В том же году фишинг пришел в Россию. Первыми пострадали клиенты «Ситибанка», которые получили письма с просьбой уточнить данные своих пластиковых карт, якобы потерянные в результате сбоя в банковской системе. При переходе по ссылке, указанной в сообщении, клиент попадал на страницу, где ему предлагали ввести номер карты и PIN-код. В общем, местные фишеры не стали изощряться и воспользовались классической схемой. В мае 2004 года банк распространил заявление о своей непричастности к рассылке подобных сообщений. К тому времени, по некоторым источникам, фишерская кампания, направленная на клиентов «Ситибанка», уже шла по меньшей мере три месяца. К чести организации следует упомянуть, что президент банка пообещал при получении уведомлений о потере денежных средств действовать в интересах клиента, оценивая каждый случай в индивидуальном порядке.

Впрочем, это скорее исключение, чем правило, и столь великодушные жесты увидишь нечасто. Ведь банки в этом случае никому ничего не должны. Финансовые транзакции с использованием PIN-кода неоспоримы, и ответственность за их проведение целиком и полностью ложится на держателя карты. Вместе с тем исследование Ponemon Institute показало, что пользователи считают защиту от фишинга обязанностью бизнеса, а раз так — банкам и компаниям, работающим в е-коммерции, следует заняться разработкой дополнительных мер защиты от фальсификации своих онлайн-представительств. В частности, 96% участников проведенного в рамках исследования опроса отметили необходимость создания компаниями способа безошибочной аутентификации электронного письма и сайтов. Также респонденты высказались за внесение изменений в законодательство (в данном случае американское), которые позволили бы закрывать поддельные ресурсы. И если с однозначной аутентификацией вопрос остается открытым по сей день, то юридическими мерами фишеров стали «давить» уже в том же 2004-м.

Столь быстрой реакции правоохранительных органов США и ряда других западных стран способствовало резкое обострение ситуации летом. Вскоре после российского инцидента вал фишерских посланий обрушился и на американских клиентов Citigroup. В июле 2004 года специалисты APWG констатировали очередной всплеск активности мошенников, зарегистрировав за месяц 1974 атаки (в декабре 2003-го, согласно тому же источнику, было зафиксировано 116 случаев). Две трети из них пришлись на клиентов Citibank и U.S. Bank. Тогда же этот список пополнил «новичок» — Федеральная корпорация банковских депозитов США (FDIC), чье имя впервые «засветилось» в соответствующих посланиях за восемь месяцев до «бума».

В середине июля 2004-го в Сенате был подготовлен законопроект, где впервые описывалось явление фишинга и наличествовал запрет на подобную деятельность. К фишерским проделкам в этом документе причисляли имитацию сайтов с целью принудить пользователя к передаче идентификационных данных другому лицу и подделку обратных адресов электронной почты с целью заманить на подобные сайты. При этом авторы законопроекта подчеркнули, что свободу слова их детище ни в коем разе не нарушает и сайты-пародии, имитирующие популярные ресурсы «в мирных целях», останутся в рамках закона. Впрочем, этот документ устарел, не успев вступить в силу, поскольку уже к концу 2004 года обнаружились новые виды фишерских атак, «подтянуть» которые под предложенное юридическое описание не представлялось возможным. Первый суд над фишерами состоялся в октябре 2004-го в Лондоне. Интересно, что группа уличенных мошенников оказалась родом из экс-СССР. Обвинение им предъявили по классическим статьям: преступный сговор с целью обмана финансовых организаций и отмывание денег.

А на следующий год бразильской полиции удалось поймать более крупную фигуру в мире фишинга, некоего Валдира Пауло де Алмейду (Valdir Paulo de Almeida), который, по данным обвинения, возглавлял преступную группировку. Банде удалось похитить $37 млн. с банковских счетов, используя почтовые сообщения с троянами. Ежедневно рассылалось больше трех миллионов писем. Для финансового сектора Бразилии фишинг к тому времени уже превратился в настоящее бедствие. Несмотря на многочисленные (более пятидесяти только за 2004 год) аресты, национальный сегмент Сети наводнил шпионский софт, который отслеживал маршрут пользовательского веб-серфинга и после посещения жертвой сайта одного из бразильских банков отсылал аутентификационные данные преступникам.

Фишинг с использованием мобильной связи уже стал привычным явлением даже в России (см. «КТ» #655), хотя и в этой сфере грядут перемены. В частности, SMS-рассылками со словесными попытками убедить пользователя продиктовать коды активации для экспресс-карт дело уже не ограничивается. Злоумышленники комбинируют два вида «разводов». В сентябре текущего года специалисты компании McAffee объявили о появлении нового типа интернет-мошенничества, которое прозвали смишингом (smishing, то есть SMS + фишинг). В первых сообщениях такого типа абонентам писали, что факт их подключения к некоему сервису знакомств подтвержден, и напоминали, что ежедневная плата за пользование услугой составляет $2. К сообщению прилагалась ссылка на сайт сервиса, по которой пользователи переходили, чтобы удалить «ошибочно» полученный аккаунт, и получали трояна. Организаторы первой смишинг-атаки находятся в Испании и ведут рассылку по телефонам серии Nokia 60.