ФИШИНГ. Искусство обмана
Сегодня обычный по своим меркам будний день. Обеденный перерыв. Проверю электронную почту.
Заходя на свою электронную почту, вы видите, что пришло письмо от «Сбербанка», в котором изложен текст, выдержанный в официальной стилистике:
Уважаемый клиент (либо имя отчество)
по вашему счёту/банковской карте совершена подозрительная активность, необходимо изменить пароль в личном кабинете «Сбербанк Онлайн», так как имеется высокий риск мошеннических операций.
Сверив указанные в письме номера телефонов банка, а также почтовый адрес, в котором естественно будет фигурировать слово «Сбербанк», вы можете не почувствовать подвоха.
Спустя несколько минут вам на телефон звонят с номера «900».
обращаются к Вам по имени отчеству и представляются службой безопасности «Сбербанка» или «Департаментом финансовых операций Сбербанка». Обеспокоенный вашей, потенциально финансовой утратой, голос на том конце провода вам сообщает, что замечена подозрительная активность в вашем профиле, а также что вам было направлено письмо на электронную почту с дальнейшими инструкциями, а именно со ссылкой для изменения пароля от личного кабинета «Сбербанк Онлайн» и восстановления доступа к своему счету и карте.
Что в данной ситуации может насторожить любого типичного пользователя «онлайн банка»?
Официальный электронный адрес банка, звонок с официального номера «900», грамотная речь «сотрудника», с фоном рабочей атмосферы на заднем плане и вроде бы официальный на первый взгляд сайт банка, с его вкладками, разделами, рекламой продукта, логотипом и визуализацией в целом, часто встречающей вас ранее. Сомнений быть не может, совокупность факторов склоняет к тому, что все легитимно.
Далее выбирая привычный способ входа, Вы вводите свой логин и пароль от входа в личный кабинет.
после чего происходит двухфакторная аутентификация и Вам приходит одноразовый пароль в смс, который вы также благополучно в свою очередь вводите. Но дальнейших действий не происходит, далее веб страница сайта обновляется, вы пробуете еще раз ввести логин и пароль, подсознательно размышляя, что возможно ошиблись с одной цифрой при вводе и тут вам сопутствует удача. Вы входите в свой личный кабинет и проверяете баланс карты/счета, смотрите историю операций и не понимаете еще больше: никаких изменений не произошло, баланс не ушел, не знакомых Вам переводов в истории «онлайн банка» нет, тогда что же это было на самом деле?
Ответ очень простой. Он гораздо проще реализации всей этой схемы.
Это был ФИШИНГ.
Вы только что сами скомпрометировали свои данные и попались на удочку фишинговой атаки.
Фишинг - (англ. phishing от fishing «рыбная ловля, выуживание») – это набор методов, используемых злоумышленниками, целью которых является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Фишинг считается одной из разновидности социальной инженерии, о видах которых мы поговорим с вами в других статьях.
Идем дальше. Представим ситуацию, что вам в «директе» одной социальной сети или в личных сообщениях в «Вк» пишет «знакомый», «друг» или «подруга»
в типичной ей манере, возможно даже скидывает смешной «мем» или спрашивает вас о том, как прошла сдача экзамена на водительские права (о чем несомненно вы ранее писали в истории переписки), не много пообщавшись с «подругой», она просит вас проголосовать, в очень важном для нее конкурсе, от вас ничего по сути не требуется, только перейти на сайт и «жмякнуть» кнопку - «проголосовать», на что вы не видя в этом, абсолютно ничего подозрительного, перейдя на вполне обычный сайт с доменом верхнего уровня «ru», возможно даже с названием относящимся к конкурсу, нажимаете проголосовать за свою знакомую.
но для этого, необходимо всего лишь авторизоваться на указанном сайте. Вы жмете войти через «Вк», видите привычное лого сайта, где вводите телефон или email, свой пароль и нажимаете войти
а далее вас снова можно поздравить. Вы именно тот счастливчик, кто второй раз скомпрометировал свои данные и словно голодный тунец в водах Атлантического океана, попались на удочку мошенников.
Способ авторизации – может быть абсолютно любым и не относится только к «Вк», важным остается лишь тот аспект, что по статистике большинство людей имеют один и тот же пароль от всех личных аккаунтов, который знаете вы, возможно ваша собака и теперь мошенник, который сейчас защитил свою дипломную работу на 5+
Компания «Microsoft» провела поиск скомпрометированных учётных данных в своих системах и выяснила, что более чем в 44 млн случаев, пользователи устанавливали один и тот же пароль для многих аккаунтов.
Для получения необходимой информации мошенники идут на разные ухищрения.
Массовые рассылки электронных писем, загрузочные страницы оплаты, рассылка от государственных или банковских учреждений, различные «фейковые» всплывающие окна, создание фишинговых сайтов.
Страница поддельного сайта будет выглядеть как настоящая, и лишь отличаться URL-адресом, на который по опыту, мало кто обращает внимание.
Давайте разбираться как такое возможно.
Очень часто мошенники используют различные «слитые» базы данных, в которых фигурируют не только «фио» человека, но и паспортные данные, включая адрес места регистрации. Именно поэтому, нам может прийти письмо на электронную почту с указанием нашего реального имени или поступить звонок от якобы «представителя банка» или «государственных органов». Но если анализировать наш первый кейс со «Сбербанком», каким образом так произошло, что мы получили письмо с реального адреса банка?
Мошенники используют анонимные «спуфбоксы», ресурсы по подмене «адреса электронной почты», сейчас такие сервисы присутствуют в широком доступе, есть как платные, так и бесплатные электронные площадки, где можно отправить письмо нужного вам содержания, на конкретный почтовый адрес, от лица нужного вам отправителя.
Зачастую мошенники, в том числе используют и невнимательность «жертвы», создавая и указывая в названии адреса электронной почты или названии сайта, схожую букву или цифру.
Приведу "рандомный" пример:
«https://online.sberblank.ru»
«https://0nline.sberbanc.ru» или «https://official.cberbank.ru».
Как вы видите, используя намеренно дополнительную букву в адресе, неверную букву или указывая вместо буквы «о» цифру «0», можно воссоздать похожий адрес сайта либо адрес электронной почты. Все зависит от фантазии мошенника и вашей невнимательности. Данный пример с использованием схожести адреса несет лишь показательный характер, мошенники воссоздают "фейковые" адреса не только "Сбера", но и других финансовых компаний, государственных учреждений и социальных сетей.
Также бывают случаи, когда в «графе отправителя» фигурирует на первый взгляд нормальное название электронной почты, перед этим может фигурировать слово «From», которое в контексте не будет означать "от" кого пришло письмо, а будет относиться к адресу электронного письма. Существует много различных вариаций написания, не стоит забывать и то, что мошенники также часто используют цифры и спецсимволы в имени электронной почты, обращайте на это внимание.
В случае использования сервиса по подмене электронной почты, где подделывается адрес отправителя, тут все намного коварнее. Адрес может иметь легитимный характер, речь идет как писалось выше, про так называемый спуфинг электронной почты (email spoofing). Для мошенника, отправка письма используя такой сервис получается проще, чем регистрировать схожий адрес реального домена.
Например: from/sberbank@sberbank.ru.
Но если с подменными электронными письмами все понятно, то как мы можем получить звонок с официального номера «Сбербанка»?
Тут абсолютно все аналогично. Использование SIP-клиентов.
SIP (Session Initiation Protocol, протокол установки соединения) — это протокол, который используется в одном из видов IP-телефонии для передачи мультимедийного трафика по сети.
SIP-приложение позволяет обмениваться голосовыми и видеозвонками, пересылать тексты и видеоизображения откуда угодно, где есть Интернет.
Также в дебрях интернет паутины, можно найти ресурсы, где различные провайдеры предоставляют свой функционал подмены номера, с помощью таких услуг, за скромную оплату, от мошенника требуется лишь ввести номер телефона и подменный номер.
Для того, чтобы обезопасить себя в таком ключе, если присутствует неуверенность в том, что вы действительно разговариваете с человеком, который к примеру, вам представился сотрудником банка, лучше сбросьте звонок и перезвоните сами на официальный номер телефона. Не с присланного вам письма, смс или сайта, самый надежный способ — это взять в руки вашу банковскую карту, на которой в большинстве случаев будет указан номер горячей линии банка.
Кейс 2.
Что со взломом аккаунтов в социальных сетях и для чего мошенники их используют.
С данным фишингом думаю многие сталкивались если не в качестве жертвы, то наверняка в качестве человека, получавшего письмо от друга или подруги с какой-нибудь просьбой, зачастую финансового характера, а спустя какое-то время профиль удалялся или человек писал на своей странице запись о том, что его взломали.
Арендуя доступ на теневых форумах, мошенники используют специальный «фишинговый дашборд».
Целью этого всего является получение доступа к аккаунту, выбирая нужную тематику фишинга, или иными словами схему развода: будь то «голосование», «жалоба» или «доставка». Далее в пару кликов создается фейковая страница сайта, например с голосованием, на которой как раз и будет отражен профиль вашего друга (ссылка на его страницу в «Вк» предварительно будет указана мошенником на фишинговом сайте). Таким же не хитрым способом и создается фейковая страница авторизации, для ввода логина и пароля. Такие профессиональные инструменты для взлома, могут похвастаться большим функционалом фичей, включая в том числе обход «2fa». Каким образом будет реализована отправка сообщения с просьбой о голосовании, уже будет зависеть от смекалки мошенника. Это может быть уже взломанная страница вашего друга в «Вк», его дублирующая страница или сообщение от просто знакомого человека.
Подведем рекомендательный итог:
▸ всегда проверяйте название адреса электронной почты и сайта;
▸ если не уверены в разговоре, сбросьте вызов и перезвоните на проверенный номер.
Соблюдайте азы информационной безопасности:
▸ не храните записанные пароли в кошельке, на карте, в записях телефона;
▸ используйте сложные пароли, состоящие из цифр и букв нижнего и верхнего регистра, а также спецсимволов;
▸ не используйте один пароль от всех учетных записей;
▸ старайтесь по возможности менять пароль хотя бы раз в 90 дней. (лучше-чаще).
● Эти простые правила лишь кирпичики созданные на чужих ошибках, из которых можно построить стену, способную обезопасить себя. Но даже монументальную стену, упорно, долго и тяжело, но можно разрушить ●
Никогда не совершайте слепых переводов на просьбы друзей или знакомых из социальных сетей.
Всегда проверяйте источник этой просьбы, оптимальным решением будет звонок на уже имеющийся у вас, номер телефона этого человека, в том случае, если вы хорошо знаете его голос, также оправданным будет вариант видео верификации, потратив минуту времени на видео звонок в мессенджере, вы действительно убедитесь в легитимности просьбы.
Ошибка может быть фатальна.
Денег вы ещё заработаете, но чувство потерянной справедливости - на них купить не удастся.
Со мной этого не произойдет - именно эту фразу я слышал множество раз, будучи в рядах государственной службы и банковского сектора.
Хороший мошенник - не хуже психолога разбирается в методах психологического манипулирования.
Обмануть могут даже самых подкованных, казалось бы, на первый взгляд людей, знающих про мошенничество не понаслышке. Для "фишера" не имеет значения, будет это сотрудник "anti-fraud" подразделения известного банка или эксперт ЦБ.
И какой бы высокоэффективной не была бы биометрия, насколько бы сложный и длинный пароль вы не придумали, зашифровав его трукриптом на usb флешку с аппаратным шифрованием, самым слабым в этой схеме все равно будет человек, а ключевым в этой цепочке останется - человеческий фактор.
© Игорь Ландшман
✓ Друзья, обязательно пишите отзывы, комментарии, с какими видами мошенничества сталкивались Вы лично или ваши близкие. До какого финала это доходило. Делитесь интересными историями или необычными схемами, с которыми вам удалось столкнуться, чтобы наши читатели могли быть осведомлены в большей мере, различными видами мошенничества и соответственно вооружены. ↓