PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Новые статьи в RSSНовые статьи

Хакеры заинтересовались POS-терминалами

 4 августа 2016   0 комментариев
 Алина Оприско  
Кражи через такие терминалы распространены на Западе, предупредил банкиров Центробанк

В Digital Security подготовили обзор по безопасности высокоскоростных поездов

 2 августа 2016   0 комментариев
 Алина Оприско  
Компания Digital Security открывает цикл аналитических обзоров, посвященных безопасности транспорта и промышленных объектов. Первый обзор серии подготовлен Егором Литвиновым, ведущим специалистом по безопасности АСУ ТП Digital Security, который сосредоточил свое внимание на ИБ высокоскоростных поездов на основе информации из открытых источников. Специалист Digital Security описал инфраструктуру современного поезда, а также представил возможные векторы атак, которые в потенциале имеются в распоряжении злоумышленников. Обзор полностью можно почитать в нашем блоге на Хабре.

ЦБ потребовал киберзащиты

 2 августа 2016   0 комментариев
 Алина Оприско  
От рекомендаций банкам по информационной безопасности ЦБ перешел к однозначным требованиям. Регулятор разработал четкий и обязательный для всех банков регламент кибербезопасности, призванный защитить кредитные организации от хакерских атак. В документе, в частности, вводится обязанность банка в течение трех часов сообщать о готовящейся или свершившейся атаке.

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Статьи

Кибермошенничество: стать жертвой может каждый

5 октября 2012
  
  pdf-версия

Люди, обладающие навыками хищения чужого имущества, или попросту мошенники, всегда являлись "элитой" преступного мира. Ремесло это существует с тех пор, как человечество перешло на товарно-денежные отношения. То есть давным-давно. В эпоху же высоких технологий методы отъема ценностей у трудящегося населения носят достаточно изощренный характер, и личности, владеющими подобными методами в совершенстве, — далеко не глупые люди, обладающие высоким интеллектом и определенными познаниями в психологии. Но от этого не легче.

Нет, воспевать данное "искусство" никто не намерен. Любому человеку, имеющему базовое понимание "что такое хорошо, а что такое плохо" ясно, что мошенничество — это определенно плохо. Тем не менее даже в литературе и кинематографе есть тысяча и одно произведение о людях, принадлежащих к данной категории, начиная с "12 Стульев" Ильфа и Петрова и заканчивая голливудскими "Друзьями Оушена" или "Поймай меня если сможешь". К сожалению, надо сказать, что героям этих произведений кинематограф нанес легкий флер романтичности и даже привлекательности.

В современном мире жертвой мошенников может стать буквально каждый человек, даже самый осторожный. Для этого достаточно быть обладателем пластиковой платежной карты. А уж если с ее помощью можно расплачиваться в Интернете, то опасность попасться на удочку злоумышленников сильно возрастает. Люди привыкли к банкоматам, платежным терминалам, дистанционному переводу денежных средств и прочим высокотехнологичным атрибутам современного мира. Однако преступность не дремлет, совершенствуя свои навыки. Если раньше была опасность (она сохраняется и по сей день) стать жертвой финансовой пирамиды, людей максимум могли обсчитать, обвесить в магазине или обхитрить в игре "наперстки", то сегодня появились такие экзотические виды мошенничества, как "ливанская петля", фишинг/спуфинг, вишинг, фарминг, кликфорд, скимминг, "нигерийские письма" и т.д. Наверняка многие этих магических слов даже и не слышали. Собственно, мы взяли на себя труд разобраться в данном вопросе.

Остап жив!

Итак, рассмотрим самые популярные виды мошенничества с пластиковыми картами. Во-первых, это подделка карт с нанесением на них всех признаков защиты и логотипа банка, выпустившего карту. При этом злоумышленники научились изготовлять подделки очень высокого качества. Достаточно с этой картой прийти в отделение банка и по украденным идентификационным документам снять деньги со счета. К счастью, в России этот вид мошенничества не особо развит.

Во-вторых, это использование краденых карт. В этом случае достаточно запомнить, что при утере карты необходимо сразу же позвонить в банк и ее заблокировать, а не надеется, что она завалилась за диван и скоро найдется. Есть еще один сравнительно несложный способ проникнуть в финансовые тайны владельца карты. Многие расплачиваются в ресторанах, барах и кафе картой. По идее официант должен выйти к посетителю со считывающим устройством, а клиент расплатиться самостоятельно. Однако так происходит не всегда, по крайней мере в России. А между тем недобросовестному сотруднику ничего не стоит списать с карты все ее реквизиты и cvv-код (обычно последние 3 цифры на обратной стороне карты в поле для подписи). В Европе, скажем, с этим строже.

Еще один нехитрый способ отъема денег у населения - это "ливанская петля". Нетрудно догадаться, что этот метод был изобретен в Ливане. По сути, злоумышленнику достаточно сделать из обычной фотопленки небольшой "кармашек" и поместить его в приемник карты банкомата, причем сделать это надо достаточно аккуратно, чтобы из самого приемника ничего подозрительного не торчало. Далее остается запастись уверенностью в успехе предприятия и терпением. Жертва, засунув карту в банкомат и набрав пин-код, совершает нужные ей операции и пытается забрать карту. Но не тут-то было! Карта застревает — клиент в панике. Здесь и наступает звездный час преступника. Он подходит к банкомату и сочувствуя сообщает потенциальной жертве, что сам попадал в такую ситуацию и набрав пин-код и определенную комбинацию клавиш ему удалось свою карту вернуть. Далее потерявшая бдительность жертва вводит пин-код и набирает указанную комбинацию клавиш. Карта не вылезает. После этого мошенник советует незамедлительно отправиться в банк разобраться с ситуацией. После того как обманутый человек уходит в банк, злоумышленник, зная пин-код застрявшей карты, спокойно вынимает ее вместе с ловушкой и уходит. Занавес.

Как не попасться? Во-первых, стоит обратить внимание на приемник карт. Из него не должны торчать никакие посторонние предметы. Во-вторых, самое главное правило — никогда и никому не сообщать пин-код своей карты. Более того, вне зависимости от ситуации следует убедиться, что никто не подглядывает в процессе набора пин-кода. Даже можно не оглядываться, для этого на банкомате есть небольшие зеркала. В случае если карта все же застряла и на горизонте появилась сомнительная личность с "добрыми" советами, лучше позвонить в банк и карту заблокировать. В общем, необходимо следовать самым простым правилам.

Технологии на службе преступности

Немного о скимминге. В сущности, этот вид мошенничества не является новым, но при этом является одним из наиболее распространенных. Название свое он получил по имени устройства - скиммер, которое накладывается на приемник карты в банкомате и считывает информацию с магнитной ленты. При этом преступники несложным способом могут узнать пин-код жертвы. Для этого могут использоваться либо миниатюрные камеры, встроенные если не в тело банкомата, то в лоток с рекламными брошюрами. Злоумышленники также могут распылить специальный состав на клавиатуру, и после нажатия клавиш, соответствующих цифрам пин-кода, они будут прекрасно видны. Кроме того, существуют специальные накладки на клавиатуру банкомата, практически полностью копирующие оригинальную. Ну и мошенник может просто из-за спины подглядывать за жертвой.

Как избежать опасности? По идее, на банкомате не должно быть ни лотков с рекламными листовками, ни явно выступающих деталей, особенно отличающихся по цвету от самого банкомата. Понятно, что совершенству нет предела и бывает довольно сложно идентифицировать скиммер, но в любом случае немного внимательности и осторожности не повредит. А вообще это дело банков и правоохранительных органов - бороться с подобными преступлениями. Так, банки устанавливают на некоторые банкоматы специальные устройства — антискиммеры, которые представляют из себя пластиковую зеленую (может быть также красного или синего цвета) накладку на приемник карты с изображением замка на ней.

Есть разновидность скимминга — шимминг. В этом случае в картридер банкомата помещается электронное устройство, позволяющее получить информацию о банковской карте. Толщина шиммера — около 0,2 мм. Внешне обнаружить это устройство крайне трудно, так что пока единственной защитой от шимминга является использование чиповых пластиковых карт.

Фишинг. Термин, пришедший к нам из английского языка, означающий "закидывание удочки", "рыбная ловля". Тут необходимо оговориться, что данный вид мошенничества не связан напрямую с пластиковыми картами, однако остается одним из самых опасных, преимущественно из-за незнания пользователями основ сетевой безопасности. Целью фишинга является получение доступа к конфиденциальным данным пользователя. Чаще всего встречается в виде рассылки через Интернет писем от имени банка или платежной системы с просьбой подтвердить конфиденциальную информацию жертвы на сайте организации. Вместо сайта организации используется ложная страница в Интернете. В письме содержится либо прямая ссылка на ложный сайт (внешне неотличимый от настоящего), либо на сайт с редиректом. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приемами вынудить жертву ввести на этой странице свои логин и пароль, которые он использует для доступа к определенному сайту. Это позволяет злоумышленникам получить доступ к аккаунтам и банковским счетам. Важно помнить, что ни один банк, ни один сервис на просторах Интернета не требует от клиента сообщать свои конфиденциальные данные. Кроме того, производители некоторых интернет-браузеров уведомляют пользователей о том, что они попали на подозрительный сайт и могут стать жертвой мошенников.

Суть обманной схемы под названием вишинг примерно такая же, только в этом случае мошенники задействуют еще и телефон. В таком случае в сообщении содержится просьба позвонить на определенный городской номер. При этом зачитывается сообщение, в котором потенциальную жертву просят сообщить свои конфиденциальные данные. Например, ввести номер карты, пароли, пин-код или другую личную информацию в тоновом режиме.

К этому же типу мошенничества можно отнести и фарминг. В фишинге все зависит от того, поверит пользователь мошеннику при попадании на поддельный сайт или нет. В этом случае жертва сам переходит на сайт аферистов по вредоносной ссылке. Фарминг же - более опасный вид обмана. Злоумышленник распространяет на компьютеры пользователей специальные вредоносные программы, которые после запуска на компьютере перенаправляют обращения к заданным сайтам на поддельные сайты. Таким образом обеспечивается высокая скрытность атаки, а участие пользователя сведено к минимуму – достаточно дождаться, когда он решит посетить интересующие мошенника сайты.

Никогда не предоставляйте регистрационных или персональных данных на незнакомых веб-сайтах, рекомендует менеджер отдела расследований с использованием IT КПМГ в России СНГ Роман Горбань. "Если вам пришел e-mail из вашего банка, от интернет-провайдера или от иного адресата, которого, как вам кажется, вы хорошо знаете, не спешите переходить по ссылке в письме. Если вы все же по ней перешли, не стоит поддаваться требованию предоставить свой логин и пароль или иную конфиденциальную информацию. Если у вас есть сомнения, позвоните в службу поддержки отправителя: наверняка ее сотрудники ничего об этом письме не знают", - указывает специалист.

Кроме того, рекомендуется перепроверять людей, представляющихся сотрудниками организаций, которым доверяет пользователь. "Попросите их составить официальный запрос и направить его вам по электронной почте. Никогда не сообщайте по телефону конфиденциальной информации, если вы не на 100% уверены в личности звонящего", - советует Р. Горбань.

Андрей Корзин, РБК

КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры