Читать книгу Риски в электронной коммерции - - Страница 5

Сюда входит и использование банковских карт, которые не принадлежат клиенту и взлом электронных кошельков или личного кабинета с хранящимися там денежными средствами, в том числе криптовалютой. Основная цель мошенников в этом случае заключается в незаконном обогащении с помощью чужих средств.

Для того чтобы понимать какие меры противодействия следует применять для минимизации этого вида риска следует более подробно рассмотреть природу его возникновения. Каким образом злоумышленник получает необходимые для совершения платежей данные? Основных пути два: фишинг и использование вредоносного программного обеспечения.

2.1.1. Фишинг, особенности использования

Фишинг (от англ. Fishing – рыбная ловля) – это собирательное определение, которое представляет собой разновидность социальной инженерии, другими словами, это получение критичной и значимой информации незаконным способом с целью получения последующей выгоды или прямого денежного обогащения за счет жертвы фишинга. Впервые данная техника сбора данных проявила себя в середине 90-х годов прошлого века и в настоящее время техника фишинга постоянно улучшается.

За какими данными чаще всего охотятся мошенники? Прежде всего это:

– данные банковских карт;

– логин и пароли для входа в различные личные кабинеты, в том числе в банковские и электронные кошельки;

– данные, необходимые для идентификации, паспортные данные, ФИО, дата рождения и другие;

– различные базы данных.

Существует великое множество способов получения информации, ниже будут рассмотрены наиболее популярные.

2.1.2. Электронная рассылка писем

Одна из самых ранних форм. Заключается в рассылке информации, побуждающей клиента предоставить в том или ином виде критичную информацию. Стоит отметить, что рассылка писем по электронной почте на сегодняшний день не является единственным способом коммуникации мошенника с жертвой, все чаще используются социальные сети и мессенджеры. Сложно предугадать какие новые методы и техники будут использоваться в будущем, но основы рассылки остаются всегда неизменными и состоят в следующем:

1. Привлечение внимания. В зависимости от метода исполнения используется разный подход. В электронной рассылке это, несомненно, тема письма. Название темы в стиле «Срочно», «Важно» или «Ваш счет взломан» стали давно уже не работающими, клиент становится более разборчивым и необходимо придумывать новые формулировки. Если используются социальные сети или мессенджеры, то зачастую злоумышленники стараются сперва взломать чей-то аккаунт, чтобы далее от имени знакомого или друга пройтись рассылкой по всему контактному листу. Уровень доверия знакомому или другу всегда значительно выше, чем постороннему лицу, на это и делается расчет. В данном случае начало общения может начинаться с банального «привет, как дела?» или же сразу по делу «помоги, я попал в беду». Однако, второй вариант также уходит в прошлое, мошенники стараются действовать нешаблонно и беседовать индивидуально с каждым человеком.

2. Непосредственно сам фишинг. Здесь происходит воздействие на клиента с целью получения критичных данных. Сценариев существует масса, начиная от просьб и заканчивая угрозами и шантажом. Наиболее частые из них: обращение со стороны правоохранительных органов, сотрудников финансовых организаций, организаторов различного рода лотерей и иных инвестиционно-привлекательных мероприятий. В данном случае мошенники используют знание человеческих слабостей, таких как жажда наживы и легких денег. Также применяются знания элементарной психологии, попытка внушить жертве чувство опасения за свои финансы. Независимо от сценария сам текст содержит мотивирующую к передаче данных информацию. Следует отличать рассылку текста с целью получения данных незамедлительно или вступить в переписку от рассылки текста с целью заставить клиента перейти по ссылке, скачать файл или сделать любое другое действие, способствующее скачиванию вредоносного файла. В данном пункте мы рассматриваем именно коммуникацию между мошенником и потенциальной жертвой.

Возможен вариант прикрепления к телу письма ссылки на сторонний ресурс, где от клиента требуется ввести какие-либо данные.

3. Получение данных и дальнейшее их использование в корыстных целях. Необходимо понимать, что в большинстве случаев преступники имеют четкое распределение по типу деятельности: одна группа занимается исключительно получением данных, которые можно продать. Другая занимается их применением, например покупкой с помощью ворованных данных банковских карт определенных товаров или услуг. Третья группа мошенников ответственна за реализацию и обеление средств. И, как правило, данный бизнес является международным. Кража данных может быть совершена у гражданина США лицами, проживающими на территории Румынии, а обналичивание средств будет осуществляться с предоплаченных карт на территории Германии. Еще более сложной может быть схема с использованием цифровых денег, в том числе криптовалюты.

Теперь рассмотрим основные характерные черты фишинг-письма:

– адрес отправителя содержит нелогический набор символов;

– доменное имя адреса с первого взгляда напоминает общеизвестный мировой бренд или крупную компанию, но в адресе изменена или добавлена лишняя буква или цифра;

– нестандартная доменная зона отправителя письма, принадлежность доменной зоны к какой-либо иной стране;

– отсутствие подписи или имени отправителя;

– обращение от государственных или правительственных органов с негосударственных доменных зон;

– грамматические, стилистические или синтаксические ошибки в тексте письма;

– письмо содержит файлы с нестандартным или неизвестным расширением;

– письмо отправлено от имени компании, но почта используется не корпоративная, а общедоступная (gmail, yahoo и др.);

– некачественный дизайн письма, ощущение, что письмо составили «на коленке»;

– текст на иностранном языке, чаще всего на английском, так как рассылка может быть сделана по разным странам.

Некоторые характерные фишингу признаки по содержанию письма:

– предлагается бесплатное участие в какой-либо лотерее, требуется только заполнить данные об участнике, включая персональные данные;

– обращение от старого знакомого или друга, с которым вы давно не поддерживаете никаких отношений с нестандартной просьбой, например, одолжить денег или помочь в беде;

– сообщение о том, что ваш аккаунт временно заблокирован;

– обращения от правоохранительных органов c целью заставить получателя выполнить любые действия;

– сообщение о подозрительных транзакциях с карты или со счета с принуждением совершения дальнейших действий;

– вы выиграли приз/получили наследство/стали победителем викторины или конкурса.

2.1.3. Голосовая коммуникация

В данном случае используется обычный телефон или интернет-телефония. Этот вид взаимодействия с клиентом является самым популярным ввиду его максимального охвата среди населения. Особенно эффективно работает данный метод с людьми пожилого возраста, которые в силу привычки не всегда используют интернет, но, тем не менее, имеют обычный телефон. Также эта группа людей в силу возраста является более доверчивой и менее информированной в области финансов, современных технологий и их использования.

Этапы взаимодействия с клиентом являются точно такими же, как и при электронной рассылке, но при живом взаимодействии есть, несомненно, своя специфика общения. В первую очередь основной упор делается на решение ситуации здесь и сейчас. Мошенники в данном виде фишинга являются хорошими психологами и актерами, тонко знающими специфику взаимодействия с человеком. Клиента пытаются держать в напряжении с самого начала разговора и до момента передачи данных. Основными участниками ведения разговора со стороны мошенников также являются псевдо сотрудники правоохранительных органов, банков, государственных и социальных служб. В частых случаях клиент будет общаться с человеком на том конце провода с наличием внешнего фона, например сопутствующих звуках call-центра, или отвлечения говорящего на уточнение информации у «коллег». Очень часто клиента якобы переводят на другой отдел или организовывают видимость последующего звонка от другого сотрудника. Например, изначально звонок может поступать от псевдо полицейского, который просит сообщить некоторые детали в рамках расследования уголовного дела напрямую никак не связанного с жертвой. Более того «полицейский» сам будет настоятельно предупреждать, что никакую информацию касательно банковской карты, паспортных или персональных данных никому, в том числе и ему сообщать нельзя ни в коем случае. Тем самым повышая уровень доверия к себе. Далее возможен сценарий предупреждения жертвы, что его счет, личный кабинет или данные банковской карты также могли быть скомпрометированы. Некоторые люди после этого самостоятельно проявляют инициативу и пытаются наладить взаимодействие с преступником с целью обеспечения сохранности своих средств. Если этого не происходит, мошенник с помощью непрямых вопросов пытается спровоцировать клиента на предоставление данных. Очень часто работает метод ошибочного предположения. Клиенту задают вопрос: «Согласно нашим данным у вас на счете находится 31 013 рублей, верно?» «Нет, вы ошибаетесь, я вчера проверял, должно быть 150 тысяч, я коплю на подарок дочке на совершеннолетие…» – отвечает клиент. Такая уловка часто используется и с 3DS паролем, мошенник также называет любые 4 цифры, мол, проверьте код вам пришел на телефон, клиент проверяет и говорит: «Нет, вы не правы тут совсем другие цифры и, как правило, называет их».

Возможны и другие сценарии, например, попытка узнать карточные данные для того чтобы перевести деньги за услугу или товар по размещенному клиентом объявлению. Как правило, мошенник даже не интересуется деталями товара или услуги, методами его получения, не просит предварительно посмотреть товар вживую.

2.1.4. Фишинг на сторонних ресурсах

При данной атаке клиент самостоятельно проявляет инициативу и заходит на какой-либо сайт, который был создан с нуля со своим собственным дизайном и легендой. На данном сайте может разыгрываться какой-либо приз, и от пользователя требуется заполнить свои данные для участия в лотерее. Или сделать платеж на небольшую сумму, чтобы выманить у него данные банковской карты. Может быть создан мошеннический сайт, точно повторяющий дизайн оригинального сайта.

Заслуженно несправедлива ситуация, когда при поиске какой-либо государственной службы в первых строчках поиска появляется сайт-клон, где от получателя просят вводить разные данные в том числе и паспортные, которые затем уходят злоумышленникам.

Поисковые системы не всегда следят за теми сайтами, которые всплывают в первых строчках, особенно если этот сайт платит поисковой системе за рекламу.

Государственные службы информационного надзора в области цифровых коммуникаций также зачастую пропускают такие сайты в силу своей некомпетентности или иных причин. Поэтому не стоит полагаться на тот факт, что в первой строчке выдачи поисковой системы не может появиться мошеннический сайт, еще как может.

Основные черты мошеннического сайта:

– отсутствует SSL-сертификат, в адресной строке сайта вместо аббревиатуры https можно заметить http. Также большинство современных браузеров выдает предупреждение об опасности в таком случае или как минимум подсвечивают безопасные сайты значком навесного замка;

– некачественный дизайн или верстка страниц;

– нестандартное или подозрительное название сайта;

– попытка подделки названия известного домена. Это можно сделать с помощью дополнительного или, наоборот, пропуска всего лишь одного символа, регистрации домена в другой доменной зоне;

– отсутствие контактной информации или откровенно ложные контакты.

Стоит упомянуть отдельно про способы борьбы с сайтами-клонами.

В случае обнаружения вашего логотипа, бренда, коммерческого названия или иных атрибутов компании, на которые имеются авторские права, следует незамедлительно отправить жалобу-претензию регистратору доменного имени и хостинг-провайдеру. Чаще всего, этого бывает достаточно для блокировки сайта-клона. Чем больше информации указать в жалобе, в том числе доказывающей, что обращается легитимный владелец авторских прав, тем с большей долей вероятности можно рассчитывать на быстрый положительный результат.

В данном случае обращение в правоохранительные органы, прокуратуру или попытка закрыть сайт через решение суда ввиду громоздкости и бюрократизированности всей правовой системы выглядит крайне неэффективным способом. Потратив уйму времени и средств, можно добиться принудительного решения от суда сайт заблокировать, но если регистратор или хостинг-провайдер находится в другой юрисдикции, как обычно и бывает, то цена этому решению невелика. В любом случае на это уходят месяцы, за это время сайт-клон все свои поставленные мошеннические задачи уже выполнит и закроется сам.

2.1.5. Типы поиска клиентов

По типу поиска клиентов фишинг разделяется на две группы: массовый и целевой.

Массовый фишинг не отличается какими-либо специальными настройками рассылки или обзвона клиентов. Звонки и рассылка осуществляются наугад. Конверсия успешных исходов в пользу мошенников при данном способе наименьшая. В то же время себестоимость такой атаки также минимальная. Достаточно купить актуальную базу телефонов или адресов электронной почты, придумать шаблон обращения или письма и осуществлять рассылку или обзвон клиентов.

Совершенно иная картина складывается при целевых атаках. Сейчас можно купить практически любую информацию о любом человеке. В даркнете открыто продаются различные базы данных: паспортные, персональные данные с актуальными номерами телефонов и e-mail адресами, различная информация о человеке, идентифицирующая его в государственных и социальных службах, например СНИЛС, ИНН, номер страхового полиса, информация о недвижимом и движимом имуществе. Эта информация добывается злоумышленниками разными способами, но основные из них – это должностное преступление и использование вредоносного программного обеспечения. Причем если использования разного софта, как правило, собирает информацию о человеке общего характера, то злоупотребление служебным положением дает очень узкоспециализированную и детальную информацию.

Например, количество открытых счетов по клиенту в банке и актуальные суммы средств на них на определенную дату. Хотите узнать детализацию звонков по конкретному человеку? Геоданные по местам передвижения абонента? Пожалуйста. Также можно приобрести готовые идентифицированные профили клиентов на различных крипто площадках или электронных кошельках для последующего вывода ворованных средств.

В государственных структурах, пенсионном фонде, правоохранительных и смежных органах, различных ведомствах, операторах связи, интернет-провайдерах, банках, data-центрах работают миллионы человек. Среди них всегда найдутся недобросовестные сотрудники, которые ввиду халатности, некомпетентности, человеческого фактора или с целью незаконного заработка допускают утечки данных. Вся эта информация стоит денег, поэтому целевой фишинг разумен для обработки состоятельных клиентов.

Существует и комбинированная схема, когда среди выявленных и готовых к сотрудничеству клиентов, полученных с помощью массового фишинга, применяется дополнительная точечная покупка необходимой информации. Также существует масса открытых государственных ресурсов, где можно проверить, вводя данные о человеке различную информацию: наличие долгов, участие в судопроизводстве, штрафы и т. д. Все это позволяет создавать сотни сценариев для голосового или электронного фишинга индивидуально под каждого клиента.

Даже если человек достаточно образован и опытен в финансовой сфере звонок, скажем, от его страхового агента, у которого есть абсолютно вся информацию по его профилю и данным может сильно ввести в заблуждение и расположить этого человека к звонящему. А дальше дело техники, под каким предлогом и какие данные выудить. В большинстве случаев, когда жертва слышит, что звонящему известны паспортные и контактные данные, она сама готова делится любой недостающей информацией, включая доступы к личным кабинетам финансовых институтов, номера банковских карт, входящие sms с паролями. Уловка сверки паспортных и контактных данных применяется довольно часто, мошенник просит сверить их актуальность и сам диктует абсолютно корректные и правильные данные. Данная подача на фоне шума «работающего call-центра» убеждают самого последнего скептика, что ему действительно звонит легитимный сотрудник.

2.1.6. Использование вредоносного программного обеспечения

Данный вид получения критичных данных клиентов не менее распространен, но более коварен, потому что происходит без ведома самого клиента. Мы не будем уделять большое внимание этой проблематике в книге, так как данный аспект лежит больше в плоскости информационной безопасности. Тем не менее, стоит упомянуть основные меры предосторожности:

1. Использование лицензионного программного обеспечения, в том числе систем антивирусной защиты. Поддержка их в актуальном состоянии.

2. Для всех критичных учетных записей обязательно использование двухфакторной аутентификации. Последние исследования в области информационной безопасности показали, как просто перехватить SMS сообщение с кодом подтверждения, которое доступно практически всему миру, так как передается посредством протокола SS7. По сути, к любой системе можно получить доступ через SMS с кодом подтверждения, даже при включенной двухфакторной аутентификации.

Как защититься:

– откажитесь от двухфакторной аутентификации с помощью SMS, когда код подтверждения приходит в текстовом сообщении. Лучше использовать приложение для генерации.

3. Публичные Wi-FI сети.

Элементарная атака с переустановкой ключа приводит к тому, что роутер подключается к сети хакеров. Все данные, загруженные или переданные при подключении к сети, включая приватные ключи, становятся доступны хакерам. Особенно это актуально в аэропортах, отелях и других общественных местах с большим скоплением людей.

Также любой человек с мобильным телефоном или ноутбуком может раздать свою сеть, сделать ее свободной и с помощью нехитрых манипуляций собирать многие данные, включая критичные, такие как номера карт, реквизиты документов, пароли и так далее. Например, в аэропорту Стамбула злоумышленник может переименовать свою личную сеть в «Istanbul_Wi-Fi_Free» и раздавать ее бесплатно. Многие люди будут подключаться к ней, не задумываясь о каких-либо мерах безопасности.

Как защититься:

– никогда не проводите критичные действия используя сети публичного Wi-Fi, особенно если эта сеть не запаролена;

– регулярно обновляйте прошивку своего собственного роутера, так как производители постоянно выпускают обновления для усиления защиты от подмены ключа.

4. Использование различных ботов в мессенджерах, в том числе по денежным переводам или покупке-продаже криптовалюты.

Чаще всего такой бот уведомляет пользователя о проблеме с его криптоактивами, пытаясь заставить пользователя перейти по ссылке и ввести приватный ключ, тем самым владелец навсегда потеряет свои средства.

Как защититься:

– игнорируйте активность ботов, обдумывайте каждое свое ответное действие на предложение;

– защищайте свой канал в мессенджере с помощью антивирусного программного обеспечения;

– жалуйтесь администраторам на любую подозрительную активность.

5. Различные плагины и расширения в браузере.

Современные браузеры предлагают различные решения пользователю для более комфортной работы. И проблема не только в том, что расширения могут читать все, что вы печатаете, пока пользуетесь интернетом, большинство из них написаны на языке JavaScript, который особенно подвержен кибератакам.

Как защититься:

– не скачивайте никакие сторонние расширения;

– используйте только лицензированные официальные браузеры.

6. Фальшивые приложения.

Жертвами часто становятся владельцы Android устройств, которые не используют двухфакторную аутентификацию, так как она требует не только имени и пароля, а также дополнительную информацию, известную только пользователю.

Как защититься:

– не устанавливайте незнакомые мобильные приложения без особой необходимости;

– включите двухфакторную аутентификацию для всех приложений в вашем смартфоне;

– обязательно проверяйте ссылку на приложение на официальном сайте.

7. Неизвестные флеш-карты или иные носители информации.

Не секрет, что во многих организациях вообще отсутствуют какие-либо устройства ввода или вывода информации, связанные с возможностью записи или ввода информации с внешних носителей. Имеются в виду всевозможные разъемы для дискет, флеш-карты, иных носителей. Но такие требования применяются не везде и связаны в основном с режимными объектами или государственными структурами. Многие финансовые учреждения такую практику не имеют. Злоумышленник может заказать изготовление, например, нескольких флеш-карт с логотипом какого-либо известного банка и в разных отделениях незаметно их оставить. Расчет на то, что какой-либо сотрудник примет эту флеш-карту за корпоративную и попробует посмотреть, что там. На самом носителе можно разместить вредоносное программное обеспечение, замаскированное под какой-нибудь похожий на служебный файл, например простой документ с названием «Стратегия развития Компании на текущий год». Или «Зарплаты сотрудников Департамента информационной безопасности». Расчет сделан на человеческий интерес. Есть вероятность, что кто-то из сотрудников откроет файл.

Как защититься:

– если политика Компании не ограничивает ввод-вывод данных с компьютеров сотрудников, то необходимо подобные примеры включать в обязательное ежегодное обучение персонала.

Отдельное внимание заслуживает тема отличий и особенности мошенничества с использованием криптокошельков. Приватный ключ можно скомпрометировать любым способом, указанным выше. Для мошенников взлом кошелька и перевод криптовалюты является более привлекательным ввиду нескольких причин:

1. Приватный ключ возможно восстановить не у всех типов кошельков, в случае его утери вы можете не восстановить доступ к средствам на вашем кошельке никогда.

2. Доказать кражу средств с криптокошелька крайне сложно, большинство владельцев заводят себе кошельки без прохождения какой-либо идентификации. Когда воровство денег происходит с карты там можно однозначно доказать, в том числе с приложением официальной банковской выписки по счету, факт перевода средств и их принадлежность вам как клиенту банка. С криптокошельками это сделать сложнее, и с доказательствами такого рода правоохранительные органы и суды работают неохотно. Особенно если такой документ выдала нелицензированная криптобиржа или обменник, расположенный в другой стране. Во многих случаях так и бывает.

3. Все платежи, произведенные с помощью технологии блокчейн являются окончательными и невозвратными. Платежи, совершенные по ошибке или несанкционированно, вернуть нельзя. Также в отличие от банковской карты вы не сможете пойти в банк и написать заявление на возврат средств в связи мошенничеством (chargeback).

4. Подача заявления в полицию в данном случае не является действием, которое может увеличить шансы вернуть ваши средства по нижеуказанным причинам:

– правовой статус криптовалюты во многих странах еще не закреплен;

– доказать принадлежность взломанного кошелька бывает затруднительно, а в части случаев невозможно (см. пункт 2 выше);

– найти получателя также не предоставляется возможным, если по всем фиатным переводам можно сделать запрос в банк или иную кредитную организацию, ибо все переводы с использованием электронных средств платежа регулируются, то в случае с криптовалютой регулирование в большинстве стран отсутствует;

– доказать сам факт принуждения или несанкционированного перевода ваших средств будет практически невозможно.