Размер шрифта:

Фишинг при обслуживании в банковской сфере

Фишинг при обслуживании в банковской сфере

Хочу ознакомить Вас с технологией фишинга и всех ее возможных последствий, о которых я узнал на горьком опыте, обслуживаясь в одном из коммерческих банков.

Схемы фишинга, что это такое известно почти каждому пользователю Всемирной сети интернет. Для разработки и внедрения схемы действия фишинга в интернет не предполагает наличие у мошенника-разработчика мощного и очень дорогостоящего компьютерного оборудования, не нужны также здесь и высококлассные хакеры. Знания PHP и HTML в этом деле требуются совсем минимальные, среди фишеров редко можно обнаружить хороших высококвалифицированных программистов или дизайнеров, и если таковы имеются, то это они делают только либо из-за безделья или самовыражения и удовлетворения своих собственных амбиций.

А вот именно то, что является действительно самым нужным в организации «бизнеса», это отличные познания в психологии, или, как «модно» сейчас говорить, «навыки социального инженеринга». Любая фишинг-атака всегда проводится в три этапа. На каждом из таких этапов применяются очень простые, но существенно эффективные методы.

И так, этап первый - добыча базы e-mail.

На данном этапе это и все, что нужно мошеннику для начала его работы – список адресов электронной почты клиентов атакуемого банка-жертвы. Где добыть такие адреса, это уже отдельная специализация в среде преступного мира. Но самым простым способом получить в собственное владение такую базу данных является вербование в сообщники сотрудника банка, имеющего полный доступ к спискам e-mail клиентов банка. Вербовку можно осуществить где угодно и как угодно, это либо в сети на разных форумах, в баре, на корпоративной вечеринке, приставать с расспросами на улице, в общем, там, где наглости и фантазии не отшибить. Но лучше всего использовать технологию бизнес-разведки.

Сотрудник банка и уже подельник , как правило, продает базу примерно за свой месячный оклад, а то и ниже, которую фишер покупает. В сети еще существуют так званные «закрытые биржи», где на каждую из которых допущены всего навсего несколько человек. Обычный скромный фишер покупает необходимую ему информацию на такой бирже только через посредников. За пару-тройку тысяч долларов там можно прикупить достаточно качественную базу адресов средних по меркам величине банков. Информация же о клиентах больших, известных и солидных банков стоит гораздо больше, но, как правило, ее стоимость никак не превышает и десяти тысяч долларов.

Следующий, второй этап – сайт-имитатор (зеркальный) и письмо от имени банка.

Изложу кратко суть. «Фишинг – вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей». Банковский фишинг, организовывается соответственно путем проведения массовых рассылок электронных писем-уведомлений якобы от имени администрации банка. В письме-уведомлении в основном содержится прямая ссылка на сайт, созданный мошенником (нужно четко смотреть в адресную строку), внешне не отличимый от настоящего официального сайта банка. И когда пользователь пройдется по ссылке с письма-уведомления и окажется на сайте мошенника, может без опаски и подозрений сообщить мошенникам любые необходимые данные банковской карты, которые позволяют получить доступ к его банковскому счету.

Получив базу адресов, мошенник-фишер сначала должен сделать две вещи. Самая первая - создать страницу в сети интернет, имитирующую страницу входа в систему интернет-банкинга атакуемого банка-жертвы. И главная задача при этом – зарегистрировать домен, очень похожий на доменное имя банка. Тут в ход идут буквально все уловки: и регистрация домена в другой доменной зоне, подмена одной или двух букв в адресе, добавление слова «support» к имени банка. Главной задачей является, чтобы при беглом взгляде на адресную строку браузера «жертве»-пользователю казалось, что он находится именно на сайте своего банка.

Само же создание «страницы-ловушки» не требует особенных на то профессиональных знаний. Шаблон можно сохранить при помощи соответствующей опции распространенных браузеров. А для захвата персональных платежных данных используется простейший PHP-код. Интересно, что даже на этом этапе мошенник-организатор фишинг-атаки прибегает к помощи сторонних специалистов, выплачивая им при этом свои «кровные» 50 - 70 долларов за каждую такую сгенерированную страничку.

Чтобы «жертва»-пользователь как можно дольше не заподозрил что-то неладное, после того как данные будут введены, определенный «скрипт» переправляет «жертву»-пользователя на настоящую страницу авторизации банка. Пользователь себе сидит и думает, что наверное просто неправильно ввел данные или произошел сбой связи. Но теперь, даже внимательно изучив сайт, он ничего подозрительного и не обнаружит – поскольку теперь он действительно находится на настоящем сайте банка.

Второе, что делает мошенник-фишер — забрасывает «наживку». Заманить на страницу-ловушку обладателя банковской карты можно письмом-уведомлением с логотипом банка. Образец письма и его содержание можно также выведать у нерадивого сотрудника банка или любым иным способом, при котором он сможет получить его в электронном виде. Ссылка в тексте такого письма будет содержать текстовый адрес настоящего сайта банка. Но если просмотреть свойства ссылки внимательно, можно увидеть, что ведет она на страницу-ловушку, расположенную на похожем домене.

Фишер конечно знает, что из сотен или тысяч клиентов банка внимательными и осторожными будут далеко уж не все.

Третий этап – обналичка.

Уже, после того как данные о банковских картах окажутся в полном распоряжении фишера, мошенник спокойно и не спеша совершает несколько переводов, уводя деньги через подставные банковские счета и платежные системы. Если мошенник умный и не очень жадный, то он не опустошает счета жертв полностью под ноль, а лишь скромненько снимает с них сравнительно небольшие суммы. И если он будет действовать, таким образом, то сможет отдалить тот момент, когда уже служба безопасности банка поднимет тревогу после жалобы одного из обманутых клиентов.

Несмотря на все меры предосторожности, фишеры, как правило, заканчивают свою стремительную карьеру не так, как они рассчитывают. Многие «просто пропадают» для родных и знакомых навсегда, быстро и внезапно, и не по своей воле. Многих используют в своих целях криминальные структуры, в таком случае ясно, что выйти из «бизнеса» им уже никто и никогда не позволит. Единицам везет – они становятся специалистами по безопасности у своих же банков-жертв или в курируемых спецслужбами структурах. О фишерах, которым удалось «уйти на пенсию» и насладиться «сладкими» плодами своей деятельности, никто ничего и никогда не слышал.

А простым владельцам банковских карт нужно быть очень осторожными, когда случается не вполне понятная ситуация. Рекомендации, как не стать жертвой, клиент всегда может услышать от соответственного сотрудника своего банка, или почерпнуть информацию с правил и памяток к платежным картам, которые клиенты в банке подписывают и благополучно выбрасывают в мусор, как только покидают пределы банка.

Социальные закладки:


Комментарии к этой заметке больше не принимаются.

Рейтинг популярности - на эти заметки чаще всего ссылаются:

ноябрь, 2009
пн вт ср чт пт сб вс
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30