Бывает, что при обращении к системе интернет-банкинга внедрённый в компьютер пользователя или на какой-либо сайт троян переадресует клиента на специальную страничку, по дизайну очень похожую на соответствующую страницу сайта банка. Ничего не подозревающий пользователь вводит данные кредитной карты, которые тут же становятся известны мошенникам. Например, есть даже такой вид взлома сайтов интернет-магазинов, когда клиента на последнем этапе переадресуют на сайт злоумышленника с формой для введения данных кредитки. При заказе товаров в онлайне надо внимательно следить за адресной строкой браузера. На страницах, где вводится личная информация, протокол обмена должен быть обязательно https:. Сертификат сайта – соответствовать имени сайта. Современные браузеры отмечают несоответствие сертификата строгими предупреждениями и красной адресной строкой, но пользователи старых версий могут попасться на этот вид взлома. Кроме того, должно вызывать подозрение, если «сайт банка» чем-то отличается по дизайну от того, которым вы пользовались ранее. Как защититься от проникновения троянов? Поставить хороший антивирус. Он хоть и не панацея, но позволит выловить старые либо не очень хорошо сделанные вирусы. Более надёжно вообще не использовать Internet Explorer и Microsoft Outlook для веб-серфинга и получения электронной почты соответственно, поскольку большинство троянов пишутся в расчёте на «дыры» именно этих программ.
Крайне важно быть осторожным, если выход в Сеть осуществляется из публичного места, такого как интернет-кафе или хот-спот. Беспроводные хот-споты, как правило, не используют шифрование трафика, и любой желающий может увидеть все отправляемые или получаемые данные. Использование корпоративной беспроводной сети тоже не гарантирует безопасности. Многие корпоративные сети до сих пор не применяют шифрование или используют уязвимый для взлома электронный ключ в стандарте WEP. Сидящий за соседним столиком в кафе или припарковавшийся рядом с офисом злоумышленник с ноутбуком и специализированным программным обеспечением очень быстро получит доступ к желаемым данным. Если предполагается, что электронная переписка содержит что-то более важное, чем приветы от знакомых, то лучше использовать защищённые протоколы TLS и SSL – нужно обратиться к своему провайдеру и узнать, как это сделать. Помните, что любая страница в браузере, просмотренная по открытому протоколу HTTP или FTP, может быть скопирована злоумышленником. Программы мгновенного обмена сообщениями ICQ и MSN вообще не защищены. То же относится к большинству протоколов IP-телефонии, так что и использование Wi-Fi-телефона для разговора с банком – тоже идея не очень хорошая.
Сейчас многие банки практикуют использование дополнительных одноразовых паролей, список которых выдаётся пользователю. Причём пароли принимаются только в последовательности, указанной в списке. То есть пока, допустим, пароль № 2 не будет использован, пароль № 3 не сработает. Но и эту предосторожность воры уже научились обходить. Пользователь заходит на страницу банка, забивает пароль, а сидящий в его компьютере троян имитирует отказ в авторизации и предлагает ввести другой пароль. Пользователь пытается войти в систему по второму паролю – сработало, доступ к счёту получен. Вот только получен он именно вводом первого пароля, а второй пароль из списка, на самом деле ещё не использованный, попадает в руки воров.
Или другой, вроде бы надёжный вариант, когда необходимый для дополнительного ввода одноразовый пароль высылается на мейл пользователя в момент авторизации по основному паролю. Считается, что перехватить его не успеют. Как показывает практика, успевают. Собственно, всеми данными для доступа к почтовому ящику жертвы злоумышленники располагают благодаря тому же трояну. Единственная на сегодняшний день более или менее эффективная защита пользователя, по мнению экспертов, – это двухфакторная аутентификация. То есть когда одновременно вводится два пароля, каждый из которых поступает по разным каналам. Один, допустим, приходит на мейл, а второй – на мобильный телефон. Естественно, у злоумышленника не должно быть возможности дистанционно заменить номер мобильного телефона, на который будут приходить SMS, – меняют его только в отделении банка и только при личной явке клиента. Или второй пароль генерируется специальным устройством (крипто-калькулятором), выдаваемым пользователю банком.
Пока далеко не все отечественные банки используют двух-факторную аутентификацию, считая, что это им слишком дорого обойдётся. Соответственно, если предполагается активно пользоваться системой интернет-банкинга, лучше выбрать банк, не экономящий на двухфакторной аутентификации. Надо заметить, что некоторые данные, достаточные для кражи денег с пластиковой карты, мошенники могут получить, взломав интернет-магазин или билинговую систему, хранящие данные о покупателях. Отсюда вывод – покупать в Сети только в надёжных магазинах с хорошей защитой. А лучше – завести для расчётов в Интернете отдельную дебетовую карту и пополнять её по мере необходимости.
Разумеется, фишинговые технологии выманивания данных счетов могут применяться и вне Сети. Вот, например, случай так называемого «мобильного фишинга», на который в своё время многие попались. Злоумышленники рассылали сообщения от имени известных московских банков с отказом в получении кредита. Прочитав эту новость, человек, как правило, пожимал плечами, поскольку никаких заявлений о выдаче кредита в эти банки не подавал – ошибка, с кем не бывает. Но через месяц автоинформатор через звонок на мобильный телефон сообщал ему, что на его карточном счёте образовалась задолженность, которую необходимо погасить, а для решения вопросов по задолженности просил связаться с банком. Возмущённый гражданин набирал указанный номер и заявлял дружелюбному «менеджеру», что никаких кредитных карт в его банке не получал, после чего «менеджер» переводил вызов на «сотрудника службы безопасности». Тот выражал озабоченность проблемой и предлагал продиктовать паспортные данные и реквизиты кредитных карт, выданных другими банками (!), якобы для того, чтобы проверить, не было ли и с этими картами фактов мошенничества. Разновидностей подобных приёмов море. Надо сказать, что мы описали здесь лишь самые распространённые способы мошенничества. Головы у электронных злоумышленников хорошие, и они постоянно придумывают что-то новое.
Помимо фишинга существует масса и иных методов выяснения данных, необходимых для увода денег с «пластикового» счёта, кстати, не только для доступа в систему интернет-банкинга, но и для снятия средств в банкомате, расплаты в магазине и т. д. А собственно, какие же данные необходимы преступнику? Критерием для выдачи наличных в банкомате служат введённый пин-код и, конечно, информация, записанная на магнитной полосе пластиковой карточки. Для совершения операции в этой записи должны содержаться номер карты, срок окончания ее действия, то есть данные, выбитые на лицевой стороне «пластика», а также некий трёхзначный код. В системе Visa он называется CVV, у MasterCard – CVC. Не надо путать их с кодами cvv2/cvc2 на полосе подписи карты, которые используются для совершения интернет-транзакций. Коды CVV и CVC хранятся только на магнитной полосе и служат для банка инструментом определения её подлинности, своеобразной «электронной подписью» карты.
Ввели эти коды в конце 80-х годов в связи с массовым мошенническим снятием наличности с карт в банкоматах в Великобритании. При этом обворованные вкладчики своих карт не теряли. Поначалу банки грешили на клиентов: кого-то подозревали в мошенничестве, кому-то советовали присмотреть за детьми, которые могли узнать пин-код и пользоваться картами тайком от родителей. Однако пострадавших становилось всё больше, к делу подключилась пресса, и банки признали, что злоумышленники каким-то образом получают дубликаты карт и узнают пин-коды. Скотленд-Ярду удалось поймать преступников только через два года – помог случай. У девушки, попавшей в полицию после драки в баре, нашли в сумочке кучу «белого пластика» – карточек без опознавательных знаков, но с магнитной полосой. Технология мошенничества оказалась весьма проста. Преступники арендовали квартиры в многолюдных местах – такие, чтобы из окна были видны банкоматы. Вооружившись фотокамерой с длиннофокусным объективом, один злоумышленник фотографировал карты в тот момент, когда их вставляли в банкомат, а второй смотрел в бинокль и засекал набираемый пин-код. Оставалось только с помощью нехитрого прибора нанести всю полученную информацию на магнитную полосу поддельной карточки.
Как ни странно, и сегодня есть банки, которые игнорируют возможность контроля посредством кодов CVC/CVV. Причина такого легкомыслия не совсем понятна, ведь проверка кодов CVC/CVV увеличивает стоимость трансакции для банка на какие-то копейки. Кстати, ни один банковский сотрудник, занимающийся пластиковыми картами, никогда не признается, что контроля CVC/CVV в его заведении нет, – хотя бы из-за того, что платёжные системы тут же наложат на банк крупный штраф. Сегодня, кстати, технологии «подглядывания» шагнули значительно дальше «бинокля и длиннофокусного объектива». Например, в гнездо приёма карточки банкомата мошенники вставляют устройство, считывающее магнитную полосу карт, а в верхней части банкомата устанавливают миниатюрную камеру, снимающую, как законный держатель карты набирает на клавиатуре банкомата пин-код. Появились даже специальные фальшивые клавиатуры, которые накладываются сверху на настоящие и «запоминают» набранный ничего не подозревающей жертвой пин-код.
Следует ожидать скорого появления в России бутафорских банкоматов – вслед за США, где эта афера очень популярна. Такой переносной аппарат не подключён ни к одной из платёжных систем, денег, естественно, не выдаёт, зато исправно собирает данные и пин-коды карт. Вышеназванный прием, когда данные магнитной полосы (в том числе коды CVC/CVV) считываются преступниками или их пособниками непосредственно с самой карты с помощью электронного устройства, называется скиммингом. И если присоединение подобного устройства – скиммера – к банкомату или pos-терминалу в кассе магазина (и такое бывает) всё ещё относительная редкость, то прокатывание карты по считывающему приборчику, например, официантом в кафе или служащим отеля весьма возможно. Карточку куда-то унесли, потом принесли назад с распечатанными чеками. А что с ней ещё проделано – одному богу известно. Одно время панацеей в защите от скимминга считался переход в изготовлении карточек от магнитной ленты к чиповым технологиям. Жизнь показала, что это не так. Во-первых, пока далеко не во всех странах внедряются чиповые технологии для приёма карт, а это значит, что даже если банк выпустил карту с чипом, то она всё равно будет обслуживаться по магнитной полосе, следовательно, остаётся возможность использовать поддельную карту. А во-вторых, мошенники уже научились «работать» и с чипами. Так что «чиповый пиар» банков только снижает бдительность пользователей.