Не только лишь фишинг. Как воруют в Сети, что за это будет и как обезопасить свой сайт
Смотрим на проблему мошенничества со стороны владельцев сайтов и обычных пользователей.
Пресс-служба Администрации Президента / Preechar Bowonkitwanchai / Tero Vesalainen / Shutterstock / Евгений Рыбкин / Ольга Скворцова / Skillbox
В интернете вовсю орудуют кардеры: они похищают платёжные данные и выводят чужие деньги. Владельцы карт несут убытки, а банки и интернет-магазины тратят время на суды и возвращают средства за свой счёт. Как защититься от мошенников? Разбираемся с юристами, специалистом по кибербезопасности и бывшим киберпреступником.
Как крадут деньги в интернете
Мошенников в Сети часто называют хакерами, не вдаваясь в подробности, чем они реально занимаются. Давайте разберёмся. Хакеры — те, кто начинает цепочку преступлений: они взламывают компьютеры и сайты и добывают данные пользователей. Деньги они воруют не всегда — чаще перепродают данные кардерам (от англ. carding — мошенничество с банковскими картами), а те уже пытаются снять средства или совершить какие-то покупки.
Способов добычи «материала» (именно так мошенники называют банковские реквизиты) — великое множество. Один из них — фишинг (в переводе с английского — «выуживание») данных напрямую у пользователя. Вам наверняка приходили сообщения о победе в лотерее. Чтобы забрать выигрыш, достаточно ввести реквизиты карты, а после его обязательно переведут на ваш счёт. Это и есть фишинг.
Если вы думаете, что способ слишком наивный, — можно придумать поинтереснее. Мошенники могут сделать приличный юридический сайт и добавить ссылки на документы, которые ищут в интернете. Пользователь скачивает документ и не подозревает, что под ним скрывается стилер — вредоносная программа для кражи персональных данных. Через него хакеры получают так называемые логи: cookie-файлы и целую папку с сохранёнными паролями из браузера. Может не спасти даже антивирус: файл зашифруют так, что он обойдёт защиту.
«Антивирусы редко говорят о том, что сайт поддельный. Эту функцию имеют некоторые браузеры, но ни один антифишинг не видит весь список сайтов, которые вы используете. Да и мошенники быстро меняют сайты — антифишеры просто не успевают их отслеживать. Бывает, что поддельные сайты на оплату ЖКХ, услуг банков и электронных кошельков протаскивают через модерацию в Google и „Яндекс.Директ“. Первый сайт в рекламной выдаче может оказаться поддельным».
Сергей Павлович,
бывший кардер, автор канала «Люди PRO» на YouTube
Главное — быть внимательным. «Сайт может полностью повторять оригинал, но URL, то есть адрес сайта, всё равно будет отличаться. Должно насторожить и отсутствие SSL-сертификата», — продолжает Сергей.
Что будут делать с данными дальше
Иногда преступники завладевают банковским счётом. Доступ к нему открывает онлайн-банк. Мошенник забивает базу паролей в специальный софт — и он автоматически прогоняет логи для входа в конкретный банк. Пароли от Facebook* и «Сбербанк Онлайн» могут совпадать.
Добытый счёт можно привязать к платёжной системе PayPal — и вывести деньги на свои анонимные счета. Либо сделать покупки в интернете — это называется «вещевой кардинг». Мошенники реализуют товары на площадках типа Avito или перепродают знакомым бизнесменам.
Списать деньги можно и напрямую с карты — даже без CVV-кода. Чтобы купить в AliExpress или Amazon на небольшую сумму, достаточно номера карты и даты истечения срока её действия.
Рынок подобных спекуляций действительно огромен. Одних только краденых карт в интернете продаётся на сумму около 2 млрд долларов. Мировой ущерб от действий кардеров в прошлом году оценили почти в триллион долларов США.
Русские кардеры в мире — среди лидеров. Мошенники говорят, что работают только с картами граждан Европы и США. Мол, воровать у своих совестно, да и небезопасно — за преступления внутри России действует уголовная ответственность. Тем не менее, по данным ЦБ РФ, преступники ежегодно обманывают россиян на 1 млрд рублей. От этого также страдают банки и интернет-магазины, через которые совершаются покупки.
«Настоящий бич в нашей стране — телефонное мошенничество по типу подпольных колл-центров. Важно помнить, что банк редко звонит первым. Всегда можно положить трубку и перезвонить самому, чтобы быть уверенным, что разговариваешь с банковским сотрудником, а не мошенником. Ещё одно популярное направление — ransomware. Это заражение отдельных компьютеров и локальных сетей: злоумышленники блокируют файлы и требуют у владельцев выкуп. Онлайн-кардинг тоже присутствует: подбираются пароли к аккаунтам Uber, „Яндекс.Такси“, приложениям розничных магазинов типа „Магнита“, „Пятёрочки“ и „Спортмастера“. Мошенники взламывают эти аккаунты и совершают покупки внутри приложения».
Сергей Павлович,
бывший кардер, автор канала «Люди PRO» на YouTube
Пример кардерского «бизнеса» в сети — мошенники предлагают заказать еду или такси со скидкой 50%. Ничего удивительного: это единственный способ обналичить деньги со взломанного аккаунта.
Как можно бороться с утечкой данных? Стоит включить внимательность. «В России низкий уровень знаний о компьютерной и финансовой безопасности: мы каждый день передаём кому-то номер карты для приёма средств, иногда даже со сроком действия — этого уже достаточно, чтобы совершить хищение. Часто не обновляем ПО на своих компьютерах и смартфонах, особенно это касается системы Android. Устанавливаем „левые“ приложения на телефон — таким образом, отдаём все наши счета и аккаунты мобильных приложений в руки злоумышленников», — комментирует Сергей Павлович.
Когда виноват бизнес
Невнимательность пользователей — лишь одна из зацепок для киберпреступников. Другой, не менее эффективный, способ заработать — взломать интернет-магазин.
Для этого используют эксплойт — скрипт, который задействует уязвимости сайта. С его помощью взламываются интернет-магазины, банки и корпоративные порталы. Часто он представляет собой вредоносный SQL-код — он проникает в базу данных и открывает доступ к информации о клиентах и их платёжным реквизитам.
От этого страдают небольшие магазины со слабой системой защиты и даже гигантские корпорации. Так, в 2013 году были похищены данные более 2,9 млн пользователей сервисов Adobe. Утекли номера карт, даты истечения их срока действия, имена и телефоны клиентов компании.
Данные похищают и с помощью веб-скимминга. В этом случае вредоносный код (обычно это JavaScript) внедряют на страницы сайта. Код подменяет страницу оплаты и ведёт жертву на посторонний ресурс-клон — его URL очень похож на настоящий. Подобный случай произошёл с компанией British Airways: в 2018 году у них украли порядка 380 тысяч клиентских карт на странице оплаты билетов.
Кто будет отвечать?
Очевидно, что от мошеннических операций страдает и покупатель, и интернет-магазин, и сам банк, который провёл спорную транзакцию. Но кто в конечном счёте будет за это отвечать и возвращать деньги?
О том, как может выглядеть цепочка событий, рассказывает Людмила Харитонова — управляющий партнёр юридической фирмы «Зарцын & партнеры»: «Покупатель может обратиться в банк с заявлением о возврате средств — на это есть 180 дней с момента платежа». Харитонова добавляет, что, если срок прошёл, можно обратиться в суд или правоохранительные органы — правда, шансов на успех будет меньше, а сама процедура — сложнее. Что касается продавца, он должен обезопасить себя и доказать, что списание было правомерным. Для этого нужно понять, каким образом произошла оплата и какие доказательства имеет магазин, считает Харитонова.
«Если у фирмы есть договор купли-продажи в формате оферты и она корректно выстроила систему акцепта, логировала данные — есть шанс доказать правоту», — рассуждает она. Харитонова обращает внимание, что магазин может обратиться к получателю товара и взыскать с него сумму задолженности, даже если чарджбэк уже сделали.
«Для россиян опасность в том, что банки крайне неохотно принимают заявления о пропаже средств: вместо этого отправляют в полицию, а те, в свою очередь, в банк. И так по кругу, — комментирует Сергей Павлович. — Процент отказа по делам, где владелец карты не виноват, действительно большой».
Фёдор Музалевский, директор технического департамента RTM Group, говорит, что вернуть деньги почти нереально, если докажут, что данные покупатель передал сам — например, через фишинговый сайт. «Банк лучше всего защищён в данной ситуации, — продолжает Фёдор. — Его действия регламентированы договором: как с покупателем, так и с получателем денег. Если нарушений в этих соглашениях не выявят — банк деньги не вернёт. Есть шанс, если средства пришли на счёт интернет-магазина и товар ещё не был отгружен. Если деньги ушли конечному поставщику товара, раскрутить цепочку будет гораздо сложнее».
Ещё одна вещь, которой стоит опасаться, — это утечка клиентских данных. Если магазин виноват, ему отвечать. В Евросоюзе, например, действует Общий регламент по защите данных (GDPR): он обязывает обезличивать и надёжно хранить данные пользователей. Упомянутую выше British Airways оштрафовали на 20 млн фунтов стерлингов — за нарушение этого закона.
Сайт, данные которого скомпрометировали, может получить санкции в интернете. Его могут включить в чёрный список поисковых систем: он перестанет индексироваться в выдаче, плюс браузер начнёт выдавать такое предупреждение:
В России случаи утечки регулируются 152-ФЗ «О персональных данных».
«Штрафы за нарушение 152-ФЗ в России предполагают десятки тысяч рублей за утечку данных каждого пострадавшего субъекта. Однако на практике Роскомнадзор и суды ограничиваются штрафами за факт утечки — независимо от количества субъектов, чьи данные были раскрыты. Штраф идёт в пользу государства. Лицу, чьи данные были раскрыты, ещё нужно доказать, что оно понесло ущерб от этого раскрытия. Оно может получить компенсацию, но, скорее всего, только через суд».
Фёдор Музалевский,
директор технического департамента RTM Group
Как защитить сайт?
Первым делом нужно понять, что стандартный протокол HTTP — это небезопасное решение для сайта. Информацию украсть очень просто. Можно начать с покупки SSL-сертификата — декодировать данные с зашифрованным ключом будет гораздо сложнее.
«Работа сайта или приложения без использования SSL и TLS крайне небезопасна. Появляется риск компрометации данных. При активной сессии на веб-сайте информация проходит через десятки промежуточных сетевых узлов, и если хоть один из них попал под контроль злоумышленника, персональные данные могут быть похищены. Если у вас на сайте есть авторизация, защитить данные особенно важно. Протокол HTTPS обеспечит шифрование информации и сделает её недоступной для постороннего просмотра».
Зафар Астанов,
эксперт Group-IB Fraud Hunting Platform
Group-IB предлагает ещё несколько рекомендаций: «Установите двухфакторную аутентификацию, а также сложные и уникальные пароли к панели администратора на вашей CMS. Логируйте как можно больше информации: начиная от входов в панель администратора и заканчивая датой изменения файлов. Своевременно обновляйте используемое ПО, включая CMS. Регулярно проводите проверки и аудит защищённости веб-сайтов. Подобные шаги могут значительно снизить риск заражения вашего веб-сайта».
Также стоит задуматься о внедрении системы антифрод. Она проверяет платежи на «чистоту» в онлайн-режиме: «Банки и электронная коммерция без системы антифрод — лёгкая добыча для мошенников, — говорит Зафар Астанов, эксперт Group-IB Fraud Hunting Platform. — Есть два типа антифрод-решений. Первый — сессионный, помогает понять, кто из покупателей чистый, а кто подозрительный. Он постоянно анализирует поведение пользователя на сайте: что покупатель делает, куда переходит, с какого устройства и IP-адреса подключается. Затем вся информация поступает в транзакционный антифрод: он предназначен для оценки финансовых транзакций или нефинансовых событий. Например, с какого счёта переводятся денежные средства, во сколько и в каком размере, — все эти данные учитываются при вынесении вердикта системой».
Что мы имеем в итоге: сайт точно стоит защищать. В конечном счёте это выгодно клиентам, и его владельцам. Защита помогает исключить судебные разбирательства и финансовые потери по вине мошенников. Обычным пользователям остаётся быть внимательными: проверять сайты, на которых совершаются покупки, и никому не сообщать реквизиты карты, кроме её номера.