Электронные кошельки под атакой
За 2010 год, по мнению аналитиков Group-IB, российские хакеры на территории нашей страны заработали 1,3 млрд. долл., причем значимая доля этих средств была получена от финансовых преступлений, а именно атак на финансовые системы на стороне частных пользователей. Общая недоразвитость финансовой системы нашей страны для активной оплаты банковским "пластиком" скоректировала интересы мошенников. В наибольшей степени им стали интересны "электронные кошельки" самых обычных пользователей, на который, часто, можно обнаружить весьма значительные денежные средства. А риск уголовного преследования минимален - обманутые клиенты не идут в правоохранительные органы, а эмитенты "электронной валюты" помогать им не спешат.
Разумеется, в теории выгодно "ломать" банк-клиент, который контролирует счет юридического лица, там куда как больше остатки по счету (средний "улов" по такому направлению может составлять до 200 тыс. долл.). Но в случае с электронными кошельками физических лиц ситуация гораздо проще - даже зная о том, что свой кошелек можно защитить с помощью одноразовых паролей, различных блокировок и лимитов, клиенты не спешат делать это на практике. Организаторы сервиса - не настаивают.
Появление электронных кошельков и платежных систем является закономерным шагом, учитывая повсеместное распространение сети Интернет и необходимость проведения простых расчетов за виртуальные услуги и реальные товары. В России наиболее распространены WebMoney, Яндекс.Деньги, Qiwi, PayPal. Набирают популярность платежи в социальных сетях, имеющих собственный вид валюты в виде, например, «голосов».
» Нажмите, для открытия спойлера | Press to open the spoiler «
И все они - под серьезным "ударом" со стороны киберпреступников. Дело в том, что проблемные моменты таких сервисов - это обратная сторона успеха подобных систем. Легкость совершения платежей, возможность создания анонимных кошельков и общая слабая привязка кошельков к реальности позволили мошенников придумать особые методы отъема денег. Ведь, в отличие от пластиковых карт, где для вывода средств необходимо выстраивать целую инфраструктуру с заведением, как минимум, банковского счета и идентификацией его владельца, с электронными валютами делать это не обязательно. Кроме того, в отличие от услуг банков, совершенную транзакцию в электронном кошельке отменить или опротестовать практически невозможно.
"Здесь можно выделить лишь PayPal с базовым принципом его политики — «покупатель всегда прав». Но он, скорее, является «белой вороной» в этом списке, так как счет в PayPal привязывается к конкретной банковской карте", - говорит Сергей Никитин, специалист по компьютерной криминалистике, Group-IB.
При этом, заражение терминалов оплаты того же Qiwi вирусами, которые подставляют вместо одного Яндекс.кошелька другой, в данном случае, конечно, совсем незаметны на общем фоне более развитых преступных действий. В российских условиях такие хищения можно считать разве что забавной шуткой, нежели реальным инструментом "монетизации" усилий злоумышленников. На рынке есть множество других мошеннических схем, которые распространены крайне широко. Крайне популярным методом обмана является фишинг. В случае атаки на "электронные кошельки", что случается все чаще и чаще, - злоумышленниками создается веб-сайт схожий с оригиналом, но на нем подменяются платежные реквизиты (номер кошелька). Разумеется, для рекламы такого "проекта" рассылается туча спама. Пользователь получает вроде бы легитимное письмо, заходит на страницы такого "клона", совершает покупку и... платит мошеннику. Отдельно стоит упомянуть создание интернет-магазинов с низкими ценами, оплата товаров в которых возможно лишь переводом суммы на электронный кошелек. Их мотивация - "распродажа конфисканта" или "ликвидация таможенного склада". Доставку обещают только по почте. Как правило, такие магазины — «однодневки», они не имеют юридического адреса, контактов или реквизитов, или указывают поддельные. "Хотя существуют они недолго, но успевают собрать приличные средства на свой кошелек и за несколько дней", - комментирует ситуацию Сергей Никитин. Кроме того, подделываются сайты самих систем электронных платежей, с целью похитить аутентификационные данные пользователя, для доступа к его кошельку. Заманивают туда людей рассылкой спама с предложением "пройти перерегистрацию" обычно после "серьезного сбоя системы, которая повлекла за собой утерю части базы данных клиентов".
Работают на рынке пока и всевозможные финансовые пирамиды, «нигерийские письма», «письма счастья» — типичные примеры махинаций с использованием приемов социальной инженерии. "С помощью таких методов злоумышленники убеждают жертву добровольно совершить некоторый обманный платеж. Например, мошенники сообщают о победе в лотерее, но предлагают сделать перевод небольшую сумму на какие-либо организационные расходы, связанные с выдачей приза. Таким образом, у жертвы, попавшей на крючок, выманивают вполне солидные суммы, иногда доходящие до 20-30 тысяч долларов", - отмечает Сергей Никитин.
Самый серьезный вариант атаки на "электронный кошелек" - вредоносное ПО. Обычно это решения серьезного уровня, которые похищают информацию, вводимую пользователем – логин и пароль для доступа к кошельку. Существует даже целый класс ПО, нацеленный на хищение именно этих данных, для всех популярных платежных систем, в том числе сертификатов, файлов ключей, а также для перехвата одноразовых SMS-паролей, вводимых пользователем.
Разумеется, это далеко не все способы отъема денег у граждан - их множество, причем их количество увеличивается вместе с распространением и развитием технологий. К сожалению, все приведенные схемы основываются на невнимательности и доверчивости жертв, а также небольшом количестве мер самобезопасности, которые предлагаются системами электронной наличности. К примеру, подключить банальное SMS-уведомление о входе в такую систему или о движении денег по счету может быть реальной проблемой (тот же Yandex.Деньги ввел такую функцию только весной 2011 года). Кроме того, сложность идентификации конечного получателя платежей создает благодатную среду для обмана плательщиков. Ну, к примеру, по номеру счета невозможно достоверно установить какой именно организации он принадлежит - если в банке это реально, то в интернет-кошельке любой пользователь может написать в соответствующее поле электронной формы что угодно. Вдобавок, небанковские организации, которыми являются платежные интернет-системы, никогда не были под контролем со стороны надзорных органов страны, поэтому операции, которые проводятся через платежные терминалы или с помощью виртуальных финансовых услуг, не попадают под надзор Центробанка.
Можно сколько угодно говорить о том, что необходимо быть начеку, не стеснятся проверять все данные получателя платежа или особенности сделки много раз, при любых подозрениях отказываться от проведения платежей. Что нельзя хранить сертификаты для кошелька в доступном месте, а также изучить процедуру блокировки своего аккаунда в подобных системах. Но дело в том, что электронные кошельки - массовое явление, в прошлом году в России их создано 30 млн. штук. Они распространены не так, как бумажные наличные, но достаточно серьезно. Пора бы уже организаторам электронных платежных систем разработать более простые средства самобезопасности и, главное, информирования своих клиентов о движениях их денег, которые бы снизили вероятность кражи до минимума. Кроме SMS-информирования можно предложить лимиты по датам и типам переводов, возможность "заморозки" средств на какой-то промежуток времени по желанию пользователя, организовать отдельные сегменты платежных систем с более высоким уровнем безопасности, дать возможность работать с кипером только при наличии антивируса и firewall на компьютере и т.д. Но особой активности в этом отношении "крупняк" пока не проявляет. К большому сожалению.
Источник: iBusiness Автор: Максим Букин