Влияние фишинга на развитие электронной коммерции
Дата: 26.10.2007Источник: www.crime-research.ru
Автор: Виктор Сабадаш
... года, о чем администрация банка предупредила своих пользователей.
По своему характеру предпринятая фишинговая атака была довольно стандартной. В письмах содержались ссылки, пройдя по которым клиент перенаправлялся на подставную страницу, где злоумышленники запрашивали у клиента реквизиты доступа к его банковскому счету. Несмотря на то, что дизайн фишинг-страницы был практически в точности скопирован с сайта банка, текст был написан с грамматическими ошибками, сообщает CNews. За последний месяц это уже третья по счету неприятность с онлайновой системой банка Westpac. В начале июня 2007 года сайт банка оставался неработоспособным на протяжении нескольких часов из-за сбоя по вине персонала. По крайней мере такова официальная версия администрации веб-ресурся. Спустя неделю банк снова "пропал из Интернета" в результате масштабной DoS-атаки: кроме сайта тогда не работали также банкоматы т сервисы EFTPOS.
Таким образом, до последнего времени схемы фишинг-атак сводились, в основном, к созданию специального веб-сайта, копирующего дизайн известного интернет-ресурса. Заманив пользователя на такой сайт, злоумышленники под различными предлогами старались заставить его ввести конфиденциальные идентификационные данные. В результате, невнимательный человек фактически добровольно передавал в руки фишеров свои пароль и логин. Однако многочисленные предупреждения, чуть ли не ежедневно появляющиеся в Сети, делают подобный способ мошенничества менее и менее эффективным. Впрочем, как показало исследование компании Websense, фишеров это не останавливает.
Специалисты по IT-безопасности указывают также о возникновении новой разновидности фарминга – неэлектронный фишинг. В схемах неэлектронного фишинга создаются реальные торгово-сервисные предприятия либо используются уже существующие.
Так, по утверждению Сургутнефтегазбанка, впервые такой вид мошенничества был зафиксирован российскими банками в 2006 году в Турции, куда в разгар туристического сезона направляется множество туристов из России. У многих из них есть банковские карты, и периодически возникает необходимость снять наличные. Но количество банкоматов в Турции не всегда может удовлетворить потребности туристов. Зачастую их просто нет рядом с отелем, иногда они не работают или выдают денежные средства в режиме, который не устраивает держателя. В связи с этим в Турции появилась новая услуга - получение наличных денежных средств на предприятиях торговли. Часто они называются post-office (почтовое отделение).
Для держателя карты процедура очень схожа с получением денежных средств в пунктах выдачи наличных (ПВН) банков, к которой он привык. Но на самом деле данная процедура не соответствует правилам международных платежных систем и отличается от обслуживания клиента в ПВН. Для банка-эмитента, выпустившего карту, такие операции выглядят как обычная покупка в магазине, что уже предполагает обман со стороны предприятия торговли.
Кроме того, при получении денежных средств, держателя просят ввести свой ПИН-код, правильность ввода которого должен проверить банк-эмитент. Но ПИН не направляется эмитенту, а записывается мошенниками с помощью устройства, имитирующего ПИН-ПАД (дополнительный модуль торгового терминала, специально предназначенный для ввода ПИН-кодов и обеспечения их конфиденциальности). Клиент банка, вернувшись из Турции, через некоторое время может обнаружить в выписке по счету своей банковской карты операции снятия в банкоматах, которые он не совершал.
По данным международной ассоциации APACS (Association of Payment Clearing Services) в первой половине 2006 года наблюдался резкий рост активности сетевых мошенников в сфере онлайновых банковских операций.
Основной упор фишеры сделали на пользователей услуги онлайн-банкинга. Число официально зарегистрированных случаев мошенничества за полгода составило 5 059, что на 16% больше, чем за последние 6 мес. 2005 года. Только за последний год число фишинговых атак выросло на 800%. Таков был ответный шаг хакеров на предпринятые банками меры по усовершенствованию инструментов защиты против сетевых атак. Объем украденных фишерами средств за 6 мес. 2006 года превысил 55 миллионов долларов. Всего же за первую половину 2006 года мошенники украли около 420 миллионов долларов с пластиковых карт, что на 9% меньше, чем за последние 6 месяцев 2005 года.
Кроме того, по мнению исследователей APACS, пользователи онлайн-банкинга в Великобритании не имеют даже элементарных представлений о мерах безопасности в процессе удаленного управления своими счетами через Интернет. Результаты последнего исследования APACS для банковской индустрии показали, что многие из тех, кто пользуется онлайновыми банковскими услугами не не только не осознают опасности, исходящей от фишинговых атак и троянских программ, но и снисходительно относятся к появлению подобного рода угроз.
Удивительно, что неоднократные предостережения банков об угрозе фишинга едва ли припятствуют соблазну части клиентов ответить на подозрительные электронные сообщения, предоставив свои персональные данные. По крайней мере 4% респондентов именно так бы и поступили. Между тем, 60% от общего числа опрошенных признались, что, отвечая на фишинговое письмо, они бы даже не стали проверять достоверность e-mail адресата. Что касается защиты паролей для доступа к банковским счетам, то и здесь британцы проявляют непростительную беспечность. Треть респондентов либо записывает свои данные, либо хрянит их вблизи своих компьютеров. При этом 2/3 клиентов вовсе не считают нужным менять свои пароли, а каждый пятый опрошенный пользователь умудряется использовать свою конфиденциальную банковскую информацию на прочих, небанковских веб-ресурсах. Кроме этого, исследователи APACS выявили интересную тенденцию. Потребителей онлайн-банкига моложе 24 фишеры атакуют чаще, в то время как клиенты более старшего возраста чаще других подвержены другой напасти - им реже всего приходит в голову, хотя бы время от времени, менять пароли для доступа к своим банковским счетам.
Согласно данным британской газеты The Guardian, ущерб от Интернет-мошенничества только в банковской сфере Великобритании вырос на 55 процентов по сравнению с 2005 годом.. В полиции же заявляют, что официальная статистика не отражает реального ущерба. По оценкам полицейских мошенничество через Интернет обходится экономике Великобритании в более чем 3 миллиарда долларов США в год. Банки не сообщают об атаках на их системы, возможно не желая сделать эти случаи достоянием широкой публики, либо, полагая, что органы правопорядка не способны справиться с этой проблемой [43].
В этой связи не обходимо отметить, что согласно данных ежегодного ислледования Financial Institution Consumer Online Fraud Survey, проведенного компанией RSA, доверие владельцев банковских счетов к онлайн-каналам снизилось: более половины клиентов банков признали, что они с меньшей вероятностью подписались бы на услугу интернет-банкинга. Опасения в связи с участившимися случаями фишинга и вовсе не позволяют банкирам рассчитывать на установление обратной связи со своими клиентами.
Согласно результатам исследования, 82% клиентов хотели бы, чтобы банки проводили мониторинг сеансов связи в момент их дистанционного взаимодействия с кредитным учреждением. Желающих воспользоваться дополнительными способами аутентификации оказалось подавляюшее большинство опрошенных - 91%. Надо отметить, что специалисты RSA опрашивали пользователей онлайн-банкинга в 8 странах с целью выяснить мнение о текущей ситуации с интернет-мошенничеством.
В 2005 году на Украине также были зафиксированы массовые фишинг-атаки. Так, в апреле 2005 года в украинском сегменте Интернета появились массовые рассылки, подписанные службой безопасности "Приват24" (торговая марка услуги электронного банкинга Днепропетровского Приватбанка). Об этом сообщила украинская корпорация UNA, разработчик комплексных систем антивирусной защиты.
Украинские пользователи Интернета на протяжении нескольких дней обнаруживали у себя в электронных почтовых ящиках письма, подписанные службой безопасности Приватбанка, с настойчивыми просьбами срочно пройти на сайт и ввести на странице по всплывающей ссылке, которая отдаленно напоминает систему доступа к личному счету, код активации, а также пройти авторизацию.
Неизвестные хакеры-злоумышлениики, таким образом, с помощью подставного сайта, который якобы принадлежит Приватбанку, вытягивали из обманутых клиентов номера кредитных карт и другую конфиденциальную информацию. Такая фишинг-атака была зафиксирована на Украине впервые. Необходимо отметить, что Интернет-банк "Приват24" предназначен для управления реальными банковскими счетами через сеть Интернет. Данная система предоставляет своим пользователям комплекс банковских услуг в режиме реального времени, из любой точки земного шара, имеющей выход в Интернет. По данным сотрудников Приватбанка количество активных пользователей "Приват24" по состоянию на начало апреля 2005 года составляло 60 тысяч человек [45].
Фишеры все чаще и чаще применяют специализированные программные средства с целью хищения паролей для доступа к онлайновым банковским ячейкам своих жертв, например, прибегают к применению так называемых keyloggers – специальных программ, отслеживающих нажатия клавиш на компьютерах пользователей и отсылающих полученную таким образом информацию по заранее заложенному адресу.
Специалисты в области ІT-безопасности выявили также новую троянскую программу, которая сканирует банковскую активность пользователя в Интернете, а также особенности его Web-серфинга. Троян Banker-AJ нацелен на Wіndows-компьютеры клиентов таких британских банков, как Abbey, Barclays, Egg, HSBC, Lloyds TSB, Natіonwіde и NatWest. Установленный на машине троян ничем не проявляет себя до тех пор, пока пользователь не посетит Web-сайт одного из указанных банков. Тогда...
Добавить комментарий |
Всего 0 комментариев |