайта.

 

К СВЕДЕНИЮ

Разоблачить подставной фишеровский сайт можно по следующим признакам:

  • номера телефонов в договоре на обслуживание карточки и на сайте не совпадают;
  • адрес электронной почты у фишера представлен, как правило, бесплатной почтовой службой (например, mail.ru или Яндекспочта);
  • раздел «Новости» на лжесайте либо полностью отсутствует, либо долгое время не обновляется;
  • сайт, предназначенный для фишинг-атаки, как правило, зарегистрирован не в российской доменной зоне.

 

«Однокассники»

Граждане, впервые клюнувшие на приманку фишеров, как правило, поражаются тому, насколько подробно мошенники владеют информацией о своей жертве. Тем не менее типичный вопрос «Откуда они все это берут?» в эпоху новейших информационных технологий звучит риторически.

Так, базы данных с указанием конкретных реквизитов клиента можно без особого труда купить на любом рынке, где торгуют электроникой. Имеются в виду такие «ходовые информаторы», как база данных Пенсионного фонда РФ, Налоговой службы, операторов мобильной связи, ГИБДД и т.д. В частных банках утечка информации сведена к минимуму. Но и там, как говорится, порой работают люди не без греха.

Однако зачастую сам клиент оказывает мошенникам посильную помощь, размещая более чем подробные данные о себе, заполняя всевозможные анкеты (например, при приеме на работу), участвуя в сомнительных соцопросах и «беспроигрышных» рекламных викторинах.

Но поистине королевским подарком для фишеров являются так называемые социальные интернет-сети, наподобие «Одноклассники.ру» или «В контакте.ру». Некоторые безалаберные пользователи указывают в личных страничках не только сведения о месте работы, занимаемой должности, ICQ, контактные телефоны, но зачемто и такие вещи, как расчетные банковские счета. И все это в открытом доступе!

А впрочем, и в закрытом доступе для профессионалов все тайное очень быстро становится явным. Как известно, взломать личную страничку даже для малоквалифицированного хакера не стоит большого труда. Что уж говорить о практикующем фишере, который в момент становится «однокассником» по картсчету.

 

Способы борьбы

На самом деле не так страшен сам фишер, как… финансово безграмотный клиент. Практика показывает, что соблюдение даже самых минимальных правил безопасности поможет уберечь деньги, аккумулированные на банковском карточном счете.

 

1. Главнейшее условие неприкосновенности карточных денег – никогда, никому и ни при каких обстоятельствах не сообщать по телефону пин-код своей карты.

Что касается номера карты, то его также рекомендуется озвучивать только в исключительных случаях. Например, в ряде кредитных структур существует такая услуга, как проверка счета по телефону. Для этого необходимо назвать номер карты. Однако во многих банках для этого бывает достаточно произнести кодовое слово и (или) пароль ключа доступа. В любом случае звонок должен исходить от вас.

2. Если кто-либо на другом конце провода настоятельно рекомендует сообщить реквизиты карты, например при бронировании гостиницы (исключение – персонал брендовых отелей), и вы не уверены в чистых помыслах собеседника, лучше всего сообщить ему номер «пустой» расчетной карты или карты с небольшим остатком, например до 10 долл.

3. При получении бумажного или электронного письма с настоятельной просьбой подтвердить реквизиты карты смело отправляйте данное послание в короткое путешествие по мусоропроводу. Банки никогда такие письма посылать не будут! Если у банка возникли какие-либо проблемы с картой, лучше всего решить их непосредственно в офисе банка, предварительно связавшись с ним по реальному телефону, указанному в вашем договоре на обслуживание карточного счета.

4. При совершении операций через банкомат никогда не оставляйте чек. В крайнем случае лучше его сразу уничтожьте. Особую «находку для шпионов» представляют чеки, где отражены данные последней транзакции и при этом зафиксирован остаток на счете. В дальнейшем именно член фишинг-команды может продемонстрировать высокую степень осведомленности относительно расходных операций по карте, окончательно усыпив бдительность.

5. По возможности лучше ограничить покупки через интернет-магазин или же пользоваться услугами только проверенного продавца. В этом случае лучше всего также оперировать расчетной картой с минимально необходимой для таких операций суммой. Всегда необходимо помнить, что фишеры смогут купить себе товары за ваш счет, если им будут известны всего лишь следующие параметры: паспортные данные, наименование банка, категория карты и ее номер. Опытному фишеру достаточно несколько секунд подержать карту в руках, чтобы потом оставить вас с носом.

6. Не стоит выкладывать всю информацию о себе в социальных сетях. В идеале вообще отказаться от регистрации на подобных сайтах. В крайнем случае сообщать лишь минимум данных о себе или же работать под псевдонимом. Кроме того, обязательно заведите себе несколько целевых почтовых ящиков: для работы, бизнеса, общения в Сети, рассылки сообщений и т.д.

7. Регулярно проверяйте банковские счета и отчеты по кредитным картам. Делать это нужно как можно чаще. В идеале не менее 1 раза в неделю.

8. Необходимо помнить, что поймать фишера, что называется, с поличным бывает не просто трудно, но и, как показывает опыт, практически невозможно. Фишеровская техническая мысль не знает границ, и ловцы конфиденциальной информации всегда на шаг обходят антифишеров. Поэтому всегда и везде сохраняйте бдительность и здоровую недоверчивость. Даже минимальные сомнения надо толковать в пользу отказа от предлагаемого контакта.

9. Нельзя забывать, что именно владелец и только он несет ответственность по всем операциям, совершенным по его карте, до окончания срока ее действия или до момента возврата карты в банк. Поэтому возмещать потери, понесенные в ходе фишинг-атаки, банк не будет. Если, конечно, он не пользуется услугой под названием «страхование от рисков, связанных с использованием банковских карт», которая относительно недавно появилась на нашем рынке.

В таком случае при незаконном использовании пластиковой карты третьими лицами страховая компания вернет денежные средства, списанные с карточного счета с момента утраты карты и до момента звонка клиента в банк для ее блокировки. Однако это происходит в случае, если временной отрезок между этими событиями не превышает 48 часов.

 

ОБЪЕМЫ МИРОВОГО ФИШИНГА

По данным компании Symantec, занимающейся мониторингом безопасности в сети Интернет:

  • более 80% всех уникальных брендов, используемых при фишинг-атаках, относятся к банковскому сектору;
  • более 66% всех фишинговых веб-сайтов имитировали бренды поставщиков финансовых услуг;
  • 63% всех обнаруженных фишинговых хостов расположены в США.