Наибольшую опасность для пользователя представляют персональные письма или персонифицированный спам. Например, нашей коллеге в сети "Одноклассники" пришло такое сообщение с аккаунта одного из друзей: "Привет!!! Я почти выигрываю в конкурсе лучшее фото к 9 мая , меньше процента не хватает ... Главный приз - смартфон почти мой ... Лена, можешь мне помочь? Нужно отправить смс, текст "num777 170". Номер конкурса "6008", без кавычек . Если не тяжело, проголосуй за меня, в долгу не останусь! Конечно, если полтора рубля не жалко;-) Заранее спасибо!"
Оказалось, что такие сообщения получили все, кто был в списках друзей страницы отправителя. При этом сам владелец аккаунта даже не знал, что от его имени что-то рассылалось. Подобные аферы проворачивались и в сети "Вконтакте". Судя по всему, мошенникам удается каким-то образом получить доступ к аккаунтам пользователей. Примечательно, что некоторое время назад в сеть была выложена база, содержащая данные, в том числе пароли доступа, примерно по 40 тыс. аккаунтов "Вконтакте".
Комментировать, как такое возможно, администрация ресурсов "Одноклассники" и "Вконтакте" отказалась, и мы обратились к сторонним экспертам. "По нашим оценкам, эти данные были не украдены с серверов самой компании, а набраны путем фишинга,- комментирует старший антивирусный эксперт "Лаборатории Касперского" Виталий Камлюк.- Анализ той 40-тысячной базы показал, что собирались пароли пользователей всего пару месяцев".
Фишинг - от англ. phishing, производное от password - пароль и fishing - рыбная ловля. Разновидность интернет-мошенничества, цель которого - завладеть конфиденциальными данными пользователя (паролем, номером кредитки, PIN-кодом и пр.) с помощью того или иного хитроумного способа, с применением социальной инженерии.
А у Вячеслава Варламова предположение иное: "В интернете можно найти программу-робот, которая будет ползать по "Вконтакте" и одну за другой взламывать странички пользователей. Этот же робот может сразу производить рассылку от имени владельца аккаунта. При этом раньше ему удавалось еще и сразу же стереть следы рассылки, подчистив папку "Отправленные"; сейчас "Вконтакте" это уже не позволяет. "Одноклассники" защищены лучше - их таким роботом не проймешь".
Тем не менее обычный фишинг тоже дает бешеный эффект. Допустим, пользователю приходит на e-mail письмо: "Привет, посмотри какие отличные фотографии я выложила на своей странице в Вконтакте. Маша". "Кто такая Маша? Зайду узнаю, может, и правда знакомая",- думает получатель или даже не думает, а просто кликает автоматически прилагаемую ссылку и попадает на фишинговый сайт, дизайн которого скопирован с оригинала. Но чтобы добраться до страницы "Маши" надо авторизоваться, то есть ввести свой логин и пароль.
Как рассказал Виталий Камлюк, попасть на фишинговый сайт можно и без всяких вирусов-троянов, подставляющих фальшивую страничку, или спамерских разводов. Любой человек, забивая адрес сайта в строке браузера, может допустить опечатку. Мошенники, находя наиболее вероятные варианты опечаток, регистрируют соответствующие сайты. В итоге, набрав вместо http://www.vkontakte.ru (адрес настоящего "Вконтакте.ru") http://www.vkontaktle.ru, попадаешь на практически идентичную внешне страницу. Незначительные отличия от оригинала в дизайне именно этого фишингового сайта (а подобных может быть очень много) объясняется исключительно ленью самих аферистов - они не обновили вслед за настоящим "Вконтакте" когда-то скопированную главную страницу.
После получения логина и пароля фишинговый сайт чаще всего выдает сообщение об ошибке или переадресует вас на настоящий ресурс, так что вы можете вообще не заметить, что заходили куда-то еще. Чтобы обезопасить пользователей, владельцы популярных ресурсов стараются зарегистрировать на себя домены, на которые заходят в связи с типичными опечатками. Например, http://www.odnoklasniki.ru (с одной S) - ресурс не фишинговый, принадлежит "Одноклассникам" и переадресует вас в настоящую соцсеть.
Конечно, элементарную автоматическую защиту пользователю предоставляют и сами сервисы. Например, почтовые. "Заметное количество мошеннических посланий нам удается блокировать как спам,- говорит Анна Артамонова, вице-президент Mail.Ru.- Но тут важно понимать, что такого рода письма крайне редко бывают массовыми рассылками - чаще всего они отправляются вручную, с личным обращением и т. п., так что их практически невозможно отличить от легитимной корреспонденции". В большей степени обезопасить от фишинга может специальная антифишинговая защита. По словам Виталия Камлюка, последние версии персональных продуктов "Лаборатории Касперского" содержат постоянно обновляемую базу данных фишинговых сайтов, при посещении которых выдается автоматическое предупреждение.
Между тем есть способ, гарантирующий доступ к интересующему аккаунту. "Моя невеста подозревала, что я захожу на страницу своей "бывшей" в "Одноклассниках",- рассказывает Вячеслав, владелец сайта настольных игр через интернет zamutki.ru.- Чтобы проверить это, она воспользовалась дружескими отношениями с одним из модераторов "Одноклассников" - получила пароль от него".
На самом деле наибольшую опасность представляют злоумышленники, использующие данные из соцсетей не для разводок по мелочи, на 300 руб., а для более серьезных афер. Например, женщине на телефон присылают MMS с фотографией мужа в синяках, типа "твой сидит в ментовке, неси выкуп $2 тыс.". Как стало понятно, фото было взято с сайта "Одноклассники" и подправлено в Photoshop, телефон супруги каким-то образом раздобыли. Может быть, как в следующей истории?
Рассказывает Елена О.: "В "Одноклассниках" приходит сообщение от некого Коли Соловьева: "Лен! Привет! Это Коля Соловьев. Дай, пожалуйста, Пети Иванова моб. Телефон". Петю Иванова я знаю, он, кстати, у меня в друзьях в "Одноклассниках" прописан, а вот о Коле Соловьеве слышу впервые..." Такое письмо, видимо, рассчитано на невнимательного получателя, но и таких много. А вот если бы мошенники взломали аккаунт кого-то из знакомых Елены и написали подобное письмо от его имени, то нужный номер получили бы наверняка.