Мошенничество в интернет

Гуманный фишинг – уникальный проект, показавший реальную статистику проблемы

В середине апреля этого года в Киеве состоялась XVIII Payments & XI Security EMA Conference – Конференция по противодействию платёжному и кибермошенничеству, которую посетило 237 сотрудников банков, платёжных систем, сервисов и правоохранительных органов из Украины, Беларуси, РФ, Турции, Польши, Литвы и Великобритании. Мероприятие было проведено при поддержке НБУ и Департамента Киберполиции.

Участникам были представлены результаты уникального обучающего проекта, реализованного руководителем ЕМА Академии Раисой Федоровской – “Гуманный фишинг”. Кстати, данный доклад был признан наилучшим докладом XVIII Payments & XI Security EMA Conference.

В начале презентации было озвучено количество обнаруженных фишинговых сайтов. Так, впервые украинские пользователи столкнулись с сайтами, ворующими данные платёжных карт, не так давно – в 2015-м году.

Сначала таких сайтов было 38. В следующем году их уже было 174. Стало понятно, что с этой напастью нужно бороться, поэтому была запущена Национальная образовательная кампания SafeCard. Результаты не заставили себя долго ждать: в 2017-м году сайтов стало меньше – 108 против 174 годом ранее.

В первом квартале 2017-го года было 54 фишсайта. В первом квартале 2018-го года фишинговых сайтов стало намного меньше – 14 – но они кардинально отличались от сайтов, обнаруженных ранее. 4 были сайтами с простой технологией кражи реквизитов карты. На других четырёх сайтах вместо воровства вводимых реквизитов карты производился сбор логинов и паролей от систем интернет-банкинга. Также было обнаружено две точки компрометации реквизитов карт одновременно со сбором данных для входа в интернет-банкинги – мобильные приложения. Ещё 4 сайта подменяли номер карты получателя и сумму при переводе.

Среди банального воровства карточных реквизитов или логинов и паролей, 4 последних сайта отличаются тем, что клиент при проведении операции на таком сайте сам снимает лимиты на проведение операций и сам вводит код 3D-Secure.

И хотя в других странах существуют специальные органы, в Украине в наше время организаций, которым “не всё равно”, можно пересчитать по пальцам одной руки. EMA, вместо блокировки мошеннического домена, как в 2015-м году, когда через час после блокировки появлялся тот же сайт по другому адресу, было принято решение не просто блокировать сайты, а и дополнительно обучать население страны.

Итоги: в результате активной блокировки фишсайтов их количество увеличилось в 2016 г. в 4,5 раза, но благодаря проведению информационной кампании SafeCard количество людей, игнорирующих правило использования только известных платёжных ресурсов, уменьшилось в 3 раза. Однако проблема остаётся актуальной: на данный момент каждый 2-й держатель карты под прицелом фишеров.

Проект “Гуманный фишинг”

Благодаря проекту “Гуманный фишинг” была получена ценная статистика – результаты масштабного “опроса” более 7 500 респондентов. Проект был одновременно обучением граждан азам безопасности в определении фишинговых сайтов и социсследованием.

Хочется обратить внимание, что индекс правдивости полученных ответов в данном исследовании составил невероятных 100% и стоил Ассоциации всего лишь 200 долларов. Такого высокого показателя честности и столь низкой стоимости невозможно добиться ни в одном соцопросе, учитывая как стандартное рекомендуемое исследовательскими агентствами количество респондентов для репрезентативности выборкив 800, так и максимальное в 2000 человек на опрос. Как удалось достичь таких показателей честности ответов и такого количества респондентов, учитывая довольно скромную потраченную сумму? Об этом далее.

Как говорится, “Не можешь победить – возглавь”. В рамках “Гуманного фишинга” был создан “платёжный” сайт, на котором предлагалось пополнить мобильный или перевести деньги с карты на карту. Но те клиенты, которые не проверяли репутацию сайта и “на автомате” вводили данные своей платёжной карты, вместо кражи средств с карты (это бы произошло, если бы они попали на настоящий фишинговый сайт) перенаправлялись на страницу с рекомендациями, как проверить репутацию платежного сервиса.

Именно этот факт и стал результатом полученного исследования, при котором индекс честности респондентов составил 100%: посетители сайта не знали, что проводился своего рода опрос, не были подготовлены отвечать на какие-либо вопросы, у них не было предвзятого отношения к сайту – для них ситуация происходила как обычная операция по пополнению карты или мобильного.

Помимо основных рекомендаций, на данной странице клиенту отображались ссылки на проверенные ресурсы партнёров EMA, где можно провести безопасную платёжную операцию.

Напомним, как можно распознать фишинговый сайт:

• Фишинговый сайт – это новый сайт, у которого отсутствует репутация (в Интернете нет отзывов и другой информации о сервисе или репутация плохая);
• Сайт зарегистрирован не на домене национального уровня .UA, а на домене .IN.UA, .KIEV.UA и других;
• Сайт создан недавно и зарегистрирован на 1 год. Введите «whois.com\whois\название сайта» в поисковой системе, чтобы получить информацию о регистрации сайта;
• Также сайт можно проверить по Чёрному списку сайтов.

Кроме создания сайта с говорящим слоганом “Зарабатываем не на комиссии, а на доверии людей!” и названием pay4free.com.ua, покупалась реклама, выводящая сайт в Google на первое место.

Обучение населения было направлено чётко на целевую аудиторию – на тех пользователей, которые гуглят сервисы пополнения счёта мобильного и p2p-переводы. И это сработало: основной запрос, по которому на сайт приходили посетители, – пополнение мобильного.

При проведении “платежа” на сервисе нужно было принять его условия использования. В них было указано, что это не платёжный сайт, а проект по предотвращению мошенничества и обучению граждан. Но, как показал эксперимент, целых 77,6% пользователей ставили галочку, не читая данных условий:

С помощью скриптов была собрана и другая статистика. Так, например, минимальной суммой пополнения мобильного доверчивые пользователи указали 0,18 грн, максимальной – 4141 грн. Для получения данных использовались инструменты Google Analytics, также был написан специальный скрипт, который считывал и сохранял длину вводимой клиентами строки без считывания и сохранения конфиденциальных данных:

Средняя сумма попыток перевода с карты на карту на сайте составила 987 гривен. При p2p-переводе на сайте, который они впервые видят, максимальная сумма операции одного из клиентов составила 42 500 грн. Интересно, понял ли человек, насколько ему повезло, что данный сайт создан с целью обучения, как не попасть на удочку мошенников?

На пике посещаемости на сайте одновременно находился 21 пользователь. Выяснилось, что по запросу “пополнить без комиссии” (именно по такому запросу, без указания “мобильный” или “карту”) на сайт перешло 12% всех пользователей. Впрочем, детальная статистика показала, что чаще аудитория находила сайт для пополнения мобильного, чем для переводов с карты на карту.

Сайт был снабжён бесплатным https-сертификатом от Let’s Encrypt. Проблема сервисов, предоставляющих https-сертификаты, в том, что они не проверяют истинные цели людей, получающих такие сертификаты. Тот же Let’s Encrypt выдавал в прошлом году каждый день более 180 бесплатных сертификатов для сайтов, в названии которых было слово “PayPal”! Это к тому, что наличие значка “замочек” в адресной строке больше не тот параметр, на который можно ориентироваться при определении фишингового сайта.

Почему сайт был так успешен? Всё просто: реклама с указанием “без комиссии” (люди хотят экономить) + популярные ключевые слова (“пополнить мобильный”) + конечно же, деньги на такую рекламу.

Отметим, что бдительные сотрудники мониторинга операций с платёжными картами Проминвестбанка обнаружили и рассекретили сайт уже на следующий день после его запуска!

Был и другой потрясающий момент: CEO одной из платёжных компаний настолько заинтересовался сервисом, что лично позвонил Директору Ассоциации, Александру Карпову, удивляясь, как мы смогли добиться нулевой комиссии в таких операциях, и сообщил, что хочет стать нашим агентом. В ответ он был тактично отправлен обучаться в Школе Кибербезопасности.

Согласно Google Analytics, в среднем, каждый пользователь проводил на сайте около двух с половиной минут. И этого – 02:20 минуты – явно недостаточно для определения репутации сайта и выяснения, безопасно ли на данном сайте проводить платёжные операции.

Выводы

Всего за две недели спецоперации на сайт попало 7516 человек. И 4172 из них оставили свои реквизиты на “фишинговом” сайте. Себестоимость псевдомошенничества составила 0,69 грн в пересчёте на пользователя – именно такую сумму мы потратили для обучения одного клиента. И именно столько – менее одной гривны – тратят мошенники, чтобы украсть деньги с одной карты. Эта цифра показывает, насколько просто и незатратно можно обманывать необученных клиентов.

Резистентность (сопротивляемость, устойчивость) к фишинговым сайтам – умение граждан распознавать и защищаться от мошенничества в сети Интернет.

Общие показатели после подведения итогов кампании следующие: граждане с высокой резистентностью – 44,5%, с низкой – 55,5%. Другими словами, только половина наших граждан, да и то меньшая, устойчива к фишинговым сайтам.

Половина пользователей с низкой устойчивостью к фишингу находятся в возрасте 25-34 лет. При этом 21% пользователей в возрасте 35-44 лет также легко могут быть обмануты. Внимательными обязательно нужно быть и молодёжи – 15% пользователей в возрасте от 18 до 24 посетили данный “фишсайт” и оставили реквизиты своих карт. Люди старшего поколения менее подвержены фишингу, так как попросту реже ищут сайты для таких операций.

При дифференциации по полу выяснилось, что женщины менее устойчивы к фишинговым сайтам: 60% женщин против 40% мужчин оставили реквизиты карты на сайте, не проверив его репутации.

Более резистентно, т.е. устойчиво к фишингу оказалось население Николаевской, Хмельницкой и Черниговской областей.

Жители же Черновицкой, Херсонской, Закарпатской, Ивано-Франковской, Одесской и Тернопольской областей менее внимательны к сайтам для проведения платёжных операций, а, значит, более подвержены риску.

Выводы: больше половины украинцев демонстрируют рискованное поведение в Интернет и нуждаются в продолжении КиберЛикБеза.

Целью проведённого проекта было повышение уровня знаний держателей платёжных карт о признаках мошенничества в Интернет. И EMA не собирается останавливаться на достигнутом: среди планов на будущее – продолжение “Гуманного фишинга”, квиз по кибербезопасности на сайте Ассоциации, адаптация материалов Europol, а также продолжение информационной кампании в Facebook.