В конце сентября российские пользователи электронной почты получили небольшое письмо с адреса ibank@alfabank.ru. В сообщении говорилось, что "в целях обеспечения безопасности денежных средств вашей организации" необходимо получить некий "электронный ключ". Для этого пользователям предлагалось перейти по расположенной ниже ссылке и указать логин и пароль для входа в систему интернет-банкинга Альфа-банка.

Разумеется, ссылка вела не на корпоративный сайт банка, а на поддельный ресурс, который контролировали мошенники. После того как наивный пользователь вводил запрашиваемые данные, они мгновенно попадали в руки злоумышленников, которые использовали их для перевода денег с банковских счетов. Подобные аферы, называемые фишингом, практикуются мошенниками довольно давно. Однако если раньше объектом атаки были жители развитых западных стран (у них просто больше денег), то теперь фишеры активно осваивают отечественный банковский рынок.

В марте нынешнего года Альфа-банк уже оказывался жертвой серьезной фишинговой атаки. Тогда же состоялась атака на российских клиентов Райффайзенбанка. А уже летом стало известно об очередном случае фишинга -- следующей жертвой мошенников оказалась платежная система "Яндекс.Деньги". И это только самые известные инциденты, а их точного количества не может привести, наверное, никто.

Схема "классической" фишинговой атаки довольно проста. Злоумышленники делают рассылку писем, в которой предлагается перейти по расположенной ниже ссылке, ведущей якобы на сайт уважаемой организации (банка, платежной системы и т. д.). В реальности пользователь попадает на сайт-клон, очень похожий на настоящий ресурс. Мошенники используют разнообразные предлоги, чтобы заманить человека на поддельный сайт: пишут о некой внезапно возникшей проблеме или же о свалившемся с небес выигрыше. Устоять довольно сложно, так как в обратном адресе письма всегда значится компания, которой пользователь доверяет. Этот e-mail может даже реально существовать -- в интернете есть множество почтовых серверов, позволяющих рассылать письма с любых обратных адресов. А значит, любой более или менее грамотный пользователь ПК может поставить в графе "отправитель" любой адрес. Хоть bill.gates@microsoft.com.

Когда пользователь попадает на фальшивую страницу, то далее возможны два сценария. Он либо вводит свои приватные данные в поддельную форму, либо заражается вирусом, который встроен в данный сайт.

Черные банкиры

Проблема фишинга, как ни странно, вытекает из технологий. Очевидно, если бы не развивался интернет-банкинг и различные платежные системы, то внимания к фишингу было бы гораздо меньше. Здесь возникает классическое противоречие между удобством пользователя и рисками, которые при этом возникают. Именно поэтому нельзя рассуждать о том, что для защиты от фишинга достаточно просто не отправлять приватные данные в интернете. Люди все равно будут это делать, поскольку хотят пользоваться онлайновыми системами. Проходя легальную авторизацию на настоящем сайте, человек оставляет информацию о себе, ее хватает для идентификации данного человека банком. Точно так же он может оставить аналогичные сведения и на сайте мошенников. А значит, мошенникам будет достаточно сведений для идентификации тем же самым банком.

Разумеется, под угрозой кражи находятся не только сведения систем интернет-банкинга, но и обычная информация о банковской карте. Чтобы сделать покупку в интернет-магазине, достаточно знать номер карты, имя ее владельца, срок действия карты и так называемый CVV-код (последние три или четыре цифры, написанные на обратной стороне карты). Чтобы получить эту информацию, мошенники используют не только фишинг, но и целый ряд других способов. Очень часто "кредитная" информация крадется из баз данных компаний, обрабатывающих трансакции банковских карт. Примерами таких компаний могут быть банки, крупнейшие розничные сети или государственные организации.

Для кражи "кредитных" данных мошенники подкупают сотрудников этих компаний, используют различные вредоносные программы (вирусы) или ищут их на украденных носителях (например, ноутбуках). Мировые масштабы проблемы действительно впечатляют. В качестве типичного примера можно привести американскую компанию TJX, которая потеряла 45 млн "кредитных" записей в декабре прошлого года. Хотя утечка произошла в США, от нее пострадали граждане во всех уголках планеты -- Японии, Китае, Европе и России. Дело в том, что процессинговый центр TJX был одним из самых крупных в мире по обработке трансакций по картам Visa и MasterCard, поэтому в него стекались данные со всего света.

Спустя три месяца после утечки украденные сведения попали на черный рынок в интернет. А еще через три месяца стали появляться первые случаи снятия денег со скомпрометированных счетов через поддельные карты в банкоматах Китая и стран СНГ. По самым консервативным оценкам, мошенники смогли заработать несколько сотен тысяч долларов на этой утечке.

Описанный выше сценарий довольно типичен. Профессиональные мошенники редко занимаются "обналичкой", предпочитая продавать записи кардерам -- преступникам, занимающимся изготовлением поддельных карт. Сегодня в сети существует огромное количество сайтов, предлагающих "кредитную" информацию по довольно низким ценам. В среднем в России можно купить десять кредитных записей всего за $3,5 с возможностью расплатиться через платежную систему WebMoney.

Отметим, что кардеры иногда продают поддельные карты на черном рынке, предлагая своим клиентам самостоятельно их обналичить в банкоматах. Это связано с тем, что банкоматы обычно оснащены камерами, поэтому преступник всегда рискует оставить свое лицо на память оперативникам. Правда, этот риск существенно можно уменьшить, если снимать деньги в темное время суток, прикрыть голову капюшоном, лицо -- черными очками и прижать подбородок к груди.

Согласно сведениям на сайте kredit-kard.biz, стоимость одной поддельной карты составляет от $100 до $200 (в зависимости от объема покупки). Этот сайт можно назвать апофеозом наглости мошенников. На нем имеется просто потрясающий раздел "ответы на вопросы", в котором написано, что этот вид деятельности "довольно безопасен". На этой же страничке указано, что "размах кардингового бизнеса просто огромен", а среднее количество денег, которые можно снять с одной карты, составляет от $1,5 тыс. до $2,5 тыс. Получается, что покупка поддельных карт приносит, как минимум, десятикратную прибыль.

Безопасный "бизнес"

Найти мошенников, занимающихся фишингом, невероятно трудно. Еще сложнее привлечь их к уголовной ответственности. Российское законодательство пока не готово противостоять новым типам киберугроз, а правоохранительные органы имеют слишком мало подобного опыта. Да и мошенников гораздо больше, чем оперативных сотрудников, способных их поймать и обезвредить.

"Рассматриваемой противозаконной деятельностью занимаются как одиночки, так и международная организованная преступность. В большинстве случаев преступления требуют не очень больших финансовых затрат и часто состоят из технически простых действий, рассчитанных в том числе на наивность пользователей. Даже если в ходе оперативных действий удается найти преступников (что случается редко, поскольку не остается "материальных" следов преступлений), то сбор доказательств, а затем доказательство их виновности в суде становятся крайне редко реализуемой задачей",-- комментирует Виктор Наумов, партнер юридической фирмы "Байтен Буркхардт".

Проблема поиска фишеров осложняется и тем, что среди них уже произошло разделение труда. "Сегодня существует настоящий черный рынок карточных данных. Первая категория мошенников добывает их и продает другим людям, которые либо перепродают их "конечным" пользователям, либо обналичивают самостоятельно,-- объясняет схему работы Василий Окулесский, начальник отдела IT-безопасности Банка Москвы.-- Распутать всю цепочку от начала до конца намного труднее, чем поймать мошенника-одиночку". По его словам, преступнику-одиночке сложно заметать за собой следы. Ведь ему нужно иметь доступ к инсайдерам, сливающим приватные данные, а также к оборудованию для производства поддельных кредиток. Наконец, ему нужно самому обналичивать деньги в банкоматах и действовать чаще всего в пределах одной страны, а то и одного города.

Крайний - клиент

Если же кража произошла, то вернуть пропавшие средства практически невозможно. Во-первых, необходимо доказать банку, что деньги снял со счета кто-то другой. Во-вторых, надо понять, кто именно несет ответственность за кражу данных, а в подавляющем большинстве случаев сделать это невозможно. Понятно, что виновником утечки может оказаться банк, любая компания, которая принимала платеж по данной карте, или же сам клиент. Определить структуру, несущую реальную ответственность за кражу, к сожалению, практически нереально.

"Определить, кто именно стал источником утечки, очень сложно, а порой просто невозможно. Однако для банка в этой связи сильным аргументом является доказательство его невиновности. Например, если в банке используются средства защиты от утечек, а система информационной безопасности сертифицирована и проверена независимыми аудиторами или регулирующим органом, то такой банк может смело заявлять в суде о своей невиновности. Тем самым область поиска источника утечки существенно сужается",-- уверен Олег Смолий, руководитель группы защиты телекоммуникационных систем управления защиты информации и объектов банка ВТБ.

Спасение утопающих...

Несмотря на невозможность защититься на 100%, существует ряд рекомендаций, строгое выполнение которых поможет снизить вероятность кражи. Прежде всего перед отправкой приватных сведений в сеть необходимо убедиться в подлинности сайта-адресата. Другими словами, нужно использовать только тот сайт, адрес которого клиенту дали в самом банке.

Разумный пользователь никогда не будет нажимать на ссылки, полученные от неизвестного адресата, даже если этот адресат представляется известной компанией. В крайнем случае достаточно просто позвонить в банк и узнать, действительно ли он осуществлял рассылку своим клиентам. Подчеркнем, что номера телефонов необходимо брать только с официальных сайтов.

Существует также целое семейство вирусов, занимающихся поиском данных о банковских картах на дисках зараженных компьютеров. Для того чтобы обезопасить себя от этой угрозы, пользователь должен использовать и постоянно обновлять антивирус, а также стремиться вообще не хранить подобную информацию на компьютере, подключенном к интернету.

По мнению директора по маркетингу российской компании InfoWatch Дениса Зенкина, все эти меры снижают вероятность кражи, но не исключают полностью ее возможность. "К сожалению, утечка данных может произойти по вине тех структур, которые когда-либо работали с вашей картой. В этом случае клиент совершенно не виноват, однако именно он несет максимальные потери,-- отметил господин Зенкин.-- В настоящее время многие организации внедряют системы защиты от утечек, однако их число пока невелико. Согласно результатам исследования InfoWatch "Внутренние IT-угрозы России-2006", только 8% российских компаний имели работающую систему защиты от утечек по состоянию на конец 2006 года. Все остальные фирмы являются отличной мишенью для злоумышленников".

Таким образом, каждый владелец кредитки может стать жертвой мошенников. Однако если не быть наивным и не открывать поддельные ссылки в браузере, вероятность пострадать от утечки представляется мизерной.