Эксперты раскрыли способ красть деньги через VPN-сервисы
Потерять деньги в интернете легко, особенно если вы используете VPN-приложения. Кибермошенники используют уязвимости анонимайзеров для своих целей, чаще всего корыстных. Например, злоумышленники украли у жительницы Ростова 100 тыс. рублей, провернув схему с VPN и подставным сайтом.
21-летняя Камила из Ростова как обычно заказала домой еду в сервисе доставки. О том, что она больше не контролирует свою банковскую карту, девушка узнала, когда с ее счета списали 50 тыс. рублей.
«Написала им в службу поддержки, мол, ошибка какая-то, они мне радостно отвечают, что да, ошибка, сейчас вернем, только на карте должна быть сумма, эквивалентная сумме возврата», — вспоминает жертва интернет-мошенников.
После того, как Камила подтвердила наличие денег на счете, у нее списали еще 50 тыс. рублей
«Я еще такая — да ну опять у вас тут ошибка! Ахххха, как только я это сообщение отправила, сразу поняла, как здорово меня развели», — говорит девушка.
Проблема Камилы заключалась в установленном на смартфоне VPN-приложении. Анонимайзер подменил адрес реального сервиса доставки фишинговым сайтом. В результате девушка отправила данные своей банковской карты не честным продавцам, а злоумышленникам.
— Сейчас активно применяют схемы, когда отличие заключается в домене, то есть вместо домена верхнего уровня ru используется иной, иностранный, — поясняет главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников. — Или в дополнение к другому домену верхнего уровня используется отличие на несколько букв в названии сайта. Для части сайтов используется ошибка с разрешением перенаправления запросов на сторонние сайты (уязвимость open redirect).
Поддельные сайты встречаются нередко, и о них хорошо известно специалистам. По словам пресс-менеджера регистратора доменов RU-CENTER Станислава Грушевского, часть таких сайтов сделана для сбора данных, а часть действительно может продавать товары известных брендов, не обладая правами и разрешениями на такую деятельность.
Если вы используете VPN-сервис, то рано или поздно можете оказаться на таком сайте и потерять деньги, предупреждают эксперты.
— VPN — это технология, предполагающая прохождение трафика через определенный сервер, — говорит эксперт в области кибербезопасности, управляющий RTM Group Евгений Царев. — Соответственно, маршрут, заданный на таком сервере, подвластен его администратору.
По его словам, лучший способ защиты от фишинга и, соответственно, кражи денег — это отказ от посещения сайтов, которые требуют ввода персональных данных.
— Радикально? Да. Но это единственный действенный метод, — уверен Царев. — Также нельзя вводить данные ни на одном ресурсе вообще. Остальное — компромисс между использованием современных сервисов и безопасностью.
И тем более не стоит доверять свои данные анонимайзерам, считают эксперты. В случае кражи денег найти злоумышленников и вернуть потерянные финансы — задача почти невозможная. Так что лучше не рисковать.
«Снесите к чертям все эти впны, учитесь на чужих ошибках, а не на своих!» — пришла к выводу Камила.