Обнаружив в электронной почте письмо из банка, в котором вы держите свои деньги, с просьбой сверить пароли и номер счета, не торопитесь следовать его указаниям. Настоящим автором послания могут быть мошенники, выманивающие личные данные ваших банковских счетов и кредиток.

Ловись рыбка

Такие послания мошенники рассылают достаточно часто. Например, в конце марта некоторые клиенты Райффайзенбанка обнаружили в электронной почте письма с просьбой посетить указанный сайт банка и обновить свои данные. Просьба мотивировалась модернизацией системы безопасности банка. На открывшейся по ссылке страничке сайта требовалось, в частности, ввести личные идентификационные данные, позволяющие удаленно управлять своим банковским счетом.

Ссылка, разумеется, вела на совершенно посторонний сайт, который внешне похож на страницу входа в систему онлайн-банкинга Raiffeisen Connect, через которую можно отслеживать состояние счетов и проводить с ними операции. Если ввести логин и пароль на лжесайте, то эти данные немедленно станут известны мошенникам.

Конечно же, Райффайзенбанк никаких писем не рассылал, сообщили в пресс-службе банка. Его клиенты просто столкнулись с очередным случаем фишинга. Так называют попытки выудить у пользователей Интернета пароль к банковскому счету или реквизиты пластиковой карты. Для этого преступники создают клоны финансовых сайтов известных банков или платежных систем. Термин фишинг (phishing) произошел от слияния двух английских слов — password (пароль) и fishing (рыбная ловля).

По сведениям пресс-службы “Райффайзенбанк Австрия”, на этот раз на удочку мошенников никто из его клиентов не попался.

Разновидностью фишинга считают и письма о выигрыше в лотерею, для получения которого мошенники просят прислать номер водительского удостоверения или копию паспорта. На этой неделе некоторым сотрудникам “Ведомостей” спамеры прислали письмо о выигрыше 1 млн фунтов стерлингов, для получения которого было необходимо заполнить анкету с персональными данными.

В России первой жертвой фишеров стали клиенты Ситибанка. С 22 по 24 сентября 2004 г. мошенники рассылали по электронной почте сообщения, утверждающие, что на счет клиента пришел платеж на $2000, и, чтобы перевод был получен, предлагалось заполнить специальную форму. Это была массовая рассылка, адресованная не только клиентам Ситибанка. “Мошенники рассчитывали на то, что хотя бы один из получателей окажется клиентом Ситибанка и клюнет на запрос”, — поясняет PR-менеджер “Ситигруп Россия” Наталия Мышко. Она предупреждает, что Ситибанк никогда не запрашивает персональную информацию клиентов по электронной почте и не просит их зайти в систему интернет-банкинга по ссылке в письме, это противоречит правилам безопасности. То же самое утверждают и представители других банков.

Овчинка стоит выделки

Между тем со временем число фишинг-атак только увеличивается. По данным Association for Payment Clearing Services (Apacs), с января 2005 по сентябрь 2006 г. на территории Великобритании число случаев фишинга возросло в 80 раз, при этом ущерб оценивается в 23 млн фунтов стерлингов.

О размерах напасти свидетельствуют и цифры, распространенные Антифишинговой группой (Anti-Phishing Working Group). По их подсчетам за декабрь 2006 г., было зарегистрировано 23 787 сообщений о фактах фишинга, при этом выявлен 28 531 поддельный сайт, большинство которых располагалось в США. За этот период атакам фишеров подверглись 146 брендов.

Но, по мнению Арджена де Ландграафа, основателя сервиса E-Secure-IT, наибольшую опасность представляют российские “рыбаки”, которые не только занимаются выуживанием информации у клиентов банков, но и угрожают атаками на сайты кредитных учреждений, пытающихся им противодействовать. Он приводит пример одного австралийского банка, нормальное функционирование которого было нарушено в течение трех дней. Доходы этой неуловимой русской группировки оцениваются в $150 млн.

По информации консультационной группы Trend Micro, стоимость информации о номере кредитной карты и ПИН-коде, которые позволяют изготовить копию карты и снять деньги через банкомат, составляла 250 фунтов стерлингов. А просто за номер, код безопасности и срок действия карты, которые позволяют проводить платежи через Интернет, дают от 3 до 12 фунтов.

Что делать

Можно ли защититься от посягательств интернет-рыболовов? Начальник отдела розничного кредитования и банковских карт департамента экономической безопасности Номос-банка Михаил Осипенко считает, что первый рубеж борьбы с фишингом находится в банке, который должен хранить информацию о своих клиентах в абсолютной тайне. Злоумышленники просто не должны знать о существовании у вас счетов и пластиковых карт в том или ином банке, если, конечно, вы им сами об этом не расскажете.

Но это еще полдела. Ведь, как правило, фишеры рассылают письма по базе спамеров — всем подряд, клиенты банка оказываются среди получателей случайно.

“Если вы получили подозрительное письмо или обнаружили операцию по счету, которую вы не совершали, то немедленно обратитесь в банк и перешлите данное письмо по электронному адресу в службу информационной безопасности банка”, — советует Мышко.

Основная рекомендация руководителя дирекции обслуживания физических лиц “Райффайзенбанк Австрия” Романа Воробьева примерно та же: “В случае малейших подозрений связывайтесь с банком, уточняйте, действительно ли сообщение было им отправлено”. По его словам, получив сигнал, банк может проверить подозрительные операции, в том числе лично связываясь с клиентом. Кроме того, атакованные банки могут применять и другие меры защиты: приостановку ряда операций, например рублевых платежей и валютных переводов по РФ, генерации ключей.

Наши соотечественники, по мнению Осипенко, реже становятся жертвами фишинга. Во-первых, россияне менее доверчивы и более осторожны, кроме того, они в существенно меньшей степени, чем в странах Западной Европы и США, пользуются интернет-технологиями для управления счетом и электронной почтой.

Разработчики программного обеспечения также не стоят в стороне. В новую версию браузера Internet Explorer 7.0 встроен специальный фишинг-фильтр, позволяющий автоматически проверять посещаемый сайт на добропорядочность. Впрочем, проверку можно отключить, да и распознаются, увы, не все поддельные страницы.

Корпорация Microsoft на своем сайте рекомендует проверять наличие шифрования данных при вводе через Интернет персональной или финансовой информации, пользуясь при этом проверенными, а не присланными по почте адресами.

Если же вы прокололись, отправили свои данные через фальшивый сайт или позвонили по указанному номеру и сообщили сведения, то не все потеряно. Чем быстрее вы сообщите о своей оплошности в банк, тем лучше. Если же вы все-таки опоздали и деньги были мошенническим образом списаны с вашего счета, не отчаивайтесь, но как можно быстрее обращайтесь в свой банк и “банк может рассмотреть возможность компенсации утраченных клиентом средств”, полагает Осипенко из Номос-банка. Но шансов тут очень мало. (Использованы материалы FT.)

КОМУ ПОВЕЗЛО

Несмотря на участившиеся случаи потери денег держателями кредиток и счетов в результате действий фишеров, банки не горят желанием выплачивать им какие-либо компенсации. Их позиция такова: разве мы можем отвечать за деньги, если ключ от двери, за которой они лежат, вы сами отдали незнакомому человеку. Пожалуй, единственным известным примером таких компенсаций являются выплаты Банком Ирландии осенью 2006 г. По оценкам экспертов, банк вернул пострадавшим от действий фишеров клиентам порядка 113 000 евро. Но точных цифр компенсаций банк не называет.