Слово «фишинг» вошло в лексикон не так и давно — примерно два десятилетия назад. Пришло оно из английского языка и означает безобидный, на первый взгляд, термин «рыбалка». Вот только «рыбак» здесь — хакер, который стремится подсадить на крючок доверия обычных пользователей интернета, чтобы выманить у них персональные данные для личных целей, которые идут против закона. Вместе с тем бороться с такими «рыбаками» по силам каждому. Как же? На конкретных примерах это разбирает начальник отдела программных и сетевых экспертиз Центрального аппарата судебных экспертиз Андрей Малашкевич.
С попытками фишинга сталкивались все пользователи электронной почты. Кто не читал присланную и переведенную через Google слезливую историю о том, как у какого-то выходца из Африки, Южной Америки или Океании осталось в наследство несколько миллионов долларов? Но чтобы их заполучить, нужно перечислить определенную сумму на указанный счет. А потом за это вас обещают отблагодарить. Обрадованный пользователь сети проводит платеж (часто на сумму, выраженную в четырехзначных цифрах американской валюты), а взамен получает... ничего. Этот способ выманивая денег появился еще в 1990-е и получил название «нигерийские письма», потому что большинство этих сообщений так или иначе было связано с африканской Нигерией.
Но теперь электронная почта уходит на второй план. Все больше мы пользуемся в интернет-общении мессенджерами — ВКонтакте, Facebook, Telegram, WhatsApp... Понятно, что мошенники рано или поздно пришли бы сюда. В отличие от «нигерийских писем», здесь разговор уже персонализированный — хакер обращается к конкретному пользователю. Причем делает это от имени настоящего знакомого. Все, что для этого нужно — взломать профиль в мессенджере или социальной сети. Особенностью таких разговоров становится «взятие быка за рога». Без долгих вступлений хакер под маской знакомого начинает выманивать деньги или персональные данные.
— Легенда проста, — говорит Андрей Малашкевич. — Друг оказался за границей без денег, истек срок действия банковской карты или что-то еще. И в личные сообщения летит слезная просьба о помощи. Злоумышленники стараются сыграть на психологии: кто из нас не попадал за свою жизнь хоть раз в сложную ситуацию? И получить на этом живые доллары-евро-рубли. Для перевода денег мошенники предлагают или виртуальные карты международных платежных сервисов, или банковский пластик, эмитированный за рубежом. Это делается для того, чтобы максимально запутать следы. До тех пор, пока вы не сделаете перевод, вам будут все подробно объяснять, куда переходить и на какой раздел нажимать. «Клиента» на этом этапе отпускать очень невыгодно — на поиск аккаунта и его взлом было потрачено время. Но как только деньги были отправлены — связь молниеносно обрывается. Навсегда. Мавр сделал свое дело, мавр может уходить.
Единственное спасение в такой ситуации — как можно скорее звонить в банк, выпустивший карту, с которой вы перевели деньги, с просьбой очень оперативно заблокировать платеж. А также узнать по оставленным мошенником реквизитам, какой банк выпустил карту, на которую деньги были отправлены, и звонить с аналогичной просьбой и туда. Правда, здесь может сыграть не в пользу языковой барьер — сумеете ли вы объяснить свою просьбу, например, по-английски, если ваш собеседник находится за океаном?
Но это один из возможных вариантов развития событий. Широкое распространение получил вариант вроде «я сброшу на твою карту деньги, а ты отдашь мне их наличными». И вот тут начинается самое интересное. «Друг» разными путями просит назвать код CVV от карточки, чтобы перевести туда деньги. А вот на этом этапе все начинает зависеть от осмотрительности жертвы. Если вы хотя бы раз клали деньги на карточку, скажем, в банкомате, то вспомните: нужно заполнить всего два поля сведений, касающихся самой карточки. Это ее номер и срок действия. Ни о каких других кодах речь не идет. И если о том, что PIN-код, который мы вводим при любой операции с использованием карточки в банкомате или терминале, нельзя передавать другим лицам, говорено-переговорено уже более двух десятков лет, то о коде CVV слышало уже меньше людей. Он используется для проведения оплаты в интернете.
— Буквально накануне этой встречи наш сотрудник хорошо потроллил такого хакера. Вот, пожалуйста, — протягивает эксперт лист бумаги с распечатанным скрином с экрана смартфона.
Краткое содержание переписки: через аккаунт одного из друзей обратились с вопросом, каким банком эмитирована карточка. После этого пришло сообщение, что, мол, надо вывести деньги с одной из виртуальных платежных систем, но там закончился срок годности. Для этого подойдет карточка собеседника. И даже обещали заплатить за помощь! Но хакер не ожидал предложения приехать к другу, чтобы он показал, как это делать. И буквально через минуту прилетела допись: «Прошу прощения! Это меня взломали!» Сам диалог занял всего шесть минут...
Поэтому лучше всего при такой ситуации позвонить другу и спросить, действительно ли он писал это сообщение. Это тот случай, когда голосовая связь дает сто очков вперед переписке в мессенджере.
— Доверчивость наших людей просто поражает, — констатирует Андрей Малашкевич. — Хакер может разведывать даже номер телефона. Он нужен для оформления виртуального электронного кошелька. казалось бы, что можно сделать, зная один только номер? На него придет SMS-сообщение, в котором попросят подтвердить подлинность операции, введя присланный код. Так мы сталкивались с тем, что жертвы спокойно сообщают коды из этих SMS. Все, хакер получил доступ к вашему счету и подключит вам какой-нибудь платный сервис. А узнаете вы об этом только тогда, когда деньги на балансе закончатся гораздо раньше, чем обычно. Только вот поиски злоумышленника в таком случае рискуют существенно затянуться — хакеры, как правило, действуют из-за рубежа.
Если же хакеры действуют «по-крупному», то они атакуют компании. На электронную почту высылается на первый взгляд безобидное письмо. Но к нему присоединена программка-вирус, которая маскируется, например, под акт выполненных работ.
Бухгалтер без задней мысли открывает письмо, качает файл, запускает его и... получает сообщение о том, что все данные зашифрованы. А чтобы все вернуть назад, надо заплатить. После получения денег хакер обещает прислать программу-дешифратор, которая якобы вернет все назад.
Именно поэтому получайте подтверждение по обычной телефонной связи от того, кто отправил вам документ. Если же письмо от неизвестного отправителя, то лучше его удалить, не открывая. Еще один до сих пор актуальный метод фишинга — привлечение пользователя вместо нужного сайта на поддельный, где нужно ввести логин и пароль, или номер платежной карточки или что-то еще. Тем самым вы отдаете свои данные в руки злоумышленников сами. При этом отличаться названия сайтов могут всего лишь одной незаметной буквой. Поэтому рекомендую пользоваться закладками в браузере.
Как же уберечься от этой напасти?
— Как уже говорилось выше, каждую операцию, которая касается денег или отправки писем по электронной почте, лучше проговаривать и по телефону, — советует эксперт. — И не поддаваться на просьбы сообщить какой-либо код. Для платежей в интернете лучше завести специальную карточку, где деньги будут находиться считанные минуты, а все остальное время на счету будет нулевая сумма. А для социальных сетей лучше пользоваться двухфакторной авторизацией, когда на ваш мобильный номер приходит SMS с кодом подтверждения. Таким образом, это тот случай, когда наша безопасность — действительно в наших руках.
Валерьян ШКЛЕННИК
Интервью с олимпийским чемпионом по фехтованию.
Профессионально, оперативно, по-хорошему.
