В государственных структурах, пенсионном фонде, правоохранительных и смежных органах, различных ведомствах, операторах связи, интернет-провайдерах, банках, data-центрах работают миллионы человек. Среди них всегда найдутся недобросовестные сотрудники, которые ввиду халатности, некомпетентности, человеческого фактора или с целью незаконного заработка допускают утечки данных. Вся эта информация стоит денег, поэтому целевой фишинг разумен для обработки состоятельных клиентов.
Существует и комбинированная схема, когда среди выявленных и готовых к сотрудничеству клиентов, полученных с помощью массового фишинга, применяется дополнительная точечная покупка необходимой информации. Также существует масса открытых государственных ресурсов, где можно проверить, вводя данные о человеке различную информацию: наличие долгов, участие в судопроизводстве, штрафы и т. д. Все это позволяет создавать сотни сценариев для голосового или электронного фишинга индивидуально под каждого клиента.
Даже если человек достаточно образован и опытен в финансовой сфере звонок, скажем, от его страхового агента, у которого есть абсолютно вся информацию по его профилю и данным может сильно ввести в заблуждение и расположить этого человека к звонящему. А дальше дело техники, под каким предлогом и какие данные выудить. В большинстве случаев, когда жертва слышит, что звонящему известны паспортные и контактные данные, она сама готова делится любой недостающей информацией, включая доступы к личным кабинетам финансовых институтов, номера банковских карт, входящие sms с паролями. Уловка сверки паспортных и контактных данных применяется довольно часто, мошенник просит сверить их актуальность и сам диктует абсолютно корректные и правильные данные. Данная подача на фоне шума «работающего call-центра» убеждают самого последнего скептика, что ему действительно звонит легитимный сотрудник.
2.1.6. Использование вредоносного программного обеспечения
Данный вид получения критичных данных клиентов не менее распространен, но более коварен, потому что происходит без ведома самого клиента. Мы не будем уделять большое внимание этой проблематике в книге, так как данный аспект лежит больше в плоскости информационной безопасности. Тем не менее, стоит упомянуть основные меры предосторожности: