Кстати, с постепенным ростом активности отечественных частных инвесторов можно прогнозировать интерес мошенников и к личным брокерским счетам/портфелям в брокерских конторах. Украсть эти деньги или акции очень трудно. Даже имея доступ к ним, максимум, что можно сделать, – это лишь напакостить пользователю, проведя ту или иную невыгодную операцию. Но это в том случае, если имеешь доступ всего лишь к одному брокерскому счёту. А если их тысячи (учитывая объём купленных у поставщиков логов), то, консолидировав чужие активы на миллионы долларов, можно провести настоящую биржевую операцию. Допустим, сыграть на понижение или повышение акций какой-то конкретной компании, объём дневных биржевых торгов по которой сопоставим с размером сконцентрированных активов. И таким образом можно заработать сотни тысяч долларов. Что же будет с инвестиционными портфелями использованных абонентов после такого управления – мошенникам уже не важно.

Пользуясь предоставленным интернет-сервисом, необходимо быть крайне внимательным не только в момент совершения операций, но вообще всегда. Например, при получении писем по электронной почте, которые предлагают перейти по ссылке и ввести свои логин и пароль либо реквизиты карты, ничего никогда не вводите. Не важно, для чего это просят – пусть даже ради спасения мира от ядерной войны. Ни один банк не взаимодействует со своими клиентами таким образом. В случае особых сомнений можно позвонить в банк – уточнить, отправлялось ли вам то или иное письмо. При этом, если телефон банка указан в присланном письме, то звонить надо не по нему, а по имеющемуся в банковских документах или пропечатанному на обратной стороне кредитной карты. Кстати, сотрудники большинства банков никогда не пересылают клиенту по электронной почте в открытом виде информацию, в которой фигурируют данные карт. Даже по его личной просьбе.

Бывает, что при обращении к системе интернет-банкинга внедрённый в компьютер пользователя или на какой-либо сайт троян переадресует клиента на специальную страничку, по дизайну очень похожую на соответствующую страницу сайта банка. Ничего не подозревающий пользователь вводит данные кредитной карты, которые тут же становятся известны мошенникам. Например, есть даже такой вид взлома сайтов интернет-магазинов, когда клиента на последнем этапе переадресуют на сайт злоумышленника с формой для введения данных кредитки. При заказе товаров в онлайне надо внимательно следить за адресной строкой браузера. На страницах, где вводится личная информация, протокол обмена должен быть обязательно https:. Сертификат сайта – соответствовать имени сайта. Современные браузеры отмечают несоответствие сертификата строгими предупреждениями и красной адресной строкой, но пользователи старых версий могут попасться на этот вид взлома. Кроме того, должно вызывать подозрение, если «сайт банка» чем-то отличается по дизайну от того, которым вы пользовались ранее. Как защититься от проникновения троянов? Поставить хороший антивирус. Он хоть и не панацея, но позволит выловить старые либо не очень хорошо сделанные вирусы. Более надёжно вообще не использовать Internet Explorer и Microsoft Outlook для веб-серфинга и получения электронной почты соответственно, поскольку большинство троянов пишутся в расчёте на «дыры» именно этих программ.

Крайне важно быть осторожным, если выход в Сеть осуществляется из публичного места, такого как интернет-кафе или хот-спот. Беспроводные хот-споты, как правило, не используют шифрование трафика, и любой желающий может увидеть все отправляемые или получаемые данные. Использование корпоративной беспроводной сети тоже не гарантирует безопасности. Многие корпоративные сети до сих пор не применяют шифрование или используют уязвимый для взлома электронный ключ в стандарте WEP. Сидящий за соседним столиком в кафе или припарковавшийся рядом с офисом злоумышленник с ноутбуком и специализированным программным обеспечением очень быстро получит доступ к желаемым данным. Если предполагается, что электронная переписка содержит что-то более важное, чем приветы от знакомых, то лучше использовать защищённые протоколы TLS и SSL – нужно обратиться к своему провайдеру и узнать, как это сделать. Помните, что любая страница в браузере, просмотренная по открытому протоколу HTTP или FTP, может быть скопирована злоумышленником. Программы мгновенного обмена сообщениями ICQ и MSN вообще не защищены. То же относится к большинству протоколов IP-телефонии, так что и использование Wi-Fi-телефона для разговора с банком – тоже идея не очень хорошая.

Сейчас многие банки практикуют использование дополнительных одноразовых паролей, список которых выдаётся пользователю. Причём пароли принимаются только в последовательности, указанной в списке. То есть пока, допустим, пароль № 2 не будет использован, пароль № 3 не сработает. Но и эту предосторожность воры уже научились обходить. Пользователь заходит на страницу банка, забивает пароль, а сидящий в его компьютере троян имитирует отказ в авторизации и предлагает ввести другой пароль. Пользователь пытается войти в систему по второму паролю – сработало, доступ к счёту получен. Вот только получен он именно вводом первого пароля, а второй пароль из списка, на самом деле ещё не использованный, попадает в руки воров.

Или другой, вроде бы надёжный вариант, когда необходимый для дополнительного ввода одноразовый пароль высылается на мейл пользователя в момент авторизации по основному паролю. Считается, что перехватить его не успеют. Как показывает практика, успевают. Собственно, всеми данными для доступа к почтовому ящику жертвы злоумышленники располагают благодаря тому же трояну. Единственная на сегодняшний день более или менее эффективная защита пользователя, по мнению экспертов, – это двухфакторная аутентификация. То есть когда одновременно вводится два пароля, каждый из которых поступает по разным каналам. Один, допустим, приходит на мейл, а второй – на мобильный телефон. Естественно, у злоумышленника не должно быть возможности дистанционно заменить номер мобильного телефона, на который будут приходить SMS, – меняют его только в отделении банка и только при личной явке клиента. Или второй пароль генерируется специальным устройством (крипто-калькулятором), выдаваемым пользователю банком.

Пока далеко не все отечественные банки используют двух-факторную аутентификацию, считая, что это им слишком дорого обойдётся. Соответственно, если предполагается активно пользоваться системой интернет-банкинга, лучше выбрать банк, не экономящий на двухфакторной аутентификации. Надо заметить, что некоторые данные, достаточные для кражи денег с пластиковой карты, мошенники могут получить, взломав интернет-магазин или билинговую систему, хранящие данные о покупателях. Отсюда вывод – покупать в Сети только в надёжных магазинах с хорошей защитой. А лучше – завести для расчётов в Интернете отдельную дебетовую карту и пополнять её по мере необходимости.

Разумеется, фишинговые технологии выманивания данных счетов могут применяться и вне Сети. Вот, например, случай так называемого «мобильного фишинга», на который в своё время многие попались. Злоумышленники рассылали сообщения от имени известных московских банков с отказом в получении кредита. Прочитав эту новость, человек, как правило, пожимал плечами, поскольку никаких заявлений о выдаче кредита в эти банки не подавал – ошибка, с кем не бывает. Но через месяц автоинформатор через звонок на мобильный телефон сообщал ему, что на его карточном счёте образовалась задолженность, которую необходимо погасить, а для решения вопросов по задолженности просил связаться с банком. Возмущённый гражданин набирал указанный номер и заявлял дружелюбному «менеджеру», что никаких кредитных карт в его банке не получал, после чего «менеджер» переводил вызов на «сотрудника службы безопасности». Тот выражал озабоченность проблемой и предлагал продиктовать паспортные данные и реквизиты кредитных карт, выданных другими банками (!), якобы для того, чтобы проверить, не было ли и с этими картами фактов мошенничества. Разновидностей подобных приёмов море. Надо сказать, что мы описали здесь лишь самые распространённые способы мошенничества. Головы у электронных злоумышленников хорошие, и они постоянно придумывают что-то новое.

Помимо фишинга существует масса и иных методов выяснения данных, необходимых для увода денег с «пластикового» счёта, кстати, не только для доступа в систему интернет-банкинга, но и для снятия средств в банкомате, расплаты в магазине и т. д. А собственно, какие же данные необходимы преступнику? Критерием для выдачи наличных в банкомате служат введённый пин-код и, конечно, информация, записанная на магнитной полосе пластиковой карточки. Для совершения операции в этой записи должны содержаться номер карты, срок окончания ее действия, то есть данные, выбитые на лицевой стороне «пластика», а также некий трёхзначный код. В системе Visa он называется CVV, у MasterCard – CVC. Не надо путать их с кодами cvv2/cvc2 на полосе подписи карты, которые используются для совершения интернет-транзакций. Коды CVV и CVC хранятся только на магнитной полосе и служат для банка инструментом определения её подлинности, своеобразной «электронной подписью» карты.