Сказки для безопасников: Принц и фишинг

http://www.pcweek.ru/security/article/detail.php?ID=186707

— Отец, у меня вопрос! — принц обратился к императору планеты Альфа-8.

— Да?

— Я прочел тут рапорт из полицейской хроники города N. Не могу понять, как это назвать? Преступная халатность банка? Или неграмотность пользователей? И что с этим делать?

Итак, в городе N один из наших крупнейших банков ввел услугу для клиентов онлайн-банкинга (естественно, для каждого конкретного клиента услуга привязана к номеру мобильного банкинга) и назвал ее «Запрос перевода». То есть, зная номер, привязанный к счету, можно было сделать так, чтобы на этот номер приходила СМС следующего вида: «Джон С-ов запросил у вас перевод 5000 империалов. Для перевода ответьте на это СМС сообщением с текстом ПЕРЕВОД 23729. Джон, с тебя за вчерашнюю сауну с девками причитается.» Последняя фраза — произвольное сообщение, которое запрашивающий указывал при формировании запроса.

То есть, по мнению разработчиков, человек должен был это прочесть, сопоставить имя отправителя с сообщением, решить вопрос о согласии/несогласии с запросом и в случае согласия ответить на указанную СМС-ку указанным текстом. После чего запрошенная сумма перебрасывалась со счёта на счёт. Ну, в принципе, оно так и работало.

Однако прошло не так много времени и нашелся злоумышленник, который «усовершенствовал» указанную схему. Людям посыпались СМС вот такого вида: «Госполин С-ов запросил у вас перевод 5000. Для перевода ответьте на это СМС сообщением с текстом ПЕРЕВОД 23729. Если вы не ответите в течение 20 минут, перевод будет произведён автоматически. Справки по телефону 2333225». Никаких признаков того, что последние две фразы исходят не от банка, не было. 🙂

Что делал получатель? Правильно, срочно звонил на этот номер. Приятный женский голос объяснял, что если не хотите переводить деньги, нужно ответить сообщением с текстом «ПЕРЕВОД 23729 ОТМЕНА». Человек отвечал. Через минуту ему приходило сообщение, что перевод произведён. Робот обнаруживал, что начало текста совпадает с фразой подтверждения и одобрял платёж. По указанному номеру, не имеющему ни малейшего отношения к банку, больше не отвечали или бросали трубку.

Перспективы расследования нулевые. Якобы-банковский номер был зарегистрирован на неизвестное лицо.

Облапошенный народ вопил и возмущался, но почему-то никто не признавал себя дураком — а было с чего! Явная же бессмыслица в тексте сообщения, плюс никто не почесался проверить легальность номера — это же через двадцать минут деньги уплывут!!!

Вопрос. Отец, что делать с этим???

— Принц, вы задаете вопрос, на который у меня нет ответа. Увы, человеческая глупость и невнимательность беспредельны. Люди не обращают на многое внимания. Единственное что мы сможем сделать, это чаще говорить и писать об этом. Но поможет ли — неизвестно!

Описанная в сказке схема мошенничества знакома клиентам Сбербанка из Новосибирска. Просто хотелось бы обратить ваше внимание на подобные факты и научить вас быть немного внимательнее. И если уж вы решили, что вам действительно пишет ваш друг — не поленитесь ему перезвонить, причем лучше с другого номера телефона, и убедиться, что обратился именно он сам, а не мошенник или робот от его имени.

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: