Статьи
Осторожно, киберловушка

Социальная инженерия на службе у мошенников

Осторожно, киберловушка

Рисунок: Дмитрий Петров / "Солидарность"

Многие думают, что на уловки мошенников попадаются в основном пожилые, слабо разбирающееся в гаджетах. Это не так. По статистике Банка России, средний возраст пострадавших - около 40 лет, причем уровень образования не имеет значения. Рассказываем про основные схемы, которые применяют мошенники, чтобы забрать ваши деньги, и про то, как этого избежать.

ЧТО ТАКОЕ СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ

В контексте информационной безопасности социальная инженерия - это психологические и социологические приемы, которые позволяют получить конфиденциальную информацию. В первую очередь идет речь о «взломе» подсознания человеческого мозга. Кибермошенников, которые используют эти приемы на практике, называют социальными инженерами. С каждым годом, с развитием онлайн-технологий, число таких «инженеров» растет, и все больше людей теряют средства, становясь жертвами мошенников.

В сфере финансовой информационной безопасности злоумышленники, для того чтобы похитить деньги, стремятся, чтобы жертва совершила переход по ссылке, скачала и установила программу, предоставила учетные данные, PIN-коды, пароли из СМС.

Недавно Банк России выпустил ежегодный обзор операций, совершенных без согласия клиентов физических лиц за 2020 год. В нем сказано, что операции без согласия клиентов были проведены почти на 10 млрд рублей: это на 3,5 млрд рублей больше, чем в 2019 году. По неофициальным данным, цифра в разы выше: 150 млрд рублей. Просто далеко не каждый пострадавший заявляет о том, что его обманули. При этом доля социальной инженерии в этой цифре превысила 60%. Средняя сумма операций без согласия клиента - 11,4 тыс. рублей. Это тоже больше, чем в 2019 году, тогда сумма была около 10 тыс. рублей.

Тренд 2020 года в данной сфере - получение кредитов через дистанционные каналы. Мошенники опробовали такие схемы на нескольких банках, и это сработало. Не потому, что банки были плохие, а потому, что россияне сами сообщили мошенникам СМС-коды, затем эти коды были активированы на сайте, по ним получены кредиты, которые ушли на банковские счета мошенников. Мошенники целятся на депозитные счета граждан, переходят от стратегии «от многих по чуть-чуть» к стратегии «от одного, но много». Схем очень много, постоянно изобретаются новые способы.

СПОСОБЫ ОБМАНА

Пример первый: «Кредит»

Вам поступает звонок якобы от службы безопасности банка, называют ваши ФИО и другие данные, и говорят, что в настоящий момент на вас оформляется кредит, банк кредит одобрил, и служба безопасности спрашивает, как вы его будете получать. Вы, естественно, отвечаете, что никакого кредита не просили, и тогда вам заявляют, что кредит, наверное, хотят на вас оформить мошенники, после чего предлагают им помешать. Способ предлагается такой: исчерпать самостоятельно все попытки для получения кредита. Дальше, «по секрету», вам сообщают, что попыток всего три, после чего отправляют вас на сайт или мобильное приложение банка и просят трижды нажать определенную кнопку. На вопрос, что делать, если кредит вам выдадут, вас успокаивают: не переживайте, вы потом переведете эти деньги на специальный счет, чем тут же погасите кредит. Понятно дело, кредит вы переведете на счет мошенников…

Пример второй: «Мобильное приложение банка устарело»

Вам звонят якобы из службы безопасности вашего банка и информируют, что мобильное приложение, которое у вас стоит на телефоне, устарело. Более того, в нем есть уязвимость, через которую мошенники могут похитить ваши деньги. Чтобы защитить средства, вам предлагают срочно скачать новое мобильное приложение, более защищенное. Предлагают сделать это прямо сейчас, обещают прислать ссылку на скачивание в виде СМС. Ссылка действительно приходит, но только если вы по ней скачаете и установите приложение, оно не будет иметь ничего общего с приложением вашего банка, хотя выглядит очень похоже на официальное. В поддельное приложение встроена система удаленного доступа к вашему телефону. Дальше мошенники через этот доступ входят уже в ваше официальное мобильное приложение и переводят себе деньги. Вам на телефон от настоящего банка приходят СМС с запросами на подтверждение, но вы их не видите, так как их перехватывают мошенники.

Пример третий: «Вы совершали перевод?»

С этой схемой сталкивалось, наверное, большинство, она самая распространенная. Вам звонят и сообщают, что сейчас с вашей карты был совершен перевод некой суммы какому-то человеку (называют его ФИО). Однако система мониторинга банка посчитала эти действия сомнительными, и вам звонят, чтобы вы подтвердили этот перевод. Вы отвечаете, что не делали такого перевода, и тогда вам предлагают отказаться от операции, назвав код из смс-сообщения. На самом деле кодом из смс-сообщения вы подтверждаете эту операцию, и деньги уходят злоумышленникам.

Пример четвертый: «Правоохранительные органы»

Еще одна популярная схема обмана, которая набирает обороты. Она основана на психологическом давлении. Бывает в виде двух сценариев.

Сценарий первый: «Налоговая». Вам звонит якобы работник правоохранительных органов (капитан или майор) и говорит, что ему от налоговой службы поступило сообщение о незаконном движении денежных средства по вашему счету в размере, например, 2 млн рублей. Вас пугают уголовной ответственностью за это и приглашают на разговор, называя адрес в другом от вас городе. Вы отвечаете, что таких денег у вас и нет на счету, к тому же вы находитесь очень далеко. Тогда вам рассказывают о новой технологии, которая позволяет включить запись текущего разговора и официально подтвердить, что такого движения средств по счету не было. Вы соглашаетесь, и вам приходит код в СМС, который вас просят сообщить. На самом деле этот код позволяет злоумышленникам зарегистрироваться в мобильном банке и проводить операции в дальнейшем с помощью вашего телефона.

Сценарий второй: «Задержание преступника». Вам звонят и представляются генералом или руководителем силового ведомства, причем называют не только ваши ФИО, адрес проживания, место работы, но и другую личную информацию. Затем сообщают, что у вас есть сосед по дому (или коллега на работе, причем могут назвать реального, знакомого вам человека), и его сейчас будут задерживать за экономические преступления, причем с поличным, то есть будут давать взятку, и если он ее возьмет, то его арестуют. Однако возникла проблема: сотрудник полиции, который вез нужную сумму, попал в аварию. В итоге все готовы к операции, а денег нет. И вот обзванивают соседей, ищут того, кто готов проявить гражданскую инициативу и дать нужную сумму. Эту сумму, конечно, обещают тут же вернуть, еще и отблагодарить грамотой ФСБ, а то и представить к госнаграде. Если человек переведет нужную сумму «генералу», то, конечно, больше никогда этих денег не увидит.

Пример пятый: «Депозит»

Это, наверное, самая сложная схема, но и самая выгодная для мошенников. Вам звонит «служба безопасности банка» и заявляет, что ваше устройство скомпрометировано. В клиент-банке найдена уязвимость, причем ее создал кто-то из сотрудников банка, чтобы воровать деньги клиентов. Звонящие уговаривают вас прийти в отделение и снять все деньги, несмотря на то, что в банке вас будут отговаривать. И, дескать, не верьте этим отговорам - это мошенники, они вам будут врать, что нет никакой уязвимости в банке. Далее звонящие вас успокаивают: вы не потеряете свой процент за вклад, ведь есть новая программа лояльности в банке-партнере, где установлен более высокий процент, что тот, что у вас был. Это специальная программа для тех клиентов, которые, к сожалению, пострадали от мошенников. В итоге человек идет в банк, снимает деньги с депозита, хотя его все отговаривают, затем идет в другой банк, и там через банкомат кладет их на тот номер счета, который ему продиктовали социальные инженеры. Это может показаться безумным, но злоумышленники работают исключительно на наших с вами страхах, а запуганный человек способен и не на такое.

Это лишь основные примеры того, как социальные инженеры работают по телефону. Но многие, особенно в период пандемии, стали покупать товары онлайн, и тут тоже надо быть осторожным. Например, если вы в интернете видите сайт известного бренда пиццы (или чего угодно), который выглядит вроде бы как официальный сайт, однако предлагает три пиццы, условно, за 50 рублей, то тщательно проверьте, не поддельный ли это сайт. Возможно, 50 рублей вы заплатите, но ни одной пиццы не получите. А бывает, что социальные инженеры встраиваются и в реальные сайты. Вы выбираете товар, переходите на страницу оплаты, открывается платежная форма «Сбербанка», но… она фейковая. Если вы внимательно посмотрите на адресную строку, то увидите, что там есть какие-то другие символы. Такой платеж уйдет в пользу мошенников, причем сам магазин может и не знать об этой возможности.

КАК ЗАЩИТИТЬСЯ

Для защиты от интернет-мошенников банки-эквайеры (использующие технологию безналичного приема платежей - банковские карты, система бесконтактной оплаты) переходят на технологию 3D-Secure 2.0. Это дополнительная идентификация плательщика. Когда происходит платеж в интернете, банк присылает СМС, чтобы убедиться, что вы - это вы. Все мы платим в интернете с одних и тех же устройств, и меняем эти устройства нечасто. Первые три раза 3D-Secure 2.0 будет у вас дополнительно при покупке запрашивать подтверждение по СМС, однако затем она запомнит ваши устройства и больше спрашивать не будет. Если с 3D-Secure прошла мошенническая операция (что в разы труднее, чем без этого), то ваш банк будет разбираться с владельцем карты, кто получил доступ к карточке. Если операция прошла без 3D-Secure, то ответственность за нее несет либо интернет-магазин, либо банк-эквайер.

Но что делать, если вам звонят и пугают, что происходит списание ваших денег? От этого, к сожалению, техническими средствами защититься сложно. Человек должен сам быть бдительным. Вот лишь несколько основных советов:

- Если вам звонят из банка и предлагают совершить какую-то операцию с деньгами - положите трубку, найдите телефон вашего банка и перезвоните, уточните. Ни в коем случае не звоните по тем телефонам, которые присылаются вам в СМС. Вы потратите немного больше времени, но, возможно, сохраните свои деньги.

- Ни в коем случае никому, даже сотруднику банка, не сообщайте пароли, кодовое слово и CVC-код (есть на обратной стороне каждой карты).

- Если кто-то, пусть даже ваш знакомый, в интернете просит у вас денег на что угодно (лечение, пополнить баланс телефона и т.п.), то позвоните этому человеку и уточните, действительно ли это его просьба или от его имени действуют мошенники.

Если все же у вас украли деньги со счета, то есть шанс их вернуть. Для этого нужно подать соответствующее заявление в банк.

- В соответствии со ст. 9 ФЗ № 161 «О национальной платежной системе», если гражданин получил уведомление от кредитной организации, что операция была проведена по его карте, и он с этим не согласен, не позднее следующего дня он должен проинформировать банк. Банк проводит расследование, и если нарушений правил использования электронных средств платежа не выявлено и действительно это хищение, совершенное в том числе методом социальной инженерии, банк возвращает эти денежные средства, - поясняет Валерий Тумин из Банка России.

К сожалению, не всегда возможно получить деньги обратно, но в любом случае, если вы обратитесь, банк начнет проверку и либо вернет деньги, либо представит доказательства, почему он не может этого сделать.

Автор материала:
Юлия Рыженкова - Осторожно, киберловушка
Юлия Рыженкова
E-mail: ryjenkova@solidarnost.org
Читайте нас в Яндекс.Дзен, чтобы быть в курсе последних событий
Новости Партнеров
Комментарии

Чтобы оставить комментарий войдите или зарегистрируйтесь на сайте

Для добавления комментариев вам необходимо авторизоваться
Новости BangaNet


Киномеханика