Новости
Ракурс

Мошенничество с банковскими счетами

Мошенничество с банковскими счетами вкладчиков банков. По работе автору часто приходится бывать на различных специализированных конференциях, посвященных компьютерной и банковской безопасности. Эксперты, выступая перед банковскими специалистами, как правило, бегло упоминают старые, «бородатые» методы атак киберпреступников и подробно останавливаются на новых, менее изученных, приемах и методах защиты от них. Понятно, специалистам интересны современные технологии. А вот пользователям банковских услуг, вне всякого сомнения, нужно знать и о старых методах краж с банковских счетов, ведь их, к сожалению, никто не отменял.


.

О том, что это нешуточная опасность, мне неожиданно напомнил мой банк, прислав по закрытой почте в системе интернет-банка вот такое предупреждение:
«…Обращаем Ваше внимание на то, что при входе в сервис «Star24» не должно возникать никаких дополнительных окон. Если у Вас появляется запрос номера платежной карты, срока ее действия и других конфиденциальных данных (пример запроса см. в прикрепленном файле), закройте все приложения и проведите тщательную проверку на наличие вредоносных программ лицензионными антивирусными средствами.

НЕ ВВОДИТЕ данные о платежных картах!

Банк никогда не запрашивает у клиентов информацию о платежных картах для входа в сервис «Star24».
С уважением, Служба информационной безопасности АО «УкрСиббанк»

К предупреждению прилагалась картинка, демонстрирующая реальный факт попытки кражи банковских данных. Прием, описанный в предупреждении, — явный пример так называемого фишинга.

Фишинг — выуживание информации. Слово происходит от английского fishing — рыбалка и передает психологический смысл уловки: пользователю подсовывается информационная наживка, на которую тот клюнет. Мошенники подсекают «жертву» и таким образом выуживают информацию.

Это один из старейших методов кражи конфиденциальной информации о банковских счетах и доступе к ним. Суть приема проста: вам приходит электронное письмо, в котором от имени банка сообщается о необходимости пройти дополнительную проверку счета (верификацию, авторизацию, повысить уровень безопасности — любое иное требование). В письме указаны ссылки для входа в систему, которые ведут на подставной сайт мошенников, замаскированный под настоящий — доменное имя может отличаться на одну букву или размещаться в иной доменной зоне.

Дальше — просто. Перед пользователем открывается форма для ввода логина и пароля, полностью повторяющая настоящую. Человек, не подозревая подвоха, вводит свои данные на таком «левом» сайте, задача которого — тайно записать их, потом перенаправить пользователя на настоящий сайт, подставив в него сворованные данные, и тихо завершить работу. Позднее, когда перехваченную информацию изучат, на аккаунт клиента проведут атаку — зайдут под его логином и паролем и попытаются перевести деньги.

В зависимости от того, какую систему взламывают, фишингу может подвергаться сначала электронная почта, ведь часто она является ключом ко всей информации. Ломают ее схожим образом. Обычно приходит и-мейл, в котором якобы от имени администрации почтовой службы требуется совершить какое-то действие, например произвести повторную идентификацию, иначе, мол, отключат ваш ящик из-за частых жалоб других клиентов на спам с него. В других вариантах предлагается получить открытку или просмотреть приложенный документ, но при попытке открыть такой файл пользователь перенаправляется на подставную страницу якобы для повторного входа в свой почтовый ящик, а фактически — для добровольной передачи секретных данных в руки мошенников.

О том, что фишинг и по сегодняшний день является опасным методом взлома банковских систем, говорят предупреждения на сайтах банков. Вот некоторые из них:

Unicredit Bank (Украина):

«Не отвечайте на электронные письма, полученные от UniCredit Bank, UniCredit Group, MasterCard Worldwide, VISA International и т. д. с просьбой подтвердить данные своей карты и сообщить номер карты, срок действия, три последние цифры на полосе для подписи, нанесенные способом индент-печати (CVV2/CVC2), и ПИН-код. Ни в коем случае не следуйте указанным в письме инструкциям и не переходите по ссылкам в таких письмах (даже на сайт банка), т. к. они могут вести на фальшивые сайты. Имитирование запросов от банков с просьбой подтверждения данных держателей карт является одним из видов мошенничества, позволяющим получить конфиденциальные данные о карте для последующего их использования в мошеннических целях».

«Альфа-банк» (Украина):

«…Обращаем Ваше внимание на зафиксированные случаи телефонного фишинга…
Мошенническая схема, которая зафиксирована на Украине в феврале этого года, состоит в том, что Держателя платежной карты уговаривают перевести средства со своего счета на заранее подготовленные счета мошенников или оплатить услуги мобильной связи. Мошенники могут представляться сотрудниками банков, сервисных компаний или компаний — операторов лотерей. Аргументы в их арсенале также различны, но задача состоит: напрямую выманить денежные средства или получить доступ к управлению счетом для его использования…»

«Дельта-Банк»:

«В связи с участившимися случаями фишинга на рынке банковских услуг обращаем ваше внимание: Дельта Банк никогда не просит своих клиентов сообщить ПИН-код; письма или СМС-сообщения с просьбами прислать ваш номер карты, ПИН-код, пароль и пр., даже полученные с адреса, внешне похожего на официальный адрес банка, являются попыткой мошенничества и никакого отношения к Дельта Банку не имеют. Убедительная просьба — не отвечать на запросы такого рода!»

Для платежных карт фишинг имеет более простую, «телефонную», модификацию. «Ракурс» в предыдущих материалах рассказывал о приеме, когда жулики, представившись работниками банка, звонят жертве и под видом предоставления новой услуги, повышения кредитного лимита или иного придуманного способа (проведение акций, розыгрышей, повышение депозитной ставки) просят жертву назвать свои реквизиты «для активации услуги». Заполучив реквизиты карт, мошенники расплачиваются ими в интернете. Опасность фишинга состоит в том, что он основывается на доверчивости клиентов и полностью использует психологические приемы. Техническая сторона вопроса играет в нем второстепенную роль. Поэтому совет один — будьте бдительны.


Заметили ошибку?
Выделите и нажмите Ctrl / Cmd + Enter