- Специальный корреспондент
Жизнь все больше переходит в цифровую плоскость. Меняются как наши привычки, так и возможности. Мы привыкли, что через банковское приложение можем не только проверить остаток, а и оплатить услуги, перевести другу деньги и при необходимости взять кредит без визита в банк.
Кроме удобства цифровизация несет и серьезные риски — потерять свои накопления за пару минут и остаться должником по оформленному кредиту. Такие приложения и сервисы создают новые угрозы — открывают дополнительную «поверхность атаки». Ведь растет их популярность не только у обывателей, но и у мошенников.
Звонки от злоумышленников с целью забрать у вас сбережения давно не являются чем-то необычным. Банки постоянно предупреждают о подобных схемах обмана. YouTube полон роликов с разговорами и высмеиванием подобных хитрецов. Но это не спасает. Каждый день находятся люди, которые переводят деньги мошенникам на якобы защищенный счет. Почему это происходит?
Давайте взглянем на статистику от Центрального банка по количеству операций без согласия клиентов.
Статистика по данным Центрального банка (ЦБ) Как видите, стабильный рост демонстрируют попытки мошеннических операций с уклоном в социальную инженерию. В рамках отдельно взятого банка ситуация отличается не сильно. По своим системам мы видим чуть большую долю попыток фишинга в отношении наших клиентов, но социальная инженерия значительно опережает все другие атаки.
На диаграмме представлена разбивка подтипов социальной инженерии.
Запомните сами, расскажите родным и близким, особенно пожилым людям: Никогда не берите кредит, если вас об этом просят по телефону неизвестные люди. Даже если они представились сотрудниками правоохранительных органов. Даже если они в мессенджере скинули вам фотографию удостоверения личности. Никто, кроме вас, не может оформить на вас кредит. Нельзя отменить какой-то кредит взятием другого кредита на опережение.
Почему именно push, а не СМС? Все очень просто – мошенники могут подделать отправителя СМС, а вот с push-уведомлением такой фокус не пройдет. Естественно, приложение банка должно быть установлено, и вы должны быть авторизованными в нем.
Но лучшая защита — это не разговаривать с мошенниками. Как понять, что вам звонят именно злоумышленники? Мы предлагаем всем пользователям нашего активировать определитель номера (АОН), который показал высокую эффективность в борьбе с подобными звонками. Приложение постоянно развивается и дополняется новыми полезными функциями. Например, отдельный раздел "Безопасность", в котором можно посмотреть историю авторизаций, список "привязанных" устройств и отключить их при необходимости. В новых релизах будет возможность проверки любого номера на наличие жалоб, что с этого номера звонили мошенники. Усугубляют положение гласность и «все открытость».
Многие сами выкладывают всю информацию о себе в интернет. Найти профиль человека в социальных сетях по имени или номеру телефона давно не проблема даже для скрипт-кидди осинтеров, не говоря уже про продвинутых злоумышленников. Ну, а различные громкие утечки персональных данных только добавляют мошенникам возможностей втереться к вам в доверие. Что делать для защиты? Компаниям — отслеживать подобные утечки и информировать своих клиентов, если их данные могли стать доступными, ставить таких клиентов на дополнительные контроли. Гражданам — не расслабляться, настороженно относиться к различным звонкам и использовать критическое мышление.
Отдельно стоит рассказать о фишинговых историях с маркетплейсами, сервисами бронирования и даже отдельными магазинами. Данная схема весьма интересна и обладает элементами «втирания в доверие». Кратко выглядит все так:
1. Покупаете дорогой товар у продавца через маркетплейс (кейсы есть практически по всем крупным игрокам).
2. Проходит оплата, все как положено, списание денег маркетплейсом.
3. Через какое-то время с вами связывается продавец и говорит, что у них ошибка, и товар на складе закончился, оплата будет возвращена, заказ аннулирован.
4. Деньги действительно возвращаются вам на счет. Но тут продавец опять вам пишет и говорит, что точно такой же товар у него есть на другом складе и он даже готов сделать скидку за неудобство. И дает ссылку на оплату товара со скидкой.
5. Вы переходите по ссылке, видите форму оплаты, вбиваете данные карты, и … получаете не оплату товара, а перевод с карты на карту… Будьте внимательны: не переходите по ссылкам и читайте СМС с кодами 3Ds – там написано для чего именно данный код, оплата товаров и услуг, или перевод денег.
Из хороших новостей. Мы научились эффективно бороться с подобными схемами и ежемесячно спасаем сотни тысяч рублей нашим клиентам только в рамках защиты от фишинговых схем.
Как вы понимаете, мошенники не стоят на месте, совершенствуют свои подходы и приемы. У нас есть что им противопоставить. В нашем банке внедрены универсальные и серьезные системы против мошенников. Их высокая эффективность — заслуга наших специалистов.
Все ли это проблемы противодействия кибермошенничеству? Конечно, нет. В этой статье мы подсветили самые частые и, для экспертов банковской сферы, самые очевидные. Пока вы читаете эти строки, мы готовим следующую статью. В ней разберемся:
Кроме удобства цифровизация несет и серьезные риски — потерять свои накопления за пару минут и остаться должником по оформленному кредиту. Такие приложения и сервисы создают новые угрозы — открывают дополнительную «поверхность атаки». Ведь растет их популярность не только у обывателей, но и у мошенников.
Звонки от злоумышленников с целью забрать у вас сбережения давно не являются чем-то необычным. Банки постоянно предупреждают о подобных схемах обмана. YouTube полон роликов с разговорами и высмеиванием подобных хитрецов. Но это не спасает. Каждый день находятся люди, которые переводят деньги мошенникам на якобы защищенный счет. Почему это происходит?
Давайте взглянем на статистику от Центрального банка по количеству операций без согласия клиентов.
Статистика по данным Центрального банка (ЦБ) Как видите, стабильный рост демонстрируют попытки мошеннических операций с уклоном в социальную инженерию. В рамках отдельно взятого банка ситуация отличается не сильно. По своим системам мы видим чуть большую долю попыток фишинга в отношении наших клиентов, но социальная инженерия значительно опережает все другие атаки.
Социальная инженерия
Что представляет собой социальная инженерия в контексте банковского мошенничества? Это совокупность психологических и социологических приёмов, которые позволяют мошеннику получить неправомерный доступ к денежным средствам клиентов банка. Использование этих методов не требует каких-то специфических технических знаний или сложного оборудования. Именно низкий порог входа обуславливает высокую популярность данного метода среди мошенников.
На диаграмме представлена разбивка подтипов социальной инженерии.
- Общий сценарий: злоумышленники обманом заставляют клиентов перевести деньги. Например, предлагают озвучить реквизиты карты, коды из СМС или представляются друзьями/родственниками, попавшими в беду, и просят перевести деньги.
- Удаленный доступ: мошенники под разными предлогами заставляют клиентов установить на смартфон программы удаленного доступа. Например, чтобы пройти обучение новой работе, для обновления сим-карты (от имени оператора сотовой связи) или чтобы «спасти» деньги от вирусов, которыми якобы заражен телефон.
- Инвестиции: различные предложения об увеличении дохода. Более подробно об этом сценарии мы расскажем ниже.
- Оформление денежных кредитов и перевод средств мошенникам. Как правило, это происходит под предлогом отмены другого кредита, который на человека хотят оформить по доверенности или в сговоре с сотрудником банка.
Запомните сами, расскажите родным и близким, особенно пожилым людям: Никогда не берите кредит, если вас об этом просят по телефону неизвестные люди. Даже если они представились сотрудниками правоохранительных органов. Даже если они в мессенджере скинули вам фотографию удостоверения личности. Никто, кроме вас, не может оформить на вас кредит. Нельзя отменить какой-то кредит взятием другого кредита на опережение.
Что делать, если вам поступает подобный звонок?
Вы переживаете, что обнаружилось что-то неладное по вашим операциям. Самый верный способ — перезвонить в банк самостоятельно. Так вы можете быть уверены, что разговариваете действительно с сотрудниками банка. Но только звонить надо по номеру, указанному на карте, либо на сайте банка, никогда не перезванивайте на номер, с которого вам позвонили. Для дополнительной безопасности у нас реализован механизм отправки push-уведомления о предстоящем звонке. Это позволяет быть уверенным в том, что звонок идет от сотрудников банка, а не от мошенников. Собственно, и во время разговора вы можете попросить подтвердить, что звонок из банка, и оператор отправит вам push-сообщение с таким подтверждением.
Почему именно push, а не СМС? Все очень просто – мошенники могут подделать отправителя СМС, а вот с push-уведомлением такой фокус не пройдет. Естественно, приложение банка должно быть установлено, и вы должны быть авторизованными в нем.
Но лучшая защита — это не разговаривать с мошенниками. Как понять, что вам звонят именно злоумышленники? Мы предлагаем всем пользователям нашего активировать определитель номера (АОН), который показал высокую эффективность в борьбе с подобными звонками. Приложение постоянно развивается и дополняется новыми полезными функциями. Например, отдельный раздел "Безопасность", в котором можно посмотреть историю авторизаций, список "привязанных" устройств и отключить их при необходимости. В новых релизах будет возможность проверки любого номера на наличие жалоб, что с этого номера звонили мошенники. Усугубляют положение гласность и «все открытость».
Многие сами выкладывают всю информацию о себе в интернет. Найти профиль человека в социальных сетях по имени или номеру телефона давно не проблема даже для скрипт-кидди осинтеров, не говоря уже про продвинутых злоумышленников. Ну, а различные громкие утечки персональных данных только добавляют мошенникам возможностей втереться к вам в доверие. Что делать для защиты? Компаниям — отслеживать подобные утечки и информировать своих клиентов, если их данные могли стать доступными, ставить таких клиентов на дополнительные контроли. Гражданам — не расслабляться, настороженно относиться к различным звонкам и использовать критическое мышление.
Фейковые брокеры и криптовалюты
Рассмотрим такую «легенду» мошенников, как инвестиции для получения дополнительного дохода, в том числе и вложения в криптовалюты. Таким "заманчивым" предложениям часто подвержены люди, далекие от информационных технологий, и от понимания, что такое криптовалюты. Мошенники обещают золотые горы, а затем будут требовать от вас все новые и новые деньги для увеличения дохода, но в итоге вы останетесь у «разбитого корыта». Хотите инвестировать в акции и облигации — делайте это через официальных брокеров и в их приложениях. В идеале, в приложении вашего банка. Так вы можете быть уверенным, что брокерское приложение защищено так же надежно, как и банковское.Фишинг
Никуда не делись и старые злые схемы с кражей денег через фишинговые сайты.- Доски объявлений: под предлогом продажи/покупки товара вам направляется отдельная ссылка на оплату/прием платежа.
- Fake Date: сайты знакомств и походы в кино\ресторан\на концерты.
- Маркетплейсы.
- Прочее: оплата парковки, платные дороги, поддельные квитанции по ЖКХ, переходы по QR и т.п.
Отдельно стоит рассказать о фишинговых историях с маркетплейсами, сервисами бронирования и даже отдельными магазинами. Данная схема весьма интересна и обладает элементами «втирания в доверие». Кратко выглядит все так:
1. Покупаете дорогой товар у продавца через маркетплейс (кейсы есть практически по всем крупным игрокам).
2. Проходит оплата, все как положено, списание денег маркетплейсом.
3. Через какое-то время с вами связывается продавец и говорит, что у них ошибка, и товар на складе закончился, оплата будет возвращена, заказ аннулирован.
4. Деньги действительно возвращаются вам на счет. Но тут продавец опять вам пишет и говорит, что точно такой же товар у него есть на другом складе и он даже готов сделать скидку за неудобство. И дает ссылку на оплату товара со скидкой.
5. Вы переходите по ссылке, видите форму оплаты, вбиваете данные карты, и … получаете не оплату товара, а перевод с карты на карту… Будьте внимательны: не переходите по ссылкам и читайте СМС с кодами 3Ds – там написано для чего именно данный код, оплата товаров и услуг, или перевод денег.
Из хороших новостей. Мы научились эффективно бороться с подобными схемами и ежемесячно спасаем сотни тысяч рублей нашим клиентам только в рамках защиты от фишинговых схем.
Как вы понимаете, мошенники не стоят на месте, совершенствуют свои подходы и приемы. У нас есть что им противопоставить. В нашем банке внедрены универсальные и серьезные системы против мошенников. Их высокая эффективность — заслуга наших специалистов.
Все ли это проблемы противодействия кибермошенничеству? Конечно, нет. В этой статье мы подсветили самые частые и, для экспертов банковской сферы, самые очевидные. Пока вы читаете эти строки, мы готовим следующую статью. В ней разберемся:
- почему классический транзакционный антифрод не дает нужной эффективности;
- какие поправки в 161-ФЗ помогут в борьбе с мошенниками;
- почему в системе быстрых платежей (СБП) нельзя просто останавливать все первые операции в адрес нового получателя и запрашивать подтверждение операции у клиента.
