Читаем 151 угроза вашему кошельку полностью

Бывает, что при обращении к системе интернет-банкинга внедрённый в компьютер пользователя или на какой-либо сайт троян переадресует клиента на специальную страничку, по дизайну очень похожую на соответствующую страницу сайта банка. Ничего не подозревающий пользователь вводит данные кредитной карты, которые тут же становятся известны мошенникам. Например, есть даже такой вид взлома сайтов интернет-магазинов, когда клиента на последнем этапе переадресуют на сайт злоумышленника с формой для введения данных кредитки. При заказе товаров в онлайне надо внимательно следить за адресной строкой браузера. На страницах, где вводится личная информация, протокол обмена должен быть обязательно https:. Сертификат сайта – соответствовать имени сайта. Современные браузеры отмечают несоответствие сертификата строгими предупреждениями и красной адресной строкой, но пользователи старых версий могут попасться на этот вид взлома. Кроме того, должно вызывать подозрение, если «сайт банка» чем-то отличается по дизайну от того, которым вы пользовались ранее. Как защититься от проникновения троянов? Поставить хороший антивирус. Он хоть и не панацея, но позволит выловить старые либо не очень хорошо сделанные вирусы. Более надёжно вообще не использовать Internet Explorer и Microsoft Outlook для веб-серфинга и получения электронной почты соответственно, поскольку большинство троянов пишутся в расчёте на «дыры» именно этих программ.

Крайне важно быть осторожным, если выход в Сеть осуществляется из публичного места, такого как интернет-кафе или хот-спот. Беспроводные хот-споты, как правило, не используют шифрование трафика, и любой желающий может увидеть все отправляемые или получаемые данные. Использование корпоративной беспроводной сети тоже не гарантирует безопасности. Многие корпоративные сети до сих пор не применяют шифрование или используют уязвимый для взлома электронный ключ в стандарте WEP. Сидящий за соседним столиком в кафе или припарковавшийся рядом с офисом злоумышленник с ноутбуком и специализированным программным обеспечением очень быстро получит доступ к желаемым данным. Если предполагается, что электронная переписка содержит что-то более важное, чем приветы от знакомых, то лучше использовать защищённые протоколы TLS и SSL – нужно обратиться к своему провайдеру и узнать, как это сделать. Помните, что любая страница в браузере, просмотренная по открытому протоколу HTTP или FTP, может быть скопирована злоумышленником. Программы мгновенного обмена сообщениями ICQ и MSN вообще не защищены. То же относится к большинству протоколов IP-телефонии, так что и использование Wi-Fi-телефона для разговора с банком – тоже идея не очень хорошая.

Сейчас многие банки практикуют использование дополнительных одноразовых паролей, список которых выдаётся пользователю. Причём пароли принимаются только в последовательности, указанной в списке. То есть пока, допустим, пароль № 2 не будет использован, пароль № 3 не сработает. Но и эту предосторожность воры уже научились обходить. Пользователь заходит на страницу банка, забивает пароль, а сидящий в его компьютере троян имитирует отказ в авторизации и предлагает ввести другой пароль. Пользователь пытается войти в систему по второму паролю – сработало, доступ к счёту получен. Вот только получен он именно вводом первого пароля, а второй пароль из списка, на самом деле ещё не использованный, попадает в руки воров.

Или другой, вроде бы надёжный вариант, когда необходимый для дополнительного ввода одноразовый пароль высылается на мейл пользователя в момент авторизации по основному паролю. Считается, что перехватить его не успеют. Как показывает практика, успевают. Собственно, всеми данными для доступа к почтовому ящику жертвы злоумышленники располагают благодаря тому же трояну. Единственная на сегодняшний день более или менее эффективная защита пользователя, по мнению экспертов, – это двухфакторная аутентификация. То есть когда одновременно вводится два пароля, каждый из которых поступает по разным каналам. Один, допустим, приходит на мейл, а второй – на мобильный телефон. Естественно, у злоумышленника не должно быть возможности дистанционно заменить номер мобильного телефона, на который будут приходить SMS, – меняют его только в отделении банка и только при личной явке клиента. Или второй пароль генерируется специальным устройством (крипто-калькулятором), выдаваемым пользователю банком.