banner banner banner
Кибербезопасность в условиях электронного банкинга. Практическое пособие
Кибербезопасность в условиях электронного банкинга. Практическое пособие
Оценить:
Рейтинг: 0

Полная версия:

Кибербезопасность в условиях электронного банкинга. Практическое пособие

скачать книгу бесплатно


– использование защищенного соединения при осуществлении перевода[25 - Более подробно процедуру выявления фиктивных кредитных организаций мы рассматривали в разделе 1.2.1 «Лжебанки». Потребителю необходимо быть бдительным и проверять не только сам веб-сайт, но и информацию об организации, предоставляющей на нем платежные услуги.].

При этом если на ресурсе указано, что услуги предоставляются какой-либо кредитной организацией, то необходимо проверить ее наличие в соответствующем перечне Банка России.

Также можно убедиться в достоверности партнерских (договорных) отношений данного ресурса и кредитных организаций или платежных систем, позвонив на официальный контактный номер платежной системы или кредитной организации с просьбой подтвердить сотрудничество с ресурсом.

Проверка ресурсов потребителем позволит обеспечить безопасность его персональных и платежных данных.

На рис. 11 и 12 приведены примеры веб-сайтов мошеннических организаций, которые предоставляют услуги по осуществлению псевдоР2Р-переводов.

Рис. 11. Веб-сайт мошеннической организации, осуществляющей фиктивные P2P-переводы (1)

Рис. 12. Веб-сайт мошеннической организации, осуществляющей фиктивные Р2Р-переводы (2)

1.2.4. Схемы с использованием страхового (закрепительного) платежа

В рамках этой категории мошенничества можно выделить два подвида:

– организация проводит псевдоопросы, за которые якобы полагается выплата денежных средств;

– организация предлагает выплату несуществующей компенсации.

В первом случае пользователь проходит опрос на веб-сайте. Как правило, опрос состоит из семи-десяти простых вопросов. После прохождения опроса ресурс якобы генерирует выигрыш и предлагает пользователю перевести денежные средства на его платежную карту. Вместе с тем с целью сохранения денежных средств и оформления их вывода ресурс предлагает пользователю заплатить закрепительный платеж. Сумма платежа обычно незначительна и составляет от 250 до 1000 руб. Пользователь, воодушевленный возможностью получить крупный выигрыш, соглашается на оплату небольшой, по его мнению, суммы и переходит на страницу оплаты.

Пользователь предоставляет злоумышленникам данные карт и персональные данные, что позволяет списать денежные средства с его платежной карты.

Вместе с тем мошенники развиваются и совершенствуются. Более изощренным является второй способ мошенничества: предоставление возможности получить якобы от государства неиспользованные страховые платежи за медицинские услуги. Как правило, на ресурсе размещается фальшивая документация Правительства Российской Федерации, якобы позволяющая осуществить возврат и выплатить компенсацию населению.

На данную категорию ресурсов пользователей активно завлекают за счет звонков и SMS-рассылок, в которых граждан убеждают в том, что компенсация предоставляется в рамках одной из федеральных программ и что она не подлежит огласке общественности, поскольку существует лимит по выплатам. Злоумышленникам необходимо привлечь потребителя и убедить его зайти на ресурс. На ресурсе предлагается заполнить специальную форму якобы для определения количества денежных средств и срока уплаты в соответствующий государственный фонд. В рамках данной формы пользователь передает мошенникам свои персональные данные, в том числе иногда скан паспорта. Веб-сайт якобы генерирует компенсацию, положенную пользователю, и так же, как в ситуации с опросами, предлагает оплатить страховой (закрепительный) платеж.

На рис. 13 и 14 приведены примеры веб-сайтов организаций, которые осуществляют описанную мошенническую деятельность.

Рис. 13. Веб-сайт организации, осуществляющей псевдоопросы, за которые якобы полагается выплата денежных средств

Рис. 14. Веб-сайт организации, предлагающей выплату несуществующей компенсации

Вместе с тем необходимо обратить внимание, что опросы могут проводиться и компенсации могут выплачиваться реально действующими организациями и государственными службами. Чтобы не стать жертвой мошенников, пользователь должен обратить внимание на следующие признаки, которые чаще всего указывают на мошеннический характер ресурса данной категории:

– перечисление денежных средств третьим лицам в счет оплаты;

– отсутствие организации в Едином государственном реестре юридических лиц;

– осуществление деятельности, не предусмотренной лицензией, разрешением.

Поиск данных признаков при обращении к различным ресурсам позволит снизить риски мошеннических действий в отношении потребителей. Пользователи того или иного ресурса должны быть осмотрительными и проверять размещенную на нем информацию.

1.2.5. Схемы быстрого обогащения: «Золотой поток» (Golden Stream), «Алмазный дождь» (Diamond Rain) и др

Речь идет о всевозможных пирамидах. Как правило, все начинается с того, что на электронный адрес потенциальной жертвы приходит письмо с предложением заработать большие деньги, участвуя в игре. Например, перечислив 100 руб. (такое предложение было в игре «Золотой поток»), можно заработать 1 млн руб. всего за 90 дней[26 - Все эти махинации носят название MLM-схем (Multi-Level Marketing – многоуровневый маркетинг).]. В ответ на пересылку 100 руб. жертва получает какую-нибудь дополнительную информацию или программу. Далее, как обещают организаторы, все зависит только от активности игрока: чтобы заработать свой миллион, он должен искать новых «участников», и чем быстрее, тем лучше.

Вариантов писем, которые начинаются с просьбы обязательно дочитать до конца и не сравнивать эту игру с другими, много. Однако принцип во всех этих схемах один: в начале игры жертва теряет некоторую сумму денег и все дальнейшие усилия тратит на компенсацию своих потерь, подыскивая новых «участников».

1.2.6. «Нигерийские письма»

Афера с «нигерийскими письмами»[27 - Другое распространенное название – «Афера 419» (по номеру соответствующей статьи в Уголовном кодексе Нигерии).] – это современный вариант известного сотни лет назад мошенничества «Испанский узник», когда самозваные графы Монте-Кристо XVIII в., используя обычную почту, выманивали деньги у доверчивых людей, обещая им несметные сокровища, зарытые где-то в дальних странах.

Мошенники рассылают письма (в нашем случае по электронной почте, хотя может использоваться и обычная почта или факс), в которых содержится очень выгодное деловое предложение по переводу значительной суммы денег с африканского континента за рубеж под солидные комиссионные (до 40 %)[28 - Надо отметить, что география подобных преступлений постоянно растет. Были даже примеры, когда делили сбережения российских олигархов.]. От жертвы требуется совсем немного – предоставить свои личные данные в качестве гарантии сохранности денег и расчетный счет в банке для размещения средств [65].

Сценарии дальнейшего развития сюжета похожи на описанные выше. Под каким-либо предлогом мошенники просят перечислить незначительную сумму за оказание услуг. Это могут быть просьбы внести деньги на оплату услуг юриста, компенсировать стоимость пересылки каких-либо документов и т. д. Дальше злоумышленники, если у них есть необходимая информация для снятия денег со счета жертвы, опустошают ее счет, а могут и пригласить в какую-нибудь страну, где также, но уже с применением силы, отнимают все деньги.

Существует много разновидностей «нигерийской» аферы, но идея везде одна: требуется оказать помощь по переводу значительной суммы денег под очень высокий процент[29 - Сразу хочется задать вопрос, почему обладатель такого состояния решает обратиться через интернет к незнакомцу, а не иметь дело со знакомым и проверенным человеком.] (рис. 15).

Рис. 15. Пример «нигерийского письма»

1.2.7. Опасные инвестиции

Сущность данных афер заключается в предложениях инвестировать денежные средства в какое-нибудь дело (выпуск дорогостоящего продукта, ценные бумаги и т. д.). Проценты (очень высокие), как правило, начисляются каждый день (об этом инвестор может узнать на веб-сайте инвестиционного фонда). Но как только инвестор захочет взять свои деньги, у него, как и во всех перечисленных выше случаях, возникают проблемы: веб-сайт инвестиционного фонда исчезает или становится недоступен, а адрес электронной почты (зарегистрированный на одном из бесплатных почтовых серверов) оказывается безответным (рис. 16).

Рис. 16. Пример лжеинвестиционной компании

1.2.8. Виртуальная медицина

«Хватит переплачивать за лекарства – посетите наш магазин», – примерно такие сообщения с указанием веб-сайта приходят на многие адреса электронной почты. Практически все лекарственные препараты (более 97 %), которые реализуются через интернет-сайты, рекламируемые в спаме, являются контрафактными. Фальсифицированные таблетки производятся без надлежащего контроля качества и с нарушениями технологического процесса (при этом внешний вид и упаковка практически неотличимы от настоящих). Очевидно, что ничего кроме вреда такие препараты принести не могут.

Другой исход при обращении в подобные виртуальные аптеки – потеря денежных средств, отправленных в виде предоплаты за лекарства и доставку.

По статистике, на подобные веб-сайты заходят от 500 тыс. до 2 млн посетителей в месяц. Помимо опасности отдать преступникам свои деньги и приобрести контрафактные и некачественные лекарственные препараты здесь существует еще одна опасность. Открывая такие спам-письма, можно загрузить на компьютер вредоносную программу (червя[30 - Червь (worm) – разновидность самовоспроизводящихся компьютерных программ, распространяющихся в локальных и глобальных компьютерных сетях. В отличие от компьютерных вирусов, червь является самостоятельной программой.], трояна[31 - Троянская программа, или троян (trojan), – разновидность компьютерных программ, которые «претендуют» на то, что выполняют определенную функцию, в действительности же работают совершенно иначе (свое название получила в честь «троянского коня»).] и др.), и в дальнейшем придется заниматься не только своим лечением, но и лечением компьютера.

1.2.9. Виртуальное трудоустройство

Организации, осуществляющие фиктивное устройство на работу, привлекают пользователей возможностью получить «легкие деньги». Пользователи, рассчитывая на быстрый заработок, передают злоумышленникам персональные данные, в том числе карточные, якобы для перечисления заработной платы. Нередки случаи, когда для «устройства на работу» предлагается оплатить страховой взнос для предоставления заказов или фиксирования выплат либо оплатить доставку трудового договора.

Интерфейс ресурсов данной категории, как правило, идентичен интерфейсу реальных ресурсов, что позволяет ввести пользователя в заблуждение относительно получения дохода (рис. 17).

Рис. 17. Веб-сайт организации, осуществляющей фиктивное устройство на работу

Один из вариантов схемы – предложения работы в интернете (на дому), например «виртуальным бухгалтером». Будущему работнику предлагают заниматься определенными посредническими услугами не больше 2–3 часов в день и получать заработную плату около 400 долларов. Чаще всего работать предлагают с системой WebMoney Работодатель открывает для работника счет (кошелек) и получает для него аттестат. Владельцем счета является работодатель. Работа заключается в том, чтобы осуществлять денежные переводы (WMZ[32 - В системе WebMoney используются различные валюты. WMZ – средства, эквивалентные долларам США.]). Все переводы (их бывает от 30 до 50 в день) нужно совершить в течение суток. В среднем на один перевод затрачивается 2–3 минуты. Предложение достаточно заманчивое (как, впрочем, и все те, которые были описаны выше), только работодатель просит перевести 7 долларов (7 WMZ) на получение аттестата (своего рода компенсация затрат работодателя на случай отказа работника продолжать сотрудничество).

Конечно, 7 долларов – не такая уж большая сумма, но на это и рассчитана данная афера. После того как жертва перечислит деньги на получение аттестата, связь с ней прекратится.

Кстати, если потенциальный работник представится опытным пользователем интернета, знакомым со всеми платежными системами, и сообщит, что имеет счет в платежной системе, в которой предстоит работать, а также персональный аттестат и хорошо знает, как работать с денежными переводами, то, скорее всего, мошенники сразу оставят жертву в покое. Такие «кадры» им не нужны.

Ниже приведены несколько признаков, по которым можно определить, что работу, скорее всего, предлагают мошенники:

– расплывчатые описания вакансий;

– неясные требования к работникам;

– бесплатное обучение;

– слишком высокая заработная плата;

– обширный социальный пакет;

– анонимный абонентский ящик или адрес электронной почты в качестве реквизитов;

– гарантия трудоустройства.

1.2.10. Горячие торговые точки

Интернет-магазины сегодня привлекают покупателей своими ценами (за счет экономии на аренде помещений), а также возможностью удобной доставки. Но и среди них бывают магазины с такими низкими ценами, что это выделяет их из общего ряда. Причем продавец обосновывает эти цены, иногда совсем не скрывая таких фактов, как «товар краденый», «товар конфискованный» и т. п.

Поэтому если жертва и решит купить такой товар, то вряд ли потом пойдет жаловаться, так как по сути является соучастником преступления (скупка краденого).

Схема мошенничества в данном случае прежняя: как только покупатель переводит деньги на счет продавца, связь с ним прекращается (веб-сайт магазина перестает работать, электронная почта не отвечает).

В общем случае все мошеннические интернет-магазины можно разделить на два вида:

– магазины, которые продают несуществующий товар;

– магазины, которые доставляют не тот товар, который представлен на веб-сайте.

Оформление и содержание ресурса заставляют пользователя думать, что данный веб-сайт принадлежит действующей организации (рис. 18).

Рис. 18. Веб-сайт фиктивного интернет-магазина

Для того чтобы обезопасить себя, потребителю необходимо проверить информацию об организации, указанной на веб-сайте, которая предоставляет товары или услуги. Данную информацию можно проверить на официальном веб-сайте ФНС России в разделе «Единый государственный реестр юридических лиц».

1.2.11. Сетевое попрошайничество

Если раньше большинство попрошаек можно было встретить на городских площадях и вокзалах, то теперь появился целый класс сетевых попрошаек, которые обращаются за помощью посредством интернета, выпрашивая деньги под разными предлогами: на срочную и дорогую операцию, чтобы избавиться от угроз вымогателей, погасить кредит и т. п.

Можно встретить сообщения о внезапно возникших проблемах в платежной системе WebMoney[33 - В последнее время в качестве причин проблем все чаще называют финансовый кризис.], для решения которых администратор просит перечислить какую-то сумму на свой кошелек. Причем если клиент, к которому обращается администратор, не перечислит деньги, в дальнейшем он не сможет воспользоваться своим кошельком (т. е. своими деньгами).

К сожалению, есть случаи, когда люди, особо не вдумываясь в суть происходящего, перечисляют свои деньги и потом узнают, что обращение поступило от мошенника, а не от администратора системы WebMoney.

Пользователям можно порекомендовать ни в коем случае не перечислять свои деньги до тех пор, пока не пришло подтверждение достоверности полученного сообщения.

Пример мошеннического сообщения приведен на рис. 19.

Рис. 19. Пример мошеннического сообщения

Одним из способов попрошайничества является отправка SMS якобы от родственников с просьбой перечислить денежные средства (рис. 20). В данном случае мошенники играют на чувствах потерпевших, вводят их в заблуждение. Часто в таких SMS сообщается о сложной жизненной ситуации, аварии или смерти кого-либо. Потерпевший должен быть бдительным, не поддаваться эмоциям и все проверить. При наличии возможности необходимо самостоятельно связаться с родственником, от которого якобы пришло сообщение. Следует также известить оператора связи о получении такого SMS.

Рис. 20. Пример мошеннического сообщения, поступившего якобы от родственника

Другим распространенным видом SMS-мошенничества является направление сообщения о том, что якобы на счет мобильного телефона жертвы ошибочно перечислена некая сумма, которую необходимо вернуть (рис. 21). Потенциальный потерпевший должен проверить баланс телефона, позвонить оператору связи и уточнить данные.

Рис. 21. Пример мошеннического сообщения о якобы ошибочном пополнении баланса телефона

1.2.12. Ботнеты[34 - Ботнет (botnet) – компьютерная сеть, состоящая из некоторого количества зараженных компьютеров (ботов).]

Термин «бот» появился намного раньше, чем его стали использовать для обозначения компьютерного вируса и инструмента для атаки на компьютеры и сети. В IRC-сетях он до сих пор обозначает специальную программу, которая замещает собой живого человека и может поддерживать активность на IRC-канале даже в то время, когда к нему не подключен ни один из пользователей. Бот может контролировать и модерировать содержание бесед на канале, удалять посетителей, которые нарушают принятые правила поведения, и т. д. Это своего рода вариант искусственного разума.

Однако бот в арсенале хакера способен доставить серьезные проблемы. Хакеры могут находить через интернет незащищенные компьютеры и загружать на них специальные программы, которые будут по их команде выполнять различные действия (такие как рассылка спама или участие в DDoS-атаке[35 - DoS-атака (от англ. Denial of Service — отказ в обслуживании) и DDoS-атака (от англ. Distributed Denial of Service — распределенный отказ в обслуживании) – разновидности атак на вычислительную систему. Цель этих атак – довести систему до отказа, то есть создать такие условия, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам либо этот доступ затруднен.]).

В качестве защиты от подобного заражения можно порекомендовать хороший мощный анализатор сетевого трафика, который позволит выполнять диагностику, идентификацию и перенаправление всего подозрительного интернет-трафика. Можно также использовать программное обеспечение для фильтрации пакетов, комбинируя его со специальными техническими и аппаратными средствами, которые устанавливаются между маршрутизаторами и межсетевыми экранами.

Достаточно эффективный способ решения этих проблем разработало правительство Австралии. Во взаимодействии с пятью крупнейшими интернет-провайдерами страны оно создало технологию и программу для своевременного обнаружения компьютеров-зомби и принятия оперативных мер по их блокировке. В большинстве случаев владельцы своих компьютеров даже не представляли, что участвовали в DDoS-атаке или что с их IP-адреса рассылался спам.

1.2.13. Сетевые банды

Одной из тенденций сегодняшнего дня является заметный рост числа новых компьютерных вирусов, червей и троянских программ. Троянские программы не могут рассылать себя по интернету самостоятельно, подобно компьютерным вирусам, так что масштабы их распространения должны быть меньше, чем у вирусов. Но на самом деле троянских программ и пораженных ими компьютеров с каждым годом становится все больше. Специалисты компании Sophos[36 - Компания Sophos является одним из мировых лидеров в области решений для информационной безопасности.] сделали вывод, что такая ситуация стала следствием активности профессиональных преступников.

Криминальные группы, которые ранее занимались исключительно мошенничеством с банковскими картами, начали объединяться и все более тесно сотрудничать с создателями компьютерных вирусов, спамерами и группами безжалостных хакеров.

Приведенные примеры мошенничества в интернете ни в коем случае нельзя считать исчерпывающим перечнем ухищрений компьютерных злоумышленников.

К сожалению, во всемирной паутине, которая по своей сути является неуправляемой средой, постоянно возникают все новые и новые угрозы со стороны хакеров.

И от того, насколько своевременно будет построена защита от этих угроз, зависит доверие клиентов кредитных организаций к технологиям ДБО (включая СЭБ).

В условиях ДБО кредитные организации вынуждены существенно повышать уровень обеспечения информационной безопасности, так как основные атаки киберпреступников направлены именно на тех клиентов банков, которые осуществляют свои операции удаленно (т. е. вне офиса).

Очевидно, что абсолютной защиты от угроз для ДБО не существует. Компьютерные злоумышленники в состоянии взломать практически любую систему[37 - Кроме того, сами банки иногда используют недостаточно надежные системы ДБО.].

Однако непрерывная работа по поддержанию достаточного уровня информационной безопасности может сильно осложнить и (или) свести к минимуму возможности кибермошенников.

Масштабы кибермошенничества заставляют серьезно относиться к данному виду преступлений. Так, например, в июне 2012 г. новостные агентства распространили информацию о задержании преступной группы, включая ее организатора[38 - Более известен во всемирной сети под псевдонимами Гермес и Араши.], который вместе со своими сообщниками похитил из систем ДБО более 150 млн руб.

По словам генерального директора компании Group-IB[39 - Group-IB – международная компания, лидер российского рынка по оказанию полного комплекса услуг в области расследований инцидентов информационной безопасности и компьютерных преступлений: начиная от оперативного реагирования на инцидент и заканчивая постинцидентным консалтингом (официальный веб-сайт компании: http://www.group-ib.ru).] Ильи Сачкова, принимавшего участие в расследовании деятельности данной преступной группы, это самая большая по численности участников киберпреступная группировка в России из тех, о которых известно специалистам по информационной безопасности[40 - Подробнее см. интервью Ильи Сачкова для РИА Новости: Хакер, укравший 150 млн рублей, работал с 25 сообщниками // Прайм. Бизнес-лента 22 июня 2012 г.; Гендиректор Group-IB: у хакеров есть несколько собственных платежных систем // ПЛАС-daily 19 июля 2012 г.]. В течение 2011 г. работала целая группа технических специалистов: заливщиков (распространителей вредоносного программного обеспечения), специалистов по шифрованию, администраторов, обслуживавших бот-сети, и других.

На протяжении последних нескольких лет, по данным Group-IB, мошенники использовали зарекомендовавшую себя в хакерских кругах троянскую программу Carberp[41 - Carberp – распространенная среди киберпреступников вредоносная программа. Она собирает информацию о пользователе и системе и отправляет ее на сервер злоумышленников. Также бот может делать снимки экрана, перехватывать нажатия клавиш, содержимое буфера обмена с отправкой на сервер. Троян имеет возможность самоудаления, установки дополнительных вредоносных модулей, кражи цифровых сертификатов для популярных систем ДБО.].

Обобщая наиболее распространенные схемы совершения киберпреступлений в системах ДБО, можно выделить два способа.

Если сумма украденного составляет не более 1–1,5 млн руб., то деньги выводят сразу на пластиковые карты так называемых дропов (специально нанятых владельцев банковских карт, которые занимаются обналичиванием похищенных денег). Обычно в течение 15 минут после того, как деньги поступили на карточные счета, дропы обналичивают их через банкоматы и затем отдают своим нанимателям (рис. 22).

Рис. 22. «Простая» схема – примерно до 1,5 млн руб.

Если суммы крупнее, используются более сложные схемы обналичивания. Они применяются обычно при хищении средств в объеме от 1 до 5 млн руб.

В этом случае деньги предварительно переводят на счет юридического лица. Дальше сумму могут раздробить и распределить по другим счетам, чтобы сильнее запутать следы (рис. 23).

Группы мошенников, специализирующиеся на обналичивании, оставляют себе минимум 50 %.

Такой большой процент объясняется тем, что хищению предшествует длительный период подготовки. «Обнальщики» и похитители договариваются заранее.

К моменту хищения у «обнальщиков» уже все готово: создано подставное юридическое лицо, открыт счет в банке и выпущены карты, которые раздали дропам.