Ученые Департамента информационной безопасности Финансового университета при Правительстве России совместно с преподавателем Московского государственного лингвистического университета Ксенией Ошманкевич рассмотрели новые фишинговые схемы и разработали рекомендации по защите от них.
В Финуниверситете рассказали о новых приемах финансовых мошенников в интернете / ©Getty images
«Компьютерные атаки стали одним из основных источников банковский рисков. Помимо финансовых потерь, кибератаки подрывают операционную надежность кредитных организаций и снижают доверие к кредитно-финансовой сфере нашей страны в целом. При этом фишинговые атаки объединяют в себе как методы социальной инженерии, так и использование вредоносного программного обеспечения, что делает их одним из основных и наиболее опасных способов совершения атак в интернете», — комментирует доктор экономических наук, профессор Департамента информационной безопасности Финуниверситета, сотрудник Банка России Павел Ревенков. Атаки фишеров, как и атаки социальных хакеров, сводятся к одной схеме, изображенной на рисунке ниже.
Фишинг (от англ. phishing, происходит от fishing — рыбная ловля, выуживание) является одним из наиболее распространенных методов совершения мошенничества в киберпространстве, который используется для хищения паролей и конфиденциальной информации путем введения клиента в заблуждение. Для разработки направлений совершенствования контроля в киберпространстве исследователи проанализировали следующие виды мошеннических ресурсов: лжебанки, лжестраховые организации, псевдо-P2P (Peer-to-Peer), лжемагазины и выплаты компенсаций.
Наиболее распространенная категория фишинговых ресурсов — это сайты фиктивных (несуществующих, фейковых) банков. Недобросовестное лицо создает ресурс «банка» и начинает привлекать денежные средства граждан и юридических лиц во вклады. Пользователь ресурса не задумывается о правомерности деятельности подобного лица, поскольку интерфейс несуществующей «кредитной организации» очень похож на интерфейс действующего банка. Представленные на ресурсе поддельные документы (такие как копии лицензий и доверенностей) создают у потребителя впечатление, что этот банк является легальным.
Поэтому пользователям нужно обращать внимание на оформление ресурса: мошенники, как правило, не утруждают себя в размещении на «официальном сайте» соответствующей документации (в некоторых случаях даже не указывают номер лицензии на осуществление операций).
Фишинговый сайт страховой организации позволяет создать у потребителя ложное впечатление, что покупка бланка не влечет для него негативных последствий. Однако при приобретении заведомо фальшивых, пустых и недействительных бланков потребитель теряет возможность претендовать на страховое возмещение в случае наступления страхового случая.
Поэтому пользователь должен не только обращать внимание на оформление и содержание ресурса страховой компании, но и проверять эту организацию в соответствующих справочниках и реестрах (например, в списке компаний с выявленными признаками нелегальной деятельности на финансовом рынке Банка России).
Интернет-магазины привлекают покупателей своими ценами (за счет экономии на аренде помещений), а также возможностью удобной доставки. Схема мошенничества в этом случае прежняя: как только покупатель переводит свои деньги на счет продавца, связь с ним прекращается (сайт магазина перестает работать, ответа по электронной почте нет). Оформление и содержание ресурсов также аналогичны сайтам действующих организаций.
Научный сотрудник Департамента информационной безопасности Финуниверситета Александр Бердюгин рекомендует: «Чтобы обезопасить себя и приобрести соответствующий товар, потребителю необходимо проверить информацию об организации, которая предоставляет товары или услуги, а также отзывы и доменное имя в известных поисковых системах».
Для эффективного противодействия финансовой преступности, эксперты призывают повышать уровень киберграмотности и общей грамотности населения, с одной стороны, и модернизировать способы осуществления надзора и контроля за информацией, размещаемой в интернете, с другой. Происходить это должно как самостоятельно, так и на государственном уровне (через Министерство науки и высшего образования России, Министерство просвещения, Роскомнадзор, Центральный банк Российской Федерации). Подробный текст публикации, другие виды мошенничества и разработанные рекомендации для пользователей интернета опубликованы в журнале «Финансы: теория и практика».
