Это компьютерное мошенничество при котором пользователь попадает

Это компьютерное мошенничество при котором пользователь попадает

экономические науки

  • Мустафина Наиля Мугаттаровна , бакалавр, студент
  • Башкирский Государственный Аграрный Университет
  • Шарафутдинов Айдар Газизьянович , кандидат наук, доцент, доцент
  • Башкирский государственный аграрный университет
  • ИНТЕРНЕТ
  • ФИШИНГ
  • КОМПЬЮТЕРНОЕ МОШЕННИЧЕСТВО
  • ИНФОРМАЦИЯ

Похожие материалы

На сегодняшний день технический прогресс не стоит на месте. С каждым годом появляются все более усовершенствованные технологии, которые облегчают и упрощают жизнь населению, делают эту жизнь более комфортной. Однако, с появлением новых информационных технологий, получил развитие новый вид преступности, связанный с применением новейших технологий – компьютерное мошенничество.

Компьютерное мошенничество представляет собой умыщленное раскрытие информации, замена или искажение данных, хищение чужого имущества или приобретение права на него путем обмана или злоупотребления доверием с использованием компьютерных систем.

Федеральным законом № 207-ФЗ от 29.11.2012 в действующий Уголовный кодекс Российской Федерации включена статья 159.6 «Мошенничество в сфере компьютерной информации» [1]. Указанное деяние находится в одном ряду с мошенничеством в сфере кредитования, при получении выплат, с использованием платежных карт, в области предпринимательской деятельности, в области страхования.

Наиболее распространенные виды компьютерного мошенничества:

  • аукционные мошенничества/интернет-мошенничества – например, несуществующая победа на аукционе в интернете, либо на каком-то портале находят товар и рекомендуют его купить, покупатель переводит деньги, но товар не получает;
  • мошенничество с банковскими карточками – без ведома человека и без его согласия по его карточке снимаются деньги с его счета;
  • мошенничество с кредитными карточками и манипуляции с расчетным счетом – без ведома человека и без его согласия с его расчетного счета производились денежные сделки (сделаны перечисления, оплата кредитной карточкой и т.п.);
  • манипуляции с виртуальными счетами/телефонами – по мобильному телефону, не принадлежащему мошеннику, заказаны платные услуги или перечислены на некий виртуальный счет деньги (например, Rate SOL, заказы «Теста смерти» теста IQ, мелодий игр и т.д.).

Все виды компьютерного мошенничества описать невозможно, поскольку виртуальный мир развивается очень быстро. К сожалению, приходится отметить, что столь же быстро развивается мошенничество.

Чтобы создать общую картину о преступлениях в сфере компьютерной информации и провести анализ квалификации этих преступлений в разных странах необходимо привести пример «кибер – мошенничества». Одним из широко распространённых примеров « кибер – мошенничества», которое совершается во многих странах, является «фишинг». Вкратце суть «фишинга» можно свести к следующему. Мошенник, обманывая пользователя, заставляет его предоставить свою конфиденциальную информацию: данные для выхода в Интернет (имя и пароль), информацию о кредитных картах и т.д. При этом необходимо отметить, что все действия жертва выполняет абсолютно добровольно, не понимая, что она делает на самом деле. Для этого используются технологии социальной инженерии. На сегодняшний день «фишинг» можно разделить на три вида – почтовый, онлайновый и комбинированный. Почтовый – самый старый. При этом по электронной почте присылается специальное письмо с требованием выслать какие-либо данные. Под «онлайн фишингом» подразумевается, что злоумышленники копируют какие-либо сайты (наиболее часто это Интернет — магазины онлайновой торговли). При этом используются похожие доменные имена и аналогичный дизайн. Ну а дальше все просто. Жертва, попадая в такой магазин, решает приобрести какой-либо товар. Причем число таких жертв достаточно велико, ведь цены в таком «несуществующем» магазине будут буквально бросовыми, а все подозрения рассеиваются ввиду известности копируемого сайта. Покупая товар, жертва регистрируется и вводит номер и прочие данные своей кредитной карты. Такие способы «фишинга» существуют уже достаточно давно. Благодаря распространению знаний в области информационной безопасности они постепенно превращаются в неэффективные способы «отъема денег» [3].

Если обратиться к международной практике, то в Германии, к примеру, такие деяния квалифицируются, как «намерение получить для себя или третьего лица имущественную выгоду, путём причинения вреда имуществу другого лица, воздействуя на результат обработки данных вследствие неправильного создания программ, использования неправильных или неполных данных, путём неправомочного использования данных или иного неправомочного воздействия на результат обработки данных», а в УК Австрии, как «имущественный вред, причинённый с целью извлечения незаконной выгоды для преступника или третьего лица, путём влияния на процессы автоматизированной обработки данных с помощью специальных программ, ввода, изменения или уничтожения данных или иным способом, влияющим на процесс обработки данных». Из формулировки этих статей можно понять, что в роли объекта выступает не компьютер или процессы автоматизированной обработки данных, а специальные программы, как способ, с помощью которого лицо совершает деяние. Возможно, такая формулировка является наиболее правильной. Анализируя состав мошенничества, обнаруживаются существенные противоречия применительно к преступлениям в сфере компьютерной информации, эти противоречия проявляются как в объекте, так и в квалифицирующих признаках[4].

На наш взгляд любые виды хищения с применением компьютерных технологий необходимо вводить в качестве квалифицирующего признака кражи, когда речь идет не об обмане конкретных потерпевших с использованием ИТ технологий, а именно как этo предусмотрено нормами ст. 159.6 УК РФ «хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей» [1] или же вводить дополнительные статьи, регулирующих ответственность за любые виды хищения с применением компьютерных технологий.

Исходя из вышеизложанного, можно сказать , что компьютерное мошенничество присутствует во всех сферах жизни общества и очень быстро развивается. Мы живем в мире, где информация является самым ценным ресурсом. Поэтому к данному вопросу необходимо уделять больше внимания.

Список литературы

  1. Уголовный кодекс Российской Федерации // Справочно-правовая система «КонсультантПлюс».
  2. Алферова Ю.О. Проблемы квалификации компьютерного мошенничества [Электронный ресурс]: научная электронная библиотека. URL: http://cyberleninka.ru/ (дата обращения 30.05.2016)
  3. Елин В.М. Мошенничество в сфере компьютерной информации как новый состав преступления [Электронный ресурс]: научная электронная библиотека. URL: http://cyberleninka.ru/ (дата обращения 30.05.2016)
  4. Шебанов Д.В. О некоторых проблемах квалификации мошенничества в сфере компьютерной информации [Электронный ресурс]: научная электронная библиотека. URL: http://cyberleninka.ru/ (дата обращения 30.05.2016)
  5. Блазуцкая Е.Ю., Шарафутдинов А.Г. Вирусы нового поколения и антивирусы [Электронный ресурс]: научный журнал/ NovaInfo.Ru. 2015. Т. 1. № 35. С. 92-94.
  6. Абдуллин А.Р. Антивирусные программы — выбери лучший щит [Электронный ресурс]: В сборнике: Студент и аграрная наука Материалы III Всероссийской студенческой конференции. 2009. С. 258-259.
  7. Абхалимова Р.С., Шарафутдинов А.Г. Информационные технологии xxi века [Электронный ресурс]: научный журнал /Экономика и социум. 2014. № 2-5 (11). С. 234-236.

Электронное периодическое издание зарегистрировано в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), свидетельство о регистрации СМИ — ЭЛ № ФС77-41429 от 23.07.2010 г.

Соучредители СМИ: Долганов А.А., Майоров Е.В.

Техника фишинга была подробно описана в 1987 году, а сам термин появился 2 января 1996 года в новостной группе alt.online-service.America-Online сети Usenet [2] [3] , хотя возможно его более раннее упоминание в хакерском журнале 2600 [4] .

Ранний фишинг на AOL

Фишинг на AOL тесно связан с варез-сообществом, занимавшимся распространением программного обеспечения с нарушением авторского права, мошенничеством с кредитными картами и другими сетевыми преступлениями. После того, как в 1995 году AOL приняла меры по предотвращению использования поддельных номеров кредитных карт, злоумышленники занялись фишингом для получения доступа к чужим аккаунтам [5] .

Фишеры представлялись сотрудниками AOL и через программы мгновенного обмена сообщениями обращались к потенциальной жертве, пытаясь узнать её пароль [6] . Для того, чтобы убедить жертву, использовались такие фразы, как «подтверждение аккаунта», «подтверждение платёжной информации». Когда жертва говорила пароль, злоумышленник получал доступ к данным жертвы и использовал её аккаунт в мошеннических целях и при рассылке спама. Фишинг достиг таких масштабов, что AOL добавила ко всем своим сообщениям фразу: «Никто из работников AOL не спросит Ваш пароль или платёжную информацию».

После 1997 года AOL ужесточила свою политику в отношении фишинга и вареза и разработала систему оперативного отключения мошеннических аккаунтов. В то же время многие фишеры, по большей части подростки, уже переросли свою привычку [7] , и фишинг на серверах AOL постепенно сошёл на нет.

Переход к финансовым учреждениям

Захват учётных записей AOL, позволявший получить доступ к данным кредитной карты, показал, что платёжные системы и их пользователи также уязвимы. Первой известной попыткой стала атака на платёжную систему e-gold в июне 2001 года, второй стала атака, прошедшая вскоре после теракта 11 сентября [8] . Эти первые попытки были лишь экспериментом, проверкой возможностей. А уже в 2004 году фишинг стал наибольшей опасностью для компаний, и с тех пор он постоянно развивается и наращивает потенциал [9] .

Читайте также:  Pioneer vsx 922 инструкция

Фишинг сегодня

Целью фишеров сегодня являются клиенты банков и электронных платёжных систем. В США, маскируясь под Службу внутренних доходов, фишеры собрали значительные данные о налогоплательщиках [10] . И если первые письма отправлялись случайно, в надежде на то, что они дойдут до клиентов нужного банка или сервиса, то сейчас фишеры могут определить, какими услугами пользуется жертва, и применять целенаправленную рассылку [11] . Часть последних фишинговых атак была направлена непосредственно на руководителей и иных людей, занимающих высокие посты в компаниях [12] .

Социальные сети также представляют большой интерес для фишеров, позволяя собирать личные данные пользователей [13] : в 2006 году компьютерный червь разместил на MySpace множество ссылок на фишинговые сайты, нацеленные на кражу регистрационных данных [14] ; в мае 2008 года первый подобный червь распространился и в популярной российской сети ВКонтакте [15] [16] . По оценкам специалистов, более 70 % фишинговых атак в социальных сетях — успешны [17] .

Фишинг стремительно набирает свои обороты, а оценки ущерба сильно разнятся: по данным компании Gartner, в 2004 году жертвы фишеров потеряли 2,4 млрд долларов США [18] , в 2006 году — ущерб составил 2,8 млрд долларов [19] , в 2007 — 3,2 миллиарда [20] ; в одних лишь Соединённых Штатах в 2004 году жертвами фишинга стали 3,5 миллиона человек [19] , к 2008 году число пострадавших от фишинга в США возросло до 5 миллионов [21] .

Техника фишинга

Социальная инженерия

Человек всегда реагирует на значимые для него события. Поэтому фишеры стараются своими действиями встревожить пользователя и вызвать его немедленную реакцию. Поэтому, к примеру, электронное письмо с заголовком «чтобы восстановить доступ к своему банковскому счёту …», как правило, привлекает внимание и заставляет человека пройти по веб-ссылке для получения более подробной информации.

Веб-ссылки

Большинство методов фишинга сводится к тому, чтобы замаскировать поддельные ссылки на фишинговые сайты под ссылки настоящих организаций. Адреса с опечатками или субдомены часто используются мошенниками.

Например http://www.yourbank.example.com/ похож на адрес банка Yourbank, а на самом деле он ссылается на фишинговую составляющую сайта example.com. Другая распространённая уловка заключается в использовании внешне правильных ссылок, в реальности ведущих на фишинговый сайт. Например, http://ru.wikipedia.org/wiki/Правда приведёт не на статью «Правда», а на статью «Ложь».

Один из старых методов обмана заключается в использовании ссылок, содержащих символ «@», который применяется для включения в ссылку имени пользователя и пароля [22] . Например, ссылка http://www.google.com@members.tripod.com/ приведёт не на www.google.com, а на members.tripod.com от имени пользователя www.google.com. Эта функциональность была отключена в Internet Explorer [23] , а Mozilla Firefox [24] и Opera выдают предупреждение и предлагают подтвердить переход на сайт. Но это не отменяет использование в HTML-теге значения href, отличного от текста ссылки.

Ещё одна проблема была обнаружена при обработке браузерами Интернациональных Доменных Имён: адреса, визуально идентичные официальным, могли вести на сайты мошенников.

Обход фильтров

Фишеры часто используют изображения вместо текста, что затрудняет обнаружение мошеннических электронных писем антифишинговыми фильтрами [25] . Но специалисты научились бороться и с этим видом фишинга. Так, фильтры почтовых программ могут автоматически блокировать изображения, присланные с адресов, не входящих в адресную книгу [26] . К тому же появились технологии, способные обрабатывать и сравнивать изображения с сигнатурами однотипных картинок, используемых для спама и фишинга [27] .

Веб-сайты

Обман не заканчивается на посещении жертвой фишингового сайта. Некоторые фишеры используют JavaScript для изменения адресной строки [28] . Это достигается либо путём размещения картинки с поддельным URL поверх адресной строки либо закрытием настоящей адресной строки и открытием новой с поддельным URL [29] .

Злоумышленник может использовать уязвимости в скриптах подлинного сайта [30] . Этот вид мошенничества (известный как межсайтовый скриптинг) наиболее опасен, так как пользователь авторизуется на настоящей странице официального сайта, где всё, — от веб-адреса до сертификатов, выглядит подлинным. Подобный фишинг очень сложно обнаружить без специальных навыков. Данный метод применялся в отношении PayPal в 2006 году [31] .

Для противостояния антифишинговым сканерам фишеры начали использовать веб-сайты, основанные на технологии Flash. Внешне подобный сайт выглядит как настоящий, но текст скрыт в мультимедийных объектах [32] .

Новые угрозы

Сегодня фишинг выходит за пределы интернет-мошенничества, а поддельные веб-сайты стали лишь одним из множества его направлений. Письма, которые якобы отправлены из банка, могут сообщать пользователям о необходимости позвонить по определённому номеру для решения проблем с их банковскими счетами [33] . Эта техника называется вишинг (голосовой фишинг). Позвонив на указанный номер, пользователь заслушивает инструкции автоответчика, которые указывают на необходимость ввести номер своего счёта и PIN-код. К тому же вишеры могут сами звонить жертвам, убеждая их, что они общаются с представителями официальных организаций, используя фальшивые номера [34] [35] . В конечном счёте, человека также попросят сообщить его учётные данные [36] .

Набирает свои обороты и SMS-фишинг, также известный как смишинг (англ. SMiShing — от «SMS» и «фишинг») [37] . Мошенники рассылают сообщения, содержащие ссылку на фишинговый сайт, — входя на него и вводя свои личные данные, жертва аналогичным образом передаёт их злоумышленникам [38] . В сообщении также может говориться о необходимости позвонить мошенникам по определённому номеру для решения «возникших проблем» [39] . Встречается и следующий вид SMS-фишинга: на подставном сайте для получения какой-либо услуги просят отправить SMS на предложенный номер или ввести свой номер сотового телефона, чаще всего это фэйки файлообменных сервисов. В первом случае с телефонного счёта абонента списывается крупная (возможно, максимальная предусмотренная контрактом) сумма, во втором случае номер добавляется в базу адресов рассылки SMS-спама и может использоваться для дальнейших фишинговых действий.

Борьба с фишингом

Существуют различные методы для борьбы с фишингом, включая законодательные меры и специальные технологии, созданные для защиты от фишинга.

Обучение пользователей

Один из методов борьбы с фишингом заключается в том, чтобы научить людей различать фишинг и бороться с ним. Люди могут снизить угрозу фишинга, немного изменив своё поведение. Так, в ответ на письмо с просьбой «подтверждения» учётной записи (или любой другой обычной просьбой фишеров) специалисты советуют связаться с компанией, от имени которой отправлено сообщение, для проверки его подлинности. Кроме того, эксперты рекомендуют самостоятельно вводить веб-адрес организации в адресную строку браузера вместо использования любых гиперссылок в подозрительном сообщении [40] .

Практически все подлинные сообщения организаций содержат в себе упоминание некой информации, недоступной для фишеров. Некоторые, например, PayPal, всегда обращаются к своим адресатам по именам, а письмо с общим обращением «Уважаемый клиент PayPal» может расцениваться как попытка фишинга [41] . Письма от банков и кредитных учреждений часто содержат в себе часть номера счёта. Однако недавние исследования показали [42] , что люди не различают появление первых цифр счёта или последних цифр, в то время как первые цифры могут быть одинаковы для всех клиентов финансового учреждения. Людям можно объяснить, что подозрительны любые письма, не содержащие какой-либо конкретной личной информации. Но фишинговые атаки начала 2006 года содержали подобную персональную информацию, следовательно, наличие подобной информации не гарантирует безопасность сообщения [43] . Кроме того, по результатам другого исследования было выяснено, что присутствие личной информации существенно не изменяет процент успеха фишинговых атак, что свидетельствует о том, что большинство людей вообще не обращает внимания на подобные детали [44] .

Антифишинговая рабочая группа считает, что обычные методы фишинга в скором времени устареют, поскольку люди всё больше узнают о социальной инженерии, используемой фишерами [45] . Эксперты считают, что в будущем более распространёнными методами кражи информации будут фарминг и различные вредоносные программы.

Технические методы

Браузеры, предупреждающие об угрозе фишинга

Другим направлением борьбы с фишингом является создание списка фишинговых сайтов и последующая сверка с ним. Подобная система существует в браузерах Internet Explorer, Mozilla Firefox, Google Chrome, Safari и Opera [46] [47] [48] [49] . Firefox использует антифишинговую систему Google. Opera использует чёрные списки PhishTank и GeoTrust и списки исключений GeoTrust. По результатам независимого исследования 2006 года Firefox был признан более эффективным в обнаружении фишинговых сайтов, чем Internet Explorer [50] .

Читайте также:  Как очистить компьютер от ненужного мусора

В 2006 году появилась методика использования специальных DNS-сервисов, фильтрующих известные фишинговые адреса: этот метод работает при любом браузере [51] и близок использованию hosts-файла для блокировки рекламы.

Усложнение процедуры авторизации

Сайт Bank of America [52] [53] предлагает пользователям выбрать личное изображение и показывает это выбранное пользователем изображение с каждой формой ввода пароля. И пользователям банковских услуг следует вводить пароль лишь тогда, когда они видят выбранное изображение. Однако недавнее исследование показало, что отсутствие изображения не останавливает большинство пользователей при вводе пароля [54] [55] .

Борьба с фишингом в почтовых сообщениях

Специализированные спам-фильтры могут уменьшить число фишинговых электронных сообщений, получаемых пользователями. Эта методика основывается на машинном обучении и обработке естественного языка при анализе фишинговых писем [56] [57] .

Услуги мониторинга

Некоторые компании предлагают банкам и прочим организациям, потенциально подверженным фишинговым атакам, услуги круглосуточного контроля, анализа и помощи в закрытии фишинговых сайтов [58] . Физические лица могут помогать подобным группам [59] (например PhishTank [60] ), сообщая о случаях фишинга.

Юридические меры

26 января 2004 года Федеральная комиссия по торговле США подала первый иск против подозреваемого в фишинге. Ответчик, подросток из Калифорнии, обвинялся в создании веб-страницы, внешне схожей с сайтом AOL, и краже данных кредитных карт [61] . Другие страны последовали этому примеру и начали искать и арестовывать фишеров. Так, в Бразилии был арестован Вальдир Пауло де Альмейда, глава одной из крупнейших фишинговых преступных группировок, в течение двух лет укравшей от 18 до 37 миллионов долларов США [62] . В июне 2005 года власти Великобритании осудили двух участников интернет-мошенничества [63] . В 2006 году японской полицией было задержано восемь человек по подозрению в фишинге и краже 100 миллионов иен (870 000 долларов США) [64] . Аресты продолжались в 2006 году — в ходе спецоперации ФБР задержало банду из шестнадцати участников в Европе и США [65] .

В Соединённых Штатах Америки 1 марта 2005 года сенатор Патрик Лехи представил Конгрессу проект Антифишингового закона. Если бы этот законопроект был принят, то преступники, создающие фальшивые веб-сайты и рассылающие поддельную электронную почту, подвергались бы штрафу до 250 тысяч долларов и лишению свободы сроком до пяти лет [66] . В Великобритании был принят Закон о мошенничестве 2006 года [67] , предусматривающий ответственность за мошенничество в виде тюремного заключения сроком до 10 лет, а также запрещающий владение или разработку фишинговых инструментов для совершения мошенничества [68] .

Компании также принимают участие в борьбе с фишингом. 31 марта 2005 года Microsoft подала 117 судебных исков в федеральный окружной суд США Западного округа, обвиняющих «Джона Доу» в получении паролей и конфиденциальной информации. Март 2005 года был отмечен началом партнёрства Microsoft и правительства Австралии по обучению сотрудников правоохранительных органов борьбе с различными кибер-преступлениями, в том числе фишингом [69] .

В январе 2007 года Джеффри Бретт Гудин из Калифорнии был признан виновным в рассылке тысяч сообщений электронной почты пользователям America Online от имени AOL, убеждая клиентов раскрыть конфиденциальную информацию. Имея шанс получить 101 год заключения за нарушения законодательства, мошенничество, несанкционированное использование кредитных карт, а также неправомерное использование товарных знаков AOL, он был приговорён к 70 месяцам заключения [70] [71] [72] [73] .

В Российской Федерации первое крупное дело против банды фишеров началось в сентябре 2009 года. По самым скромным оценкам мошенники похитили около 6 миллионов рублей. Злоумышленники обвиняются в неправомерном доступе к компьютерной информации и мошенничестве в особо крупном размере [74] . Отдельные процессы имели место и ранее: так, в 2006 году суд признал виновным Юрия Сергостьянца, участвовавшего в похищении денег со счетов американских брокерских компаний. Мошенник был приговорен к 6 годам условного срока и возмещению компаниям ущерба в размере 3 миллионов рублей [75] . Но в целом правовая борьба в России ограничивается лишь незначительными судебными разбирательствами, редко оканчивающимися серьёзными приговорами.

Как считает ведущий специалист Следственного комитета при МВД по расследованию преступлений в сфере компьютерной информации и высоких технологий подполковник юстиции Игорь Яковлев, основная проблема в расследовании подобных преступлений в России заключается в недостатке специалистов, обладающих достаточными знаниями и опытом, чтобы довести дело не только до суда, но и до обвинительного вердикта [76] . Руководитель подразделения Центра информационной безопасности ФСБ России Сергей Михайлов добавляет, что «в России самое лояльное законодательство по отношению к киберпреступности». Также плохо налажено сотрудничество с зарубежными структурами, что мешает скоординированной борьбе с преступниками [77] .

Разбираемся с инструментарием интернет-мошенников: использование SMS, вредоносных программ и другие схемы

Начну без предисловий, с определения фишинга из статьи в Википедии (https://ru.wikipedia.org/wiki/%D0%A4%D0%B8%D1%88%D0%B8%D0%BD%D0%B3): «Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — учетным записям и паролям. Это достигается путем проведения массовых рассылок электронных писем от имени популярных торговых марок, а также личных сообщений внутри различных служб, например от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом (включенной функцией перенаправления). После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приемами побудить пользователя ввести на поддельной странице свои имя учетной записи и пароль, которые используются для доступа к определенному сайту, что позволяет мошенникам получить доступ к конфиденциальным учетным записям и банковским счетам».

Фишинг — разновидность социальной инженерии, основанная на незнании пользователями основ сетевой безопасности: в частности, многие не знают о том, что службы не рассылают писем с просьбами сообщить свои учетные данные, пароль и пр. Для защиты от фишинга производители основных интернет-браузеров договорились о применении одинаковых способов информирования пользователей о том, что они открыли подозрительный сайт, который может принадлежать мошенникам.

Вместе с тем стоит отметить, что, несмотря на популярность данного метода у злоумышленников, большое распространение получили и другие разновидности фишинга — смишинг и вишинг.

Смишинг (англ. SMiShing — от «SMS» и «фишинг») — вид фишинга, при котором используются короткие сообщения SMS. Мошенники отправляют жертве SMS-сообщение, содержащее ссылку на фишинговый сайт и мотивирующее получателя зарегистрироваться на этом сайте. Как вариант жертве предлагается отправить в ответном сообщении SMS конфиденциальную информацию, касающуюся реквизитов или персональных параметров доступа на информационно-платежные ресурсы в Интернете. Давайте рассмотрим эту тему подробнее (https://ru.wikipedia.org/wiki/%D0%A1%D0%BC%D0%B8%D1%88%D0%B8%D0%BD%0%B3) и разберемся, как выглядят подобные SMS.

Мошенничество с использованием SMS и вредоносных программ

Предположим, вы получили SMS-сообщение от компании «Avto***» о том, что вы выиграли автомобиль. Текст SMS-сообщения выглядит приблизительно так:

Pozdravlyaem, po itogam akcii Vi stali obladatelem avtomobilya «Chevrolet-AVEO» Info na www.Avto-******.ru ili po tel: +7 (919)804-**-**

Перейдя по ссылке, вы попадете на весьма качественно сделанный сайт, в котором есть раздел об истории компании, гостевая книга, контакты и даже интернет-магазин. У вас попросят копии документов и небольшую сумму на оформление выигрыша. Естественно, никакого автомобиля вы не получите, а деньги просто уйдут злоумышленникам.

Или ситуация может выглядеть так: пользователь получает SMS-сообщение от неизвестных отправителей с содержанием, показанным на экране 1. Получив сообщение, пользователь может заинтересоваться и захочет узнать, что же предлагают взамен и какое фото просят посмотреть. Расчет отправителей таких сообщений прост: усыпить бдительность получателя и так или иначе заставить его перейти на указанный ресурс. Для этого мошенники часто используют персонализированные тексты, с указанием имени и фамилии пользователя. В итоге при переходе по ссылке на мобильное устройство пользователя устанавливается вредоносная программа, которая пытается украсть личную информацию, получить доступ к функциям телефона либо заблокировать или зашифровать смартфон для дальнейшего получения выкупа за разблокировку.

Экран 1. Пример мошеннического сообщения

Аналогичная схема применяется для кражи учетных данных социальных сетей. Перейдя по ссылкам в сообщении, пользователь может попасть на страницы, очень похожие на главные страницы популярных ресурсов, например как на экране 2.

Читайте также:  Восстановление винды через биос
Экран 2. Фальшивая страница известного ресурса

Введя свои данные в соответствующее поле, пользователь отдает в руки злоумышленников доступ к учетной записи и, как следствие, к контактам друзей и личным фотографиям. Все это можно использовать в других схемах мошенничества.

Платные номера

Еще один распространенный вид мошенничества — указание платных номеров в просьбах о помощи. К примеру, сообщения в социальных сетях о срочном поиске донорской крови для умирающего ребенка с указанием лишь номера мобильного телефона. При звонке на данный номер со счета человека, желающего помочь и сдать кровь, снимается определенная сумма денег. Или другой очень распространенный пример: угроза жизни породистых щенков, которых почему-то собираются усыпить, а не продать.

Главная опасность такой мошеннической схемы — очень быстрое распространение в социальных сетях. Пользователи делятся данной записью со своими подписчиками и призывают помочь людям или животным. Указанную в записи информацию почти никто не проверяет.

«Голодные номера»

Другая беда, связанная с благотворительностью и телефонными номерами, — фальшивые сборы средств на так называемые «голодные номера»: номера телефонов, на которые просят перевести деньги. Рассчитывая на человеческое сострадание, мошенники наживаются на самых благих побуждениях, лишая финансовой поддержки тех, кто в этом действительно нуждается. Проверьте реквизиты, указанные в объявлении или сообщении для сбора средств, с помощью поисковых систем. Злоумышленники могут копировать реальные просьбы о помощи, создавать новые похожие сайты и сообщения в социальных сетях, подставляя свои реквизиты, которые могут не меняться продолжительное время.

Угроза для бизнеса

Стать жертвой мошенников, которых можно вычислить по номеру телефона, могут не только отдельные пользователи, но и компании. Злоумышленники создают точные копии сайтов крупных компаний и размещают их на доменах, немного отличающихся от оригинальных. На поддельном сайте указываются недостоверные контактные данные (например, в качестве контакта отдела продаж). Такие сайты используются для незаконного завладения денежными средствами потребителей продукции подлинной компании, чей сайт был скопирован путем получения предоплаты за обещанные контракты. Результатом такой атаки для компании могут стать многомилионные убытки, а также ущерб репутации.

Вымогательство по SMS

Запугать человека — любимая уловка злоумышленников. Например, отправкой сообщения якобы от близкого человека жертвы с просьбой о срочной финансовой помощи (экран 3).

Экран 3. Пример мошеннического сообщения с требованием перевода денег

С подобными рассылками сталкивались многие, и все говорит о том, что автором такого сообщения является мошенник. Однако страх за близких заставляет нас порой совершать нерациональные поступки.

Вишинг

Впервые такая разновидность мошен­ничества, как вишинг (vishing — voice fishing), была зафиксирована в 2006 году. Вишинг представляет собой разновидность фишинга и реализуется с использованием программ для автоматического набора номеров, war diallers, а также расширенных функций интернет-телефонии (VoIP). Схема обмана мало чем отличается от фишинга: пользователи платежной системы получают якобы от администрации сообщения по почте, в которых им предлагается прислать свои пароли и счета. Но если в случае с фишингом прилагается ссылка на поддельный сайт, то при вишинге пользователю предлагают позвонить по городскому телефонному номеру. При звонке автомат зачитывает сообщение, в котором абонента просят предоставить свои конфиденциальные данные. Сложность в раскрытии этого вида мошенничества заключается в том, что развитие интернет-телефонии позволяет перенаправлять звонки на городской номер в любую точку мира, причем абонент даже не будет об этом подозревать.

Компания Secure Computing сообщила о самом изощренном способе обмана по схеме вишинга: электронная почта вообще не использовалась, так как злоумышленники запрограммировали компьютер так, чтобы тот набирал телефонные номера из базы данных и проигрывал заранее записанное сообщение, в котором абонента предупреждали, что сведения о его кредитной карте оказались в руках мошенников, поэтому ему необходимо с телефонной клавиатуры ввести номер кредитной карты и другую информацию.

Теоретически клиент звонит в банк, а на самом деле телефонная линия уже находится под контролем хакеров. В этом случае мошенник просит звонящего сообщить некую учетную информацию, чтобы связаться со службой поддержки банка. По информации Secure Computing, мошенники настраивают программу на набор номеров в конкретном регионе. В момент ответа происходит следующее.

  • Автоответчик информирует пользователя, что с его кредитной картой производятся мошеннические действия, и рекомендует быстро перезвонить по некоему номеру.
  • Когда жертва перезванивает по этому номеру, ей отвечает «компьютерный голос», говорящий, что пользователь должен пройти идентификацию и ввести номер карты и другие данные с клавиатуры телефона.
  • Как только номер карты введен, мошенник получает всю информацию (адрес, номер телефона, полное имя).
  • Используя этот звонок, мошенник может получить и другую дополнительную информацию, такую как срок действия карты, PIN-код, номер банковского счета и дата рождения.

Как защититься от подобного вида мошенничества? Существует несколько простых способов, которые обезопасят вас.

  • Все кредитные организации по электронной почте или телефону обращаются к клиенту по имени и фамилии. Если в обращении это не указано, то, скорее всего, имеет место факт мошенничества.
  • Ни в коем случае не звоните по вопросам безопасности банковского счета или кредитной карты по предложенному номеру телефона. На всех платежных картах указывается специальный телефонный номер, по которому вы должны звонить.
  • Если звонящий представляется вашим провайдером и задает вопросы относительно конфиденциальных данных, то он, скорее всего, мошенник.

Что общего в двух описанных способах мошенничества? В обоих случаях используется телефон. И если бы вы знали заранее, кому принадлежит тот или иной номер и могли бы проверить его по базе спамеров, жизнь злоумышленников была бы намного сложнее. Не секрет, что такие программы с базами злоумышленников существуют. Однако стоит упомянуть, что в базах, как правило, представлены иностранные номера. А телефонов из России очень мало. Сегодня ситуация изменилась с выходом нового продукта — Kaspersky Lab WhoCalls.

Программа WhoCalls помогает не только бороться со спамом и избегать нежелательных звонков, ее можно использовать для получения данных о неизвестных отправителях сообщений. Достаточно ввести в интерфейсе программы WhoCalls номер телефона, с которого пришло сообщение, и, если в базе есть такой номер, вы увидите всю информацию о конкретном отправителе (экран 4). Что в итоге убережет вас от мошеннических схем и позволит сохранить нервы и деньги. Загрузить данное приложение можно в магазине Google Play.

Экран 4. Интерфейс программы WhoCalls

Kaspersky Who Calls

Kaspersky WhoCalls — это бесплатный автоматический определитель номера (экран 5), который проверяет все входящие вызовы с неизвестных номеров, чтобы вы точно знали, стоит ли брать трубку. Вы даже можете самостоятельно добавлять подозрительных личностей в базу данных спамеров, ведь общая безопасность начинается с каждого из нас.

Экран 5. Kaspersky WhoCalls

Сведения о звонящем. Автоматический определитель номера мгновенно отображает данные о входящем или пропущенном вызове с неизвестного номера, в том числе название организации, на которую зарегистрирован телефон, ее категорию и репутацию номера. Определитель поможет не упустить важные звонки в потоке информационного шума.

Предупреждение о спаме и мошенничестве. Составленный пользователями список спамеров оградит вас от навязчивых продавцов или мошенников. Kaspersky WhoCalls может сразу предупредить вас, показав подробную информацию о звонящем, а может автоматически заблокировать известного спамера, чтобы избавить вас от неприятного разговора.

Блокирование подозрительных вызовов по вашему обращению. Ваша помощь пригодится для защиты общества от спама и мошенников: достаточно добавить нежелательный номер в список антиспама.

Данная программа определяет неизвестные номера во входящих и пропущенных вызовах, помогает проверять неизвестные телефонные номера, блокирует нежелательные звонки и показывает сведения о них, постоянно повышает точность определения спама за счет обновления соответствующих баз.

Для определения неизвестных и анонимных вызовов Kaspersky WhoCalls не требует от вас номера телефона и списка контактов: программа не извлекает ваши данные и не публикует их. Вместе с тем необходимо учесть, что метки о спаме предоставляются только на основании данных других пользователей, их нельзя считать оценкой компании.

Поделитесь материалом с коллегами и друзьями

Ссылка на основную публикацию
Шпионский софт родом из холода
Borderlands: The Pre-Sequel! Разработчики 2K Australia Gearbox Software Издатели 2K Games Часть серии Borderlands Дата выпуска 17 октября 2014 года...
Что делать если плохо работает отпечаток пальца
Владельцы современных смартфонов на платформе Android нередко сталкиваются с тем, что сканер отпечатков пальцев реагирует недостаточно быстро и точно. Зачастую...
Что делать если пропал звук в наушниках
Всё о Интернете, сетях, компьютерах, Windows, iOS и Android Нет звука в наушниках на телефоне — что делать?! А Вы...
Штампованные диски арриво отзывы
Приветствую всех! Запись будет, как Вы уже догадались, о дисках.Дело в том, что я любитель иметь на автомобиле два комплекта...
Adblock detector