151 угроза вашему кошельку - Алексей Боярский

Получить доступ к личной переписке Васи Пупкина зачастую так же просто, как и бессмысленно. Ну, почитают его любовные откровения или нагадят похабными текстами на личной страничке. В крайнем случае, продадут доступ его ревнивой девушке за $50. Совсем другое дело, если вышеуказанный господин Пупкин является известным политическим деятелем, шоуменом, топ-менеджером или акционером серьёзной компании. В этом случае жертву мошенников могут ждать крупные проблемы. Люди редко думают о безопасности переписки, доверяя мейлу много такого, что не сказали бы прилюдно. В таких случаях доступ к переписке может позволить хакеру заняться прибыльным корпоративным шпионажем или шантажом именитого пользователя. При этом настоящие профессионалы часто могут действовать очень тонко и с большой выдумкой. Например, получив доступ к чьей-то персональной странице или блогу, профессионал не станет вывешивать там на первой странице большими буквами идиотские заявления или признания от имени владельца. Во-первых, это сразу заметят и удалят, а во-вторых, всем будет понятно, что человек писал не сам. При грамотном подходе опытный «писатель» составит текст с учётом поднятых на странице тем и в стиле владельца блога или же немного отредактирует уже существующую тему из недавно вывешенных. Поэтому никто сразу чужака и не заметит. А в результате о «своём» высказывании владелец блога (известный человек) узнает, когда оно уже будет цитироваться в Интернете и бумажных СМИ. Что касается корпоративных войн, то здесь основной интерес обычно представляет не столько переписка, сколько доступ к данным в компьютерах сотрудников бухгалтерии или, допустим, отдела маркетинга.

Методы, которые используют взломщики, варьируются от распространённых и примитивных до весьма изощрённых. Самое простое – банальный подбор пароля. Особой смекалки от мошенника не требуется, достаточно элементарной наблюдательности. Например, доступ к почтовому ящику можно получить, ответив на секретный вопрос. И если в качестве такого контрольного вопроса пользователь предпочёл что-то типа «Как зовут мою собаку?», то, размещая в своём блоге фотографию «Мы с Мухтаром на границе», он сам указывает правильный ответ. Другой, не менее популярный и несложный для специалиста способ – засылка вируса-трояна, который «разглядит» и вышлет своему хозяину все «забиваемые» пользователем компьютера пароли и логины. Троян могут заслать «в лоб», то есть прикрепить к безликому письму, напоминающему спамерское. Или бывает, что «хитрое» письмо не содержит прикреплённого файла с трояном внутри, зато просит зайти на некую веб-страницу, где уже троян и цепляется. В данном случае пользователю достаточно соблюдать правила пассивной защиты – не открывать файлы в подозрительном письме и не ходить по подозрительным ссылкам. Указанный в ссылке адрес может не соответствовать истинному адресу переадресации. Поэтому в целях безопасности нужно не щелкать на ссылке, а ввести указанный URL (адрес сайта) непосредственно в адресную строку своего браузера. И, естественно, необходимо помнить, что ни один почтовый сервер или иной грамотно работающий интернет-ресурс никогда не высылает писем с просьбами ввести/указать логин или пароль. Как ни странно, но всегда находятся «чайники», попадающиеся даже на такую нехитрую уловку, своими руками высылая необходимые данные мошеннику. Подобные методы «выманивания» паролей или иных данных называются фишингом (в переводе с английского – «рыбная ловля»). Однако вышеописанные способы давно всем известны и остаются уделом дилетантов. В случае с более или менее опытным пользователем и при относительно грамотно выстроенной защите компьютера они бессильны. Нормально защищённая система с настроенным и своевременно обновляемым фаерволлом, браузером, антивирусом и т. п. не позволит подцепить даже неизвестный троян – антивирус вычислит его по особым троянским признакам. Даже если троян уже засел в системе, она не должна выпустить наружу отправляемую им информацию.

Если же за дело берётся не ремесленник, а человек, владеющий делом на уровне искусства, защита не сработает. Скажем, для атаки будет создан не просто нестандартный, а уникальный троян с учётом специфики системы. Да и не всегда для запуска трояна нужно внедрять его через Интернет – мошенник может просто срежиссировать ситуацию, при которой сотрудник интересующей компании сам загрузит троян в свою корпоративную сеть. Причём даже не догадываясь о том, что он сделал. Вот это и называется искусством фишинга. Известен случай, когда в Лондоне утром на парковках возле офисов компаний были кем-то «потеряны» флешки. Нашедшие их сотрудники, не долго думая, засовывали устройства в рабочие компьютеры – видимо, хотели посмотреть, что на них записано. Вот так без особых усилий во многие корпоративные сети проник троян. Или такой вариант. Топ-менеджеру компании приходит письмо с просьбой зайти на некий сайт. В данном случае письмо вроде настоящее, а не просто «давай познакомимся» или «пупсик, глянь мои фотки». В графе «Отправитель» стоит имя знакомого топ-менеджеру человека (можно даже сам мейл проверить), да и содержание вполне по делу, в рамках бизнес-интересов. Почему бы не зайти на страницу с дополнительной информацией (и грамотно прописанным трояном)? Даже если получивший заказ на добычу пароля профессионал не в курсе круга знакомств и интересов сотрудников компании, он может это выяснить, просто познакомившись и пообщавшись с этими людьми на профессиональных интернет-форумах, выставках и т. д. Не всё же сводится к одним IT-технологиям! Кстати, располагая информацией о человеке, письмо-приглашение на страницу с трояном можно даже не присылать. Мошеннику достаточно узнать, какие сайты человек посещает, а потом найти среди этих сайтов уязвимый и вывесить троян там. Если известно, что человек пользуется какими-либо общедоступными онлайновыми ресурсами, сравнительно плохо защищёнными и часто «собранными» на скорую руку, то пароль входа на эти ресурсы с большой долей вероятности можно выяснить. А поскольку люди зачастую для простоты применяют один пароль, можно использовать его для доступа к другим ресурсам, содержащим ценную информацию. Технология простая – в поля форм для регистрации или авторизации вводится кусок стандартной программы, который нивелирует проверку подлинности и открывает доступ к регистрационным данным.

Затем мошенник меняет указанный в профиле пользователя адрес мейла на свой и делает запрос с просьбой выслать «потерянный» пароль. Интернет-ресурсами с подобными прорехами чаще всего бывают онлайновые издания, блоги, сообщества, сайты знакомств, форумы и т. д. Соответственно, необходимо соблюдать осторожность – для регистрации на сомнительных или слабо защищённых ресурсах завести отдельный e-mail, который не выводит ни на какие иные личные секреты и который в случае чего не жалко потерять.

Но что делать, если любимый мейл всё-таки увели? Службы технической поддержки бесплатных почтовых серверов всячески способствуют возвращению мейлов законным владельцам. Как правило, похититель одновременно с паролем меняет и все данные в форме регистрации пользователя (имя, ответ на секретный вопрос, адрес для восстановления пароля и т. д.). Однако доказать свои права на ящик не так уж и трудно: подтверждением личности владельца может стать информация об отправленных или полученных письмах, прежних паролях и т. п. А вернув себе мейл, можно, соответственно, предъявив последний, вернуть до ступ и к прочим похищенным с его помощью бесплатным ресурсам (ЖЖ, ICQ и т. д.), просто обратившись в администрации данных систем.

Но если похищение пароля к почте или мейлу может стать лишь косвенной причиной каких-либо потерь, то кража пароля доступа к интернет-кошельку или банковскому счёту сулит прямые материальные убытки. Тем более что, предоставив клиенту разного рода интернет-сервис и прочие электронные удобства, российские банки не успевают обеспечить реальную защиту при их использовании. Помимо нерасторопности банков почва для электронного мошенничества отлично унавожена и отсутствием специальных знаний у большинства законопослушного населения, которое пользуется платёжными услугами уже в массовом порядке. Пароль (код доступа) к управлению собственным счётом в системе интернет-банкинга преступники могут получить абсолютно теми же методами, что и в случае с паролем к мейлу, – с помощью троянов, фишинга и т. п. Заметим, что трояны засылаются обычно не целенаправленно тому или иному адресату, а массово. В итоге у владельца трояна скапливаются тысячи записей (логов). Сам он с ними не работает (разделение труда!), а продаёт на мегабайты (то есть устанавливает цену не за единицу (одну запись), а за целую кучу электронных записей, считая в мегабайтах, – как яблоки оптом: не по штуке и даже не килограммами, а тоннами) другим «узким специалистам». Так, похитители денег из электронных кошельков или с банковских счетов, разбирая купленный материал, выберут по определённым признакам логины и пароли, относящиеся именно к их сфере.