Итоги Итоги - Итоги № 44 (2012)

Перенаправление каждой тысячи уникальных IP-адресов на связку стоит от четырех долларов, а процент заражения составляет 15—45 процентов, в зависимости от «свежести» связки, рассказали аналитики «Лаборатории Касперского». Стало быть, чтобы заразить тех 170 клиентов банка, которые, как было доказано в суде, пострадали от «рук» фишеров, нужно было закупить несколько миллионов перенаправлений — это вполне по карману вчерашним студентам.

Любой популярный сайт, сам не подозревая о том, может стать рассадником фишинговой заразы, если его взломают хакеры и разместят на нем вредоносное ПО. Помните нашумевшую историю со взломом сайта пользователей Sony PlayStation? Тогда в Интернете поднялся крик — персональные данные пользователей попали в чужие руки! Однако опасность была в другом: посетители ресурса подцепляли вредоносное ПО. Так что, если вы любите в обеденный перерыв расслабиться на каком-нибудь сайте с анекдотами и приколами, помните, что именно такие места предпочитают и компьютерные преступники. Собственно, в зависимости от качества аудитории посетителей конкретных ресурсов услуги перенаправления имеют разную стоимость. Скажем, самая дорогая VIP-услуга, утверждают эксперты «Лаборатории Касперского», — перенаправление пользователей крупного бухгалтерского портала, там ведь сосредоточена именно целевая аудитория — те, кто гарантированно работает с банковскими счетами клиентов. Такой случай, кстати, имел место нынешним летом.

А дальше начинается «рыбная ловля»: мошенники спокойно ждут, когда среди жертв попадется клиент нужного банка. Точнее, когда этот пользователь, уже будучи зараженным, решит удаленно обратиться к своему банковскому счету. В этот момент оживает спавший на его компьютере троянец и в момент обращения пользователя к сайту банка подставляет ему страничку поддельного ресурса. Клиент честно указывает все реквизиты, их тут же перехватывают преступники и, не теряя времени, сами обращаются к подлинному банковскому ресурсу, проверяют состояние счета и делают банковский перевод. Тут же подключаются сообщники, ответственные за обналичивание денежных средств. Как правило, они снимают деньги в банкоматах этого же банка в других городах. На всю операцию уходит несколько часов.

Этот механизм сработал и в анализируемом нами случае — банк использовал для аутентификации доступа к счету устаревший метод скретч-карты, на которой в столбик записаны одноразовые пароли. Но даже более сложный метод получения одноразового пароля по SMS не является панацеей. Знаете, что делают преступники в этом случае? Они предусмотрительно размещают на страничке регистрации на поддельном сайте банка поле с номером мобильного телефона. Человек его заполняет, сообщая, естественно, свой номер злоумышленникам. А поскольку они контролируют процесс, то знают, когда человеку придет SMS, и звонят ему от имени службы безопасности банка: мы, дескать, проверяем работу автоматизированной системы, хотим убедиться, правильный ли код вы только что получили. И человек сам сообщает одноразовый пароль преступникам…

Могли ли пользователи заметить обман? Могли. Соединение с настоящим банком происходит в защищенном режиме, о чем свидетельствует буква s в адресной строке, набираемой пользователем: https://... А у фишеров такой возможности не было. К слову, нынешние преступники научились обходить это препятствие, и общение с мошенническим сайтом теперь чаще всего происходит также в защищенном режиме. Запрос номера мобильного телефона тоже должен насторожить бдительных клиентов — для регистрации в системе удаленного обслуживания он не требуется. Были у наших героев и другие огрехи: орфографические ошибки в текстах на веб-странице, необновленный раздел «Новости», неправильный телефон техподдержки, а также несовпадение используемых шрифтов. Правда, весной фишеры начали применять более изощренный метод с использованием прокси-серверов, замечает Илья Сачков, генеральный директор Group-IB, эту подмену рядовому пользователю практически невозможно обнаружить.

Попавшие на скамью подсудимых двое жителей Питера и их калининградский подельник — далеко не единственные любители уголовной «рыбалки». По самым скромным оценкам, каждый день происходит 100—150 подобных инцидентов, полагают в «Лаборатории Касперского». Причем по поводу профессионализма пойманных фишеров мнения специалистов разошлись. «Они не обладали особыми знаниями, которые помогают запутать следы: атаковали российских пользователей, находясь на территории РФ, пренебрегая при этом методами анонимизации в сети Интернет», — указывает Илья Сачков. Хотя в конечном итоге сгубила фраеров, как водится, жадность, все-таки, полагает Игорь Чекунов, они продержались в своем бизнесе не менее трех-четырех лет. Владимира Кондратьева, менеджера по развитию бизнеса и партнерской сети в России и СНГ Norton Symanteс, это не удивляет: «Только 59 процентов российских клиентов банков проверяют банковские выписки на предмет наличия там мошеннических операций».

Что же получается? Из всей фишерской братии удалось изловить лишь троих не сильно опытных юнцов? Причем примерно половина украденной суммы осталась у тех, кто помогал злоумышленникам обналичивать похищенное, а этих лиц так и не удалось установить. Что удивительно, ведь многие из так называемых дропперов — людей, снимающих деньги частями в разных банкоматах, — известны банкирам. У них вообще хорошо налажена информационная взаимопомощь в части борьбы с преступным миром. Известны им и примерные ареалы обитания преступников — Москва, Питер, Новосибирск, Екатеринбург и т. п.

Свой фишер-мониторинг ведет интернет-сообщество. «По нашей оценке, 8982 домена в зоне .RU использовалось в последние полгода для кражи атрибутов доступа в различные системы, включая банковские, путем маскировки под оригинальный сайт», — отмечает Андрей Колесников, директор Координационного центра национального домена сети Интернет. В составе крупных интернет-регистраторов есть специальные подразделения, которые по обращениям пользователей производят проверку легитимности работы сайтов. «В случае выявления каких-либо неправомерных действий работа сайта приостанавливается», — поясняет Светлана Лиенко, исполнительный директор регистратора доменов REG.RU. Свои сведения о противоправных деяниях собирают производители браузеров: Microsoft, Mozilla, Google и т. п. Вся штука в том, что по отдельности ни одна из этих организаций не сможет дать отпор фишинговым преступлениям, включая доблестную полицию. Ведь почему в конечном итоге удалось довести до приговора троицу жадных юнцов? Только потому, что все заинтересованные стороны действовали с единой мотивацией — найти и наказать: банк не поскупился на оплату услуг лучших российских компьютерных криминалистов, в связке полицией трудились сотрудники ФСБ.