Аналитика и комментарии
Фишинг в мутной воде
Фишинг - это кража путем обмана конфиденциальной личной информации, к которой относятся не только номера и другие реквизиты личных банковских счетов, кредитных карт, ПИН-кодов, но и данные о медицинском и социальном страховании, пенсионных счетах. Потом эта информация используется с выгодой для мошенника.
В начале 2004 г. в электронные почтовые ящики многих россиян стали поступать невиданные дотоле письма. В них говорилось, что в связи с компьютерными сбоями им необходимо срочно перерегистрироваться или сообщить о себе персональные данные. В противном случае они могут понести материальный ущерб.
Пострадать в финансовом плане никто не хотел. Поэтому многие следовали инструкциям, содержащимся в письме. Спасало то, что в нашей стране единицы пользуются аукционом eBay или виртуальной платежной системой PayPal, от лица которых и рассылались эти послания.
Первым объектом массированной фишинг-атаки в России стал Citibank. В минувшем году его президент Аллан Херст был вынужден распространить заявление о непричастности банка к массовой рассылке электронных писем, где содержалась просьба уточнить данные по пластиковым картам. Позднее на российском сайте банка появилось сообщение о вирусе-трояне, который при обращении к службе Интернет-банкинга выводил на экран специальную форму. В нее нужно было внести номер карты, срок действия и ПИН-код.
Последняя атака произошла в конце сентября, когда многие клиенты банка получили аналогичное письмо. В сообщении говорилось, что на их счет пришла некоторая сумма и для ее зачисления подтвердить свои реквизиты. По ссылке клиент попадал на мошеннический сайт, очень похожий на реальный портал Сitibank'а. Стоило ввести необходимые данные, и они тут же попадали в руки мошенников.
Ловля наивных
Когда летом прошлого года в компьютерной сети Королевского банка Канады случился сбой, то первыми на него среагировали сетевые мошенники. Клиенты банка получили электронные письма с просьбой сообщить номер своего счета и код доступа к нему. Так, дескать, скорее удастся наладить систему. КБК сразу во всеуслышанье заявил, что никакую конфиденциальную информацию о клиентах он не запрашивал. Но, несмотря на быструю реакцию банка, многие ответили на письма обманщиков. Цену своей наивности они почувствовали сразу - достаточно было посмотреть на выписки по операциям со счетом и увидеть исчезнувшие суммы.
Эксперты называют фишинг самым динамично развивающимся видом мошенничества в Интернете. Только в Великобритании в 2003 г. три финансовых организации потеряли из-за него по 20 млн. фунтов стерлингов. При этом общее количество таких преступлений увеличилось более чем на 600%. Жертвами мошенников становились клиенты банков Barclays, Lloyds TSB и NatWest.
Наибольшее число такого рода мошенничеств регистрируется в США, где развита торговля по почте и частные безналичные расчеты. По данным американского Национального центра информации о мошенничестве, фишинг занимает четвертое место среди преступлений, основанных на обмане. Его жертвами в январе-июне 2004 г. стали 5% от общего числа тех, кто обратился в центр за помощью.
Эффективность рассылок фишеров может достигать 5%. Это значит, что каждый 20-й получатель подложного письма верит прочитанному и сообщает запрошенную информацию. В июле 2004 г. антифишерская группа зафиксировала 1974 атаки - на 39% больше по сравнению с предыдущим месяцем. В апреле 2004 г. 57 млн. американцев получали мошеннические письма. Из них 1,8 млн. человек, или 3%, оставили личную информацию о себе.
Перешагивая через границы
Появившись в США и других развитых странах, фишинг не мог не проникнуть в Россию и страны СНГ. Скандалы вокруг финансовых пирамид никого ничему не научили. Уровень экономической наивности в нашей стране продолжает оставаться высоким.
В частности в Беларуси был пойман махинатор, который разослал около полутора тысяч писем такого содержания: <Здравствуйте! К вам обращается менеджер Вашего банка. Мы проводим сверку данных клиентов и просим сообщить нам номер Вашей кредитной карточки и срок ее действия>. И хотя в письме не содержалось никаких указаний на полномочия автора, откликнулся каждый третий(!).
Мошенникии-фишеры собирают богатый улов. Только в США в апреле прошлого года 57 млн. человек получили электронный запрос - просьбу сообщить персональные данные. Около 2 млн. американцев (почти 3% респондентов) отправили ответ
Запросов в такой форме к нашим клиентам просто не может быть, подчеркивают в Юниаструм Банке. Хранение клиентской информации организовано здесь так, что никогда, ни при каких событиях она не будет потеряна. Кроме того, по словам директора Департамента выпуска и обслуживания пластиковых карт банка Надежды Кибальник, <в Юниаструм Банке действуют жесткие правила безопасности. Мы никогда не рассылаем по электронной почте выписки, даже если об этом просит клиент. Мы постоянно ведем мониторинг рисков, и когда по счету проходит операция, не соответствующая обычным транзакциям клиента, то на это обращается внимание>.
Однако российские кредитные организации пока не привлекают внимания фишеров. <Мы для киберпреступников пока не интересны, - считает ведущий специалист Ассоциации российских банков Олег Казакевич, занимающийся вопросами банковской безопасности. - Активность сетевых преступников связана в первую очередь с капитализацией банков. В России примерно из 1300 кредитных организаций 600 крайне малы, многие из них даже не имеют своих компьютерных систем. Фишинг-атакам подвергаются банки, имеющие собственные системы электронных платежей>.
Кроме того, утверждает Олег Казакевич, распространенность этого преступления зависит от развитости рынка пластиковых карт. <Есть такой показатель - отношение общего числа торговых операций к количеству электронных платежей, - говорит он. - У нас он примерно равен 2%, тогда как в развитых странах он достигает 40-45%>.
Период скрытого развития
Несмотря на относительную бедность российских финансов, фишинг в Россию пришел и присматривается не только к банкам. Интерес у мошенников вызывают виртуальные торговые точки в сети, где есть возможность делать покупки с помощью банковских карт. Российские криминалисты надежными статистическими данными о фишинге не располагают. В УБЭП не могут сообщить ни об одном официально зарегистрированном заявлении, что российская организация или частное лицо получило ущерб от фишинга. <Это - один из самых скрытых видов сетевых преступлений, - комментируют ситуацию криминалисты. - Пострадавшие, как правило, не спешат обращаться в правоохранительные органы. Многие просто не желают портить собственный имидж>. По данным УБЭП, за весь прошлый год было выявлено 1365 преступлений по статье 187 УК РФ. Из них только 17 связаны с банковскими картами. Тем не менее преступления совершаются. Так, по данным сайта Crime-research.ru, в минувшем году в сети Интернет в течение нескольких недель действовало фальшивое представительство известного книжного магазина Books.ru. Портал взломщиков полностью копировал содержание настоящего сайта. Первая страница была статической, другие формировались в зависимости от запроса пользователя. Едва ли те, кто покупал в этот период книги на сайте этого магазина, получил заказанное. Но можно с уверенностью утверждать, что желающие оплатить покупку по карточке сообщили ее реквизиты мошенникам. Даже сами владельцы Book.Ru оценили ущерб от пиратского сайта как <заметный>, утверждает Crime-research.ru.
Вор еще на свободе
По мнению ведущего научного сотрудника НИИ Генпрокуратуры Аслана Юсуфова, в России опасность преступлений, подобных фишингу, недооценивается. Это проявляется не только в том, что пострадавшие не сообщают о преступлении в правоохранительные органы. Неэффективен сам закон, который, с одной стороны, ставит высокие требования к доказательной базе, с другой - не защищает ту информацию, за которой и охотятся фишеры. Так, номера кредитных карт, ПИН-коды и другие подобные сведения считаются коммерческими только в том случае, если это определено внутренними документами банка. Если нет - их можно красть безнаказанно.
Формально, в Уголовном кодексе есть статьи, карающие мошенничество. Так, статья 272 предусматривает наказание за неправомерный доступ к компьютерной информации. Кража номеров карт и ПИН-кодов может также квалифицироваться и по 165 статье - причинение имущественного ущерба путем обмана или злоупотребления доверием. Но преступления эти чрезвычайно сложно доказать, и прокуроры порой не заводят дела, если у них нет перспективы дойти до суда. В целом до суда доходит не более половины всех дел, возбужденных по карточным преступлениям.
Понимания важности борьбы с кибермошенничеством нет и во властных структурах. 1 июля 2004 г. вступила в силу Конвенция о преступности в сфере компьютерной информации, подписанная в 23 ноября 2001 г. в Будапеште. В ней предусмотрен ряд жестких мер законодательного характера, которые страны должны принять. В их числе - признание объектом права номеров кредитных карточек, логинов, ПИН-кодов. О присоединении к ней России пока не ведется и речи.
Пока не работает закон
Понимая сложность, с которой сталкиваются следователи, ведущие дела о фишинге, люди и банки начинают защищать себя сами. В США, в странах Европы, в Австралии, где фишинг получил особое распространение, существуют авторитетные общественные организации. Они собирают информацию об этих преступлениях, делают ее достоянием гласности. В США активно работают Национальная лига потребителей, Национальный центр информации о мошенничестве, а также сетевой сайт Phishinginfo.org.
Ряд крупных банков и компаний, таких как ABN AMRO Bank, AT&T Wireless Services, Best Buy, Charles Schwab, E'Trade Financial, HSBC Holdings, Royal Bank of Scotland Group, Siebel Systems и Target, IBM, Fidelity Investments и Tenet Healthcare учредили Форум по надежным электронным коммуникациям. Он призван противодействовать этому виду мошенничества. В частности участники консорциума планируют совместно тестировать и внедрять технические решения для защиты от фишинга.
Западные банки также делают упор на информирование своих клиентов. В частности на сайте российского представительства Citibank'а есть полная информация о пережитых банком атаках фишеров. По мнению многих экспертов, пользователи банковских карт, выпущенных российскими банками, также могли бы получать больше информации об этом преступлении и о том, как защититься от фишинга, какие приемы применяют мошенники. Однако ни на одном из нескольких сайтов российских банков, которые удалось посетить, не было информации о таком преступлении, как фишинг.