Фишинг и другие методы мошенничества

Фишинг и другие методы мошенничества

Фишинг — это вид мошенничества в Интернете с целью получения различной конфиденциальной информации. Наибольший интерес для мошенников представляют данные банковских карт и счетов, пароли и логины к различным платежным системам. Не брезгуют мошенники и данными, позволяющими получить доступ к учетным записям электронной почты, социальных сетей и систем обмена мгновенными сообщениями, а также любыми вашими данными (номерами телефонов, данными регистрации и т. п.).

Классический фишинг представляет собой рассылку писем по электронной почте якобы от имени банков, администрации или технической поддержки известных сервисов с просьбой или требованием под различным предлогом ввести учетные данные на веб-странице, ссылка на которую указана в сообщении. Такая веб-страница, как правило, выглядит очень похожей на настоящую (рис. 11.1), но не является таковой на самом деле, а введенные на ней логин и пароль передаются мошенникам.

Обычно в фишинговых схемах используются психологические методы, например, пользователь получает письмо от администрации почтового сервиса, в котором сообщается, что в связи с техническими проблемами была повреждена основная база данных сервиса. Для восстановления доступа к почтовому ящику пользователю необходимо подтвердить пароль и логин на вебстранице, ссылка на которую указана в письме. Интерфейс страницы практически не отличается от используемого на оригинальном сайте. Адрес тоже может быть очень похожим, отличаясь всего на одну-две буквы. Естественно, боясь потерять доступ к почтовому ящику, многие попадаются на такой в общем-то нехитрый трюк. Через некоторое время оказывается, что на самом деле никаких сбоев не было, а учетная запись пользователя используется мошенниками для рассылки спама. С теми же целями рассылаются сообщения, что ваш фиктивный одноклассник оставил вам сообщение и т. п.

В последнее время наряду с психологическими методами получения информации используются программные. Например, приведенная выше схема дополняется следующим образом: пользователь получает письмо, якобы от администрации платежного сервиса WebMoney, в котором сообщается, что в клиентской программе обнаружена серьезная уязвимость и пользователю необходимо скачать и установить новую версию, ссылка на которую приведена в письме. Естественно страница, с которой загружается "новая" программа, выглядит в точности так, как и официальная, но загружаемая программа модифицирована таким образом, что ключевые файлы, пароль и идентификатор пользователя отсылается мошенникам. Получив контроль над счетом, мошенники быстро переводят имеющиеся деньги на другой счет, а затем в другую платежную систему, после чего — в наличные. Эти действия проделываются очень быстро, и вернуть деньги в таком случае практически невозможно. Причем даже если у пользователя нет денег на счету, мошенники могут взять кредит от его имени, и в таком случае придется не только восстанавливать контроль над счетом, но и разбираться с банком.

Помимо фишинга в Интернете существует большое количество других видов мошенничества. Приведу некоторые из них.

? Использование взломанных аккаунтов в различных социальных сетях и системах мгновенного обмена сообщениями для выманивания денег. На момент написания книги этот вид мошенничества был одним из самых распространенных. Со взломанного аккаунта социальной сети, например Одноклассники, всем пользователям из контакт-листа рассылались сообщения, в которых "по большому секрету" указывался короткий номер, на который можно отправить бесплатное SMS-сообщение, чтобы получить на счет мобильного телефона небольшую, в пределах ста-двухсот рублей, сумму от компании, проводящей рекламную акцию (рис. 11.2). Сообщение оказывалось далеко не бесплатным, а счет мобильного телефона не пополнялся, а заметно уменьшался, причем сумма в зависимости от варианта начиналась от ста и заканчивалась девятьюстами рублями. В качестве вариаций схемы используются ссылки на веб-страницы, открыв которые в браузере мобильного телефона пользователь активировал платную услугу и звонки на платные номера.

? Ресурсы, предлагающие услуги по взлому аккаунтов электронной почты, социальных сетей и систем мгновенного обмена сообщениями. Естественно эти услуги не бесплатны и в большинстве случаев в качестве доказательства приводится письмо, написанное якобы со взломанного почтового ящика или скриншот домашней страницы. К сожалению, не все такие предложения являются обманом, и в некоторых случаях аккаунты действительно взламываются. В роли заказчиков выступают обычные пользователи. Сперва те, кому по различным причинам, от проверки супруга на верность до наказания хама, надо получить контроль над чужим аккаунтом, а затем те, кого взломали — чтобы вернуть себе контроль над аккаунтом и наказать заказчиков взлома. В результате такого "круговорота" и реальные исполнители, и мошенники не остаются без работы.

? Сайты, предлагающие программное обеспечение, обладающее фантастическим функционалом. От программ для мобильных телефонов, якобы позволяющих с помощью камеры телефона видеть сквозь одежду человека чуть ли не в рентгеновском спектре или читать SMS-сообщения на чужих телефонах до чудо-антивирусов, сканирующих жесткий диск компьютера через браузер за пять минут и находящих вирусные и троянские программы в системных папках Windows даже на компьютерах под управлением операционных систем Linux и мобильных телефонах. Купить такие программы можно очень недорого, отправив SMS-сообщение стоимостью "не более десяти рублей". На самом деле такое сообщение обойдется далеко не в десять рублей (вспомните про сноску-звездочку), а установленная программа может оказаться вирусом, блокирующим работу компьютера и требующим отправки платного сообщения за его разблокировку.

? Интернет-магазины, предлагающие различные товары по бросовым ценам. Вы запросто можете обнаружить новейший ноутбук с обычной стоимостью в пятьдесят тысяч рублей на таком сайте в пять раз дешевле. Обычно такие магазины требуют предоплату и через некоторое время исчезают, а доверчивые покупатели так и не получают заказанных товаров.

? Уведомления об огромных выигрышах в лотереях, об участии в которых пользователь ничего не знал, например, лотереи по адресам электронной почты или по номеру ICQ. Для получения такого выигрыша следует оплатить какой-нибудь сервисный сбор. Естественно, после оплаты никакого выигрыша пользователь не получит, и сервисный сбор ему тоже никто не вернет.

Подобных схем довольно много, периодически появляются новые варианты, и универсального способа защиты от мошенничества нет. Тем не менее, почти все эти способы основаны на доверчивости и незнании правил безопасности в Интернете. Приведу несколько несложных советов, следуя которым можно не попасться на удочку мошенникам.

? Используйте регулярно обновляемый спам-фильтр. Во многих браузерах есть дополнительные компоненты, блокирующие переход на фишинговые веб-страницы или предупреждающие о том, что страница является мошеннической. В роли таких фильтров могут выступать специальные модули, входящие в состав некоторых антивирусных пакетов.

? Не отвечайте на письма и сообщения от незнакомых людей и ни в коем случае не переходите по ссылкам, содержащимся в таких посланиях.

? Если вы получили письмо или сообщение с предложением открыть веб-страницу или загрузить файл по указанной ссылке от знакомого вам человека, следует убедиться, что сообщение было отправлено именно им.

? Если вы получили сообщение о необходимости обновления какой-либо используемой вами программы, не используйте для этого ссылку, приведенную в письме, даже если вы ожидали такого письма и оно выглядит настоящим. Лучше самостоятельно загрузите программу из раздела загрузки официального сайта.

? Не загружайте программы с сомнительных сайтов, особенно это касается программ, отвечающих за безопасность компьютера и клиентских программ систем электронных платежей. Лучше потратить лишние пятнадцать минут на поиск официального сайта программы, чем загрузить модифицированную или зараженную вирусом программу. По этой же причине платные программы лучше покупать легально, поскольку большинство "генераторов ключей" и "кряков", помимо взлома программ, могут иметь и другие функции, от кражи паролей до установки на ваш компьютер программ удаленного администрирования, или просто являться вирусами.

? Не храните пароли к учетным записям различных сервисов в памяти клиентских программ или браузера. Большинство различных сервисов позволяет сохранять регистрационные данные пользователя в cookies-файлах, что позволяет не вводить каждый раз логин и пароль. Обычно для этого следует установить специальный флажок при авторизации. Старайтесь не использовать эту функцию, поскольку некоторые вредоносные программы могут извлекать из cookies-файлов регистрационные данные и отсылать их создателю.

? Старайтесь следовать указаниям по обеспечению безопасности, рекомендуемым производителем программы, особенно это касается программ-клиентов различных платежных систем. К примеру, при использовании системы WebMoney не ленитесь защищать свой кошелек с помощью ограничения диапазона IP-адресов, с которых разрешен доступ, разрешите активацию посредством мобильного телефона и т. п.

? Не отсылайте логины и пароли к учетным записям и не вводите их на веб-страницах, кроме тех, которые отвечают за авторизацию. Помните, ни администрация, ни службы технической поддержки различных сервисов никогда не требуют сообщить им пароль к учетной записи или конфиденциальные реквизиты платежной системы или банковской карты. Никакие банковские службы не требуют передать им такие данные, как CVV-код и пин-код вашей пластиковой карты.

? Периодически меняйте пароли к учетным записям электронной почты, системам мгновенного обмена сообщениями, платежным системам и различным веб-сервисам. Не используйте короткие, легко угадываемые пароли. Если выбор пароля составляет трудность, можно использовать специальные программы, генерирующие пароли по различным правилам, в том числе и удобопроизносимые, но в то же время практически не поддающиеся подбору пароли.

? Внимательно следите за адресами в строке браузера, особенно при переходе по ссылкам из присланных писем. Кстати, вполне реальна ситуация, когда электронное письмо или ICQ-сообщение со ссылкой на вредоносный сайт приходит от зарегистрированного вашего друга (об отсылке сообщения он, естественно, понятия не имеет). Обратите внимание, что личные и финансовые данные на крупных сайтах передаются по протоколу HTTPS, для обеспечения защиты от перехвата. Об этом вам сообщит адрес в строке браузера (например, https://gmail.com).

Перечисленные выше советы, а так же здравый смысл и некоторая доля осторожности снижают до минимума риск попасться на удочку мошенникам.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

7.2. Фишинг и фарминг

Из книги Защита вашего компьютера автора Яремчук Сергей Акимович

7.2. Фишинг и фарминг Рассмотрим тип атак, который наиболее часто упоминается в современной прессе: фишинг и фарминг. Им уделяют большое внимание, так как результат такого мошенничества может привести к хищению номеров кредитных карточек, паролей, сведений о банковском


Суть мошенничества

Из книги Системное программирование в среде Windows автора Харт Джонсон М

Суть мошенничества Термин «фишинг» (phishing) созвучен английскому слову fishing – рыбалка, удить. Он произошел от слияния трех слов: password (пароль), harvesting (сбор), и fishing, то есть означает ловлю и сбор паролей. В фишинг-атаках широко используются методы социальной инженерии.


Другие методы определения атрибутов файлов и каталогов

Из книги TCP/IP Архитектура, протоколы, реализация (включая IP версии 6 и IP Security) автора Фейт Сидни М

Другие методы определения атрибутов файлов и каталогов Функции FindFirstFile и FindNextFile позволяют получить следующую информацию, связанную с атрибутами файла: флаги атрибутов, метки времени трех типов и размер файла. Существуют также другие аналогичные функции, одна из которых


11.12 Другие методы автоматизации конфигурирования

Из книги Справочник по JavaScript автора Коллектив авторов

11.12 Другие методы автоматизации конфигурирования Было предпринято несколько других попыток автоматизировать отдельные части процесса конфигурирования. Подключенные к локальной сети системы могут использовать обратные ARP (RARP), чтобы обнаружить свой IP-адрес. Запрос ICMP


Методы

Из книги Технология XSLT автора Валиков Алексей Николаевич

Методы clear()Этот метод предназначен для очистки текущего документа из окна браузера.close()Заставляет Web-страницу немедленно обновить свое содержимое после использования методов write. Метод не принимает параметров и не возвращает значения.createAttribute()createAttribute( "Имя Атрибута"


Методы

Из книги Мошенничество в Интернете. Методы удаленного выманивания денег, и как не стать жертвой злоумышленников автора Гладкий Алексей Анатольевич

Методы alert()alert({Текст})Выводит на экран окно предупреждения с текстом, переданным в качестве параметра.back()Возвращается к предыдущему документу, как если бы на панели инструментов нажали кнопку Назад.Поддерживается только NN начиная с 4.0blur()Удаляет фокус с


Другие методы вывода

Из книги Интернет для ваших родителей автора Щербина Александр

Другие методы вывода Как уже было сказано раньше, спецификация XSLT позволяет помимо основных методов "xml", "html" и "text" использовать также и другие методы, реализация которых будет зависеть от производителя того или иного процессора. Кажется вполне логичной и закономерной


Фишинг

Из книги Цифровой журнал «Компьютерра» № 163 автора Журнал «Компьютерра»

Фишинг Вид мошенничества, который мы рассмотрим в данном разделе, используется для кражи данных кредитных карт (номера кредитной карты, пароля, пин-кода и т. д.) с целью последующего присвоения чужих денежных средств.Первые попытки фишинга были зафиксированы в конце 90-х


Фишинг

Из книги Цифровой журнал «Компьютерра» № 175 автора Журнал «Компьютерра»

Фишинг Рассмотрим подробнее фишинг (phishing) — хитроумный способ мошенничества, использующий специфику Интернета. Суть его в следующем. Вы получаете очень солидное сообщение от банка или почтового сервера, отдела социального обеспечения или от какой-нибудь социальной


«Операция мухобойка»: интернет-гиганты обратили внимание на мошенничества в Сети Максим Букин

Из книги Linux и UNIX: программирование в shell. Руководство разработчика. автора Тейнсли Дэвид

«Операция мухобойка»: интернет-гиганты обратили внимание на мошенничества в Сети Максим Букин Опубликовано 07 марта 2013 Российские интернет-гиганты, среди которых Google, Group-IB, Mail.Ru Group, ВКонтакте, «Доктор Веб», «Лаборатория Касперского» и «Яндекс»


Пять способов сетевого мошенничества и как их распознать Олег Нечай

Из книги Интернет для ржавых чайников автора Левина Любовь Трофимовна

Пять способов сетевого мошенничества и как их распознать Олег Нечай Опубликовано 27 мая 2013 Мошенничество как вид деятельности существовало и будет существовать всегда, пока на свете есть человек — поскольку оно эксплуатирует такие характерные


28.6. Другие методы, применяемые для запуска и останова служб

Из книги Описание языка PascalABC.NET автора Коллектив РуБоард

28.6. Другие методы, применяемые для запуска и останова служб Если вы не желаете применять файл /etc/inittab, существует другая возможность запустить службу. Большая часть систем включает файл rc.local, который помещается в каталоге /etc либо рядом с ним. Этот файл сценария


Виды мошенничества

Из книги автора

Виды мошенничества Попробуем ниже рассмотреть что же нам предлагают интернет-мошенники возьмем некоторые распространенные виды мошенничества в Интернете, чтобы знать, чего стоит опасаться в Сети. Я вспомнил о таких 20 видах мошенничества:1. Чудо-методики заработка в


Защита от мошенничества

Из книги автора

Защита от мошенничества Как же защитить себя от обмана мошенниками в Интернете? Для начала – не принимать поспешных решений и любую ситуацию (любое предложение) тщательно анализировать. Защита от мошенничества не требует владения какими-то особыми навыками и зачастую


Методы Any, All

Из книги автора

Методы Any, All Описание методовМетоды приведены для последовательности sequence of T. function Any(): boolean; Проверяет, содержит ли последовательность какие-либо элементы. function Any(predicate: T->boolean): boolean; Проверяет, удовлетворяет ли какой-либо элемент последовательности заданному