Как бизнесу и клиентам распознать фишинговые сервисы

Илья Касаткин, системный инженер по безопасности приложений IT-компании КРОК:

Безопасность авторизаций онлайн-транзакций с использованием кредитных или дебетовых карт обеспечивается с помощью протокола 3-D Secure (3DS). На данный момент существует две версии 3DS: первая, где банк запрашивает у пользователя код или пароль для подтверждения платежа, и вторая, разработанная для смартфонов, где в качестве подтверждения используются биометрические данные. Учитывая, что первая версия по-прежнему широко используется, у киберпреступников есть возможность обманом получить у пользователя код подтверждения транзакции с помощью методов социальной инженерии (одним из которых является фишинг). 

В данном случае реализуется следующая схема: жертву с помощью рекламы или спама заманивают на фишинговую страницу онлайн-сервиса. При оплате пользователь вводит свои банковские реквизиты, после чего сервис отправляет запрос в банк (в качестве получателя оплаты указывается счет мошенников). Пользователя перенаправляют на фишинговый платежный шлюз, на котором он вводит полученный в SMS-сообщении код для подтверждения транзакции. Так как шлюз является поддельным, код перехватывают и указывают его уже на настоящей странице 3-D Secure, чем подтверждают операцию по переводу денег на свой счет.

Добавить комментарий