Как бизнесу и клиентам распознать фишинговые сервисы
И не попасться на удочку мошенников в онлайнеСреди специалистов по кибербезопасности ходит шутка, что главная брешь в информационной защите находится в прослойке между клавиатурой и компьютерным креслом – по аналогии с шуткой автолюбителей. И это понимают не только эксперты, но и киберпреступники, активно пользующиеся нашими наивностью и невнимательностью. Они используют методы социальной инженерии, основной целью которых является заставить жертву сделать выгодные злоумышленнику действия, например, перевести деньги или оплатить какой-либо товар или услугу на подменном сайте.
Согласно новому отчету Банка России, в I квартале 2022 г. этот метод использовали чаще всего – в 52,5% случаев. Относительно показателя всего 2021 г. доля операций методом социнженерии выросла: по итогам минувшего года она составляла 49,4%. При этом кредитные организации все реже возвращают гражданам украденные мошенниками деньги – этот показатель падает с 2019 г. Проблема заключается в том, что разглашение данных третьим лицам снимает ответственность с банков.
Эксперты по кибербезопасности объяснили «Ведомостям», как не стать жертвой мошенников в онлайне, а компаниям и банкам – защитить своих клиентов.
Как обманывают людей
В мае 2022 г. специалисты Group-IB предупредили о том, что прекращение работы в России Apple Pay и сложности с оплатой в сервисах Apple Store и iTunes натолкнули злоумышленников на создание новых схем для кражи денег, данных банковских карт и учетных данных AppleID. Пользователям предлагают пополнить счет в Apple Store и iTunes с помощью виртуальных карт на суммы от 1000 до 6000 руб. Владельцы сервиса уверяют, что с их помощью можно пополнить счет аккаунта и приобрести «любой виртуальный контент в абсолютно всех цифровых магазинах Apple в России». Сайт копирует дизайн Apple, однако форма оплаты является фишинговой, и данные и деньги попадают к мошенникам.
Еще один пример – практически каждый туристический сезон появляются фальшивые сайты по продаже билетов на «Сапсан». Самая известная история относится в лету 2020 г., когда в топе поисковой выдачи Google оказался поддельный портал sapsan-trains.com. Доверчивые покупатели приобретали ненастоящие билеты за настоящие деньги. По меркам мошеннических сайтов этот просуществовал достаточно долго: он был зарегистрирован в середине декабря 2019 г.: злоумышленники пытались воспользоваться повышенным спросом на билеты в сезон отпусков и активизировались в зимний и летний периоды. Первоначально сайт не вызывал у пользователя подозрений: на почту приходило письмо для авторизации и подтверждения платежа. Но после списания средств с карты купленные билеты на «Сапсан» не приходили, а данных для обратной связи, кроме электронной почты на сайте, разумеется, указано не было.
Подобные сайты рассчитаны на невнимательность и спешку потребителей, мошенники покупают контекстную рекламу в поисковиках, чтобы находиться над поисковой выдачей. Их затраты с лихвой окупаются: за 12 месяцев с июня 2020 г. по июнь 2021 г. россияне потеряли 3,15 млрд руб., попадаясь на подобные схемы, подсчитала Group-IB. По оценкам специалистов компании, обманутые пользователи в РФ в течение указанного периода совершали 11 767 платежей ежедневно, что суммарно составило 8,6 млн руб. в день.
Илья Касаткин, системный инженер по безопасности приложений IT-компании КРОК:
Безопасность авторизаций онлайн-транзакций с использованием кредитных или дебетовых карт обеспечивается с помощью протокола 3-D Secure (3DS). На данный момент существует две версии 3DS: первая, где банк запрашивает у пользователя код или пароль для подтверждения платежа, и вторая, разработанная для смартфонов, где в качестве подтверждения используются биометрические данные. Учитывая, что первая версия по-прежнему широко используется, у киберпреступников есть возможность обманом получить у пользователя код подтверждения транзакции с помощью методов социальной инженерии (одним из которых является фишинг).
В данном случае реализуется следующая схема: жертву с помощью рекламы или спама заманивают на фишинговую страницу онлайн-сервиса. При оплате пользователь вводит свои банковские реквизиты, после чего сервис отправляет запрос в банк (в качестве получателя оплаты указывается счет мошенников). Пользователя перенаправляют на фишинговый платежный шлюз, на котором он вводит полученный в SMS-сообщении код для подтверждения транзакции. Так как шлюз является поддельным, код перехватывают и указывают его уже на настоящей странице 3-D Secure, чем подтверждают операцию по переводу денег на свой счет.
Чтобы оставить злоумышленникам меньше шансов, достаточно быть осторожным при открытии ссылок и файлов, научиться отличать google.com от qoogle.com и обращать внимание на интерфейс, который может отличаться от оригинала цветом, логотипом или лишним полем в форме авторизации, отмечают в Group-IB.
Как компаниям защитить себя и клиентов
Схемы киберпреступников становятся все более изощренными: они зачастую «не экономят» на создании сайтов-зеркал и фейковых платежных шлюзов, копируя айдентику тех или иных ресурсов. В ситуации, когда пользователь сам пошел на поводу у «социальных инженеров», компания, конечно, не виновна в нанесенном ему ущербе.
И все же в таких ситуациях и для нее содержатся репутационные риски: пример тому – печально известные звонки из «службы безопасности Сбербанка». Звонки совершали мошенники, а пользователи видели в этом неэффективность средств защиты самой кредитной организации.
Полностью исключить вероятность использования инструментов социальной инженерии против клиентов различных онлайн-сервисов на сегодняшний день невозможно. Однако есть меры, которые компании могут предпринять со своей стороны, чтобы минимизировать риски:
- использовать понятные и надежные финансовые инструменты (кошельки, платежные шлюзы и т. д.);
- внедрить двухфакторную аутентификацию (например, с использованием проверочного кода в СМС или звонка);
обеспечить надежную защиту ресурса с помощью проверенных средств информационной безопасности и специалистов, которые на постоянной основе будут отслеживать создание фишинговых ресурсов с айдентикой компании;
вести информационную работу с клиентами и уведомлять их о возможных опасностях.
В том случае если компания использует платежные решения и средства информационной защиты от проверенных вендоров, это уже позволяет снизить риски как в отношении самой компании, так и в отношении ее клиентов.
Как интернет-пользователю самому защититься от мошенничества в сети
В первую очередь, специалисты Group-IB и других опрошенных компаний советуют обращать внимание на следующие моменты:
- нужно внимательно изучать адресную строку. Все популярные легитимные сервисы поддерживают протокол шифрования https. Замочек рядом со строкой браузера также служит определенным маркером защищенности. Конечно, от продвинутых схем мошенничества таким простым способом не защититься, но от тех, что рассчитаны на невнимательность, точно можно. Более серьезный уровень безопасности обеспечит использование полезных плагинов (например, HTTPS Everywhere, WOT и др.) для веб-браузеров;
- увлекаясь онлайн-шоппингом, внимательно совершайте платежи через сервисы 3DS. Прежде всего, обязательно смотрите, что это платеж по реквизитам, а не перевод на личную карту третьего лица. Такое «топорное» мошенничество, как ни странно, бывает очень эффективным;
- если у известного вам сайта вдруг изменился дизайн – насторожитесь. Преступники создают онлайн-ресурсы с простой целью – собрать конфиденциальные данные или получить деньги путем обмана. Поэтому в большинстве случаев они не мудрят со структурой и дизайном сайта. Небрежная верстка, орфографические ошибки, неработающие разделы и ссылки – явные признаки подмены ресурса;
перед оплатой (особенно на значительную сумму) не поленитесь проверить дату регистрации домена. Это можно сделать с помощью публичных сервисов, например, whois7.ru. Если сайт создан менее года назад – вероятность мошенничества велика;
- если для совершения покупки в интернете вам будет предложено установить на телефон или компьютер дополнительные программы – ни в коем случае не стоит этого делать. Так вы рискуете потерять не только деньги, но и само устройство;
- Если сайт не вызвал сомнений и вы готовы совершить покупку в интернете, внимательно изучите платежные инструменты. После ввода реквизитов карты сайт магазина должен перекинуть вас на шлюз платежной системы вашей карты. Это отдельная безопасная страница, интернет-магазин не может получить доступ к информации, которую вы там введете. Платежные шлюзы соединяют владельца карты с его банком при проведении платежа. Банк присылает клиенту в СМС-сообщении одноразовый код для подтверждения операции. И только после того как покупатель его вводит, проходит платеж;
- никому не сообщайте секретные коды от банка – проверьте, совпадают ли данные из СМС с деталями операции, в особенности – назначение платежа и наименования юрлица, принимающего платеж. Если все в порядке, вбейте код в специальное поле на странице оплаты. Если нет – позвоните в банк.
следует также избегать тех способов оплаты, которые не допускают возмещения денежных средств.
- старайтесь не использовать единую карту для всех платежей. Например, можно завести отдельную карту для совершения покупок в интернете и перечислять на нее необходимую сумму непосредственно перед совершением платежа. В этом случае, даже попав в ловушку, подстроенную мошенниками, вы не скомпрометируете данные карты, на которой хранятся ваши сбережения.
Если злоумышленникам все же удалось обмануть вас и украсть деньги со счета, нужно связаться с банком, после чего – написать заявление в полицию и отправить в банк талон о принятии заявления. Если вы сами ввели данные карты при оформлении платежа на фишинговом ресурсе, банк не сможет вам возместить денежные средства без заявления в правоохранительные органы.
Мошенники всегда активизируются в периоды социальной напряженности, а потому сейчас нужно быть предельно внимательными в отношении того, где и как вы оставляете персональные данные и, в частности, данные своих банковских карт. Способы мошенничества становятся с каждым днем все более изощренными, и некоторые из них могут быть неизвестны даже специалистам. Поэтому ни банки, ни компании не могут гарантировать своим клиентам абсолютную защиту. Так что в первую очередь необходимо быть внимательными к тому, где и какую информацию о себе оставлять.