Предпазване от измами в Интернет

[Castigado Pantockrator]

Ще споделя някои мои виждания и се надявам тези които знаят вече за това което ще пиша да не се сърдят, защото все пак на българскине съм срещал много писано по въпроса. Ако за нещо не съм прав - моля кажете , няма да се сърдя

 

МУЛЕ

 

Жертвата трябва да получи и препрати малка сума на човек който не познава или сметка която не знае на кой е.

Дотук добре, но при положение, че не ставаше въпрос за "пране на пари".

 

Как да го разпознаем?

 

 

- E-mail пристига от непознат изпращач.

- Почти винаги се праща на английски, а в случай че е друг език е възможно да има елементарни граматични грешки, получили се вследствие на ползване на превод на "онлайн преводачи" .

- От условията , които са изброени за започване на "бизнес" се набива в очи най - важното - жертвата да има банкова сметка.

- Обикновено е директен E-mail в който се предлага нещо доста примамливо , като много пари и малко работа.

- Не се дават кой знае колко обяснения. Оставят нещата на твоето любопитство, давайки за контакт E-mail, уеб сайт или телефон дори, където може да се получи повече информация.

 

 

Как функционира?

 

Трика е в това , че отначало няма никаква измама докато жертвата не се оплете.

1. Жертвата влиза в контакт с измамника.

2. Измамника иска данни за банкова сметка (само намера на сметката - без ПИН и каквито и да е още данни)

3. Престъпника прави вноска в сметката на жертвата и я информира за това.

4. Жертвата изтегля парите и задържа комисионна от 5 до 10 %. Остатъка го праща на своя "съдружник" през съмнителни компании неизискващи кой знае колка данни за клиентите си.

Много добре. И къде е измамата? Нещо бързо, лесно и легално? Да ама не

 

 

Къде е проблема?

 

Парите внесени от "съдружника" толкова лесно и наивно имат престъпен произход.Например Phishing (за него ще ви разкажа в следващ пост) изтегляне на пари от банкови сметки и кредитни карти, чрез фалшиви сайтове за търговия или дубликати на популярни вече сайтове , като eBay , ePay и така нататък.

Теглейки парите и пращайки ги отново на "шефа" не не нищо друго освен пране на пари.

Забележителен факт е , че при теглене на парите , а и при самото осъществяване на първоначален контакт (даване на № на банковата сметка) ние използваме реалната си собствено име, докато другата страна е в анонимност.

В крайна сметка данните ни са обвързани с име, адрес , телефон и т.н. и когато пристигне полицията не би трябвало да е изненада.

 

Заключение

 

С тази измама се обвързват хора наивно вярващи , че съществуват "добри хора" даващи нещо срещу нищо. Нека сложим чертата и преценим от коя страна да застанем.

 

================================================================================

=========

 

Phishing

 

Това е най - дръзкия и най - популярен начин за измама в интернет. По темата има писано много, но на български не чак толкова. Затова реших да напиша кратко обяснение за това.

Ето нещо интересно за тези които знаят английски

 

Каква е схемата?

 

 

- Получава се e- mail в повечето случаи от банка в която жертвата има открита сметка ( случва и друга банка да предложи услуга без да се открива нова сметка в нея, а като се посочи сметка от първата банка)

- В него се посочва линк на който трябва да се кликне за да се попълнят данните от банковата сметка.

- След попълване на данните във фалшивия банков сайт, те се изпращат на измамника.

 

 

Как се разпознава такъв вид поща?

 

 

- Много е възможно да има някаква правописна грешка или странен израз вследствие на ползване на автоматичните преводачи

- Разпространен трик е при опит да се идентифицира сайта да "възникне технически проблем" или поява на съобщение за риск в сигурноста.

- Линка води до фалшив сайт имащ почти единтичен интерфейс с истинския и URL адреса е подобен.

Напр. www.ebay.uk вместо www.ebay.com

Скоро имаше подобен случай със сайта на eBay

- Получателят се заплашва да побърза с вкарването на данните в сайта под предлог, че в противен случай това може да му докара глоба или дори закриване на сметката.

 

 

Как да познаем фалшив сайт?

 

 

Ако все пак са ни сварили със свален гард и кликнем върху изпратеният ни линк. Понеже приликата с оригиналния е поразяваща, добре е да знаем няколко неща:

 

http://pics.softvisia.com/design/pics/1599/001ku9.png

 

- https: Това осигурява пращане на данните от браузъра по сигурен канал и криптирани. Липсата на "S" е подозрително.

- Дигитален сертификат : Това е жълтото катинарче (заключено разбира се) което се намира в долната част на браузъра. Също така това значи ,че собственика на сайта е същия за когото се твърди в самия него.

С тези 2 елемента ние не можем да бъдем 100% сигурни , но вероятноста страницата да е фалшива е много малка.

 

 

Внимание!

 

 

Освен изброеното дотук нека се има впредвид , че има още неща , които могат да са ни от полза.

- Банките не пращат e- mail в който се изисква ПИН или друг секретен код.

- За влизане в сайта на банката е най -добре да се изпише адреса директно в браузъра, а също и да се сравни с URL адрес посочен в някоя брошура , кореспонденция или на самата карта (кредитна или дебитна) .

- Не е за подценяване това, че трябва да се води адекватна политика за съхранение на пароли и кодове (да не се оставят записани където и да е, да не се споделят с други лица).

- Задължително трябва да се избягва употребата на обществени компютри и такива в зали, когато се преглежда или праща подобна информация. Поне за България съм на мнение, че почти всички машини имат инсталирани "снифъри"(Sniffer) или "кейлогъри" (Keylogger)(Сега ще вземат да спорят с мен собствениците на зали).

 

Други средства за намаляване на риска?

 

 

Най - доброто оръжие разбира се е да си държим очите на 4. Банките също помагат за това , като въведоха някои механизми за избягване на Phishing. Някои от тях са:

 

http://pics.softvisia.com/design/pics/1599/002gn3.png

 

-От банката се праща по пощата писмо с код , който няма нищо общо с ПИН-а или който и да е друг код. Той служи само за влизане в акаунта си в банковия сайт.

- Виртуални клавиатури служат за избягване на запис от Keylogger или например Troyan horse. Така въвеждането на данните става чрез мишката. За съжаление обаче има кейлогъри правещи скрийншот на десктопа, но за щастие с този запис не миже да се разбере целия код :-)

- Телефонно обаждане при всяко движение по сметката на номер предоставен лично от клиента, показвайки разбира се документ за самоличност.

- За по големите клиенти съществуват устройства като SECURITY TOKEN (Хардуеър криптиращ и синхронизиращ връзката клиент - банка), като при липса на такъв след около 20 сек. потребителя е отхвърлен от системата.

Редактиран Ноември 8, 2006 от IVAN

[danina]

Pantockrator, много, ама много полезна статия!

Благодаря ти!

Аз по принцип съм " Тома Неверни", но информацията никога не е излишна. Колкото повече сме информирани, толкова повече сме и защитени. Така мисля! За жалост много хора изгоряха с тези пирамиди. Дано не сме и ние едни от тях някога.

[Castigado Pantockrator]

Благодаря за положителното отношение! За мен имаше значение да знам, че на някого е било полезно това което драснах.

Щях да напиша още нещо на тази тематика, но нещо ми се изпари музата

Не мога да си отговоря обаче на един въпрос: Защо на български почти никъде няма писано за тези неща, а съм сигурен че има хора които са добре запознати ?

[Viki]

Pantockrator, благодарности за полезната статия и от мен.

При увеличения брой измами в мрежата не е зле да знаеме как да се защитим. Интернет разлащането все повече навлиза в ежедневието ни и май ни сварва неподготвени. С нетърпение ще чакам и следващата ти статия по темата, дано ти дойде вдъхновението

[Castigado Pantockrator]

Тези които изгоряха от фалшивата страница на eBay може би нямаше да изгорят ако ползваха плъгините на Spoofstick за IE (170 Кв) и Mozilla Firefox (15 Кв) . За какво точно става въпрос? Плъгина се интегрира в браузъра и показва коректно URL адреса . Например този URL е правилният

http://signin.ebay.com/aw-cgi/eBayISAPI.dll? SignIn&UsingSSL=0&pUserId=&ru=http%3A%2F% 2Fcontact.ebay.com%2Fws1%2FeBayISAPI.dll% 3FShowCoreAskSellerQuestion%26requested% 3Ddominicsmusic%26de%3Doff%26iid% 3D3711129021%26frm%3D284%26acceptcookie% 3D0%26loginconfirmed%3D0%26redirect%3D0% 26pass%3D%7B_pass_%7D%26userid%3D&pp=p ass&co_partnerid=2&pageType=711

и плъгина ще визуализира следното

http://pics.softvisia.com/design/pics/1599/spoofstick-example.PNG

Ако обаче сме на грешния адрес , например :

http://signin.ebay.com@10.19.32.4/

То плъгине ще визуализира следното:

http://pics.softvisia.com/design/pics/1599/spoofstick-example2.PNG.

Просто идея ...

Редактиран Ноември 8, 2006 от IVAN

[Diabolik]

Поздравления за статията.

Много е добра, продължавай в същият дух.

[mag0]

Виждам, е темата е доста стара, но напоследък има страшно много подобни случаи. Аз получавам поне по 1-2 такива предложения всяка седмица в пощата си. На всеки, който се изкушава от големите цифри ще кажа само - няма безплатен обяд !

Статията е много ценна. Благодарско и от мен за труда на автора.

[Johnnie_Walker]

Хубаво ръководство. Мерси!

[wind 33]

А аз скоро получих следното съобщение на пощата (не се учудвайте ако ви пратят подобна простотия):

 

 

Dear Friend,

 

How are you today? I Hope all is well with you and your family? I hope

this mail meets you in a perfect condition. I am using this opportunity to

thank you for your great effort to our unfinished transaction and transfer

of your international bank draft cheque to you from the bank, I am sorry

for presenting and using someone else in your name to get this transaction

successful. due to logistic reasons and your inconsistence to the other

best known to you, right now, I want to inform you that I have

successfully cleared the bank draft check fund to someone else account who

was capable of assisting me in this great venture that have been over and

successful.

 

Due to your effort, sincerity, courage and trustworthiness you showed at

the course of the transaction I want to compensate you and show my

gratitude to you with the sum of $850,000.00 (EIGHT HUNDRED AND FIFTY THOUSAND UNITED

STATE DOLLARS).

 

 

I have authorized Mr. Williams David where I deposited the money with to

issue you international certified bank draft, cashable cheque at your bank

or anywhere as choice felt.

 

My dear friend I will like you to contact Mr. Williams David for the

collection of this international certified bank draft.

 

His name and contact address is as follows:

 

COMPENSATION HEAD OFFICE

CONTACT AGENT: Mr. Williams David

Email Address:contactagent_david009@info.lt

 

 

 

 

 

Contact Mr. Williams David At the moment, I'm very busy here in the

Paraguay because of the investment projects which myself and my new

partner are having at hand In Paraguay Finally remember that I have

forwarded instructions to Mr. Williams David on your behalf to send the

bank draft cheque of $850,000.00(EIGHT HUNDRED AND FIFTY THOUSAND UNITED STATE

DOLLARS) to you as soon as you contact him without delay.

 

Please I will like you to accept this token with good faith as this is

from the bottom of my heart.

 

Thanks God bless you and your family.

 

Hope to hear from you soon as soon as you've got my compensation .

 

Sincerely

Mrs. Marcia Oliveira

Presidential Library & Museum Former Director

International Online Donation Co-ordinator.

[oxygen]

това ми изглежда нещо като нигерийската измама - ще ти дадем много пари ама първо ти ни дай малко да си покрием разходите по превеждането на парите

[Lokoto]

Въпреки всики усилия да се създадат програми с които потребителите да се предпазят от Интернет измами, то принципно е невъзможно това да стане.

Първо: програмите защитават от това, което вече е измислено и каквито съвременни "технологии" да се предлагат с цел разпознаване на "евентуална" заплаха, всичко е е абсолютно безсмислено и е насочено основно за постигане на печалба. Парадоксално, но едните измамници викат "дръжте крадеца!". В действителност и двамата лъжат крайния потребител, кой повече - решете вие! Единия може да измами 100-200 души, а другия измамва "законно" много повече народ... Повтарям законно, защото той си плаща данъка, а и вие плащате ДДС, при покупката на продукта... Ужас!

Изходът е....

А Вие виждате ли изхода. Ако се поразровим във форума ще открием отговора - "не ни трябва защита, така или иначи сме голи..."

 

 

Съжалявам, ако с това съм разбунил "духовете" на форума, но нека малко да си размърдаме Мозъците. Приемам всички "градивни" критики, а другите по презумция, ги отхвърлям!