Виталий Леонтьев - Покупки и заработок в Интернете

Российские пользователи с этой забавой до недавних пор не сталкивались – в интернет-магазинах мы совершаем покупки нечасто да и кредитки водятся не у каждого. Однако на Западе эпидемия фишинга приняла такой размах, что специалисты по безопасности всерьез озаботились этой проблемой. Достаточно сказать, что еще в конце 2005 года корпорация Symantec зарегистрировала более 30 миллионов (!) фишинг-атак, многие из которых увенчались-таки успехом...

Именно по этой причине во всех браузерах нового поколения – Internet Explorer 7, Firefox 2 и Opera – появились специальные фишинг-фильтры, способные с лету распознать подделку. Во всяком случае, если червячком на крючке «фишеров» становятся бренды крупных компаний. Так что не забудьте включить фишинг-фильтр в вашем браузере – и чувствуйте себя относительно спокойно.

Этот вид махинации – один из самых распространенных в Сети, благо покупателей на сетевую «клубничку» всегда находится немало.

И, несмотря на свою долгую и бесславную историю, эта схема великолепно работает и поныне.

Для создания такого сайта нужно немногое – пара десятков эротических фотографий, надерганных с бесплатных сайтов, и простенькая форма покупки «полного доступа». Чем завлекательнее и необычнее выглядит витрина такого сайта, тем больше шансов, что нерадивый охотник до сладкого попадет в расставленную ловушку. И действительно – один-два человека из тысячи, пересмотрев фотографии-«при-манки», решат прикупить доступ и ко всему архиву... После заполнения регистрационной формы (в которой наверняка найдется место для поля Номер кредитной карты ) покупатель перебрасывается на другой, бесплатный сайт, а то и вовсе в никуда. А ключик к его банковскому счету (в виде номера кредитной карты) оказывается в лапах предприимчивых мошенников...

Точно такой же фокус мошенники проворачивают, используя в качестве приманки витрину «виртуального магазина» с необычайно низкими ценами. В 2004–2006 годах в Рунете прокатился вал рекламных писем о «распродаже конфиската» по ценам в несколько раз ниже обычных. Вариант этого мошенничества – предложение воспользоваться для покупки товаров услугами таинственных «хакеров», сумевших украсть номера кредиток у богатых Бура-тино из-за океана. Общие черты все этих афер – стопроцентная анонимность продавцов и требование предоплаты с помощью анонимных платежных систем (Яндекс. Деньги, WebMoney и так далее).

Появление этой гениальной схемы мошенничества в 2001–2002 годах связано с двумя факторами – массовым распространением мобильных телефонов... И невероятной жадностью сотовых компаний, вздувших свои тарифы до совершенно неприличных величин. Иначе как объяснить то, что жертвами аферы оказались не только традиционно нищие студенты, но и вполне приличные представители среднего класса?

Сэкономить на сотовой связи хотелось всем – и немудрено, что вскоре в Интернете появился первый сайт с текстом следующего содержания:

Однажды, когда я прислушивался к очередному рекламному ролику про снижение тарифов одной сотовой компании (абонентом которой тогда являлся), я вдруг понял, какой же это идиотизм: с жадностью вслушиваться в текст рекламы, в надежде на скидку в пару центов, искать внизу маленькую надпись «без учета НДС», разговаривая по мобильному телефону, думать не о самом разговоре, а о том, на какую сумму я уже наговорил. Притом, что в «дальнем зарубежье» принято платить не более 20 долларов за безлимитный тариф в месяц. И это на фоне того, что наши операторы получают по 400–600 % прибыли (такого не было со времен «челночества»). В общем, я решил применить данные мне институтом ХИРЭ (Харьковский институт радиоэлектроники) знания.

Начал с изучения протокола GSM и просмотра информации, накопленной на подобную тему в Интернете. Результат был малоутешительный: сам стандарт GSM настолько защищен, что взломать его практически невозможно или, скажем так, настолько дорого, что отпадает сам смысл взлома. Повозившись еще немного, скорее для самооправдания, чем для дела, я все это забросил.

И вот в такой критический момент один случай натолкнул меня на мысль попробовать действовать немного с другой стороны, а именно со стороны программного обеспечения сервера. Выяснилась одна интересная деталь. Если вы знакомы со стандартом GSM, то наверняка знаете, что пароли ASN постоянно меняются, сохраняясь на сервере и SIM-карте вашего телефона. Теоретически, создать клон такого телефона можно, но у этой технологии слишком много недостатков: дорого, работать в конкретный момент может только один телефон, нельзя принимать входящие звонки, могут запеленговать. Я же реализовал другой подход, основанный на самом принципе смены ASN-пароля на сервере. В этом случае появляется возможность получать с сервера новый ASN-па-роль, не стирая старый. Получается, что ASN-код будет продолжать регистрировать вас в сети, а старый пароль как бы подвисает, делая вас невидимым в сети, но при этом позволяя звонить. При этом на сервере даже не записывается ваш номер телефона и телефон получается анонимным. Звонить можно куда угодно и сколько угодно, а также отправлять SMS-сообщения.