Этой зимой Россию захлестнула волна случаев мошенничества с бонусными картами. В феврале на торговые сети обрушился буквально вал жалоб на то, что злоумышленники списывают бонусы покупателей. Эти баллы либо монетизируют, либо используют для частичной оплаты товаров. Выгода очевидна: в некоторых магазинах бонусами можно оплатить до половины стоимости покупки. О том, почему сейчас началось массовое воровство бонусов, «ФедералПресс» рассказал блогер, специалист по финансовой безопасности Денис Ерохин:
«Бонусные карты действительно могут стать легкой добычей для мошенников. Это объясняется тем, что не все системы безопасности идеальны. Например, на некоторых сайтах не проводится мониторинг безопасности, чем и пользуются злоумышленники.
Очень часто доступ в личный кабинет можно получить простой брутфорс-атакой – это такой автоматический метод подбора паролей. Поскольку на многих сайтах с личным кабинетом нет должной защиты, например, двухфакторной аутентификации, подобрать пароль не составляет труда.
Некоторые личные кабинеты настолько криво сделаны, что любой студент, более-менее разбирающийся во взломах, может запросто обходить все пароли. Нередко созданием таких сайтов занимаются молодые студии или студенты (им нужно меньше платить). Они могут неосознанно оставить программные «дыры», которыми пользуются злоумышленники. Можно банально сделать SQL-инъекцию в базу данных плохо собранного сайта. Это один из самых распространенных способов взлома: хакер внедряет определенный код, который позволяет делать любой запрос к базе данных. После этого мошенник получает на руки все логины и пароли. Ему просто остается вечерами сидеть, ходить по личным кабинетам каждого пользователя и красть бонусы.
Но, впрочем, распространены и более топорные варианты краж. Например, недобросовестная продавщица делает фотографии бонусных карт, раздает их людям. А потом она дома регистрирует их в личном кабинете и списывает бонусы, а другой человек даже ничего подозревать не будет. Тут мы снова говорим о недостатках в системе безопасности.
Именно плохая защита личных кабинетов – главная причина того, почему воровство бонусов стало настолько распространено. Отсутствие мониторинга безопасности, двухфакторной аутентификации пользователей, плохо сделанные сайты. Раньше на таких вещах старались экономить – и теперь люди расплачиваются за это».
Фото:ФедералПресс / Евгений Поторочин