Фишинговые сайты
Обычно мошенники регистрируют доменное имя, содержащее в названии слово «osago» или напоминающее адрес одной из известных страховых компаний. По этому адресу они делают фишинговый (подложный) сайт, полностью копирующий официальный этой фирмы. Вот один из таких сайтов:
Дальше все происходит почти как на официальном сайте, только данные уходят не в страховую, а злоумышленникам. Для того чтобы оформить полис, мошенники предлагают пользователю заполнить анкету, в которой нужно указать имя, дату рождения, номер водительского удостоверения и данные об автомобиле. Мошенники запрашивают детальную информацию об автомобиле, а также номер телефона и электронную почту для связи. После этого жертве предлагают оплатить электронный полис ОСАГО с помощью банковской карты, указав ее номер, дату окончания действия и CVC/CVV-код.
Как завоевать доверие жертвы?
Некоторые мошенники, чтобы завоевать доверие будущей жертвы, используют весьма дерзкий метод: предупреждение о мошенниках. На фишинговом сайте указан официальный сайт известной страховой компании, однако, если посетитель кликнет по ссылке, он окажется на все том же поддельном сайте.
Еще один из способов завоевать доверие пользователя — это «официальная» регистрация на сайте, пароль, который отправляют на почту, и проч. Когда пользователь выполняет сложные, кажущиеся необходимыми при официальной регистрации действия, он невольно начинает доверять мошенникам, которые обводят его вокруг пальца.
Что мошенники делают с данными?
Таким образом в руки мошенников попадает существенный объем личной информации, которую можно использовать для атаки на жертву или продажи третьим лицам. Мошенники также смогут выводить деньги с вашей банковской карты, поскольку далеко не все банки поддерживают двухфакторную аутентификацию по протоколу 3-D Secure. Все необходимые данные, включая CVC/CVV-код, у них есть.
Впрочем, на некоторых сайтах злоумышленники предложат сразу оплатить полис ОСАГО, деньги за который отправятся прямиком к ним в карман. Пользователь сам введет все необходимые данные, а также код из SMS, полученной от банка, чтобы «купить» полис. Естественно, никакого полиса он не получит.
Как защититься?
Напоследок несколько советов экспертов «Лаборатории Касперского», как не стать жертвой мошенников:
- Пользуйтесь услугами, предоставляемыми страховыми компаниями на их официальных сайтах;
- Проверяйте адресную строку на соответствие доменного имени ожидаемому;
- Не переходите по подозрительным ссылкам из писем и рекламных баннеров;
- Если вы получили сообщение о штрафе — зайдите на сайт ГИБДД или используемого вами сервиса самостоятельно, не используя ссылки из писем;
- Обращайте внимание на наличие защищенного соединения (HTTPS) в адресной строке браузера на страницах ввода персональной информации;
- Не оформляйте диагностическую карту у операторов, не входящих в число доверенных организаций. Список аккредитованных организаций можно посмотреть на сайте РСА.
- Используйте ПО безопасности с функцией защиты от фишинга, оно возьмет на себя хлопоты
