Если вы доверяете только крупным, проверенным банкам, имеющим хорошую репутацию, то вы чувствуете себя спокойно. Но знайте: за вами, а точнее, за вашим банковским счетом идет охота. В любой момент вы можете оказаться жертвой фишинг-атаки.
О технологии фишинга нам рассказал Александр, бывший фишер, в настоящее время – специалист по информационной безопасности.
Схема, описанная Александром, не предполагает наличие мощного и дорогостоящего оборудования. Не нужны также высококлассные хакеры. Даже знания PHP и HTML требуются в этом деле минимальные, фишеры редко являются хорошими программистами или дизайнерами. А вот то, что действительно нужно для организации «бизнеса», -- отличные знания психологии, или, как принято сейчас говорить, навыки социального инженеринга.
Фишинг-атака проводится в три этапа. На каждом из этих этапов применяются простые, но эффективные методы.
Этап 1. Добыча базы e-mail
Все, что нужно мошеннику для начала работы, – список адресов электронной почты клиентов атакуемого банка. Добыча таких адресов – отдельная специализация в преступном мире. Для того чтобы получить базу, вербуют сотрудника банка, имеющего доступ к списку e-mail клиентов банка. Вербовка проводится как в сети, так и офлайне, в барах и на улице. В сети сотрудников банков несложно найти, используя технологии бизнес-разведки.
Сотрудник банка, как правило, продает базу за свой месячный оклад. Фишер базу e-mail покупает. В сети существуют закрытые биржи, на каждую из которых допущены всего несколько человек. Обычный фишер покупает информацию на такой бирже через посредников. За пару тысяч долларов можно купить базу адресов средних по величине банков. Информация о клиентах больших, известных банков стоит больше, но, как правило, ее стоимость не превышает десяти тысяч долларов.
Этап 2. Сайт-имитатор и письмо от имени банка
Само создание страницы-ловушки не требует особенных профессиональных знаний. Шаблон сохраняется при помощи соответствующей опции распространенных браузеров. Для захвата персональных платежных данных используется простейший PHP-код. Интересно, что даже на этом этапе организаторы фишинг-атаки прибегают к помощи сторонних специалистов, выплачивая им по 50-70 долларов за каждую сгенерированную страничку.
Чтобы жертва как можно дольше не заподозрила неладное, после того как данные будут введены, скрипт переправляет пользователя на настоящую страницу авторизации банка. Пользователь думает, что просто неправильно ввел данные или произошел сбой связи. Но теперь, даже внимательно изучив сайт, он ничего подозрительного не обнаружит – ведь теперь он находится на настоящем сайте банка.
Второе, что делает фишер - забрасывает наживку. Заманить на страницу-ловушку обладателя банковской карты можно письмом с логотипом банка. Образец письма и его содержание показаны в нашем ролике. Ссылка в тексте письма содержит текстовый адрес настоящего сайта банка. Но если посмотреть свойства ссылки внимательно, можно увидеть, что ведет она на страницу-ловушку, расположенную на похожем домене.
Фишер знает, что из сотен клиентов банка внимательными и осторожными будут далеко не все.
Этап 3. Обналичка
Несмотря на все меры предосторожности, фишеры, как правило, заканчивают свою карьеру не так, как они рассчитывают. Многие просто пропадают для родных и знакомых навсегда, внезапно и не по своей воле. Многих используют криминальные структуры, в таком случае ясно, что выйти из «бизнеса» им никто никогда уже не позволит. Единицам везет – они становятся специалистами по безопасности в курируемых спецслужбами структурах. О фишерах, которым удалось «уйти на пенсию» и насладиться плодами своей деятельности, никто ничего не слышал.
Простым владельцам банковских карт нужно быть очень осторожными, когда случается не вполне понятная ситуация. Рекомендации, как не стать жертвой фишинг-атаки, Александр дал в нашем видеоинтервью.