Получить немыслимое вознаграждение за помощь иностранцу, заработать деньги, не выходя из дома и ничего не делая, или отправиться в невероятное путешествие за мизерную цену — эти размещенные в Интернете весьма привлекательные предложения зачастую являются всего лишь прикрытием для мошенников, желающих завладеть вашей конфиденциальной информацией (например, номерами кредитных карточек). Это так называемый «фишинг»: ничего не подозревающие пользователи Интернета, заходящие на какой-либо сайт за товарами или услугами, перенаправляются на подложный узел, используемый для сбора их личных данных.
Какие варианты фишинг-атак наиболее распространены? Как их распознать? Как защититься?
«Африканские» аферисты: фальшивые просьбы о помощи
Вам наверняка приходилось получать электронные сообщения от имени сына или вдовы какого-нибудь видного африканского деятеля, часто из Нигерии. Автор письма просит помочь перевести огромную сумму денег из его страны (обычно речь идет о миллионах долларов). Чтобы это сделать, у пользователя Интернета просят разрешения перевести деньги на его личный счет в обмен на весьма привлекательные комиссионные. Однако перед тем как получить деньги, вы должны заплатить определенную сумму за оформление документов и банковские комиссионные... Естественно, обещанные деньги никогда не поступят на ваш счет, и на самом деле ситуация может оказаться гораздо хуже, если обманщики попросят вас приехать в указанную страну.
Фишинг: ловля жертв в сети
В этом случае пользователям Интернета необходимо опасаться предложений, которые слишком заманчивы, чтобы быть правдой. Зачастую мошенники незаконно используют заслуживающие доверия электронные адреса. Метод фишинга заключается в следующем: письмо, всегда распространяемое с помощью массовой рассылки, написано так, чтобы заставить пользователя поверить, что оно направлено из его банка или от поставщика услуг Интернета. В так называемых «целях безопасности» пользователю предлагается подтвердить определенную информацию (например, номер кредитной карточки, PIN-код или даже пароль доступа к сетевым службам) на созданном мошенниками ложном веб-узле. Информация, предоставленная ничего не подозревающим пользователем, в основном используется для совершения покупок через Интернет.
Сетевой беспредел
Недавно появилась еще одна форма фишинга: пользуясь проявлением сострадания по отношению к жертвам недавнего цунами в Азии, сетевые мошенники открыли несколько фальшивых веб-узлов по сбору пожертвований. Компания-эмитент кредитных карт MasterCard с начала января 2005 г. проводит рассылку предупреждений своим клиентам. В связи со случаями мошенничества компания настоятельно рекомендует тем, кто хотел бы оказать помощь населению юга Азии, заходить только на веб-узлы хорошо известных организаций.
Вы выиграли путешествие...
Как и большинство сетевых аферистов, в этом случае мошенники действуют посредством электронных писем. Вы получаете сообщение, из которого узнаете, что выиграли в лотерею крупный приз (хотя вы никогда не участвовали в этой лотерее). Разумеется, сначала вам предложат оплатить административные расходы, чтобы получить определенную денежную сумму, которую вы на самом деле никогда не увидите. В этом виде мошенничества нет ничего нового, но оно по-прежнему находит множество жертв. Другой разновидностью такой аферы является сообщение пользователю, что он выиграл недельный отдых на популярном курорте.
Телефонные мошенники
В этом случае злоумышленники не пытаются узнать ваши банковские реквизиты, поскольку мошенничество осуществляется с помощью телефона. Вы получаете электронное письмо с подтверждением заказа, который вы никогда не делали. Чтобы избежать списания стоимости покупки с вашего банковского счета, необходимо позвонить по указанному телефону, причем звонок на него, как правило, тарифицируется по повышенной ставке. Мошенники активно действуют в Сети с конца октября. Тот, кто поддался на их уловку, позвонил по телефонному номеру, а звонок стоит 4 евро за секунду! При другом способе мошенники рассчитывают на любопытство пользователей: в электронном письме вам предлагается сообщить определенную информацию о своей семье или даже о возбужденном против вас судебном иске. Разумеется, плата за звонок взимается по повышенному или международному тарифу.
Заработать кучу денег... ничего не делая
В этой ситуации пользователь получает электронное письмо, где ему предлагается невероятно привлекательная работа, которой якобы уже занимаются миллионы жителей США, не покидая дома и практически не прилагая никаких усилий. И если сам факт существования такой работы — ложь, то так называемые административные расходы, которые мошенники просят вас оплатить, к сожалению, весьма реальны.
Бурчин Герчек — системный инженер компании Symantec в регионе EMEA.
Отмытый Митник
В начале февраля в Москву приезжал Кевин Митник, самый легендарный хакер прошлого века. Еще будучи школьником, он ради забавы начал заниматься взломом компьютерных систем, телефонным фрикингом и прочими нехорошими делами — и все это очень успешно (от его деятельности пострадали Motorola, Novell, Nokia, Sun Microsystems и др.), пока ФБР не включило его в список десяти наиболее опасных преступников США. В 1995 г. Митник был арестован по обвинению в незаконном проникновении в компьютерные системы крупных телекоммуникационных компаний и оказался в тюрьме без права пользоваться компьютером и, естественно, Интернетом. Попробуйте представить себя на его месте. Что будет, если лишить вас ПК, и не на время отпуска, а на несколько лет?! Я ожидала увидеть малоинтересного человека, жалующегося на судьбу и власти. Однако Кевин оказался вполне адекватен, бодр и весел, он с удовольствием общался с журналистами, рассказывал о себе, о своей работе и о своей книге (подробнее о пресс-конференции читайте на с. 70). Как ему удалось сохранить себя и, более того, стать успешным? Оказалось, что вопреки судебному решению ему довольно скоро предоставили компьютер, а затем и доступ в Интернет. Американские спецслужбы вполне резонно посчитали, что терять такие мозги невыгодно, и без проблем поменяли знак деятельности Митника с минуса на плюс. В общем, «выпадая из окна, оглядись по сторонам: если кто-нибудь внизу, есть опасность, что спасут» . Теперь бывший хакер — консультант по вопросам безопасности (компания Defensive thinking, что можно перевести как «Защитное мышление» или «Стратегия обороны»). Основные его интересы лежат в области социальной инженерии. Что это такое и как мошенники используют данный метод в своих целях, вы можете узнать из книги Митника «Искусство обмана». Именно этой, наиболее серьезной на сегодняшний день угрозе безопасности — человеческому фактору, посвящена и статья Бурчина Герчека.
Е.Т.
Фишинг — это модно
По данным APWG (Антифишинговой рабочей группы), в январе этого года организаторы фишинг-атак отправили почти 13 тыс. писем с призывами посетить 2560 сайтов. Эти цифры позволяют утверждать, что активность онлайновых мошенников возросла почти на 50% по сравнению с декабрем 2004 г. (обнаружено около 2 тыс. фальшивых сайтов). С ноября 2003 г. организаторы фишинг-атак использовали около 140 известных брендов в качестве приманки для пользователей. Средний срок существования фишинг-сайта составил примерно 6 дней, а зарегистрированный максимальный — один месяц. Самый популярный объект для фишинга — финансовые услуги.
Наибольшее количество фишинг-сайтов получают хостинг в США (32%), Китае (13%) и Республике Корея (10%), отмечает APWG. Между тем по данным компании VeriSign, лидерами по количеству онлайновых афер в минувшие новогодние праздники стали США, Вьетнам и Румыния.
Важный аспект фишинг-афер — уровень осведомленности пользователей о правилах работы компаний, от имени которых действуют преступники. Чтобы не попасться на их удочку, следует запомнить простое правило: банки никогда не рассылают писем с просьбой в онлайновом режиме подтвердить номер своей кредитной карты и ее PIN-код.
По материалам из Интернета
Ловись, рыбка...
Когда готовилась данная статья, несколько сотрудников нашей редакции получили одинаковые письма (текст оригинала сохранен):
From: администрация Интернет-Лотереи [mailto:boon_hwe@967andy.com]
Sent: Thursday, March 10, 2005 7:50 PM
To: Ххххххххх Ххххххх
Subject: Ваш почтовый ящик стал выйгрышным!!!
Поздравляем!!! Вы стали победителем конкурса e-mail адресов. Конкурс проводился на основе произвольного выбора из базы e-mail адресов абонента и присвоение ему титула «Победитель». Всего выигравших абонентов 845. Сумма выигрыша для всех составила по 25000. Розыгрышь проводился при содействии всех крупных владельцев E-mail серверов. Для получения выигрыша оплатите госпошлину. Требуется для оформления документов и открытия счета. Сумма оплаты составляет 194 рубля.
Оплаченная сумма автоматически зачислится как уплаченный вами налог. В течении 48 часов после оплаты вам придет инструкция, излагающая в себе весь процесс получения выигрыша.
Платеж можно осуществить в любом отделении Сбербанка РФ, через кассу оплаты коммунальных услуг и операторов сотовой связи и так же через любой коммерческий банк.
Оплата через сбербанк осуществляется по ниже перечисленным реквизитам:
Получатель: ООО «ТРАНСФЕРТНЫЕ СИСТЕМЫ»
Банк получателя: ФБ ФИЛИАЛ ИЖЕВСКИЙ ОАО ИМПЭКСБАНК
ИНН: 1833034334
КПП: 183301001
БИК: 049401898
Р/С: 40702810300200000680
К/С: 30101810200000000898
Назначение платежа: «Перевод на RUR457841247. Без НДС.»
Если непонятно как совершить перевод, то в подойдите в любое отделение сбербанка и Вам там всё разъяснят.
Для любых коммерческих банков платёжное поручение (квитанция) прикреплено к письму (необходимо распечатать).
С уважением, Администрация.
Надеюсь, прочитав наш материал, вы не будете попадаться в подобные ловушки.
Охота на браконьеров началась
Недавно в американском сенате обсуждался закон о борьбе с фишингом. В качестве наказания за этот вид мошенничества предлагались штрафы в размере до 250 тыс. долл. и лишение свободы на срок до пяти лет.
«Некоторых участников фишинг-афер следовало бы привлечь к суду за мошенничество или кражу идентификационных данных. Однако зачастую обвинение можно предъявить только в том случае, если от действий аферистов кто-то пострадал. Это оставляет им массу времени, чтобы замести следы», — говорилось в сенате. Согласно недавнему исследованию Антифишинговой рабочей группы (APWG), средний срок жизни фишинг-сайта не превышает шести дней.
Обсуждалась также новая мошенническая технология — фарминг. В отличие от фишинга здесь используется не электронная почта, а «дыры» в браузерах. С их помощью мошенники перенаправляют пользователей на специальные поддельные сайты.
Ранее ни фишинг, ни фарминг не расценивались как интернет-мошенничество. Но поскольку такие методы подрывают доверие к электронной коммерции, в США решили с ними разобраться.
По материалам из Интернета