Книга: Интернет для ваших родителей
Фишинг
Фишинг
Рассмотрим подробнее фишинг (phishing) — хитроумный способ мошенничества, использующий специфику Интернета. Суть его в следующем. Вы получаете очень солидное сообщение от банка или почтового сервера, отдела социального обеспечения или от какой-нибудь социальной сети (В Контакте, Твиттер и пр.). В этом сообщении содержится ссылка на страницу отправителя, которую вас просят посетить. Но на самом деле эта страница — подделка. Ее создают мошенники, и внешне она не отличается от настоящей, например страницы вашего банка.
На этой, поддельной, странице из вас правдами и неправдами «выуживают» информацию. В идеале (для мошенников, конечно) — это получить пароли на доступ к вашим банковским счетам. В России, в связи со слабым развитием электронных платежных носителей, фишинг пока приобрел не столь угрожающие масштабы, как в развитых странах. В тех же США пользователи, попавшиеся на эту уловку, ежегодно теряют от двух до трех миллиардов долларов!
В России основная цель фишинговых атак — социальная сеть В Контакте. К сожалению, 70 % таких атак — успешны! Это очень печальный факт, отражающий общую компьютерную грамотность россиян, точнее — вопиющую нашу неграмотность.
Конечно, грамотный пользователь обратит внимание, что в ссылке фишингового письма написано имя не того сайта, за который себя выдает поддельная страница. Но это ж грамотный пользователь! Например, адрес http://mail.xaker.ru/ очень похож на адрес нашего почтового сервера http://mail.ru/. Но мы помним, что адрес до слеша (до косой черты) читается справа налево (см. главу 1). В первом адресе мы видим, что сайт находится в домене ru, поддомене xaker и называется mail. Во втором же адресе — сайт под названием mail находится сразу в домене первого уровня ru. А в своем домене второго уровня xaker его мошенники-владельцы могут создать сколь угодно сайтов с самыми разными именами: bank.xaker.ru, office.xaker.ru и т. п. Если помнить об этом, вы не попадетесь на такую уловку. Кстати, жулики научились скрывать реальный адрес своего сайта, заменяя его в ссылке картинкой с нарисованным адресом. Поэтому самый надежный способ попасть туда, куда собираетесь, — это ввести адрес в адресную строку с клавиатуры.
В последнее время появилась еще одна разновидность фишинга. Вам не предлагают посетить сайт, а просто просят позвонить по указанному телефону, дабы «предотвратить блокирование вашего счета». После очень реальных и строгих инструкций по мерам безопасности вас опять же могут попросить представить ваши пароли, пин-коды и пр. Кроме того, мошенники моут сделать звонок на указанный номер платным — и в то время, пока вы станете выслушивать очень полезную информацию о безопасности, с вашего телефонного счета будут утекать ваши деньги.
В борьбе с фишингом разработчики браузеров объединяют свои усилия. Обычно браузер вас предупреждает о том, что вы переходите на ненадежный сайт. Не оставляйте без внимания такие сообщения.
А главное, помните, что ни один банк не станет просить вас вводить пароли на доступ к счетам. Ну и, наконец, есть элементарный способ проверить такое подозрительное сообщение — достаточно просто позвонить в банк и спросить, присылали ли вам письмо с просьбой вводить свои личные данные. Или обратиться в службу поддержки почтовой службы или социальной сети.
В законодательстве большинства стран приняты законы, определяющие уголовную ответственность за фишинг. В России такие законы также есть и даже существуют прецеденты обвинения за неправомерный доступ к информации. Но наказание сводится, как правило, к условным срокам. Российское законодательство признано самым лояльным по отношению к киберпреступности. На рис. 7.2 приведен пример фишинг-страницы. Правда, похожа на настоящую?