Высокотехнологичным злоумышленникам пригодится любая личная информация
Дата: 21.07.2005Источник: Lenta.ru
Автор: Сергей Рублёв
... - каждый из нас, например, некто Петров Сидор Иванович, может сообщить кому-либо серию и номер своего паспорта, и ничего особенно страшного, вроде, случиться после этого не должно. Однако существует небольшая вероятность, что в какой-то момент владельца паспорта потревожат правоохранительные органы и скажут, что месяц назад группа злоумышленников организовала некую подставную фирму, с помощью которой украла у неких структур некую крупную сумму, а зарегистрирована эта фирма была на Петрова Сидора Ивановича, паспорт серии такой-то, номер такой-то. При регистрации фирмы паспорта злоумышленники не предъявили, пообещали потом предъявить, а серия и номер с фамилией "в базе совпали", и фирму зарегистрировали.Это пример гипотетический, он строится на определенном допущении, но именно на подобных допущениях, неизбежных для любой сложной системы, и работает весь огромный подпольный бизнес, связанный с информационными махинациями. Как пишет в недавнем обзоре методов такого бизнеса газета New York Times, на ряде интернет-сайтов идет бойкая торговля всякими пакетами номеров документов, юридических адресов и контактных координат. Используя эти данные, при желании можно, например, совершать мошеннические действия от чужого имени. Например, регистрировать фирмы, подобные той, что втерлась в доверие к ChoicePoint. А дело, собственно, Seisint началось с того, что одному из клиентов на его домашний адрес стали приходить бумаги относительно сделок, которых он никогда не совершал.
Изображение с сайта ssa.gov
Изображение с сайта ssa.gov
Отдельный разговор - банковские реквизиты. Теоретически, механизмы транзакций защищены, снять деньги с банковской карты можно, только зная ее PIN-код. Однако ряд операций, главным образом, не с простыми картами, а с кредитными, можно совершать "в кредит", когда в банк-эмитент карты отправляется запрос о наличии требуемой суммы на счете, а непосредственно платеж совершается позже. Если с помощью различных известных хакерам технологий подделать карту, "привязав" ее к чужому счету, можно попытаться совершить с ее помощью покупку и быстро скрыться, пока подлог не будет обнаружен, а "пострадавший" счет - заблокирован, что вызовет неизбежные проблемы для его владельца.
Мошеннические схемы подразумевают многочисленные погрешности и допущения, и чтобы практически применить те или иные реквизиты, с ними нужно долго возиться, иметь большой выбор, "отсеивать" подходящие и проверять их на пригодность, а также постоянно рисковать. Поэтому высокотехнологичные преступники делят между собой свои роли, благо американский рынок криминальной информации, про сообщению той же New York Times, которая ссылается на осведомленных экспертов, очень богат и обширен. Одни эту информацию крадут, продают ее, другие обрабатывают, перепродают (особо ценится, в частности, информация о счетах с прилагающимися суммами остатков), применяют на практике. Координацию своих действий мошенники осуществляют через Интернет на специальных сайтах, которые часто физически располагаются на территории бывшего СССР и, как сетуют американские эксперты, в силу этого труднодоступны для полиции.
Самая легкая работа - у так называемых "фишеров". Они, как известно, создают сайты, сильно похожие на сайты платежных систем, и заманивают на них клиентов этих систем с помощью спама (дескать, мы забыли ваш PIN, напомните нам его). Обманутый клиент пытается "войти в систему", получает сообщение с благодарностями, а злоумышленники немедленно переводят все деньги с его счета куда-нибудь себе. Подделка и программирование платежного сайта - это специальный подпольный бизнес, рассылка спама - это специальный подпольный бизнес, перепрограммирование краденых банковских карточек и изготовление фальшивых - специальный подпольный бизнес, поиск "пустых" почтовых адресов, куда могут быть доставлены купленные с помощью фальшивых транзакций товары - это тоже специальный подпольный бизнес. У экспертов нет никаких сомнений в том, что данные о пресловутых картах, украденных из CardSystems Solutions, вскоре будут широко представлены на черном рынке.
Главный совет экспертов "простым клиентам" - быть бдительными. Если номер карты украли из базы данных банка и вам стали приходить извещения о чужих покупках на ваше имя, ответственность будет нести банк, но вам придется немного побегать, восстанавливая работоспособность счета после того, как факт мошенничества будет обнаружен (а это может занять произвольное количество времени). Если же вы каким-либо образом сами выдали PIN-код злоумышленнику, все расходы будете нести лично вы. В связи с этим необходимо помнить: платежные организации никогда не присылают клиентам по почте просьбы напомнить им PIN-коды.
Застой в умах
Изображение с сайта crimeprevention.rutgers.edu
Изображение с сайта crimeprevention.rutgers.edu
В целом понятно, что серия массовых пропаж персональных реквизитов, о которых стало известно лишь в последние полгода, на самом деле является следствием чрезмерного насыщения "черного рынка" - мошенники, видимо, потеряли чувство меры и стали воровать миллионами. Вероятно, преступники "копировали" информацию долгие годы, со времени массового внедрения электронных платежных и юридических систем, но это либо оставалось незамеченным из-за технической небрежности или плохой компетентности администраторов баз данных в компаниях, либо возникавшие по фактам электронных краж отдельные дела в достаточно громкие события до определенного времени не выливались.
Вполне очевидно, что в компаниях, ответственных за хранение конфиденциальных данных, все эти годы царил бюрократический бардак: данные о клиентах со времени внедрения компьютерных технологий их обработки накапливались в базах, базы росли, с ними обращались как придется, зачастую не замечая проникающих туда хакеров или подчас даже не думая о такой возможности. Хакеры, в соответствии с законами развития современного общества, поняли свои возможные выгоды раньше, чем полицейские и чиновники, и только сейчас выгода хакеров стала понятна им и ответственным за клиентскую информацию корпоративным сотрудникам, но дело уже приняло довольно серьезный оборот.
Теперь провинившиеся структуры в один голос обещают усилить контроль, принять жесткие меры и никогда более не отправлять информацию в незашифрованных бобинах почтой. Но одновременно с этой задачей перед ними теперь стоит задача "разгрести" последствия и покрыть убытки, которые могут оказаться весьма объемными.
| Добавить комментарий |
| Всего 0 комментариев |
