Кража личности: внаши дни полезно быть немного параноиком
Захват необходимо было согласовать с точностью до секунды. Агенты из Тайной работы США, действуя в содружестве с правоохранительными органами Канады, Бразилии, Польши, Швеции и нескольких вторых стран, уже пара месяцев расследовали дело преступного синдиката ShadowCrew. Сейчас требовалось забрать кибержуликов с поличным, не покинув им шанса предотвратить сообщников либо стереть с лица земли компрометирующие эти.
Сайт преступной группировки, shadowcrew.com, действовал как собственного рода аукцион для краденых документов, удостоверяющих личность. Преступники имели возможность применять его как интернет-магазинчик, где продаются и покупаются кредитные карты, номера социальной страховки и материнские девичьи фамилии наподобие ветхих запчастей где-нибудь на авторазборке. в течение двух лет приблизительно 4000 участников группировки ShadowCrew наворовали куски чужой судьбы количеством на два терабайта. В их трофеях выяснилось 18 миллионов учетных записей электронной почты совместно со всей сопровождающей персональной информацией, в большинстве взятой от жертв совсем добровольно — посредством хитрости.
Из центрального командного пункта, расположенного в Вашингтоне, агенты Тайной работы передали команду о начале операции офицерам всех сотрудничающих с ними правоохранительных работ. Бережно скоординированная операция, совершённая в октябре 2004 года, привела к тюремному заключению 28 подозреваемых в мире. Многие в момент вторжения правительства так и сидели за клавиатурами собственных компьютеров.
В ноябре 2005 года шесть подсудимых, американцев, признали себя виновными по обвинению в кредитном и банковском мошенничестве. Ущерб, нанесенный данной группой, по приблизительным оценкам, достигает сотен миллионов долларов.
Правонарушение в стиле эры
Кражу средств идентификации личности запрещено, строго говоря, назвать новинкой в криминальной практике. Она известна еще с того времени, как ветхозаветный Иаков одурачил Исава. Обычай красть чужое хорошее имя — по возможности вместе с незапятнанной кредитной историей — возродился с новой силой на базе современных технических достижений.
Жертвами для того чтобы рода воровства на данный момент становятся приблизительно 10 млн. американцев в год. В Штатах на сегодня это самый деятельно развивающийся вид преступности. Нетрудно заметить, из-за чего мы стали более беспомощны перед жуликами — с августа 2004 года до августа 2005-го часть пользователей интернета, держащих собственные компьютеры неизменно включенными в широкополосную сообщение, выросла с 51% до 61%.
С 2002 по 2004 год количество людей, пользующихся сетевыми банковскими одолжениями, подскочило на 47%. В 2004 году затраты на приобретения через интернет достигли $65 млрд. — это на 26% больше, чем в прошлом году. Правила сетевого доступа попадают во все нюансы американской судьбе — от уплаты налогов до найма на изменения и работу почтового адреса.
И по мере того, как все более компьютеризуется отечественный выход в мир коммерции, мы становимся все более беспомощны перед преступниками.
Та же совокупность, которая облегчает свободный ее использование и поток информации в коммерческих целях, предоставляет технически сноровистым преступникам фактически бесконечные возможности греть руки за счет ближнего. По данным Федеральной рабочей по торговле, 53% жалоб на мошенничество, поданных в 2004 году, так или иначе касались интернета. Суммарно жертвы аферистов утратили $265 млн.
Сравнительно не так давно консультант министерства финансов США Валери Мак-Нивен объявила, что киберпреступность стала более прибыльным занятием, чем наркоторговля.
Милицейский работы просто не поспевают за развитием событий. «Общее число зафиксированных компьютерных правонарушений так громадно, что его легко тяжело понять, — говорит Энтони Рэйес, детектив из подразделения компьютерной и технической преступности нью-йоркской полиции. — в небольших полицейских участках сотрудник, у которого имеется электронный адрес на сервере AOL, тут же объявляется специалистом в сфере компьютерных дел».
Кроме того в то время, когда у полиции имеются конкретные зацепки, дело редко доводится до наказания. «Через чур довольно часто вопрос приходится ставить так, — поясняет Рэйес, — разумно ли тратить 10−15 тысяч казенных долларов для расследования кражи в $1000, тем более что обычно банки возмещают жертвам их убытки?» как правило, признает Рэйес, ответ не редкость отрицательным.
Помимо этого, новые приемы жульничества развиваются значительно стремительнее, чем методы их обнаружения и законодательная база для наказания.
Одна из очень разорительных форм технически продвинутого жульничества известна называющиеся «фишинг» («phishing» — нарочито неправильно написанное слово fishing, «рыбалка»). Преступники посредством электронной почты запугивают собственные жертвы и склоняют к передаче персональных денежных сведений по адресу некоего фиктивного банка либо каких-то коммерческих сайтов.
По сути фишинг — это хорошая разводка, мастерство выдавать себя за того, кем не являешься. В следствии одураченные люди соглашаются расстаться с очень полезной персональной информацией. За год, до мая 2005 года, в соответствии с обзору, совершённому аналитиками компании Gartner Inc, жертвами фишинга стали 2,4 млн. американцев.
Неспециализированные утраты, понесенные потребителями, магазинами и банками, составили $929 млн.
Как не попасть на крючок
Кое-какие приемчики «рыбаков» выглядят так убедительно, что смогут одурачить кроме того бдительного человека. Джери Смит, 57-летняя торговая консультантка из Мидленда, штат Мичиган, считает себя человеком очень компьютерно грамотным. Но в июле 2005 года ее застали врасплох письмом по email, в котором просили «по соображениям безопасности» обновить учетную запись на аукционе eBay.
Идя по указанному адресу, она попала на сайт, что смотрелся в полной мере убедительным. Смит выложила практически всю собственную личную паспортную и денежную данные («рыбаки», создавая собственные липовые сайты, в большинстве случаев оформляют их так, дабы они смотрелись очень похожими на сайты соответствующих банков либо вебмагазинов).
Госпожа Смит практически сходу додумалась, что ее одурачили. «Я готовься сама себя высечь, — говорит она. — какое количество раз я твердила собственной матери, дабы она не покупалась на такие провокации, а тут на тебе! Я еще не успела поразмыслить, что делаю, как уже выложила этим юношам все, что у меня за душой». Она сходу позвонила в собственный банк и поменяла PIN-код.
Компания, нёсшая ответственность за ее кредитную карточку, попросила время, «дабы разобраться», а через месяц сказала, что кто-то пробовал данной картой оплатить приобретение нескольких видеоигр и компьютеров. по большей части квитанции приходили из магазинов где-то в Малайзии и в Восточной Европе.
По мере того, как потенциальные жертвы становятся осмотрительнее, придумываются и более изощренные методы компьютерного жульничества. В то время, когда употребляется прием, названный «pharming» (слово «фермерство» с такой же характерной неточностью в написании), хакеры атакуют серверы, на которых сохраняются в полной мере законные сайты, и клиентов с этих сайтов переадресовывают на фиктивные, оформленные похоже странички, где собирают все данные.
В одном из вариантов данной аферы в ваш компьютер засылается особая программа называющиеся «троян», либо троян. Она может манипулировать тем кэшем в вашем браузере, что употребляется для подгрузки довольно часто посещаемых сайтов. В то время, когда вы пробуете посетить какой-либо торговый либо банковский адрес, ваш личный компьютер переадресовывает вас на фальшивый сайт.
Еще одна область, где легко смогут развернуться хакеры, это везде расплодившиеся территории Wi-Fi. Нападающие выявляют линии публичной беспроводной связи (наподобие тех, какие конкретно на данный момент обычно организуются в разных кафе) и устанавливают поблизости собственную точку доступа — «злобного близнеца». Дальше остается лишь сидеть и ожидать, в то время, когда неосторожный клиент выйдет на сообщение.
Жертва, ничего не подозревая, пользуется фальшивой сетью, а поддерживающий эту сеть преступник может взять любую проходящую через нее данные.
Особенно жалко, что жулики смогут против вашей воли применять и ваш личный домашний компьютер для нападения на какого-либо незнакомца. Большинство сайтов, применяемых в фишинге, находится не на сетевых серверах, а на захваченных тайком от хозяев домашних компьютерах. Эти «зомбированные» компьютеры заражены версией «трояна» с возможностью доступа извне. Так внешний «пастух» может руководить вашим компьютером удаленно.
Тысячи аналогичных автомобилей могут работать прямо под носом у ничего не подозревающих хозяев, тайно рассылая спам либо поддерживая работу воровских сайтов.
Дабы сделать собственный предприятие прибыльным, преступникам достаточно отловить только пара жертв. Сравнительно не так давно 28-летний Вестли Костелек и 29-летний Тед Стюарт, оба уроженцы Лас-Вегаса, были признаны виновными в компьютерном мошенничестве. Они проникали в чужие домашние компьютеры и применяли их для рассылки фишинговых сообщений. В том месте же они держали фальшивые сайты, имитирующие работы государственного банка.
Преступники разослали приблизительно 300 000 писем, но смогли поймать всего 10 жертв. Однако похищенной информации о банковских квитанциях выяснилось достаточно, дабы перевести $55 000 на контролируемые преступниками счета.
Очень многое из обрисованной тут компьютерной заразы может тайно употребляться и для шпионажа за вами. в ваш компьютер смогут занести программу «протокола всех нажатий клавиш». Данный соглядатай может показаться как часть средств нападения, занесенная вместе с агрессивным вирусом, или же как элемент вредительской программы — «червя», которая может жить и размножаться в закоулках сети.
Программа-«протокол» употребляется для передачи и записи преступникам всего, что их жертва набирает на клавиатуре собственного компьютера. Последовательность надавленных клавиш записывается в виде текстового файла и систематично отсылается на неизвестный электронный адрес, намерено созданный для данной цели преступником. Тому остается только проглядывать текст, выискивая в нем номера пластиковых картах и пароли.
Цифровой вор
Онлайн — не единственное поле для компьютерной преступности. Каждый, кому в руки хоть на 60 секунд попала ваша кредитная карточка, может вылущить из нее ваше имя и все коды, воспользовавшись для этого «скиммером» — маленькой, умещающейся в руке машинкой, которая просматривает электронные эти, записанные на вклеенной в карту магнитной полосе.
В августе 2005 года Али Хасан был приговорен к 10 месяцам колонии за хищение более $10 000, каковые он израсходовал на приобретения, пользуясь данными по крайней мере 20 пластиковых картах. Это были карты визитёров нью-орлеанского ресторана Mr. B s Bistro, каковые он «взломал» посредством собственного «скиммера».
Преступность с применением пластиковых картах — вещь не новая, но сегодняшний бум в цифровой коммерции дал в руки ворам грандиозные новые возможности. на данный момент они смогут пользоваться информацией с вашей пластиковой карты с большей легкостью, безнаказанностью и притом в глобальном масштабе. во многих случаях мошенник применяет краденые эти с пластиковой карты, заказывая приобретения в городах по всему свету. После этого он может взять это добро в каком-либо нейтральном месте и перепродать его, пользуясь сетевыми каналами.
Обычно преступники краденые коммерческие эти через интернет-чаты, меняют их на другие криминальные вещи на сетевых форумах. Таким был shadowcrew.com, намерено созданный для обслуживания аферистов-кредитчиков. В их кругах эти сведенья довольно часто берут и применяют для открытия на имя жертвы новых кредитных линий, снимая средства, пока или кредитор, или одураченный получатель не найдут мошенничества и не закроют собственные счета.
В то время, когда предметом кражи оказываются личные и денежные эти какого-либо гражданина, иного человека это может привести к жизненному провалу, в случае если же эти крадутся из какой-либо корпорации, бедствие может принять грандиозные масштабы. В феврале 2005 года компанию ChoicePoint, специализировавшуюся на ведении базы и сборе информации данных, обманули, вынудив выдать очень актуальные сведения по 145 000 человек.
Тремя месяцами позднее компания CardSystems Solutions (процессинговый центр операций с пластиковыми картами с ежегодным оборотом в $15 млн.) пала жертвой хакерского нападения, и преступники получили доступ к 40 млн. расходных и приходных карточных квитанций. Свободная аудиторская проверка продемонстрировала, что пострадавшая компания не сумела идти в ногу с неизменно обновляющимися требованиями безопасности.
Мишенью преступников выясняются не только громадные хранилища информации. Уильям Мэйпс из города Либерти, штат Миссури, уехал в отпуск, в то время, когда кто-то, пользуясь его пластиковой картой, уплатил $4000 за компьютерное оборудование. Позднее стало известно, что воры-кредитчики получили доступ к информации, взломав сайт магазина автозапчастей.
Именно там пострадавший перед отъездом в отпуск приобрел сцепление для собственного пикапа.
Анализ структуры этого сайта продемонстрировал, что хакерам не стоило громадного труда в него пробраться — в сайта не было создано достаточно надежных преград между базой и онлайновым магазином данных, где хранилась тайная информация по клиентам.
Если доверять экспертам, в данной сфере грядут кое-какие перемены. но до победы еще далеко. Заберём хотя бы обычный логин для сетевых банковских расчетов. В большинстве банков требуется лишь пароль доступа и имя пользователя.
Не смотря на то, что банки и утверждают, что ввод пароля на их сайты защищен совокупностью надёжной связи, у пользователя нет метода подтвердить обоснованность таких обеспечений. Страницы логина в большинстве больших банков не содержат хороших индикаторов уровня надёжной связи — иконки в виде висячего замка в окне браузера и «https» — заголовка сетевого адреса с указанием на защиту. Кое-какие денежные университеты, к примеру Bank of America либо E-Trade, пробуют внедрить разные способы «двухфакторной идентификации», в то время, когда клиент применяет электронный брелок, набирает дополнительный одноразовый цифровой код или отвечает на определенные индивидуальные вопросы, изменяющиеся при каждом логине.
Но, самое сложное — убедить публику прислушаться к рекомендациям, каковые эксперты твердят год за годом. Джим Дойл, бывший следователь по компьютерным правонарушениям в нью-йоркской полиции, а на данный момент директор опытной юридической работы Guidance Software в Пасадене (Калифорния), вычисляет: «Сейчас человеку полезно быть мало параноиком».
Будьте начеку
Фишинг
«Рыбаки» рассылают письма клиентам сетевых магазинов и банков в расчете обманом выманить у них тайную персональную и денежную данные.
Трояны
Эти коварные файлы попадают в ваш ПК, скрываясь под видом в полной мере невинных документов. Кое-какие подобные программы, протоколирующие нажатия клавиш, записывают все, что жертва набирает на клавиатуре, и отсылают эти сведенья преступникам.
«Зомбированные» компьютеры
Трояны с удаленным доступом устанавливают в вашем компьютере невидимые дополнения, каковые делают его управляемым извне. После этого компьютерные жулики применяют роботизированные сети, складывающиеся из тысяч зомбированных компьютеров, для организации атак на третьих лиц, каковые в этом случае и являются их жертвами.
«Посредники»
Хакеры выступают в роли сетевых банков либо магазинов, предоставляя жертвам возможность подключиться к этим сайтам по надёжному протоколу SSL. После этого преступник, пользуясь клиентской информацией, подключается к настоящему серверу и выкрадывает номера пластиковых картах.
Путаница с именами
Пользуясь несложной людской невнимательностью, время от времени «рыбаки» через почтовую рассылку направляют собственные жертвы по адресам подставных сайтов с именами, обманчиво напоминающими привычные фирменные заглавия (к примеру, monneybank.com вместо moneybank.com).
«Отравление» кэша DNS
Совокупность доменных имен (DNS) напоминает по своим функциям телефонную книжку для интернета, которая устанавливает соответствие между именами сайтов (к примеру, popularmechanics.com) и адресом IP (к примеру, 208.184.224.88), другими словами теми цифрами, каковые в конечном итоге реализуют нужную сообщение. «Отравление» реально изменяет записи в данной телефонной книжке, так что в то время, когда пользователь набирает в полной мере законное имя сайта, вместо него он попадает на мошенническую страничку.
Фарминг
Применяя фокусы типа «отравления» кэша DNS, «фермеры» отсылают собственные жертвы на фальшивые сайты, где и отнимают у них нужную информацию.
«Злобные близнецы»
«Злобный близнец» — это фальшивая точка доступа, выглядящая для пользователя как в полной мере законная работа. В то время, когда клиент подключается к таковой связи, хакер может организовать наступление типа «посредник», выбрав целью расчеты через интернет, или же просто получить данные о пластиковой карте через обычный запрос оплаты за доступ к связи.
Спасение утопающих
Не захламляйте личный компьютер. Содержите в порядке и своевременно обновляйте противовирусные и антишпионские программы, проводите регулярную чистку компьютера.
Поставьте заслон. Убедитесь, что задействован встроенный межсетевой экран Windows. Значительно лучше обзавестись специальным межсетевым экраном (их кроме этого именуют брандмауэр либо файервол) типа Zone Alarm компании Zone Labs, и маршрутизатором со встроенным межсетевым экраном.
Сперва думайте, а уж позже жмите на клавиши. Многие приходящие по почте черви и вирусы самоустанавливаются в вашем компьютере по окончании одного-единственного нажатия на клавишу. Помимо этого, в случае если полученное письмо машинально запускает сетевую страницу, запрашивая наряду с этим данные, дабы произвести логин, попытайтесь опять ввести адрес данной компании в ручном режиме.
Избавьтесь от «хвостов». Обзаведитесь уничтожителем документов, нужно с перекрестной нарезкой, и шепетильно уничтожайте все приходящие по почте счета и отчеты.
Смотрите за собой. Пристально смотрите за состоянием вашего счета и сообщениями от вашего банка. Небольшие жулики смогут снимать с вашего счета долларов по 20, в противном случае и меньше.
Не щелкайте клювом. Смотрите с подозрением на любое Email, запрашивающее вашу личную либо денежную данные. продавцы и Банки ни при каких обстоятельствах не рассылают писем с просьбами к своим клиентам «обновить счета».
Если вы сомневаетесь в подлинности взятого письма, позвоните в компанию, которая его якобы отправила.
Действуйте без промедления. В случае если у вас похитили идентификационную данные, сходу бейте в набат. Позвоните в банк, что несёт ответственность за ваши кредитные карты.
закон и Хакер
В 2005 году в Соединенных Штатах получил юридическую силу закон , по которому работодатели, каковые были неспособны при хакерского нападения стереть с лица земли либо обезопасисть от прочтения личную данные о собственных сотрудниках, смогут быть даны под суд, оштрафованы, против них возможно возбужден групповой иск.
Помимо этого, во многих штатах приняты законы, ограничивающие применение кодов социального страхования в качестве идентификаторов на многих документах, включая дипломы об образовании, водительские права и медицинские карты. Законодатели кроме этого предприняли определенные меры, по которым компании, подвергшиеся нападению хакеров, обязаны уведомить всех собственных клиентов, чьи интересы могут быть на грани. В соответствии с этим новым законам жертвы нападения приобретают право «заморозить» собственный кредитное обращение.
компании и Банки, трудящиеся с пластиковыми картами, обращаются к более изощренным методам защиты. Это и подставные квитанции-ловушки для забравшихся в их хозяйство «рыбаков», и средства раннего предупреждения, талантливые заблокировать фальшивые банковские сайты и электронные переводы, пока они пребывают еще в ходе создания.
Такие компании, как Internet Identity и NexLabs, создали программы, разбирающие спам на предмет «рыболовных» поползновений и сканирующие сеть в отыскивании мошеннических сайтов. Кое-какие компании, обслуживающие кредитные карты, смотрят за характером затрат на квитанциях собственных клиентов, выявляя случаи, отклоняющиеся от привычного поведения.
Статья размещена в издании «Популярная механика» (№41, март 2006).
<
h4>