Кража идентичности Ловись рыбка большая и маленькая…

Опубликовано: 22 апреля 2005 г.
Рубрики:

Кража идентичности — самый быстрорастущий вид криминала в США

Я не раз касался разных аспектов мошенничества в Америке. Многие из них внешне имеют как бы легальный характер. Одно из них — так называемые рибейты (mail-in-rebate или “скидка по почте”). Вы покупаете какую-то вещь, заполняете бланк на возврат части суммы (рибейт), отправляете по приложенному адресу и ждете 2-3 месяца возврата. Возникает вопрос: если это дешевая распродажа, то почему сразу не заплатить меньшую сумму? На поверхности лежит ответ: рибейты делаются для кредитования фирмы на вот эти 2-3 месяца. Фирма полученные деньги (сверх той цены, которая получится после получения рибейта) пускает в оборот, и за это как раз кредитор имеет на товар скидку как раз на сумму рибейта. В этом, допустим, мошенничества еще нет. Но оно проглядывает уже в том, что многие покупатели забывают отправить рибейт. Или неточно что-то оформляют. И, соответственно, не получают его. Но так как все отправления делаются обычной почтой, то всегда можно не вернуть рибейт: мы не получали вашего запроса. Или: мы отправили, но вы не получили. Если рибейт приличный, 100-200 долларов, то покупатель еще будет чего-то домогаться. А если маленький (3-10 долларов, таких большинство), то и возиться никто не будет. Главное сделано: товар под маркой якобы скидки продан.

Но настоящая напасть сейчас в США другая. К ней мы и перейдем. Не так давно, в январе 1996-го года в Америке появился новый термин — phishing. Сначала он означал нечто очень локальное — хакерское вскрытие счетов пользователей компании AOL (America on Line) с целью пользования этими счетами для бесплатного подключения к интернету. Выглядела та первая заметка (видимо, местных хакеров) так: “Фальшивый счет AOL с помощью генератора номеров кредитных карт можно было изготавливать до тех пор, пока вы не получили нужного номера (это когда генератор выдает серии из 16-значных цифр, и какая-то из этих комбинаций может случайно совпасть с реально существующей — В.Л.). Однако AOL стал умнее. Теперь верифицируется каждая карта в банке после того, как ее номер введен. Знает ли кто-нибудь другой способ, чтобы похитить счет, иной, чем “фишинг?””).

По-русски слово “рыбалка” не скажешь иначе, чтобы сохранить тоже звучание. А по-английски — запросто: phishing звучит точно так же, как fishing. Так сказать, закидываем удочку и ждем, когда кто-то клюнет на крючок. Прошло больше года, пока уже не безымянный хакер в сети, а нормальная газета использовала этот термин в несколько более общем значении — способы похищения паролей. “Плутовство называется фишинг и означает выуживание вашего пароля, но пишется иначе, чем рыбалка”, — сказала Татьяна Гау, вице-президент по безопасности в сервисе онлайн фирмы Ed Stansel. — “Не попадитесь в сети “рыбакам”, которые выуживают информацию со счетов”. (Florida Times-Union, March 16, 1997). Ну, вот, с тех пор и пошло. Правда, после открытия слова настал длительный инкубационный период. Слово где-то таилось, никто его не знал. Зато, “начиная с конца” 2003 года, как прорвало. Фишинг как термин обрел права гражданства. И уже не нужно было объяснять, что это не ошибка в написании понятия “ловля рыбы”, а специальный термин для обозначения всяческих уловок по незаконному получению чужих номеров карт, паролей, счетов и прочей информации, имеющей отношение к финансам. С целью похитить чужие деньги.

Сейчас поисковые машины дают (например — Google) чудовищное количество линков на слово phishing, а именно — больше 2 миллионов! Нынешний фишинг чрезвычайно многолик. Еще не ушли в прошлое даже простые письма с поздравлениями с выигрышем. Для получения его, или зачисления на счет счастливца нужно было только заполнить бланк с данными по счету, номером дебитной или кредитной карточки и, часто, паролем. После заполнения выигрыш, конечно, будет. Но получит его отправитель поздравления. Эти устарелые способы уже почти изжиты. Узнавать адреса, покупать конверты и марки, отправлять… Да и следов больше. Получать-то ответы где-то надо. Пусть даже и арендованном на почте почтовом ящике.

Фишинг плотно заселил Сеть. И почти никаких следов. Да можно сказать, совсем никаких. Отправления идут с фальшивых электронных адресов, коих может быть сколько угодно. И с фальшивых провайдеров. Найти ни практически, ни теоретически нельзя. Более того, теперь редко можно встретить е-мейл с поздравлением и извещением о выигрыше. Хотя бывает. Я, например, получил в начале этого года. Через день снова письмо со взыванием: “Валерий, неужели вы нам не верите? У нас солидная компания, проводили отбор и жеребьевку среди тысяч е-мейл адресов, и на ваш выпал выигрыш. Пожалуйста, заполните бланк с вашим номером счета и номером банковской карты, и мы тут же вышлем вам ваш приз”. И вот таких еще три безответных призыва.

Но такой грубой работы все меньше. Равно, как и получения писем от сыновей и вдов Мобуту, Чомбе, Нкваме Крума и прочих борцов за свободу Африки с просьбой прислать 500 долларов на адвоката (сын/вдова вынуждены скрываться во Франции, и пока его/ее счет заблокирован врагами африканской демократии), за что вы становитесь совладельцем их несметных наследств. Специалисты фишинг пошли дальше. Они присылают запросы от имени вашего банка. Как узнают именно ваш банк? Ну, это просто. Около банков много урн, в них бросают карточки с истекшим сроком годности, а также банковские квитанции с номерами счета. Шарят и по домашним мусорным бакам или выставленным для увоза мешкам с мусором. Там чего только не найдешь! И фамилии, и названия банков, и номера счетов. Дело приняло такой размах, что для его усекновения возникло целое производство: начали изготавливать электрические машинки для мелкого шинкования деловых бумаг и переписки. Теперь во многих домах имеется. И все — туда. На выходе — мелкая крошка. Из нее можно изготавливать вполне добротные доски. Но ошибиться нельзя. Сунешь нужную бумагу — потом не восстановишь по клочкам, если бы просто порвал.

Да, всякий прогресс имеет свои теневые стороны. Кроме того, не обязательно отправлять от имени вашего банка. Отсылаются скопом тысячи, десятки тысяч посланий от имени разных банков. Шанс угадать очень велик — в конце концов, в каждом городе не так уж и много банков. Крупных вообще два-три. Так что совпадений будет много. Очень много. Текст послания официален и сух. Никаких “congratulations”! Господин имярек, на ваш счет поступила такая-то сумма. Для верификации ваших данных заполните прилагаемую форму. В ней — полное имя, адрес (ну, это для камуфляжа), номер карточки. И даже часто ее персональный секретный код (pin number для дебитных карт).

Но и этого мало. Запрос приходит как бы с сетевого адреса вашего банка. Например, пусть наш банк — Citizens. Его настоящий сетевой адрес www.citizensbank.com. Вы получите запрос с адреса www.citisensbank.com (изменена одна буква) или так www.citizensbank-online.com. Кто там заметит? Да потом, вполне возможно, что это как раз филиал вашего банка для перечислений неких сумм на ваш счет. Фишеры в точности копируют дизайн банковского сайта. Его рубрикацию. Цвет. Не отличишь. После отправления не только указанная сумма, но и все деньги с карточки исчезнут. И все-таки забрасывание удочек и переметов на предмет случайного попадания на клиента этого банка и расчет на то, что он заполнит бланк, не так велика. Особенно — последнее. Уже несколько месяцев, как банки (настоящие) усиленно рассылают своим клиентам предупреждения о нахлынувшей новой напасти. В банковских уведомлениях сказано, что настоящие банки никогда не присылают запросов на верификацию номера карточки и, тем более, не запрашивают у вас секретный код. Более того, банковским служащим запрещено знать этот код. И даже если приходится иметь дело с клиентом, скажем, надо помочь ему активизировать новую карточку, то клерк демонстративно отворачивается, чтобы не видеть, как клиент набирает на клавиатуре свой код. Банки в своих напоминаниях пишут, что ни в коем случае не следует заполнять никаких форм, присланных по е-мейлу. Что, в крайнем случае, банк напишет письмо и пригласит для выяснения каких-то вопросов клиента лично.

Клиент же (особенно наш, отечественный, пожилой и недавний) полагает, что он попал в заветную страну Эльдорадо. Надо же — нигде и ни во что не играл, а выиграл! Но после первых восторгов и последующих слез, впрочем быстро утоленных (ибо банки возвращают все неправедно умыкнутые деньги), наши быстро учатся — жизненный опыт помогает. И уже второй раз в этой округе забрасывание перемета не даст никаких результатов. Вычерпав до дна сначала телефонные звонки, рассылку обычных писем, а потом и по электронной почте, рыбаки перешли на новый этап повышения собственного благосостояния за наш счет.

Начался этот этап совсем недавно — где-то полгода назад. Хотя отдельные его элементы существовали и несколько лет назад. Этот этап пока что очень опасен. Речь идет о сканировании данных с карт во время их использования везде, где покупатель ими расплачивается или берет деньги в банкомате. Согласно законам, открытым еще Фарадеем, Максвеллом и Герцем, любая операция с картами сопровождается электромагнитным излучением. Можно изготовить небольшие сканирующие устройства в размер портсигара или еще меньше — как маленький сотовый телефон, которые фиксируют все данные со стационарного сканера в магазине, на бензоколонке, в банкомате.

Началось все с ресторанов, в которых официант уносил карточку куда-то и возвращался с выписанным и оплаченным счетом. И с вашей карточкой. С которой “где-то” уже снята полная информационная копия. Или с портативным сканером с тем же результатом. Официанты и были первыми агентами зарождающейся международной сети виртуальных мошенников. Первое место с ними делили почтовые работники. Они просто вскрывали письма от банков клиентам, в которых были вложены новые карточки, на первых порах даже вместе с персональными секретными кодами. Потом обходились без вскрытия, просто сканировали электронные данные через конверт. Но эту первичную агентуру быстро выловили: в начале умельцам не терпелось сразу изготовить дубликат карты и использовать его. Для этого бралась любая такая же по размерам карточка — старая кем-то выброшенная банковская, телефонная карта, членская какого-нибудь клуба, на их магнитную полоску перезаписывались данные, похищенные с банковский карты, и готово. Иди и покупай. Или получай по ней наличные в любом магазине. Таким образом, до сих действуют на Брайтон-Бич в Нью-Йорке. Поэтому местные там никогда ничего не покупают по картам. Только за наличные. Остается надежда на заезжих туристов, приехавших глазеть на “русскую Америку”.

В статистике ограбленные в ресторанах владельцы быстро обнаруживали пропажу, заявляли в банк, там проводили свое расследование, и все нити вели в тот самый ресторан. Первичные умельцы обчищали не одного клиента, а сразу многих, так что вероятность попасться была высока.

После этого методом естественного отбора появилась нынешние, малоуязвимые системы. Например, ставят в коморке с банкоматом свой сканер. Маленький и незаметный. Есть сканеры, которые ставятся прямо на щель, в которую вводится карта. Сначала карточка проходит через сканер фишинга, а потом уползает вглубь машины в законный сканер. Вся информация, включая персональный код снимается мгновенно. Или стоит этот шпионский сканер еще где-то снизу, сбоку. Поди, найди.

Но найти можно. Особенно работникам банка, которые стали проверять свою технику. К тому же, все кабины оборудованы телекамерами, могут и засечь того, кто сначала устанавливал, а потом приходил забирать сканер. Посему перешли на мобильные системы. Например, в кабине стоит человек, занимается своим делом — заполняет какую-то бумагу. А рядом клиент сует свою карту в банкомат. Все — сгорел. Еще проще действовать наводчику в магазине. Стоит за кем-то или просто рядом, покупатели один за другим расплачиваются картами, а у агента в кармане тикает и тикает. Агент может даже сидеть в своей машине рядом с витриной магазина. Совсем уж неприметно и не вызывать подозрений. Часами. И у него там столько информации набежит!

Международная сеть построена, как революционные пятерки Нечаева. Первичные агенты знают только своего “старшего”. Друг друга они не знают. Ему они передают чипы со снятой информацией (за каждую карту агенты тут же получают, скажем, по 50 долларов). Пятеро “старших” передают ведущему третьего уровня. Каждый из них тоже получает за каждую карточку. И так до руководителя, который пускает процесс в обратную сторону, но уже совсем с другими мошенниками. Они либо заказывают по номерам кредиток товары, либо по изготовленным клонам карт просто снимают деньги в банкоматах. Причем теперь рыболовы не спешат. Полученные данные карточек выдерживаются пару недель. А то и месяц. Это для того, чтобы стало невозможными отследить, в каком месте была с карты снята информация. Деньги всегда снимаются не в той стране, откуда “родом” карта. Это тоже затрудняет идентификацию преступников. В случае провала одного из агентов из сети изымается только он и “старший”. В случае провала старшего — только один старший и пять агентов. И то, если старший расколется. Вся сеть остается в целости. Особенно ее самая ценная часть: умельцы по изготовлению клонов и вообще, техническая подсистема.

Банки обеспокоились. Если так дело пойдет и дальше, они лишаться доверия клиентов. А это доверие — главный актив банков. Несколько месяцев назад все крупные банки создали у себя отделы по предотвращению карточных рисков (card risk prevention). Хмм… Звучит как-то уж почти как у Достоевского. Тем не менее, вот именно такие отделы. В них работают весьма шустрые “контрагенты”. Стоит ряд компьютеров. Все они заряжены специальными программами на подозрительные транзакции. К ним относятся:

1. Все транзакции заграницей.

2. Все транзакции с наличностью.

3. Все транзакции в онлайне.

4. Все транзакции выше 1000 или 2000 долларов (в зависимости от банка).

Любая из этих транзакций дает о себе знать звуковым и световым сигналом. Тут же у монитора контрагент. Он видит, что с такого-то счета снята такая-то сумма. По совокупности признаков ему ясно, что действует бригада аферистов. Карточка немедленно блокируется. Клиент извещается по телефону о нападении.

Впрочем, вот живой пример, произошедший со мной. Рано утром в субботу 26 марта раздается звонок.

— Говорит Юджин из банка. Отдел card risk prevention. Вы такой то?

— Да.

— Вы никуда в эти дни не выезжали?

— Нет.

— Последние четыре цифры номера вашей банковской карты такие-то?

— Да. А в чем дело?

— У вас сегодня ночью со счета в Румынии сняли 500 долларов (больше за один раз снять нельзя, да больше и не было — В.Л.). Деньги сняты по фальшивому дубликату вашей карты. Мы сразу проверили наличие на ваше имя авиабилетов. Их не было. Все стало ясным. Ваша карта была блокирована, а теперь, прямо во время нашего разговора, аннулирована. Вам сегодня же будет послана новая карта. Пожалуйста, сходите сегодня в банк, заполните форму по возврату денег. У вас чистый случай, никаких расследований больше не нужно. Возврат должен произойти в пределах 10 дней, но, скорее всего, — раньше.

Я так и сделал. Перезвонил Юджину. Поблагодарил за бдительность и оперативность.

— Это наша работа.

Представился подробнее, сказал, что хотел бы написать о всей этой новой ситуации. Спрашиваю:

— Есть ли шанс, что мошенники будут пойманы?

— Это трудно. Мы работаем в тесном содружестве с FBI. Кое-что удается, уже довольно многих поймали. Но все среди низовых мошенников. Сеть очень законспирирована. Не удается выйти на организаторов. На самых главных. Я поговорил еще и понял, что банки делают все возможное, но техническое и организационное превосходство пока на стороне фишинг. Банки страхуют вклады и получают от страховых компаний возмещение убытков от восстановления похищения денег с украденных карточек. Но… сама страховка тоже ведь стоит денег. И чем больше украдут, тем больше расходы на страхование. Эти расходы в конечном итоге раскладываются на клиентов, которым повышают плату за обслуживание и защиту их счетов.

Последнее слово в фишинге — это Hot Spots и привязанные к ним Evil Twin (“дьявольский близнец”). Hot Spots (“горячие пятна”) — это места, в которых стоят устройства для беспроводной связи с интернетом (wireless routers). Например, это сеть кафе Starbucks. Но могут быть также отели, аэропорты и прочие места скопления людей. Таких мест (они еще называются wi-fi) в США сегодня — 22081. Посетители приходят в кафе со своим ноутбуком и за чашкой кофе и ланчем на столике беспроводным образом подключаются (бесплатно) к сети. Многие из них при этом проверяют почту, отправляют письма в банк, делают транзакции. Рядом с кафе стоит автомашина. В ней — “рыболов”. У него включен тот самый Evil Twin, устройствo для беспроводной связи с интернетом, но более мощнoe, чем в кафе. Этот “близнец дьявола” перешибает своего “брата” в кафе и соединение происходит через него, а не через кафе. Рыболов видит (точнее — записывает) на своем ноутбуке в машине все, имеющееся в ноутбуке жертвы. Его пароли в системе переводов денег WebMoney или PayPal. Тем более, прямо к рыбаку попадают все операции, которые производит клиент кафе по транзакциям или покупкам в онлайн. А такие покупки и переводы посетители кафе делают очень часто. Понятно, что после этого счет жертвы очень тощает.

В свежей публикации на сайте государственной почтовой службы США от 19 марта появилась тревожная статья: “Кража идентичности — самый быстрорастущий вид криминала в США”. А в ней такие строки: “ Только за последний год более чем 9,9 миллионов американцев стали жертвами краж их идентичности (это такой эвфемизм — речь идет о похищении данных банковских карт — В.Л.), это преступление обошлось им в 5 миллиардов долларов”.

И большинство “рыбаков” остались ненаказанными. Это значит, что они продолжают свою ловлю. При этом ужасно страдает идея справедливости. Нет ничего хуже для законности, чем безнаказанность преступников. К тому же этот вид преступлений нов, привлекателен для молодых людей своей интеллектуальностью, неким изыском, само собой — большими деньгами. И — совершенной безопасностью их промыслового лова. Можно ли техническими средствами остановить вал фишинга?

Похоже — да. Через год начнется переход на американские паспорта с биометрическими данными владельца. Там будут не только отпечатки пальцев, но и данные по радужной оболочке глаза владельца паспорта. Мне кажется, в биоданных выход из положения.

Следует эти же данные вносить в банковские карты. Но этого мало. Конечно, карту с биоданными, закодированными на карте, мошенникам будет изготовить труднее, но все равно возможно. Если карточку делают в одном месте (“казенном”), то ее смогут сделать и в другом — в мошенническом. Аферисты купят (или украдут) точно такое же оборудование и наладят производство дубликатов. Поэтому все банкоматы (а потом и магазины) следует оснастить идентификаторами владельца. Одной рукой владелец сует карту в щель, вторую кладет на определитель отпечатков пальцев, глазом уставился в объектив вмонтированной перед ним телекамеры. Компьютер производит сравнение данных карты с параметрами живого владельца. И только при полном совпадении выдает деньги. Деньги на все это оборудование понадобятся большие. Опять за наш счет...

Автор выражает благодарность работнику банка Юджину, а также Сабирджану Курмаеву, Александру Готхарту, Фатеху Вергасову, Андрею Горлину за стимулирующие дискуссии и присылку важных линков.

Добавить комментарий

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.
To prevent automated spam submissions leave this field empty.
CAPTCHA
Введите код указанный на картинке в поле расположенное ниже
Image CAPTCHA
Цифры и буквы с картинки