ЛОВИСЬ РЫБКА БОЛЬШАЯ И МАЛЕНЬКАЯ

05-04-2005

Валерий ЛебедевЯ не раз касался разных аспектов мошенничества в Америке (см. например, здесь). Многие из них внешне имеют как бы легальный характер. Одно из них – так называемые рибейты (mail-in-rebate. или "скидка по почте"). Живущие в США хорошо знают, что это такое, но для “иностранцев маленькое пояснение. Вы покупаете какую-то вещь, заполняете бланк на возврат части суммы (рибейт), отправляете по приложенному адресу и ждете 2-3 месяца возврата. Возникает вопрос: если это дешевая распродажа, то почему сразу не заплатить меньшую сумму? На поверхности лежит ответ: рибейты делаются для кредитования фирмы на вот эти 2-3 месяца. Фирма полученные деньги (сверх той цены, которая получится после получения рибейта) пускает в оборот, и за это как раз кредитор имеет на товар скидку как раз на сумму рибейта.

В этом, допустим, мошенничества еще нет. Но оно проглядывает уже в том, что многие покупатели забывают отправить рибейт. Или неточно что-то оформляют. И, соответственно, не получают его. Но так как все отправления делаются обычной почтой, то всегда можно не вернуть рибейт: мы не получали вашего запроса. Или – мы отправили, но вы не получили. Если рибейт приличный- 100-200 долларов, то покупатель еще будет чего-то домогаться. А если маленький (3-10 долларов, таких – большинство), то и возиться никто не будет. Главное сделано: товар под маркой якобы скидки продан.

Опять таки дело не в этом. Главное “маленькое мошенничество” в следующем. Фирма желает быстро продать партию товара. Помимо этого похвального и понятного желания, лежащего на поверхности, фирма преследует мало кому видимую цель. Распродав под эгидой рибейта много товара, фирма подает это как чрезвычайный успех своей деятельности. Составляются соответствующие реляции и отчеты. Так как большинство фирм являются public company (то есть те, которые имеют право на выпуск акций), то от сообщения об успехах их акции на бирже растут и подскакивают. Руководители компании, хорошо зная, за счет чего этот успех достигнут, быстро продают выросшие в цене акции на бирже, срывая знатный куш. Если даже допустить, что фирма совершенно честная и вернула все рибейты, то дальнейший упадок дел фирмы (после возвращения рибейтов) и снижение цены ее акций уже мало волнует топменеджеров –ведь они уже свое дело сделали. Пусть плачут те, кто купили акции вдруг расцветшей фирмы.

Опущу шашни с фальшивыми телефонными карточками (ранее писал), или всевозможные завлекательные объявления вроде того, что объявляется набор работников на почту. Это на почту-то, где обеспечена пожизненная занятость, все бенефиты и куда мечтает попасть “много кто”! По объявлению как бы следует, что это от почты. Ничего подобного! Это некие посредники, которые готовят “резервы”. Для того, чтобы попасть на своего рода лист ожидания нужно сдать некий экзамен, для чего заплатить 100 дол. Все дивным образом сдают. А потом – ждать, когда освободится вакансия. Ждать придется всю жизнь. Хотя бы потому, что и это объявление (а на него клюют очень многие), и список ожидания никакого значения и отношения к почте не имеют.

Настоящая напасть сейчас в США другая. К ней мы и перейдем.

Не так давно, в январе 1996-х года в Америке появился новый термин – phishing. Сначала он означал нечто очень локальное – хакерское вскрытие счетов пользователей компании AOL (Аmerica-on-Line) с целью пользования этими счетами для бесплатного подключения к интернету.

Выглядела та первая заметка (видимо, местных хакеров) так:

It used to be that you could make a fake account on AOL so long as you had a credit card generator. However, AOL became smart. Now they verify every card with a bank after it is typed in. Does anyone know of a way to get an account other than phishing?
В mk590, "AOL for free?," alt.2600, January 28, 1996

(Можно было изготовливать фальшивый счет AOL с помощью генератора номеров кредитных карт до тех пор, пока вы не получите нужного номера (это когда генератор выдает серии из 16-значных цифр и какая-то из этих комбинаций может случайно совпасть с реально существующей – В.Л.). Однако AOL стал умнее. Теперь они верифицируют каждую карту в банке после того, как ее номер введен. Знает ли кто-нибудь другой способ, чтобы похитить счет, иной, чем “фишинг”?” ).

По-русски слово рыбалка” не скажешь иначе, чтобы сохранить тоже звучание. А по-английски – запросто: phishing звучит точно так же как fishing. Так сказать, закидываем удочку и ждем, когда кто-то клюнет на крючок.

Прошло больше года, пока уже не безымянный хакер в сети, а нормальная газета использовала этот термин в несколько более общем значении – способы похищения паролей.

The scam is called 'phishing' as in fishing for your password, but spelled differently said Tatiana Gau, vice president of integrity assurance for the online service Ed Stansel, "Don't get caught by online 'phishers' angling for account information," Florida Times-Union, March 16, 1997

(“Плутовство называется фишинг и означает выуживание вашего пароля, но пишется иначе, чем рыбалка”, - сказала Татьяна Гау (наш человек- В.Л.) вице-президент по безопасности в сервисе онлайн фирмы Ed Stansel. “Не попадитесь в сети “рыбакам”, которые выуживают информацию со счетов”. (Florida Times-Union, March 16, 1997).).

Ну вот, с тех пор и пошло. Правда, после открытия слова настал длительный инкубационный период. Слово где-то таилось, никто его не знал. Зато “начиная с конца” 2003 года как прорвало. Phishing как термин обрел права гражданства. И уже не нужно было объяснять, что это не ошибка в написании понятия “ловля рыбы”, а специальный термин для обозначения всяческих уловок по незаконному получению чужих номеров карт, паролей, счетов и прочей информации, имеющей отношение к финансам. С целью похитить чужие деньги.

Сейчас поисковые машины дают (например – Google) чудовищное количество линков на слово phishing, а именно – больше 2 миллионов! ( 2,230,000 for phishing). Основное слово fishing пока еще имеет на Гугле раз в десять больше линков. Но процесс идет бойко, глядишь и сравняются phishing и fishing в успешной ловле.

Нынешний phishing чрезвычайно многолик. Еще не ушли в прошлое даже простые письма с поздравлениями с выигрышем. Для получения его, или зачисления на счет счастливца нужно только заполнить бланк с данными по счету, номером дебитной или кредитной карточки и даже часто паролем. После заполнения выигрыш, конечно, будет. Но получит его отправитель поздравления.

Эти старорежимные способы уже почти изжиты. Узнавать адреса, покупать конверты и марки, отправлять… Да и следов больше. Получать-то ответы где-то надо. Пусть даже и в почтовом ящике ( P.O. Box). А ну, как там засада?

Рhishing плотно заселил Сеть. И почти никаких следов. Да можно сказать совсем никаких. Отправления идут с фальшивых имейл адресов, коих может быть сколько угодно. И с фальшивых провайдеров через анонимайзеры. Найти ни практически, ни теоретически нельзя.

Более того, теперь редко можно встретить имейл с поздравлением и извещением о выигрыше. Хотя бывает. Я, например, получил в начале этого года. Через день снова письмо со взыванием: Валерий, неужели вы нам не верите? У нас солидная компания, проводили отбор и жеребьевку среди тысяч имейл адресов и на ваш выпал выигрыш. Пожалуйста, заполните бланк с вашим номером счета и номером банковской карты и мы тут же вышлем вам ваш приз.

И вот таких еще три безответных призыва.

Но такой грубой работы все меньше. Равно как и получения писем от сыновей и вдов Мобуту, Чомбе, Нкваме Крума и прочих борцов за свободу Африки с просьбой прислать 500 долларов на адвоката (сын/вдова вынуждены скрываться во Франции и пока его/ее счет заблокирован врагами африканской демократии), за что вы становитесь совладельцем их несметных наследств. Специалисты phishing пошли дальше. Они присылают запросы от имени вашего банка. Как узнают именно ваш банк? Ну, это просто. Около банков много урн, в них бросают карточки с истекшим сроком годности, а также банковские реситы с номерами счета. Шарят и по домашним мусорным бакам или выставленным для увоза мешкам с мусором. Там чего только не найдешь! И фамилии, и названия банков, и номера счетов. Дело приняло такой размах, что для его усекновения возникло целое производство: начали изготавливать электрические машинки для мелкого шинкования деловых бумаг и переписки. Теперь во многих домах имеется. И все – туда. На выходе – мелкая крошка. Из нее можно изготавливать вполне добротные доски. Но ошибиться нельзя. Сунешь нужную бумагу – потом не восстановишь по клочкам, если бы просто порвал. Да, всякий прогресс имеет свои теневые стороны.

Кроме того, не обязательно отправлять от имени вашего банка. Отсылаются скопом тысячи, десятки тысяч посланий от имени разных банков. Шанс угадать очень велик – в конце концов, в каждом городе не так уж и много банков. Крупных вообще два-три. Так что совпадений будет много. Очень много.

Текст послания официален и сух. Никаких congratulations!

Господин имярек, на ваш счет поступила такая-то сумма. Для верификации ваших данных заполните прилагаемую форму. В ней – полное имя, адрес (ну, это для камуфляжа), номер карточки. И даже часто ее пинкод (для дебитных карт).

Но и этого мало. Запрос приходит как бы с сетевого адреса вашего банка. Например, пусть наш банк – Citizens. Его настоящий сетевой адрес www.Citizensbank.com.

Вы получите запрос с адреса www.Citisensbank.com ( изменена одна буква) или так www.Citizensbank-online.com Кто там заметит? Да потом, вполне возможно, что это как раз филиал вашего банка для перечислений неких сумм на ваш счет. Фишеры в точности копируют дизайн банковского сайта. Его рубрикацию. Цвет. Не отличишь.

После отправления не только указанная сумма, но и все деньги с карточки исчезнут.

И все-таки забрасывание удочек и переметов на предмет случайного попадания на клиента этого банка и расчет на то, что он заполнит бланк, не так велика. Особенно последнее. Уже несколько месяцев, как банки (настоящие) усиленно рассылают своим клиентам предупреждения о нахлынувшей новой напасти. В банковских уведомлениях сказано, что настоящие банки никогда не присылают запросов на верификацию номера карточки и, тем более, не узнают пин код. Более того, банковским служащим запрещено знать пин код. И даже если приходится иметь дело с клиентом, скажем, помогать ему активизировать новую карточку, то клерк демонстративно отворачивается, чтобы не видеть, как клиент набирает на клавиатуре свой пин код. Банки в своих напоминаниях пишут, что ни в коем случае не следует заполнять никаких форм, присланных по имейлу. Что в крайнем случае банк напишет письмо и пригласит для выяснения каких-то вопросов клиента лично.

Клиент же (особенно наш, отечественный, пожилой и недавний) полагает, что он попал в заветную страну Эльдорадо. Надо же нигде и ни во что не играл, а выиграл! Кто-то о нем позаботился, кто-то узнал его номер телефона или имейл, ввел их в какую-то неведомую ему лотерею – и его номер выиграл! О, страна невероятных возможностей, о, родина счастья! Мы ничего не сделали для Америки, а она (не то что мачеха-Россия) к нам так нежно и бережно отнеслась Мало того, что платит пенсию нам, ни минуты здесь не работавшим, так еще и лотереи для нас устраивает! И какие замечательные. Вот я выиграл, и все мои соседи выиграли. Нет, положительно мы попали в страну чудес.

Но после первых восторгов и последующих слез, впрочем быстро утоленных (ибо банки возвращают все неправедно умыкнутые деньги), наши быстро учатся – жизненный опыт помогает. И уже второй раз в этой округе забрасывание перемета не даст никаких результатов.

Вычерпав до дна сначала телефонные звонки, рассылку обычных писем, а потом по электронной почте, рыбаки перешли на новый этап повышения собственного благосостояния за наш счет. Начался этот этап совсем недавно – где-то полгода назад. Хотя отдельные его элементы существовали и несколько лет назад. Этот этап пока что очень опасен. Речь идет о сканировании данных с карт во время их использования везде, где покупатель ими расплачивается или берет деньги в мани-машине. Согласно законам, открытым еще Фарадеем, Максвеллом и Герцем, любая операция с картами сопровождается электромагнитным излучением. Можно изготовить небольшие сканирующие устройства в размер портсигара или еще меньше – как маленький сотовый телефон, которые фиксируют все данные со стационарного сканера в магазине, на бензоколонке, в манимашинах.

Началось все с ресторанов, в которых официант уносил карточку куда-то и возвращался с выписанным и оплаченным счетом. И с вашей карточкой. С которой “где-то” уже снята полная информационная копия. Или с портативным сканером с тем же результатом. Официанты и были первыми агентами зарождающейся международной сети виртуальных мошенников. Первое место с ними делили почтовые работники. Они просто вскрывали письма от банков клиентам, в которых были вложены новые карточки, на первых порах даже вместе с пин-кодами. Потом обходились без вскрытия, просто сканировали электронные данные через конверт. Но эту первичную агентуру быстро выловили: в начале умельцам не терпелось сразу изготовить дубликат карты и использовать его. Для этого бралась любая такая же по размерам карточка – старая кем-то выброшенная банковская, телефонная карта, членская какого-нибудь клуба, библиотеки, ключ от номера в гостинице, и пр. – число им тьма. На их магнитную полоску наносились данные, похищенные с банковский карты и – готово. Иди и покупай. Или получай по ней наличные в любом магазине. Таким образом до сих действуют на Брайтон Бич. Поэтому местные там никогда ничего не покупают по картам. Только за наличные. Остается надежда на заезжих туристов, приехавших глазеть на “русскую Америку”.

В статистике ограбленные в ресторанах владельцы быстро обнаруживали пропажу, заявляли в банк, там проводили свое расследование и все нити вели в тот самый ресторан. Первичные умельцы обчищали не одного клиента, а сразу многих, так что вероятность попасться была высока.

После этого методом естественного отбора появилась нынешняя, весьма отработанная и почти неуязвимая система. В первичные агенты теперь редко берут официантов, продавцов магазинов или работников бензоколонок. Велик риск засыпаться – они ведь все время работают на одном месте и их по совокупности потерь можно вычислить.

Сейчас способы получения информации с карт очень разнообразны. Самый простой: поставить в коморке с манимашиной свой сканер. Маленький и незаметный. Есть такие, которые ставятся прямо на щель, в которую вводится карта. Сначала она проходит через сканер фишинга, а потом уползает вглубь машины в законный сканер. Вся информация, включая пин код снимается мгновенно. Или стоит этот шпионский сканер еще где-то снизу, сбоку. Поди – ищи.

Но найти можно. Особенно работникам банка, которые стали проверять свою технику. К тому же все кабины оборудованы телекамерами, могут и засечь того, кто сначала устанавливал, а потом приходил забирать сканер.

Посему перешли на мобильные системы. Например, в кабине стоит человек, занимается своим делом – заполняет какую-то бумагу. А рядом клиент сует свою карту в манимашину. Все – сгорел. Еще проще действовать наводчику в магазине. Стоит за кем-то или просто рядом, покупатели один за другим расплачиваются картами, а у агента в кармане тикает и тикает. Агент может даже сидеть в своей машине рядом с витриной магазина. Совсем уж неприметно и не вызывать подозрений. Часами. И у него там столько информации набежит!

Международная сеть построена как революционные пятерки Нечаева. Первичные агенты знают только своего “старшего”. Друг друга они не знают. Ему они передают чипы со снятой информацией (за каждую карту агенты тут же получают, скажем, по 50 долларов). Пятеро “старших” передают ведущему третьего уровня. Каждый из них тоже получает за каждую карточку. И так до руководителя, который пускает процесс в обратную сторону, но уже совсем с другими мошенниками. Они либо заказывают по номерам кредиток товары, либо по изготовленным клонам карт просто снимают деньги в манимашинах. Причем теперь рыболовы не спешат. Полученные данные карточек выдерживаются пару недель. А то и месяц. Это для того, чтобы стало невозможными отследить, в каком месте была с карты снята информация. Деньги всегда снимаются не в той стране, откуда “родом” карта. Это тоже затрудняет идентификацию преступников.

В случае провала одного из агентов из сети изымается только он и “старший”. В случае провала старшего – только один старший и пять агентов. И то, если старший расколется. Вся сеть остается в целости. Особенно ее самая ценная часть: умельцы по изготовлению клонов и вообще, техническая подсистема.

Банки обеспокоились. Если так дело пойдет и дальше, они лишаться доверия клиентов. А это доверие главный актив банков. Несколько месяцев назад все крупные банки создали у себя департменты card risk prevention – отделы по предотвращению карточных рисков. Хмм…Звучит как-то уж почти как у Достоевского. Тем не менее вот именно такие отделы. В них работают весьма шустрые “контрагенты”. Стоит ряд компьютеров. Все они заряжены специальными программами на подозрительные транзакции. К ним относятся:

  • Все транзакции заграницей.

 

 

  • Все транзакции с наличностью.

 

 

  • Все транзакции в онлайне.

 

 

  • Все транзакции выше 1000 или 2000 долларов (в зависимости от банка).

 

 

Любая из этих транзакций дает о себе знать звуковым и световым сигналом. Тут же у монитора контрагент. Он видит, что с такого-то счета снята такая-то сумма. По совокупности признаков ему ясно, что действует бригада аферистов. Карточка немедленно блокируется. Клиент извещается по телефону о нападении.

Впрочем, вот живой пример, произошедший со мной. Рано утром в субботу 26 марта раздается звонок.

-Говорит Юджин из банка. Отдел card risk prevention. Вы такой то?
-Да.
-Вы никуда в эти дни не выезжали?
-Нет.
-Последние четыре цифры номера вашей банковской карты такие-то?
-Да. А в чем дело?
-У вас сегодня ночью со счета в Румынии сняли 500 долларов (больше за один раз снять нельзя, да больше и не было – В.Л.). Деньги сняты по фальшивому дубликату вашей карты. Мы сразу проверили наличие на ваше имя авиабилетов. Их не было. Все стало ясным. Ваша карта была блокирована, а теперь, прямо во время нашего разговора, аннулирована. Вам сегодня же будет послана новая карта. Пожалуйста, сходите сегодня в банк, заполните форму по возврату денег. У вас чистый случай, никаких расследований больше не нужно. Возврат должен произойти в пределах 10 дней, но скорее всего раньше.

Я так и сделал. Перезвонил Юджину. Поблагодарил за бдительность и оперативность.

- Это наша работа.

 

Представился подробнее, сказал, что хотел бы написать о всей этой новой ситуации. Спрашиваю:

- Есть ли шанс, что мошенники будут пойманы?
- Это трудно. Мы работаем в тесном содружестве с FBI. Кое-что удается, уже довольно многих поймали. Но все среди низовых мошенников. Сеть очень законспирирована. Не удается выйти на организаторов. На самых главных.

Я поговорил еще и понял, что банки делают все возможное, но техническое и организационное превосходство пока на стороне phishing. Банки страхуют вклады и получают от страховых компаний возмещение убытков от восстановления похищения денег с украденных карточек. Но… сама страховка тоже ведь стоит денег. И чем больше украдут, тем больше расходы на страхование. Эти расходы в конечном итоге раскладываются на клиентов, которым повышают плату за обслуживание и защиту их счетов.

Последнее слово в фишинге это HOT SPOTS и привязанные к ним EVIL TWINS. HOT SPOTS (дословно – горячие пятна)– это места, в которых стоят wireless routers (устройства для беспроводной связи с интернетом). Например, это сеть кафе Starbucks . Но могут быть также отели, аэропорты и прочие места скопления людей. Таких мест (они еще называются wi-fi) в США сегодня – 22 081 (http://www.smartcomputing.com/editorial/article.asp?article=articles/2005/s1604/01s04/01s04.asp&articleid=25721&guid=). Посетители приходят в кафе со своим ноутбуком и за чашкой кофе и ланчем на столике беспроводным образом подключаются (бесплатно) к сети. Многие из них при этом проверяют почту, отправляют письма в банк, делают транзакции. Рядом с кафе стоит автомашина. В ней – “рыболов”. У него включен тот самый EVIL TWIN – (дословно “дьявольский близнец”). Это тоже раутер, но более мощный, чем в кафе. Этот “близнец дьявола перешибает своего “брата” в кафе и соединение происходит через него, а не через раутер в кафе. Рыболов видит (точнее - записывает) на своем ноутбуке в машине все, имеющееся в ноутбуке жертвы. Его пароли в системе переводов денег WebMoney или PayPal. Тем более, прямо к рыбаку попадают все операции, которые производит клиент кафе по транзакциям или покупкам в онлайн. А такие покупки и переводы посетители кафе делают очень часто. Понятно, что после этого счет жертвы очень тощает.

В свежей публикации на сайте почты США от 19 марта появилась тревожная статья “ Identity theft is America's fastest-growing crime” (Кража идентичности самый быстрорастущий вид криминала в США), а в ней такие строки:

Last year alone, more than 9.9 million Americans were victims of identity theft, a crime that cost them roughly $5 billion.

(Только за последний год более чем 9,9 миллионов американцев стали жертвами краж их идентичности (это такой эвфемизм – речь идет о похищении данных банковских карт - В.Л.), это преступление обошлось им в 5 миллиардов долларов).

И большинство "рыбаков" остались ненаказанными. Это значит, что они продолжают свою ловлю.

При этом ужасно страдает идея справедливости. Нет ничего хуже для законности, чем безнаказанность преступников. К тому же этот вид преступлений нов, привлекателен для молодых людей своей интеллектуальностью, неким изыском, само собой – большими деньгами. И – совершенной безопасностью их промыслового лова.

Можно ли техническими средствами остановить вал phishing, evil twins и прочих разновидностей любителей ставить переметы и закидывать сети в наши карманы?

Похоже – да. Через год начнется переход на американские паспорта с биометрическими данными владельца. Там будут не только отпечатки пальцев, но и данные по радужной оболочке глаза владельца паспорта. Мне кажется, в биоданных выход из положения.

Следует эти же данные вносить в банковские карты. Но этого мало. Конечно, карту и биоданными, закодированными на карте, мошенникам будет изготовить труднее, но все равно возможно. Если карточку делают в одном месте (“казенном”), то ее смогут сделать и в другом в мошенническом. Аферисты купят (или украдут) точно такое же оборудование (как они это делают сейчас со сканерами, раутерами и др.) и наладят производство дубликатов. Поэтому все установки манимашин (а потом и магазинов) следует оснастить идентификаторами владельца. Одной рукой владелец сует карту в щель, вторую кладет на определитель отпечатков пальцев, глазом уставился в объектив вмонтированной перед ним телекамеры. Компьютер производит сравнение данных карты с параметрами живого владельца. И только при полном совпадении выдает деньги. Деньги на все это оборудование понадобятся большие. Опять за наш счет.

Все? Вопрос решен? Это вряд ли. В особо крайних случаях и с особой жесткостью у владельца можно отрубить руку и изъять глаз. И с этими “вещественными доказательствами” получить деньги. Конечно, такое вряд ли возможно, разве что как эксцесс. Но вот подменять устройства для определения пальца и глаза на “свои” – это, точно, смогут.

Так что борьба рыболовов и инспекторов рыбоохраны продолжается.

Автор выражает благодарность работнику банка Юджину, а также Сабирджану Курмаеву, Александру Готхарту, Фатеху Вергасову, Андрею Горлину за стимулирующие дискуссии и присылку важных линков.

Комментарии

Добавить изображение