Осторожно: кража паролей, или Как защититься от кибермошенников?
Как именно действуют мошенники, почему турбизнес все чаще становится мишенью киберпреступников и, главное, — каким образом обезопасить свою компанию?
В последнее время проблема интернет-мошенничества распространяется и на туристическую отрасль. Случаи, когда хакеры взламывают аккаунты турагентств в b2b-системах бронирования и незаконно распоряжаются средствами компаний, уже не редкость. Как именно действуют мошенники, почему турбизнес все чаще становится мишенью киберпреступников и, главное, — каким образом обезопасить свою компанию?
Представьте: вы приходите на работу и вдруг выясняется, что ночью кто-то с вашего аккаунта в системе бронирования выписал ж/д билеты на незнакомые вам фамилии. При этом все попытки аннулировать покупку ни к чему не приводят.
«Через наш личный кабинет на сайте «Вип Сервиса» были куплены 18 ж/д билетов Москва — Владивосток на общую сумму 403 тысячи рублей (у нас кредитная система работы, при которой оплату мы можем производить на следующий день). Как потом выяснилось, практически сразу же билеты были сданы в кассу РЖД и деньги оказались в руках мошенников. Мы обратились в полицию, и сейчас заведено уголовное дело по факту мошенничества группой неустановленных лиц. Мы надеемся, что преступников найдут и нам удастся вернуть деньги», — рассказывает Ирина Османова, директор по туризму ТА «Золотой Овен» (франшиза «Горящие туры», Геленджик).
К счастью, не все турагентства могут оформлять услуги «взаймы», поэтому сумма ущерба обычно не столь велика. Так, в казанской компании «Интел-тур» пропало значительно меньше — 144 тысячи рублей. Мошенники сделали две атаки на агентство.
«Сначала кто-то несанкционированно забронировал с нашего аккаунта услуги за счет аванс-депозита. Мы стали бить тревогу, попытались аннулировать билеты, и часть денег вернуть удалось. К сожалению, спустя несколько недель мошенники вновь напомнили о себе», — рассказывает Анна Снигирева, менеджер турагентства «Интел-тур» (Казань). На этот раз депозита на счету не было, и, чтобы произвести несанкционированную покупку, злоумышленники аннулировали бронь авиабилетов, сделанную самим турагентством. Менеджеры заметили это буквально за сутки до даты вылета и успели подобрать клиентам другой вариант перевозки, а вот вернуть похищенные средства уже не получилось.
Какова схема киберобмана?
Как показывает практика, киберпреступники действуют по одному сценарию: каким-то образом получают доступ к аккаунтам турагентств в системах бронирования и выписывают электронные ж/д билеты, используя средства депозита или аннулируя уже забронированные услуги. Утром мошенники идут в железнодорожные кассы, обменивают распечатанные бланки на традиционные бумажные билеты и сдают их, взамен получая наличные. Что интересно, взломы чаще всего происходят ночью, в период с 23:00 до 02:00 (по Москве), а также на выходных или в праздничные дни, когда в офисах никого нет. При этом установлено, что несанкционированные брони производятся с иногородних IP-адресов, то есть мошенники, действуя дистанционно, «взламывают» аккаунты по всей стране.
В числе компаний, чьи субагенты пострадали, крупнейшие сервисы бронирования: «Инфо-Порт Система», «Випсервис» и другие. Отдельно отметим, что все b2b-бронирование электронных ж/д билетов в России происходит через технологическую платформу компании «УФС», которая является партнером РЖД по продвижению этой услуги. Таким образом, вся информация о кражах паролей стекается именно туда. «Очевидно, что сегодня эта проблема имеет статус общеотраслевой, а никак не локальной, что могло бы свидетельствовать об интернет-незащищенности той или иной системы бронирования», — отмечает Дмитрий Витчинка, гендиректор ООО «УФС».
Впрочем, общее количество хакерских атак и их финансовые последствия оценить пока сложно. «Точные сведения есть только у правоохранительных органов, но, насколько я знаю, уже сейчас возбуждено 44 уголовных дела по всей стране. Большинство случаев зафиксировано в Центральном федеральном округе, на втором месте Урал и Сибирь, затем Поволжье и другие регионы. При этом размер краж колеблется от нескольких десятков тысяч до 3 млн рублей», — отмечает Дмитрий Горин, гендиректор компании «Випсервис».
Почему мошенники бронируют именно ж/д билеты?
По словам экспертов, сегодня киберпреступность подобна эпидемии и очаги ее образуются там, где «крутятся» большие суммы денег в безналичном виде: банковская и финансовая сферы, малый и средний бизнес, который использует систему электронных платежей и переводов. Транспортно-туристическая сфера не стала исключением. Правда, она привлекает хакеров и по другим причинам.
Главная из них — лазейка в системе работы «Российских железных дорог», которая позволяет купить билеты в одном месте, а сдать их в другом. В итоге, выписав через Интернет электронный билет, мошенники меняют его в кассе на вполне реальные бумажные деньги. «Это слабое место не b2b- или b2c-систем, это ошибки технологии возврата ж/д билетов. Любые электронные услуги должны возвращаться по месту их приобретения, и тогда не будет подобных проблем, как их нет, к примеру, с авиабилетами, вернуть которые можно только в месте приобретения», — считает Константин Морковин, гендиректор «Инфо-Порт Системы».
Эту же причину считают ключевой и в других компаниях, специализирующихся на b2b-бронировании. И для решения проблемы, по их мнению, необходимо подключать РЖД. «Уверен, что без поддержки РЖД проблему не решить. Возможный выход — изменения в процедуре возврата. Например, возврат бумажного билета производится там, где этот билет был выписан. Еще вариант — трехдневный мораторий на сдачу билета. За трое суток турагентство наверняка заметит чужую бронь и аннулирует ее», — анализирует ситуацию Дмитрий Горин («Випсервис»).
В полицию идут не все
Еще одна причина, по которой мишенью хакеров часто становятся именно турагентства, состоит в том, что «жертвы» далеко не всегда обращаются в полицию. Не секрет, что у многих турфирм далеко не «белая» бухгалтерия, поэтому им не хочется лишний раз связываться с правоохранительными органами. Других от звонка в полицию удерживает страх, что все компьютеры и технику офиса опечатают и работа будет парализована на неопределенное время. В разгар сезона для турфирмы это может быть опаснее, чем потеря нескольких десятков тысяч рублей. В итоге злоумышленники остаются безнаказанными, что только провоцирует их на новые преступления.
Но, как показывает практика, для поиска мошенников останавливать работу агентству не придется: полиции нужна только информация о «туристах», на которых куплены билеты. Дело в том, что сдача ж/д билета возможна только лично и с паспортом. И у злоумышленников два варианта: либо выписать билеты на реального человека, который затем придет в кассу РЖД, и тогда МВД достаточно быстро его вычислит; либо забронировать проездные документы на несуществующее имя и договориться с кассиром, чтобы тот закрыл глаза на несоответствие данных. В этом случае полиции предстоит искать уже кассира, что тоже вполне реально.
Сложнее дело обстоит с розыском самих хакеров, ведь те, кто приходят в кассы сдавать билеты, — лишь сообщники. Расследования ведутся, и очевидно, что новые подробности о подобных случаях способны ускорить поимку виновных. Поэтому правоохранительные органы и руководители систем бронирования призывают всех турагентов, которых затронула проблема, не молчать об этом, а сообщать в полицию.
Как защититься от хакеров?
Интернет-безграмотность — это, пожалуй, главное, что приводит к кибермошенничеству. По мнению некоторых экспертов, многие турагенты потеряли бдительность при работе в Интернете из-за того, что бронировать авиа- и ж/д билеты стало легко, как никогда. «Если раньше для продажи билетов турфирме нужны были какие-то инвестиции, аккредитация пунктов продажи, покупка систем шифрования, обучение кассиров и так далее, то сейчас любое агентство может просто получить доступ к системе бронирования и работать. Но из-за легкости подключения к этой системе агенты перестали серьезно относиться к безопасности при работе в ней», — анализирует ситуацию Дмитрий Витчинка, гендиректор компании «УФС».
К счастью, в этом вопросе турагенты способны помочь себе сами. Чтобы вскрыть личный кабинет, хакеры пользуются разными методами, среди которых банальный подбор комбинации логина и пароля, рассылка писем с вредоносными файлами-вирусами (с разрешением .exe). Другой способ — спам со ссылкой на якобы знакомый сайт, который на самом деле является лишь копией известного ресурса и на который вы по незнанию введете свои логин и пароль. Одним словом, вариантов множество. Но, чтобы не попасться на удочку, не обязательно самому становиться хакером, достаточно пользоваться нехитрыми способами защиты.
Советы экспертов по защите от хакеров
1. Используйте лицензионные антивирусные программы, регулярно обновляйте их. Именно они защитят ваш компьютер, если вы по ошибке скачаете зараженный файл из безобидного письма или зайдете на опасный ресурс.
2. Максимально защищайте свою почту, ведь взломав ее, злоумышленники получат доступ ко всем вашим аккаунтам — будь то социальные сети или личные кабинеты. Поэтому не используйте короткие простые пароли, содержащие менее 8 символов, в кодовое слово включайте прописные и заглавные буквы, а также цифры. К примеру, так: kKC%5426hMaN.
| 123456 (и его вариации) | qwerty |
| 111111 (222222 и т.д.) | monkey |
| abc123 | iloveyou |
| password | gfhjkm |
| 123123 | admin |
| 1q2w3e4r5t | test |
3. Не используйте пароли, которые содержат личные данные: даты рождения, имена родных. Все это можно легко выяснить через социальные сети. Кроме того, выбирайте нестандартные контрольные вопросы, служащие для восстановления пароля. «Девичья фамилия матери» или «Любимая книга» неэффективны, поскольку опять же содержат личную информацию.
4. Не храните пароли на рабочем столе компьютера, где их легко могут найти третьи лица.
5. Используйте разные пароли для социальных сетей, сервисов бронирования и электронной почты
6. Периодически меняйте пароли, особенно после ухода из компании какого-либо сотрудника.
7. Используйте все способы защиты, предлагаемые системами бронирования (см. ниже)
Сами системы бронирования в ответ на кибератаки начали активно заниматься интернет-безопасностью. «Мы сделали большие вложения в новейшие системы защиты. Например, ввели систему СМС-авторизации: для входа в личный кабинет необходимо ввести секретный код, который приходит на мобильный телефон турагента. Опция субагентам предоставляется бесплатно», — рассказывает Дмитрий Горин («Випсервис»).
Подобных способов защиты аккаунтов, разработанных b2b-системами бронирования, несколько. Они не являются обязательными, но эксперты настоятельно рекомендуют подключать такие услуги и активно ими пользоваться.
Итак, что предлагают сервисы бронирования своим субагентам для защиты от хакеров?
— «Усиленная авторизация» — помимо индивидуального логина и пароля для доступа в личный кабинет, агенты получают на свою электронную почту уникальный разовый сессионный ключ, который необходимо вводить при каждом входе в систему.
— СМС-авторизация — при входе в систему агенту на мобильный телефон приходит сообщение с секретной комбинацией символов, которые нужно ввести при авторизации.
— Запрет на бронирование в ночное время суток по часовому поясу, в котором географически находится турагентство.
— Привязка компьютера к определенному IP-адресу — один из самых надежных способов защиты аккаунтов. IP-адрес — это уникальный идентификатор устройства, подключенного к Интернету, и некоторые сервисы бронирования предлагают закрепить за вашим личным кабинетом IP-адрес именно вашего компьютера. Проще говоря, ни с одного другого ноутбука, планшета или компьютера зайти в систему бронирования будет просто невозможно.
Очевидно, что наличие надежных инструментов защиты от кибермошенников вполне может стать новым конкурентным преимуществом b2b-сервисов бронирования. Однако хакеры всегда стараются найти новые лазейки. Поэтому эксперты советуют агентам самим быть максимально внимательными при работе в Интернете и пользоваться всеми возможными средствами для защиты от кражи паролей.
Самое интересное, что Телетрейн делает вид, что они тут не причем.
Я считаю, "Телетрейн" предлагая свои услуги должны обезопасить и себя и агентов.
Как представитель платежного шлюза, считаю, что большая доля ответственности лежит на РЖД. Вспоминая события с мошенниками в этом году у известного перевозчика, защищать клиентов никто не торопится. Современные технологии позволяют РЖД защитить ваши деньги. Достаточно настроить антифрод сервис: 10-20 правил и комбинаций, 2 недели работы. И не нужно будут привязывать IP к компу, разовые пароли, заход по смс и тд. Для РЖД это не сложный и не дорогой процесс, но защита 99,99%. Пока вопрос решается локально, мошенники будут придумывать всё новые ходы. Защититься от мошеннических операций (даже с реальных аккаунтов) проще, быстрее и надежнее на стороне продавца.
Вариант с поддельными паспортами тоже возможен, хотя его наши собеседники не называли.