Аналитический центр

+7 (499) 719-11-30
Главная | Банковский рынок | Классические и ультрамодные сценарии «социальных инженеров»

Классические и ультрамодные сценарии «социальных инженеров»

26.03.2020

Главным мошенническим трендом в области финансов на сегодня эксперты называют «взлом пользователя». Злоумышленники активно применяют социальную инженерию — психологические манипуляции для того, чтобы выманить у человека конфиденциальную информацию и получить доступ к его деньгам. Обсудим старые и новые сценарии «отъема денег» у населения и меры безопасности.

Наибольший интерес мошенники испытывают к владельцам банковских счетов и держателям пластиковых карт. В 2019 году был зафиксирован всплеск социальной инженерии — по статистике «Лаборатории Касперского», до 70% несанкционированных карточных трансакций было связано с использованием различных манипулятивных практик. Одновременно с этим на спад пошла «мода» на скимминг — копирование секретной информации с помощью миниатюрной видеокамеры или накладок на клавиатуру банкомата. Очевидно, обе тенденции взаимосвязаны: гораздо дешевле и эффективнее поболтать с «клиентом», чем вкладываться в оборудование.
Львиная доля онлайн-краж совершается с помощью СМС-сообщений и звонков от имени банка. Чаще всего клиенту поступает сообщение о незаконном списании средств с карты, предлагается помощь в том, чтобы «приостановить» незаконную трансакцию. Далее могут быть разные варианты. Кого-то напрямую просят сообщить данные карты, в том числе СVV-код, кому-то предлагают установить на телефон приложение, якобы усиливающее безопасность, на самом деле содержащее вредоносный код, а у кого-то выманивают код подтверждения, который пришел на телефон. Хотя «сюжетные линии» разные, финал у один — списание денег с карты пользователя.
Надо отметить, что благодаря СМИ про звонки лжесотрудников службы безопасности многие сегодня наслышаны, поэтому «социальные инженеры» меняют «скрипты» общения с потенциальными жертвами. В последнее время все чаще владельцам банковских счетов поступают звонки с сообщением, что полученное банком заявление о закрытии счета рассмотрено. Клиенты предлагают приехать в офис банка для получения денег наличными. С толку людей сбивает, что звонок поступает со стационарных городских телефонов. Такие мошенники используют виртуальные АТС, чтобы создать иллюзию звонка из банка. Лжесотрудник банка представляется (вымышленным именем), выражает недоумение по поводу того, что клиент не писал никакого заявления, делает предположение, что это сделал неизвестный мошенник. Тут же предлагает перевести деньги на «безопасный счет». Если человек соглашается и под диктовку выполняет определенные действия, он неизбежно теряет свои средства.
В Интернете люди уже обсуждают новый вариант «ловли в сети», который отрабатывают киберпреступники. Клиенту все так же звонят из банка, но представляются сотрудниками «внутреннего отдела расследований» или «отдела внутренней безопасности». Сообщают, что внутри банка обнаружена целая банда, ворующая средства клиентов. Это происходит прямо сейчас. Человека просят поучаствовать в операции и поимке преступников. Для этого нужно содействие, «давайте сверим данные карты, продиктуйте это, сообщите следующее». Итог — деньги утекают мошенникам.
Наибольшие неприятности подстерегают граждан, данными учетной записи от интернет-банка которых завладели кибермошенники. Через личный кабинет они могут не только украсть все деньги, но и набрать кредитов от имени пользователя. Чаще всего такой вариант реализуется при краже смартфона, ведь для перевода средств с карты на карту требуется код подтверждения. Далеко не редко у владельцев мобильных устройств по умолчанию настроен вход в личный кабинет банка. Некоторые жулики даже не делают переводы, просто покупают с чужой карты товары в онлайн-магазинах, в основном для перепродажи.
Многих интересует, как мошенники выходят на конкретных абонентов, ведь при звонке они обращаются к своим жертвам по имени-отчеству. Изначально для того, чтобы связаться с абонентом, мошенники изучают его профиль в соцсетях или покупают базы данных у других жуликов. Они могут взломать страницу в надежде узнать из личной переписки конфиденциальные сведения. В настоящее время стало известно и о технологии определения номеров пользователей, которые заходят на различные сайты с мобильных устройств. Коммерческие предложения с услугой установки на сайте специального кода, считывающего телефон посетителя интернет-ресурса, присутствуют в Сети. Переходы на такие сайты-шпионы размещены, как правило, в социальных сетях.
То есть способы получения персональной информации могут быть самыми разными. Вплоть до милого обмена мнениями с друзьями жертвы на общие темы, как говорится, болтун — находка для шпиона. Гораздо труднее понять, почему люди слепо доверяют жуликам на том конце провода, когда их просят под диктовку совершить те или иные действия. Во-первых, хорошие люди, как правило, по природе доверчивы, если они раньше не слышали о существовании социальной инженерии, они могут некритически отнестись к информации и не заподозрить обман. Во-вторых, многие просто теряются, ведь мошенники вводят жертву в состояние стресса, подгоняют, вынуждают принимать решение немедленно. В-третьих, основную роль играет незнание элементарных правил пользования банковской картой в онлайн-пространстве. В целом речь о финансовой грамотности, а это не только знания, но и навыки.
Чтобы не попасться на удочку мошенников и снизить количество киберкраж, следует помнить несколько правил.

  • При звонке от имени банка кладите трубку и перезванивайте в банк самостоятельно. Этого может быть достаточно, чтобы избежать неприятностей.
  • Затвердите, как таблицу умножения, что сотрудники банковской службы безопасности не звонят абонентам сами. И не вовлекают клиентов в расследования. Уточнить информацию банковские сотрудники могут только при входящем звонке клиента, после его идентификации.
  • Даже при входящем звонке сотрудники банков никогда не запрашивают у клиента CVV-код, ПИН-код.
  • Помните, если кто-то торопит с принятием важного решения, связанного с деньгами, то в 99,9% случаев это мошенник.
  • Никогда не сообщайте никому код подтверждения. Ни устно, ни через мессенджеры и социальные сети.
  • Нигде не публикуйте фото карты, не пересылайте изображения через социальные сети. Карта содержит персональные данные, которыми могут воспользоваться мошенники.
  • Для онлайн-покупок нужно иметь отдельную карту с небольшим лимитом, ровно на сумму покупки.
  • Установите на телефон антивирусную программу, приложение для определения номеров.
  • Интересуйтесь новостями из области финансов, изучайте свежие тренды, ведь мошенники наверняка пишут новые «истории».
  • Помогите близким людям усвоить основные правила кибербезопасности. Это поможет на порядок снизить количество онлайн-мошенничеств.

Невозможно противостоять социальной инженерии только с помощью принятия новых законов или разработки «заградительных» технологий, ведь люди, по сути, сами отдают в руки мошенников секретные данные. Для того чтобы наши граждане перестали кормить армию мошенников, необходимо проводить масштабные кампании по повышению финансовой грамотности, создавать и тиражировать проекты по киберграмотности. Этим сегодня занимается ассоциация, которую я представляю. Причем участвовать в финансовом просвещении могут сами пользователи, присоединившись к волонтерскому движению АРФГ. Сообща можно переломить ситуацию и «переиграть» мошенников.


Автор: Павел Самиев, Генеральный директор аналитического агентства «БизнесДром», председатель Комитета «ОПОРЫ РОССИИ» по финансовым рынкам, заместитель директора Ассоциации развития финансовой грамотности (АРФГ)
Источник: Banki.ru