М. Райтман - Как найти и скачать в Интернете любые файлы

Классический фишинг представляет собой рассылку писем по электронной почте якобы от имени банков, администрации или технической поддержки известных сервисов с просьбой или требованием под различным предлогом ввести учетные данные на веб-странице, ссылка на которую указана в сообщении. Такая веб-страница, как правило, выглядит очень похожей на настоящую (рис. 11.1), но не является таковой на самом деле, а введенные на ней логин и пароль передаются мошенникам.

Обычно в фишинговых схемах используются психологические методы, например, пользователь получает письмо от администрации почтового сервиса, в котором сообщается, что в связи с техническими проблемами была повреждена основная база данных сервиса. Для восстановления доступа к почтовому ящику пользователю необходимо подтвердить пароль и логин на вебстранице, ссылка на которую указана в письме. Интерфейс страницы практически не отличается от используемого на оригинальном сайте. Адрес тоже может быть очень похожим, отличаясь всего на одну-две буквы. Естественно, боясь потерять доступ к почтовому ящику, многие попадаются на такой в общем-то нехитрый трюк. Через некоторое время оказывается, что на самом деле никаких сбоев не было, а учетная запись пользователя используется мошенниками для рассылки спама. С теми же целями рассылаются сообщения, что ваш фиктивный одноклассник оставил вам сообщение и т. п.

В последнее время наряду с психологическими методами получения информации используются программные. Например, приведенная выше схема дополняется следующим образом: пользователь получает письмо, якобы от администрации платежного сервиса WebMoney, в котором сообщается, что в клиентской программе обнаружена серьезная уязвимость и пользователю необходимо скачать и установить новую версию, ссылка на которую приведена в письме. Естественно страница, с которой загружается "новая" программа, выглядит в точности так, как и официальная, но загружаемая программа модифицирована таким образом, что ключевые файлы, пароль и идентификатор пользователя отсылается мошенникам. Получив контроль над счетом, мошенники быстро переводят имеющиеся деньги на другой счет, а затем в другую платежную систему, после чего — в наличные. Эти действия проделываются очень быстро, и вернуть деньги в таком случае практически невозможно. Причем даже если у пользователя нет денег на счету, мошенники могут взять кредит от его имени, и в таком случае придется не только восстанавливать контроль над счетом, но и разбираться с банком.

Помимо фишинга в Интернете существует большое количество других видов мошенничества. Приведу некоторые из них.

□ Использование взломанных аккаунтов в различных социальных сетях и системах мгновенного обмена сообщениями для выманивания денег. На момент написания книги этот вид мошенничества был одним из самых распространенных. Со взломанного аккаунта социальной сети, например Одноклассники, всем пользователям из контакт-листа рассылались сообщения, в которых "по большому секрету" указывался короткий номер, на который можно отправить бесплатное SMS-сообщение, чтобы получить на счет мобильного телефона небольшую, в пределах ста-двухсот рублей, сумму от компании, проводящей рекламную акцию (рис. 11.2). Сообщение оказывалось далеко не бесплатным, а счет мобильного телефона не пополнялся, а заметно уменьшался, причем сумма в зависимости от варианта начиналась от ста и заканчивалась девятьюстами рублями. В качестве вариаций схемы используются ссылки на веб-страницы, открыв которые в браузере мобильного телефона пользователь активировал платную услугу и звонки на платные номера.

□ Ресурсы, предлагающие услуги по взлому аккаунтов электронной почты, социальных сетей и систем мгновенного обмена сообщениями. Естественно эти услуги не бесплатны и в большинстве случаев в качестве доказательства приводится письмо, написанное якобы со взломанного почтового ящика или скриншот домашней страницы. К сожалению, не все такие предложения являются обманом, и в некоторых случаях аккаунты действительно взламываются. В роли заказчиков выступают обычные пользователи. Сперва те, кому по различным причинам, от проверки супруга на верность до наказания хама, надо получить контроль над чужим аккаунтом, а затем те, кого взломали — чтобы вернуть себе контроль над аккаунтом и наказать заказчиков взлома. В результате такого "круговорота" и реальные исполнители, и мошенники не остаются без работы.

□ Сайты, предлагающие программное обеспечение, обладающее фантастическим функционалом. От программ для мобильных телефонов, якобы позволяющих с помощью камеры телефона видеть сквозь одежду человека чуть ли не в рентгеновском спектре или читать SMS-сообщения на чужих телефонах до чудо-антивирусов, сканирующих жесткий диск компьютера через браузер за пять минут и находящих вирусные и троянские программы в системных папках Windows даже на компьютерах под управлением операционных систем Linux и мобильных телефонах. Купить такие программы можно очень недорого, отправив SMS-сообщение стоимостью "не более десяти рублей". На самом деле такое сообщение обойдется далеко не в десять рублей (вспомните про сноску-звездочку), а установленная программа может оказаться вирусом, блокирующим работу компьютера и требующим отправки платного сообщения за его разблокировку.

□ Интернет-магазины, предлагающие различные товары по бросовым ценам. Вы запросто можете обнаружить новейший ноутбук с обычной стоимостью в пятьдесят тысяч рублей на таком сайте в пять раз дешевле. Обычно такие магазины требуют предоплату и через некоторое время исчезают, а доверчивые покупатели так и не получают заказанных товаров.

□ Уведомления об огромных выигрышах в лотереях, об участии в которых пользователь ничего не знал, например, лотереи по адресам электронной почты или по номеру ICQ. Для получения такого выигрыша следует оплатить какой-нибудь сервисный сбор. Естественно, после оплаты никакого выигрыша пользователь не получит, и сервисный сбор ему тоже никто не вернет.

Подобных схем довольно много, периодически появляются новые варианты, и универсального способа защиты от мошенничества нет. Тем не менее, почти все эти способы основаны на доверчивости и незнании правил безопасности в Интернете. Приведу несколько несложных советов, следуя которым можно не попасться на удочку мошенникам.

□ Используйте регулярно обновляемый спам-фильтр. Во многих браузерах есть дополнительные компоненты, блокирующие переход на фишинговые веб-страницы или предупреждающие о том, что страница является мошеннической. В роли таких фильтров могут выступать специальные модули, входящие в состав некоторых антивирусных пакетов.