вирусом смартик может завести вас совсем на другой веб-ресурс (имя веб-сайта будет похожим с именем вашего банка), где мошенники уже приготовили полноценную копию-эмулятор системы ДБО вашего банка. Основная цель таких манипуляций — выманить пару логин-пароль, а также как можно больше кодов подтверждения операций (переменных кодов), с помощью которых можно подтвердить от вашего лица те или иные денежные переводы. Чаще всего для минимальной атаки хватит пяти таких кодов — один на вход, пара на обнуление депозитов и «перегон» всей суммы в банке на один счёт (чаще рублёвый), а остальные — на подтверждение транзакций на «левые» данные. Быстрее всего реализуются схема перевода внутри банка (да-да, мошенники готовятся заранее) и оперативный обнал всей полученной суммы через банкомат. В случае с работой через приложение сделать это сложнее — никакой перехват или подстановка там невозможны. Но для того, чтобы быть в этом уверенным, надо загружать программу-клиент из совершенно доверенного места (Apple App Store, Google Play, Windows Phone Store, BlackBerry App World и т.д.). Для их загрузки пройдите по ссылкам с сайтов финансово-кредитных учреждений. В немодерируемых магазинах приложений можно найти вредоносные приложения, которые сами будут одним большим вирусом.
SMS-уведомления об операциях
Сервис «последнего шанса» — это уведомление обо всех операциях в интернет-банке с помощью коротких текстовых сообщений. Очень внимательно надо присматривать за входом в систему дистанционного интернет-обслуживания. Обычно SMSки приходят с указанием IP, но не будем наивными: его легко можно подделать с помощь самого простого VPN-тоннеля. Поэтому самое главное — сам факт наличия входа в систему от вашего имени. Если вы этого точно не делали, немедленно звоните в службу поддержки своего банка и блокируйте свой доступ: лучше «перебдеть», чем потерять деньги. Кроме того, SMSки будут нужны и для уведомления о транзакциях — в этом случае лучше получать полную информацию с суммами переводов, а не просто информацию о самом факте совершённых операций. Да, подобные варианты информирования требуют подключения дополнительных услуг за абонентскую плату, но 2-3 долл. в месяц — небольшая плата за возможность оперативно заблокировать переводы. Кстати, забейте в память телефона номер call-центра своего банка, чтобы в экстренной ситуации не терять времени.
Не надо верить «службам поддержки»
Социальная инженерия — основное оружие телефонных мошенников, которые работают по системам ДБО. Если ваши данные «уходят налево» (особенно это касается пары логин-ароль), то при недостатке информации мошенники попробуют вам позвонить, прикинувшись службой поддержки банка. Обычно они будут сразу рассказывать вам байки про технический сбой и необходимость подтвердить свою личность. Или, если у них есть данные по вашим транзакциям, вам расскажут о блоке операций и предложат «разблокировать карту» с помощью кодов подтверждения для интернет-банка. В общем, вариантов может быть много, и мошенники будут крайне убедительны. Совет здесь только один: перезвоните в call-центр своего банка самостоятельно по тому номеру, который есть у него на веб-сайте, и уточните всю необходимую информацию. Иначе есть шанс добровольно отдать мошенникам все свои деньги. С весьма призрачной надеждой их когда-то увидеть вновь.
Microsoft «сдал» Skype спецслужбам всего мира
Информацию о том, что у спецслужб (в том числе российских) есть возможность отслеживать разговоры в Skype, можно считать новостью только для очень далёких от ИТ-реальности пользователей. После того как Microsoft приобрела Skype за 8,5 млрд. долларов, стало понятно, что «тесное сотрудничество» с государственными органами власти станет ещё лучше. Ведь все крупные коммуникационные проекты и соцсети имеют специальные возможности для контроля своих абонентов. Skype не исключение.
Наверное, не надо напоминать, что после резкого старта и набора большой абонентской базы к владельцу того или иного интернет-сервиса приходят вежливые люди в дорогих костюмах и очень уважительно рассказывают о том, что необходимо сотрудничать с правоохранительными органами для укрепления национальной безопасности. При этом страна проживания владельца такого сервиса и его политические предпочтения никакой роли не играют. Поскольку такие «товарищи» готовятся заранее, то сбоев не бывает: соглашаются все и сразу. С первого раза.
«Проблема» того же Skype, или Gmail, или Facebook/Twitter для российских пользователей — иллюзия безопасности «от своих». Все мы прекрасно знаем, что прослушками телефонов российских операторов связи можно торговать достаточно просто (в том числе и сотовых, и совсем без ведома операторов связи), поэтому даже благонадёжные граждане, у которых есть, к примеру, секреты по своему бизнесу, опасаются того, что когда-нибудь и их «поставят на карандаш» просто потому, что они занимаются делом. А большинству граждан, у которых никаких секретных тайн и вовсе нет, просто неприятен сам факт, что в их личной жизни будет копаться какой-то товарищ в погонах просто потому, что ему скучно в данный конкретный момент. Они немного знают об организации различных «прослушек», но опасаются, что всё так и будет.
Поэтому в случае с Microsoft, где такое «сотрудничество» развивается давным-давно, не надо делать из неё «корпорацию зла». Минимум пару лет в СОРМ, образно говоря, встроена панель с кнопкой «Желаете прослушать Skype?», а «товарищи в погонах» с удовольствием и ударными темпами разыскивают в этой системе вольнодумцев и террористов всех мастей. Понятно, что, в отличие от сотовой связи, поиск в Skype — не такая уж и простая задача (всё-таки это изначально задумывалось как P2P система без центрального элемента, которая использует нестандартное кодирование и качественное шифрование голосового трафика), однако технически это вполне реально.
Думаю, что решение для «прослушки» в Skype найдено более изящное, чем просто тупо пустить трафик через сервер спецслужб. Поскольку устроить «сплошное прослушивание» и поиск по ключевым словам здесь сложновато (хотя, если подключить возможности «Эшелона»…), то на первый уровень выходит агентурная работа — поиск нужных сетевых имён пользователей. Как только у нас есть список имен или IPшников, с которых выходят в сеть интересующие нас «пассажиры», идёт постановка их на контроль, выделение группы их корреспондентов. Далее ставим на контроль всю их текстовую переписку и отправку друг другу файлов. Кроме того, начинаем «слушать» голос и снимать видеосигнал от встроенных камер. Уверен, что функциональные возможности системы позволяют гибко настраивать путь трафика в скрытом от пользователя режиме и получать нужный поток данных. Причём всё делается чисто: не каждый пользователь Skype — суперхакер, который может просчитать такие возможности. Да и за последнее время Microsoft могла легко собрать все «хотелки» правоохранительных органов для того, чтобы внедрить их в реальность — ну чтобы «коллегам» было удобно. Так что несмотря на все заявления Skype о том, что у спецслужб РФ «нет возможности читать зашифрованные сообщения или получать данные частных пользователей», мы им не верим — если есть сомнения, то сомнений нет. Могут. Делают. Регулярно.
Надо отметить, что «прослушка» Skype — далеко не единственный вариант узнать что-то об
