14 мая 2020 г.
Истории о гражданах, потерявших десятки, а иногда и сотни тысяч рублей после нападения кибермошенников, традиционно вызывают интерес в обществе. Сегодня такие истории стали встречаться чаще, так как с развитием технологий преступники все охотнее выбирают полем деятельности киберпространство. В этом нет ничего удивительного: в виртуальной среде больше возможностей и сценариев для мошенничества, а потенциальная прибыль от обмана выше. И все же, несмотря на всю изобретательность мошенников, случаи обмана, заслуживающие обобщения, укладываются в четыре ключевые схемы. Каждой из них соответствует определенный способ защиты. Давайте рассмотрим их последовательно.
Первый случай — мошенничество с применением методов психологии и социологии, адресная социальная инженерия. Речь идет о случаях, когда необходимую личную информацию и данные для входа в систему интернет-банкинга мошенник выманивает в процессе разговора, представляясь сотрудником банка.
Второй случай — мошенничество, совершающееся схожим методом, но изначально направленное на широкую аудиторию. В этом случае мошенники совершают обзвон абонентов по базе телефонных номеров или рассылают СМС с информацией о якобы существующих проблемах с картой и требованием связаться с «сотрудником банка» по включенному в сообщение номеру. Получив реакцию, мошенники действуют по тому же алгоритму, что и в первом случае: с помощью методов психологии находят подход к человеку, обманом получают личные данные, включая номер карты и наименование выпустившего ее банка. На заключительном этапе жертву просят сообщить одноразовый код для входа в систему интернет-банкинга для совершения перевода средств с карты на карту.
Вступающие в контакт с мошенниками совершают одну и ту же ошибку — они не берут на себя труд разобраться в правилах коммуникации между банком и клиентом. Сотрудники банка могут связаться с клиентом по телефону в строго определенных случаях. Как правило, цель звонка — рассказать о новом продукте или услуге. В этом случае сотрудник не будет запрашивать у клиента личную информацию. Во-первых, чтобы рассказать о продукте, такая информация не нужна. Во-вторых, все необходимые данные, включая номер телефона, карты, счета и тому подобное, есть в базе кредитной организации. Пин-код или коды верификации банк не будет запрашивать по телефону ни при каких обстоятельствах — этой информацией должен владеть только клиент и никто другой. Все транзакции кредитные организации проводят с помощью средств интернет-банкинга и не запрашивают подтверждение по телефону.
Единственным исключением может стать операция, которая по каким-то причинам кажется подозрительной сотруднику банка — к примеру, если клиент переводит значительную сумму денег, зайдя в систему с IP-адреса в другой стране. Однако и в этом случае сотрудник не будет запрашивать личные данные — вся информация об операции содержится в базе. По этой причине единственная цель звонка клиенту — получить подтверждение того, что именно он, а не кто-то другой, совершил интересующую операцию.
По причине недостаточного знакомства с правилами обслуживания, звонок мошенника застает потенциальную жертву врасплох, поэтому можно порекомендовать взять за правило проводить в отношении любого входящего звонка от банка небольшую проверку. Для этого на входящий звонок от кредитной организации стоит отвечать предложением перезвонить, предварительно выяснив имя, фамилию и внутренний номер телефона сотрудника. Для связи стоит использовать номер колл-центра, указанный на обороте банковской карты. При такой методике никто не окажется в проигрыше: если с клиентом связался сотрудник банка, он отнесется к проявлению недоверия с пониманием, а клиент, самостоятельно связавшись с сотрудником по официальному каналу, может быть уверен, что разговаривает не со злоумышленником. Проверка позволяет отразить атаки мошенников, пользующихся методами социальной инженерии, практически в ста процентах случаев.
Третья распространенная схема связана с установкой программы-вируса на устройство клиента или побуждение установить фальсифицированное, но очень похожее на настоящее мобильное приложение вместо официального программного обеспечения банка. Эта схема требует от мошенников значительного уровня подготовки, прежде всего, для создания и постоянного совершенствования вирусной программы. Задача вируса — подмена на устройстве клиента страниц входа и оплаты, а также внесение изменений в платежную информацию, в результате которых перевод попадает в другой банк через сервер мошенников. Приложения объединяют в себе все эти функции, поэтому любые транзакции означают перевод средств на соответствующие счета.
Для противостояния атакам по этой схеме высокий уровень подготовки в области ИТ и программирования не нужен — достаточно следовать нескольким простым рекомендациям. Так, на мобильных устройствах с открытой операционной системой не следует разрешать установку приложений из неизвестных источников. На любых устройствах, используемых для доступа к интернет-банкингу, следует своевременно устанавливать системные обновления и обновлять мобильные приложения, выпущенные банком. При возможности необходимо настроить оповещение о совершении операций так, чтобы код подтверждения приходил на другое устройство, а не на смартфон или компьютер, который используется для входа в банкинговую систему. Также стоит запретить в настройках операционной системы мобильных устройств автоматическое подключение к публичным Wi-Fi-сетям, так как их используют в качестве прикрытия мошенники.
Четвертый, последний сценарий связан с использованием фишинговых сайтов или приложений. В этом случае важные данные попадают к мошенникам при использовании нелегитимных интернет-ресурсов. Фишинговый сайт представляет собой копию одной из популярных платформ для онлайн-покупок, почтовых служб и других ресурсов, требующих от пользователя ввода таких данных, как номер кредитной карты, логин и пароль. Чтобы избежать попадания на такой сайт, достаточно приучиться проверять ссылку в адресной строке, пользоваться только проверенными ресурсами и сервисами, а мобильные приложения для онлайн-покупок устанавливать только из официальных магазинов. Сочетание этих мер предосторожности значительно снижает вероятность стать жертвой мошенников.
Надеюсь, что приведенные здесь несложные рекомендации помогут вам защитить деньги. Самое важное — всегда оставаться начеку и не считать, что мошенничества не существует и что оно не может коснуться лично вас. Не стоит относиться с излишним доверием к неизвестным людям, звонящим вам по телефону, и стесняться или лениться проверять, кто и с какой целью интересуется вашими финансами.
Источник: Вячеслав Касимов, директор департамента информационной безопасности МКБ