В одни руки
Сейчас в интернете есть несколько русскоязычных сайтов, беспрепятственно торгующих данными чужих платежных карт. Эксперты отмечают, что привлечь к ответственности мошенников практически нереально и держателям карт остается рассчитывать только на свою осмотрительность.
Схема "классической" фишинговой атаки довольно проста. Злоумышленники делают рассылку писем, в которой предлагается перейти по расположенной ниже ссылке, ведущей якобы на сайт уважаемой организации (банка, платежной системы и т. д.). В реальности пользователь попадает на сайт-клон, очень похожий на настоящий ресурс. Мошенники используют разнообразные предлоги, чтобы заманить человека на поддельный сайт: пишут о некой внезапно возникшей проблеме или же о свалившемся с небес выигрыше. Устоять довольно сложно, так как в обратном адресе письма всегда значится компания, которой пользователь доверяет. Этот e-mail даже может реально существовать — в интернете есть множество почтовых серверов, позволяющих рассылать письма с любых обратных адресов. А значит, любой более или менее грамотный пользователь ПК может поставить в графе "отправитель" любой адрес. Хоть bill.gates@microsoft.com.
Когда пользователь попадает на фальшивую страницу, то далее возможны два сценария. Он либо вводит свои приватные данные в поддельную форму, либо заражается вирусом, который встроен в данный сайт.
Черные банкиры
Проблема фишинга, как ни странно, вытекает из технологий. Очевидно, если бы не развивался интернет-банкинг и различные платежные системы, то внимания к фишингу было бы гораздо меньше. Здесь появляется классическое противоречие между удобством пользователя и рисками, которые при этом возникают. Именно поэтому бессмысленно рассуждать о том, что для защиты от фишинга достаточно просто не отправлять приватные данные в интернете. Люди все равно будут это делать, поскольку хотят пользоваться онлайновыми системами. Проходя легальную авторизацию на настоящем сайте, человек оставляет о себе информацию, которой хватает для идентификации данного человека банком. Точно так же он может оставить аналогичные сведения и на сайте мошенников. А значит, мошенникам будет достаточно сведений для идентификации тем же самым банком.
Разумеется, под угрозой кражи находятся не только сведения систем интернет-банкинга, но и обычная информация о банковской карте. Чтобы сделать покупку в интернет-магазине, достаточно знать номер карты, имя ее владельца, срок действия карты и так называемый CVV-код. Чтобы получить эту информацию, мошенники используют не только фишинг, но и целый ряд других способов. Очень часто "кредитная" информация крадется из баз данных компаний, обрабатывающих трансакции банковских карт. Примерами таких компаний могут быть банки, крупнейшие розничные сети или государственные организации.
Для кражи "кредитных" данных мошенники подкупают сотрудников этих компаний, используют различные вредоносные программы (вирусы) или ищут их на украденных носителях (например, ноутбуках). Мировые масштабы проблемы действительно впечатляют. В качестве типичного примера можно привести американскую компанию TJX, которая потеряла 45 млн "кредитных" записей в декабре прошлого года. Хотя утечка произошла в США, от нее пострадали граждане во всех уголках планеты. Дело в том, что процессинговый центр TJX был одним из самых крупных в мире по обработке трансакций по картам Visa и MasterCard, поэтому в него стекались данные со всего света.
Спустя три месяца после утечки украденные сведения попали на черный рынок в интернет. А еще через три месяца стали появляться первые случаи снятия денег со скомпрометированных счетов через поддельные карты в банкоматах Китая и стран СНГ. По самым консервативным оценкам, мошенники смогли заработать на этой утечке несколько сотен тысяч долларов.
Описанный выше сценарий довольно типичен. Профессиональные мошенники редко занимаются "обналичкой", предпочитая продавать записи кардерам — преступникам, занимающимся изготовлением поддельных карт. Сегодня в сети существует огромное количество сайтов, предлагающих "кредитную" информацию.
Отметим, что кардеры иногда продают поддельные карты на черном рынке, предлагая своим клиентам самостоятельно их обналичить в банкоматах. Это связано с тем, что банкоматы обычно оснащены камерами, поэтому преступник всегда рискует оставить свое лицо на память оперативникам. Правда, этот риск можно существенно уменьшить, если снимать деньги в темное время суток, прикрыть голову капюшоном, лицо — черными очками и прижать подбородок к груди.
Согласно сведениям на сайте kredit-kard.biz, стоимость одной поддельной карты составляет от $100 до $200 (в зависимости от объема покупки). Этот сайт можно назвать апофеозом наглости мошенников. На нем имеется просто потрясающий раздел "ответы на вопросы", в котором написано, что этот вид деятельности "довольно безопасен". На этой же страничке указано, что "размах кардингового бизнеса просто огромен", а средняя сумма, которую можно снять с одной карты, составляет от $1,5 тыс. до $2,5 тыс. Получается, что покупка поддельных карт приносит как минимум десятикратную прибыль.
Безопасный "бизнес"
Найти мошенников, занимающихся фишингом, невероятно трудно. Еще сложнее привлечь их к уголовной ответственности. Да и мошенников гораздо больше, чем оперативных сотрудников, способных их поймать и обезвредить.
Проблема поиска фишеров осложняется и тем, что среди них уже произошло разделение труда. Сегодня существует настоящий черный рынок карточных данных. Первая категория мошенников добывает их и продает другим людям, которые либо перепродают их конечным пользователям, либо обналичивают самостоятельно. Преступнику-одиночке сложно заметать за собой следы. Ведь ему нужно иметь доступ к инсайдерам, сливающим приватные данные, а также к оборудованию для производства поддельных кредиток. Наконец, ему нужно самому обналичивать деньги в банкоматах и действовать чаще всего в пределах одной страны, а то и одного города.
Если же кража произошла, то вернуть пропавшие средства практически невозможно. Во-первых, необходимо доказать банку, что деньги снял со счета кто-то другой. Во-вторых, надо понять, кто именно несет ответственность за кражу данных, а в подавляющем большинстве случаев сделать это невозможно. Понятно, что виновником утечки может оказаться банк, любая компания, которая принимала платеж по данной карте, или же сам клиент. Определить структуру, несущую реальную ответственность за кражу, практически нереально.
Спасение утопающих
Несмотря на невозможность защититься на 100%, существует ряд рекомендаций, строгое выполнение которых поможет снизить вероятность кражи. Прежде всего перед отправкой приватных сведений в сеть необходимо убедиться в подлинности сайта-адресата. Другими словами, нужно использовать только тот сайт, адрес которого клиенту дали в самом банке.
Разумный пользователь никогда не будет нажимать на ссылки, полученные от неизвестного адресата, даже если этот адресат представляется известной компанией. В крайнем случае, достаточно просто позвонить в банк и узнать, действительно ли он осуществлял рассылку своим клиентам. Подчеркнем, что номера телефонов необходимо брать только с официальных сайтов.
Существует также целое семейство вирусов, занимающихся поиском данных о банковских картах на дисках зараженных компьютеров. Для того чтобы обезопасить себя от этой угрозы, пользователь должен использовать и постоянно обновлять антивирус, а также стремиться вообще не хранить подобную информацию на компьютере, подключенном к интернету.
Что советуют на kredit-kard.biz
"Конечно, снимать деньги с карт противозаконно, но если принимать меры, то это довольно безопасно. Посмотрите новости: задержания при таком виде кардинга случаются пару раз в год, и то в основном по глупости человека, который снимает деньги, а размах этого бизнеса просто огромен. То есть задержания при таком виде кардинга происходят не более чем в одном случае из тысяч, и то задерживают только тех, кто сам делает ошибки. Так что это один из немногих видов заработать большие деньги при практически нулевом риске. Мы можем дать и некоторые рекомендации, как снять деньги безопаснее".
"Сами мы, конечно, не ходим по банкоматам и не снимаем деньги — уже не тот уровень у нас. Мы посылаем для этого специально обученных бойцов. Однако мы платим им свой процент, да еще и многие из них так и норовят обмануть нас. Хоть это и выгоднее, но ненамного. Кроме того, иногда у нас бывает слишком много дампов (данных о банковских картах.—Ъ-Банк), поэтому мы излишек продаем. В общем, это наш бизнес: как выгоднее на данный момент, так и поступаем. Иногда у нас бывают очень большие поступления дампов, поэтому достаточно много мы продаем".
"Мы не будем передавать ни при каких условиях заказ лично в руки, мы не будем передавать заказ ни вашему человеку, ни вашему знакомому проводнику и т. д. Если вы заказываете доставку через проводника, мы сами найдем такового в нужном вам направлении. Мы не будем класть пакет с картами в какое-то место или камеру хранения, определенное вами. В случае выбора такой доставки мы сами выберем камеру хранения и после того, как карты будут там, сообщим, где это, и назовем код для камеры".