Меню сайта

Можно взломать сайт, но проще «взломать» мозг

Можно взломать сайт, но проще «взломать» мозг


Объем несанкционированных операций с использованием платежных карт россиян, по данным Банка России, сократился в 2017 году на 11% — до 960 миллионов рублей. Годом ранее хакеры украли с карт россиян 1,08 миллиарда, а в 2015-м — 1,15 миллиарда рублей. О том, как уберечь свои «электронные кошельки» от социальных хакеров, узаете из этой статьи.

Охотники за чужими деньгами постоянно совершенствуют арсенал своих средств, умело используя возможности современных технологий: Интернета, мобильной связи, IP-телефонии. В конце прошлого года в России широко стала распространяться новая схема телефонного мошенничества, с помощью которой злоумышленники выведывают логины и пароли банковских карт.

Как на практике действуют эти методы, описали пользователи популярного антимошеннического сайта. Один из них разместил на известном интернет-портале объявление о продаже автомобильных дисков. Вскоре ему позвонил потенциальный покупатель из другого города, подробно расспросил о товаре, затем заявил, что хочет приобрести его. Но прежде, чем он переведет деньги за диски, для верности попросил прислать фото паспорта продавца и его банковской карты: хочу, мол, удостовериться, что перевожу деньги реальному человеку.

outdoor-3263009_960_720.jpg

Спустя некоторое время покупатель перезвонил и сообщил, что отправил деньги через мобильное приложение. Продавцу поступил звонок с номера одного из крупнейших коммерческих банков страны. Молодой человек вежливым голосом сообщил, что их клиент перевел некую сумму, но поскольку он является VIP-клиентом, получатель средств должен себя идентифицировать, то есть продиктовать данные своей банковской карты: ФИО, срок действия, трехзначный код на обороте карты, а также одноразовый пароль. После такой «идентификации» незадачливый продавец не только не увидел денег за продаваемые диски, но и лишился всех средств на счете, привязанном к его банковской карте.

«Где-то в глубине души я понимал, что это развод, но мне же звонили не с какого-то незнакомого номера, а со всем известного номера крупного банка, который размещен на сайте организации…» — написал обманутый мошенниками человек.

Его собрат по несчастью получил со знакомого многим картодержателям в нашей стране трехзначного сервисного номера банка сообщение на мобильный телефон о том, что с его счетом совершаются мошеннические действия и во избежание утери средств требуется позвонить по такому-то номеру. Но весь фокус-то в том, что был указан реальный номер контактного центра банка. Озадаченный владелец «пластика» позвонил. Его перевели на «специалиста службы безопасности», который подсказал, что нужно делать, а именно: отправить ответное SMS, в котором необходимо указать присланный одноразовый пароль (псевдосотрудник банка назвал его «кодом»), пробел и словосочетание «ОТМЕНА ПЕРЕВОДА». После этого деньги клиента банка бесследно исчезли. Вместе со «специалистом службы безопасности».

hands-3236059_960_720.jpg

Третий абонент оказался более финансово подкованным. Ему позвонили с того же многоканального номера, представившись сотрудниками call-центра банка, и поинтересовались, является ли держатель карты участником бонусной программы. Получив положительный ответ, учтивая «сотрудница» банка предложила обменять накопившиеся бонусы на рубли, но для этого необходимо уточнить данные карты, куда будут зачислены деньги. Продиктовав первые четыре цифры платежной карты, которые у всех держателей карт данного банка одинаковые, барышня явно ожидала, что остальные цифры озвучит обрадованный обладатель живых денег вместо виртуальных бонусов. Далее наверняка последовала бы просьба продиктовать одноразовый пароль, чтобы «деньги поступили на счет». Но, к счастью, мужчина прекрасно понимал, что в данном случае деньги с его счета поступили бы на счет мошенников, звонящих от имени сотрудников банка, и прекратил разговор.

Герои этих реальных историй обратились в службу безопасности банка, где им подтвердили, что злоумышленники действительно использовали номер, размещенный сайте организации. Оказывается, технически сделать это нетрудно. Достаточно приобрести у сотового оператора виртуальную АТС, оформить ее на временную sim-карту, причем личное присутствие для этого не требуется. Расходов-то — всего 3 тысячи в месяц. Затем через веб-интерфейс аферисты меняют номер своей станции на реально существующий номер банка и под видом его сотрудников обзванивают клиентов кредитных организаций, выясняют данные карт и воруют с них деньги.

При этом лжесотрудники банков могут отбывать сроки в местах лишения свободы или снимать квартиру в небольшом провинциальном городке, а звонить потенциальным жертвам с московского номера. Номер сотового оператора при этом не высвечивается. Зафиксированы случаи, когда мошенники использовали сочетания цифр, совпадающие с телефонными номерами учреждений Банка России в Москве и в регионах. По информации специалистов мегарегулятора, ведущие сотовые операторы страны знают об уязвимости «облачных» АТС и принимают меры для защиты своих абонентов от мошеннических действий.

coins-1015125_960_720.jpg

Ущерб от новой мошеннической схемы уже превысил 30 миллионов рублей, а пострадавших — тысячи по стране. Причем среди попавших в сети IT-«продвинутых» аферистов могут оказаться люди любого возраста.

Даже если на экране вашего мобильного телефона отобразился реально существующий номер банка, сохраненный в памяти вашего устройства, помните: сотрудники кредитных организаций никогда не звонят и не говорят клиентам, что действие их карты приостановлено и для ее разблокировки необходимо провести какие-то действия. При дистанционном обслуживании эти данные работникам банка не требуются.

Такие звонки бывают только от мошенников. В том случае, если звонок поступил с номера, комбинация цифр которого совпадает с номером банка, не паникуйте, спросите фамилию сотрудника, позвоните в отделение, где была выдана ваша платежная карта, и уточните, работает ли там такой сотрудник и действительно ли ваша карта заблокирована. Также банк не рассылает SMS о блокировке карты и никогда не запрашивает пароли для отмены операций.

money-256319_960_720.jpg

И тем более сотрудник банка не станет предлагать обменять бонусы на рубли, потому как их можно использовать только при покупке товаров в магазине.

Используя эту схему, мошенники с помощью подмены номера могут звонить от имени радиостанций, бюджетных организаций, сообщая о баснословных выигрышах в конкурсах или многотысячных компенсациях. Цель этих звонков — выведать данные карт, на которые должны поступить невесть откуда взявшиеся выигрыши. Призы, выгодные предложения, подарки, за которые нужно «доплатить», «внести залог» или еще каким-либо образом перечислить денежную сумму, — это признаки телефонного мошенничества.

«Инженеры» душ человеческих

Злоумышленники в преступных целях умело пользуются плодами современной инженерной мысли, сочетая их с навыками в области социальной инженерии.

Под понятием «социальная инженерия», иногда называемой искусством взлома человеческого сознания, подразумевается незаконный метод получения информации. Ее приемы и техники всегда направлены на рефлекторное и шаблонное поведение: они действуют в обход разума, интеллекта и осуществляются на уровне эмоций и подавлении внимания.

Махинаторы с пользой для себя эксплуатируют человеческие слабости: страх, лень, доверчивость, любопытство, желание получить что-то бесплатно. Телефонного мошенника очень просто распознать по манере общения. Главное его оружие — внезапность. «Срочно», «быстро», «немедленно», «потом объясню», «нужно быстрее» — частые слова и выражения из лексикона подобных охотников за чужими деньгами. Жулики, как правило, ведут себя очень уверенно, могут давить, настаивать или, напротив, пытаться любыми способами расположить к себе абонента. Главная задача при этом — застать врасплох, не дать обдумать ситуацию и проверить поступившую информацию, не позволить засомневаться будущей жертве обмана.

girl-926225_960_720.jpg

Синжер (сленг, которым именуют себя социальные инженеры) прекрасно знает, на какие «кнопки» следует нажимать, чтобы получить желаемый ответ. Для опытных синжеров не составит труда обойти рациональное мышление человека, им понадобятся доли секунды, чтобы добиться преимущества и получить от жертвы необходимые данные. Принципы и техники социальной инженерии базируется на нейролингвистическом программировании (НЛП) — способе использования знаний из разных областей: лингвистики, нейрологии и психологии. И даже если мошенник порою сам не знает этих научных терминов и понятий (особенно те, кто находятся в местах не столь отдаленных), многие их них на подсознательном уровне успешно используют навыки манипулирования, чтобы склонить человека к принятию «нужного» решения. Среди социальных хакеров нередко попадаются весьма «талантливые» люди, проворачивающие на редкость изощренные комбинации, перед которым снял бы шляпу сам Остап Бендер.

Социальная инженерия становится все более популярной с развитием социальных сетей, электронной почты или других видов онлайн-коммуникации в нашей жизни. Сегодня задача взломщиков человеческого сознания значительно упростилась.

Мошенники постоянно изобретают новые способы «сравнительно честного отъема денег у населения», но все же подавляющее большинство из них действуют по идентичным шаблонам. Поэтому знание приемов их «работы» позволяет распознать обман и не попасться на удочку.

wallet-2292428_960_720.jpg

Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — наиболее популярная схема социальной инженерии на сегодняшний день. Это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Наиболее ярким примером фишинговой атаки может служить подделанное под официальное письмо, отправленное жертве по электронной почте или в SMS — от банка или платежной системы, требующее проверки информации или совершения определенных действий. Письмо может быть заманчивого или пугающего содержания.

Зачастую подобные письма содержат гиперссылку, переходя по которой, пользователь попадает на фальшивый портал, внешне практически полностью копирующий подлинный. В последнее время появилось немало фейковых сайтов страховых компаний, предлагающих электронное ОСАГО. Из совсем свежего — во всемирной паутине уже насчитывается 250 сайтов, которые продают фальшивые билеты на чемпионат мира 2018 года по футболу или под предлогом их продажи выманивают у граждан данных банковских карт. Сорок подобных фишинговых сайтов обнаружены в Рунете.

По данным Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России, в 2017 году мегарегулятор лишил их владельцев прав на доменное имя 840 доменов, среди которых 740 являлись фишинговыми сайтами и 100 распространяли вредоносное программное обеспечение. К началу февраля этого года ФинЦЕРТ снял с делегирования шесть сайтов, которые под предлогом продажи билетов на ЧМ-2018 занимались фишингом. Также были заблокированы страницы 160 лжебанков, 62 — лже-МФО, 111 — лжестраховщиков и 45 финансовых пирамид.

Как противостоять фишинг-атаке

— Ни в коем случае не открывайте письма, пришедшие с незнакомых адресов.

— Не переходите по содержащимся в письмах или SMS-сообщениях ссылкам, какими заманчивыми они ни были.

— Внимательно проверяйте адреса сайтов страховых компаний, интернет-магазинов: адреса сайтов-дублеров могут отличаться даже на одну букву.

 

Вишинг (англ. vishing — voice fishing) — телефонный фишинг. Данная техника основана на использовании системы предварительно записанных голосовых сообщений с целью воссоздать «официальные звонки» от банка.

Обычно жертва получает запрос (чаще всего через фишинг по электронной почте или в SMS) связаться с банком и подтвердить или обновить какую-либо информацию. Система требует аутентификации пользователя посредством ввода PIN-кода или пароля. Поэтому, предварительно записав ключевую фразу, можно выведать всю нужную информацию. Например, это может быть произнесенная синхронизированным голосом команда: «Нажмите единицу, чтобы сменить пароль. Нажмите двойку, чтобы получить ответ оператора».

Как противостоять вишинг-атаке:

— Не вводите данные своих платежных карт и другие идентификационные данные при входе на различные сайты, с большой долей вероятности это фейковые ресурсы. Для входа в мобильные приложения банков требуется лишь ввести логин и пароль, а затем разовый пароль, который приходит в SMS клиенту банка.

Светлана Завадская.



Погода в Краснодаре
Яндекс.Погода




новости