Источник: Fraud.alfamoon.com
В этой статье мы поговорим о том, как злые личности,
без использования вредоносных программ, завладевают паролями
электронной почты пользователей Сети, а также другой важной
информацией, такой как номера кредитных карт и паспортные данные. Более
того, как это ни удивительно, но сами пользователи неосознанно дарят
информацию подобного рода злоумышленникам, по собственной инициативе.
В сети Интернет огромное количество разнообразных сервисов и услуг,
которые предоставляются только после регистрации пользователя на сайте.
В большинстве случаев всё ограничивается обязательным указанием имени
пользователя, то есть логином в системе, адресом электронной почты
и паролем. Любая другая информация, имя, фамилия, дата рождения и так
далее указывается пользователем добровольно. Обычно пароль
зашифровывается так, что его невозможно дешифровать в дальнейшем. А при
авторизации в системе пароль, указанный пользователем при входе,
зашифровывается тем же алгоритмом и сравнивается с зашифрованным
паролем в базе данных.
Мошенники часто пользуются тем обстоятельством, что у большинства
пользователей единый пароль и на электронную почту, и на все остальные
ресурсы. Мошенники могут создать сайт, предоставляющий какой-либо
полезный сервис. Например, почтовый сервер, форум, сайт знакомств
и тому подобное. Главное, чтобы на эту услугу был спрос. Естественно,
все введённые данные поступают в базу данных в незашифрованном виде,
в том числе и пароли. В дальнейшем злоумышленники проверяют, есть ли в
базе интересные личности, например, введя адрес электронной почты
в поисковик. Затем проверяют соответствие введённого в их базу пароля
с паролем электронной почты. А имея пароль к почте можно получить
пароли и к сайтам, при регистрации которых был указан этот адрес, и к
другим интересным вещам.
Как скоро будет разоблачён этот обман, зависит от того,
как основательно подошли мошенники к делу. Ведь они могли создать
вполне работающий сервис, полезный, который будет пользоваться спросом
в Сети, а могут создать и болванку, фантик без конфетки.
В большинстве случаев они выбирают второй вариант, ведь
мошенничеством занимаются люди с особым складом ума, которые жаждут
прибыли именно от мошенничества. А если человек способен предоставить
пользователям новый работающий сервис, то, скорее всего, мошенничество
ему чуждо. Но и такой вариант не исключён.
Многим не требуется особой изобретательности, они создают системы,
где регистрация вообще не требуется — это всевозможные гадания
по числам и предсказания судьбы и даже гороскопы. Человеку предлагается
ввести своё любимое число или слово, а также адрес электронной почты,
для получения результата. При этом на сайте прямым текстом указывается,
что в качестве любимых чисел и фраз можно использовать номера кредитных
карт, серию и номер паспорта, и, конечно же, пароли доступа к различным
услугам. Мало того, что неискушенный пользователь оставит ценную личную
информацию, так он ещё и пополнит базы данных спаммеров, ведь подобными
«интересными» услугами пользуются в основном новички, чьи Е-мэйл адреса
ещё не появились в базах несанкционированных рассылок электронной
почты. Кстати, надо отдать должное такого рода мошенникам, на указанный
электронный адрес всё-таки придёт пара расплывчатых фраз, вроде тех,
что произносит президент за пять минут до Нового Года.
В сети я встречал много сайтов подобного рода, но самым интересным,
на мой взгляд, был сайт, где предлагалось: « … проверить стойкость
пароля к взлому». Крайне неальтруистические личности, создавшие этот
сайт, сами же рассказывали о том, насколько важно сохранять пароли
в секрете и никому никогда их не сообщать. Тем не менее, посетителям
предлагалось проверить свой пароль, введя его в специальную форму,
так же присутствовало поле для ввода адреса электронной почты, дабы
выслать на него подробный отчёт. Отчёт действительно приходил, но в
письме были лишь общие, интуитивно понятные рекомендации по составлению
паролей. Введённая пользователями информация уходила в неизвестность,
то есть в лапы мошенников.
Опытные пользователи Сети чуют обман в подавляющем числе случаев,
они интуитивно понимают, что их пытаются надуть. Но и они иногда
попадаются на крючок. Поэтому прежде чем оставлять подобного рода
информацию, надёжность услуги стоит проверить.
Прежде всего, внимательно перечитайте информацию на самом сайте,
нет ли у вас чувства, что на вас давят, нет ли ощущения того, что из
вас вытягивают личную информацию. Во-вторых вас должно насторожить,
что от вас требуют ненужную информацию, например адрес электронной
посты при проверке надёжности пароля, ведь запрос можно обработать
на сервере и выдать результат на страницах сайта, зачем создавать
дополнительную нагрузку при рассылке писем? И наконец, если вы уже
воспользовались подобной «услугой», и есть подозрение на обман,
то немедленно поменяйте пароль к вашему электронному ящику!
Рекомендуется иметь как минимум два электронных адреса, один
использовать для любых нужд, в том числе для регистраций в любых
системах. Этот ящик будет проверочным. Его можно указывать везде,
при регистрациях на сайтах и форумах. На второй Е-мэйл стоит только
перерегистрировать уже проверенные лично вами услуги. Такая простая
мера предосторожности может спасти вас от кражи личной информации. Даже
получив пароль к проверочному электронному ящику, злоумышленник никогда
не доберётся до вашей личной переписки и никогда не получит пароль
к вашему сайту.
23 февраля 2006
|