Оборона от банковских «рыбаков»

Нечасто доводится читать в СМИ «покаянные» материалы, авторы которых описывают, как совершили сущую, казалось бы, глупость и поплатились за это. Одну такую заметку в прошлом году опубликовала в британском сетевом издании «Which?» редактор раздела потребительских прав Аманда Даймонда: ей довелось попасться на фишинговое письмо и лишится некоторой суммы денег. Небольшой, но, понятно, не лишней.

Как-то раз Даймонд пыталась получить через веб доступ к своему банковскому счёту и пару раз подряд ошиблась в наборе логина или пароля. В почте вдруг появляется письмо, в котором говорится, что её банковский счёт переведён в «режим ограниченного доступа», и что доступ через онлайн временно заблокирован вследствие «нескольких неверных попыток подключения».

«Поскольку это выглядело вполне правдиво, я, не подумав, нажала на ссылку [в письме] и начала вводить пароль и PIN. Но тут зазвучал сигнал тревоги, я остановилась до того, как ввела всё до конца, и закрыла страницу… Увы, слишком поздно», — пишет Даймонд. По её словам, злоумышленники отзвонились в её банк и от её лица заявили, что кредитная карта была похищена и запросили «срочную наличность». Банк выдал им PIN для банкомата, и… В общем, до свидания 240 фунтов.

«…И теперь я знаю, — пишет Даймонд, — что когда я ввожу платёжную информацию, мне надо удостовериться, что сайт — безопасен (в начале адресной строки должен стоять значок замка)». Это уж как минимум.

Фишинг — далеко не новый, но по-прежнему крайне эффективный метод сетевого мошенничества, от которого страдают как рядовые пользователи (и даже не очень рядовые, такие как Даймонд), и крупные компании. Даймонд теперь пытается получить у банка свои деньги назад, и, скорее всего, у неё это получится.

Вот ещё одна ситуация: «Мой аккаунт на Youtube с 5000 подписчиков, мой запасной аккаунт на Youtube и ещё один совсем новый, были взломаны. Он [злоумышленник] также взломал мой аккаунт на PayPal и украл мои деньги. Что я могу/должен сделать? Звонить в полицию? Звонить провайдеру? У меня есть его IP-адрес и меторасположение», — пишет некий аноним на Yahoo! Answers.

Сразу возникает встречный вопрос: как всё это могло случиться? Вариантов ответа, в общем-то, только два. Первый — работал высококлассный профессионал, которому в самом деле приспичило докопаться до жертвы на всю катушку (или же ему за это заплатили недруги, например). Такой вариант не исключается. Но гораздо более вероятным выглядит более простой вариант: жертва использовала один и тот же пароль для всех своих аккаунтов, в том числе, на PayPal. И если так и было, то — двойка за несоблюдение базовой техники безопасности в Сети.

Каждая пятая фишинговая атака, зарегистрированная за период с мая 2012 года по конец апреля 2013 года, была направлена на банки и другие финансовые организации — об этом свидетельствуют результаты нашего исследования эволюции фишинговых угроз, проведенного на основе данных из облачного сервиса Kaspersky Security Network. 20,64% всех фишинговых атак, зарегистрированных за 12 месяцев с мая по апрель 2012-2013 годов, пришлись на сайты банков и других финансовых организаций по всему миру.

Косвенно эти данные подтверждают и банки: согласно результатам глобального опроса, проведенного весной этого года авторитетным аналитическим агентством B2B International совместно с «Лабораторией Касперского», около 37% банков подверглись фишинговым атакам хотя бы один раз за последние 12 месяцев. Сколько клиентов подверглись таким нападениям, — интересный статистический вопрос.

Внимание злоумышленников к банковской сфере и сфере интернет-торговли абсолютно закономерно: злоумышленник сможет получить заработок, даже просто продавая персональные данные жертв таких фишинговых атак. В то же время удачная фишинговая атака с использованием поддельных страниц систем онлайн-банкинга, или фальшивой страницы популярного интернет-магазина, как правило, сразу приводит злоумышленника к деньгам.

Обезопасить себя от фишинговых атак, в принципе, можно. Однако необходимо иметь в виду очень — очень — много различных факторов. Во-первых, ни в коем случае не пытаться пользоваться компьютерами в публичных заведениях (библиотеки, школы, закусочные, интернет-кафе) для того, чтобы подключаться к каким-либо финансовым сервисам или онлайн-магазинам. Проверить отсутствие даже и банальных кейлоггеров на таких машинах невозможно.

В принципе, не слишком безопасно пользоваться и общественными WiFi-соединениями; здесь, например, описывается, казалось бы, фантастический, но вполне рабочий сценарий, когда злоумышленник (точнее, специалист по сетевой безопасности, проводивший эксперименты специально для журналистов) принёс в кафе свой роутер, и настроил его так, чтобы потенциальные пользователи считали его за официальную точку доступа данного заведения. По существу, это как прицепить скиммер к банкомату.

При обращении к платёжным сервисам необходимо проверять, установлено ли безопасное соединение: например, используется ли протокол https или просто http, и если второе — то это наверняка поддельная страница. Даже если она выглядит идентично настоящей и кажется, будто и адрес в адресной строке нужный.

В общем, при подключении к платёжным или банковским ресурсам приходится учитывать такое количество возможных подводных камней, что удержать их все в голове для обычного пользователя представляет большую проблему.

Поэтому мы и разработали Safe Money — технологию защиты сетевых транзакций. Она доступна в составе защитных решений для домашних пользователей Kaspersky Internet Security и Kaspersky PURE. Ключевая особенность технологии заключается в том, что она разрабатывалась с учетом мошеннических техник, которые используют злоумышленники, промышляющие атаками на пользователей онлайн-банкинга и интернет магазинов.

В частности, технология запрещает исполнение любого потенциально опасного кода в браузере, защищая таким образом пользователя от XSS-атак и попыток автоматической загрузки вредоносного ПО с зараженного сайта. Кроме того технология проверяет легитимность сайта, на который пытается зайти пользователь, по постоянно обновляемой базе доверенных сайтов и фишинговых ссылок. При этом встроенные в продукт «Лаборатории Касперского» эвристические механизмы позволяют эффективно распознавать вредоносные ссылки, даже если их ещё нет в базе.

В небезопасном сетевом мире использование специализированного решения для защиты платежей нам представляется вполне логичным. Куда проще активировать специальный режим в таком решении (тем более, что при обращении ко многим сайтам с помощью Safe Money он включается автоматически), чем перед каждой транзакцией прокручивать в голове все необходимые меры безопасности — как пилоты сверяются со своими предполётными контрольными таблицами. Но пилоты не имеют ни права, ни возможности без этого обходиться, а вот пользователи платёжных сервисов совершенно не обязаны каждый раз задерживать дыхание перед осуществлением транзакций в Сети.

Мы в «Лаборатории Касперского» полагаем, что пользователи должны быть защищены от угроз в любых сценариях работы за компьютером; однако когда речь идёт о реальных деньгах, защита должна быть максимальной — такой, чтобы пользователь знал, что его деньги останутся с ним, а ушлым воришкам оставалось лишь разочарование в выборе «профессии».