Эпидемия вишинга

Эпидемия вишинга

Как мошенники сегодня чаще всего воруют деньги у клиентов банков и как не попасть на уловки злоумышленников

Автор: Антонина Тер-Аствацатурова


До 70% всех краж у клиентов российских банков в прошлом году было совершено с участием самих владельцев счетов и банковских карт, то есть с использованием методов социальной инженерии, подсчитали в ЦБ. Чаще всего речь идет о телефонных звонках мошенников, которые представляются сотрудниками банков и буквально за несколько минут разговора получают в свое распоряжение данные банковских карт, СVV/CVC-коды, одноразовые пароли из SMS и другие личные данные клиентов банков. Разбираемся вместе с экспертами, какие еще уловки сегодня чаще всего используют финансовые мошенники и как с помощью простых и понятных правил цифровой гигиены обезопасить себя и свой смартфон от телефонных и кибератак.


ЧИТАЙТЕ В СТАТЬЕ:

✔ Триумф социальной инженерии

✔ Почему вишинг работает?

✔ Могут ли телефонные хакеры украсть деньги с брокерского счета?

✔ Как еще орудуют мошенники?
✔ Как не попасть на уловки мошенников


© При использовании материалов сайта и цитировании — ссылка с URL-адресом обязательна



«Здравствуйте, вас беспокоят из службы безопасности банка…» или Триумф социальной инженерии

В разгар рабочего дня у Елены на смартфоне раздался звонок: на экране высветился городской номер с кодом Москвы.

— Елена, здравствуйте! Вас беспокоят из службы безопасности Сбербанка...

Сотрудник банка попросил назвать четыре последние цифры номера банковской карты и сообщил, что с карты совершаются какие-то подозрительные переводы. Встревоженная Елена никакие операции не подтвердила, и менеджер банка тут же заверил, что все переводы будут заблокированы. А напоследок вежливо поинтересовался, нет ли у Елены счета еще в каком-нибудь банке, ведь его тоже могут атаковать мошенники.

— Звонивший разговаривал как банковский работник, он явно был хорошо подготовлен, — вспоминает Елена. — Когда я назвала второй банк, «менеджер» тут же, не откладывая, предложил соединить меня с его службой безопасности, и через минуту я уже говорила с предполагаемым «сотрудником» другого банка. Там мне тоже сообщили, что кто-то пытался незаконно перевести деньги с моего счета и, пока банк будет вести внутрибанковское расследование, я могу воспользоваться услугой «страхования» и перевести все средства на специально сгенерированную для таких случаев «банковскую ячейку». Когда расследование завершится, средства вернутся ко мне на счет, заверил менеджер. После этого он предложил мне самостоятельно войти в интернет-банк, продиктовал номер «банковской ячейки» и я собственноручно совершила перевод.

— Речь идет о классическом случае хищения средств с использованием методов социальной инженерии, — комментирует Артем Артемов, ведущий специалист Лаборатории компьютерной криминалистики Group-IB. — Сегодня это самый распространенный вид финансовых мошенничеств. Человеку звонят по телефону и заставляют его каким-то образом сообщить свои личные данные: логины, пароли к личным кабинетам, номера карт, кодовые слова, позволяющие подтвердить в банке личность клиента.

По словам представителя Group-IB, социальная инженерия появилась достаточно давно, такие случаи известны с 2011 года, но только последние несколько лет вишинг приобрел такие масштабы. Количество обращений в Group-IB с жалобами на инциденты, связанные с социальной инженерией, по итогам 2019 года выросло на 154%.

Одна из причин такого бума связана с тем, что люди в принципе стали более активно использовать электронные средства платежа, полагают в ЦБ. По данным регулятора, в прошлом году объем операций с использованием пластика в банкоматах и в Интернете составил 63.7 трлн руб. Кроме того, клиенты российских банков стали гораздо чаще пользоваться и дистанционным банковским обслуживанием: в 2019 году они провели более миллиарда операций через онлайн- и мобильные банки на общую сумму 7.3 трлн руб.

pic3_scammers.png

Торжество технологий оказалось на руку мошенникам. ФинЦЕРТ (центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России. — Ред.) зафиксировал по итогам прошлого года почти 572 тыс. несанкционированных операций с электронными средствами платежа. Общий объем ущерба клиентам банков среди физлиц составил более 5.7 млрд руб.

pic4_scammers.png pic5_scammers.png pic6_scammers.png

При этом банки в общей сложности возместили клиентам 935 млн руб. из украденных мошенниками 5.7 млрд. Это всего лишь 15%, или каждый 7-й похищенный рубль.

Такой скромный уровень возмещения в самом ЦБ объясняют именно высокой долей социальной инженерии среди мошеннических операций. Получается, что клиенты банков сами нарушают условия договора с кредитными организациями, которые предусматривают сохранение конфиденциальности платежной информации.

Почему вишинг работает?

— Самое главное, что срабатывает в данном случае, — это страх и стресс. Основная задача телефонного мошенника — создать для жертвы какую-то стрессовую ситуацию, — объясняет Артем Артемов. — Поэтому все подобные звонки обычно начинаются с различных «страшилок»: вам сообщают, что прямо сейчас с вашего счета пытаются вывести средства, вашу карту взломали, а личные данные похитили и так далее. Все это делается с одной единственной целью — заставить вас действовать быстро, не особо отдавая себе отчет в своих действиях.

Иногда злоумышленники могут в какой-то момент разговора переключить вас на заранее заготовленный скрипт, и с вами начнет общаться робот. Как показывает практика, роботам люди доверяют гораздо больше, чем друг другу, полагает Артемов. Погоняв вас по меню какое-то время, в итоге вас скорее всего попросят назвать либо кодовое слово, либо продиктовать код, поступивший в sms-сообщении.

pic7_scammers.png

Часто телефонные мошенники используют так называемую технологию подмены телефонного номера (А-номера — номера телефона вызывающего абонента). Совершаются такие звонки с помощью технологии IP-телефонии. Когда вам поступает такой звонок, на экране вашего телефона высвечивается реальный номер банка, хотя звонит вам мошенник, объясняет представитель Group IB. Отследить таких злоумышленников по номерам телефонов практически невозможно. Органы внутренних дел должны запрашивать большой объем информации у операторов связи. Кроме того, нужно заходить и с другой стороны, то есть выяснять, куда мошенниками были выведены средства. Для такой масштабной следственной работы нужны серьезные основания.

В июне—августе ЦБ отправил операторам связи информацию о более чем 2.5 тыс. номеров, с которых поступали звонки клиентам банков, но лишь 200 номеров были заблокированы. В остальных случаях было отказано «ввиду отсутствия правовых оснований». Что любопытно: из 2500 телефонных номеров подменных оказалось всего 198 — то есть успех аферы не столько в «красивом номере», сколько в том, что мошенники имеют на руках подробную информацию о клиентах банков и профессионально «прессуют» жертву.

— Сейчас Минкомсвязи разрабатывает новый способ борьбы с телефонными мошенниками — с помощью «цифровой подписи» для верификации абонентов при звонках по телефону, — рассказал Артем Артемов. — Система идентификации абонентов позволит исключить звонки с поддельных номеров, которые используют мошенники. Если на номер абонента поступит звонок без цифрового идентификатора, значит, номер поддельный. В этом случае вы точно будете знать, звонят ли вам из банка либо какой-то другой организации или это какой-то сторонний номер. Подделать цифровую подпись будет невозможно, и это сильно осложнит жизнь финансовым мошенникам.

Могут ли телефонные хакеры украсть деньги с брокерского счета?

— Конечная цель любых телефонных мошенников — каким-то способом вывести средства с любых ваших счетов, — рассуждает Артем Артемов. — В моей практике был случай, когда в телефонном разговоре мошенники уговорили человека продать активы на металлических счетах (золото, платина) и вывести средства. При этом злоумышленники заранее знали, что находится на счетах у клиента, и он был уверен, что разговаривает с техподдержкой банка или личным менеджером.

Причем в таких ситуациях злоумышленники часто даже не пытаются выведать у клиента банка какую-то секретную информацию, платежные данные карты и так далее. В ход идет всего лишь легенда о том, что кто-то пытается получить доступ к счету клиента и, чтобы обезопасить свои средства, ему немедленно следует перевести все деньги на специально созданный резервный/страховочный счет, банковскую ячейку или так называемый «зеркальный» счет. Действуя в состоянии паники, человек своими же руками переводит деньги мошенникам. Именно по такому сценарию действовали мошенники в описанной выше истории Елены.

Однако в отличие от кейсов с банковскими картами в случае с брокерскими счетами и ИИС (индивидуальными инвестиционными счетами) «зеркальная» схема уже не сработает.

— Не так давно в нашей практике был такой случай: одной из клиенток позвонили телефонные мошенники. Сначала они «уговорили» ее вывести деньги с банковского карточного счета на упомянутый выше «зеркальный» счет, — рассказывает Игорь Лаухин, управляющий директор ИК «Септем Капитал». — А после того как клиентка сама сообщила им, что у нее в том же банке открыт еще и индивидуальный инвестиционный счет через партнера (в данном случае — через нашу компанию), попытались проделать то же самое со средствами на ИИС. Девушка продала все активы на ИИС и поставила средства на вывод, указав номер счета, который продиктовали ей мнимые сотрудники службы безопасности банка. Однако мошенники не учли того, что вывод средств с брокерского счета по закону возможен только на банковский счет, открытый на то же имя, что и брокерский счет, вывести средства на счет третьего лица брокерская компания не может. Брокер фактически находится во внутреннем банковском контуре. Чтобы получить доступ к деньгам клиента, мошенники должны опять же обмануть банк, провести добросовестную брокерскую компанию в этой ситуации невозможно. Нас сразу насторожил подозрительный счет, который клиентка указала для вывода денег с ИИС, мы связались с ней для уточнения реквизитов перевода. В результате операция не была подтверждена брокерской компанией и средства вернулись на счет клиентки.

Как еще орудуют мошенники

На фоне торжества социальной инженерии, которая показывает небывалый рост, масштабы других, более технологичных видов финансовых мошенничеств, как ни странно, в последнее время сокращаются. Сокращение в России ущерба от всех видов киберпреступлений с использованием вредоносных программ, направленных как напрямую на банки, так и на их клиентов, привело к рекордному падению рынка на 85%, подсчитали в компании Group-IB. По ее оценкам, рынок высокотехнологичных преступлений в финансовой отрасли России сократился до 510 млн рублей за период H2 2018 — H1 2019. В предыдущий период эта цифра находилась на уровне 3.2 млрд рублей.

pic1_scammers.png pic2_scammers.png

Однако падение объемов рынка не означает, что старые, проверенные методы технологичных краж денег у клиентов банков перестанут работать и совсем не будут использоваться мошенниками. В числе неустаревающих схем мошенничеств — финансовый фишинг, мобильные трояны, а также JS-снифферы.

Финансовый фишинг

Один из старейших и по-прежнему достаточно популярных способов кражи денег и информации.

— В этом случае мошенники часто полностью копируют сайт компании или банка, их логотипы и фирменные цвета, контент, контактные данные, регистрируют похожее доменное имя и затем еще активно рекламируют свои ресурсы в соцсетях и поисковиках, — объясняет Артемов. — К примеру, человек вводит в поисковик запрос «Сбербанк онлайн», при этом вероятность того, что в первых строчках выдачи ему вылетит фишинговый сайт, очень высока. Чаще всего поддельные сайты эффективны в кражах при переводе денег с карты на карту. Другая, также хорошо известная разновидность фишинга — фишинговые рассылки, e-mail, sms, сообщения в соцсетях и популярных мессенджерах.

#LIFEHACK

Чтобы не стать жертвой мошенников, убедитесь, что сообщение, которое вы получили, действительно пришло от банка или брокерской компании. Обращайте внимание на то, есть ли в сообщениях опечатки (мошенники часто этим грешат), и никогда не переходите по подозрительным ссылкам от неизвестных отправителей, в том числе в социальных сетях, мессенджерах и SMS.

Всегда проверяйте ссылки, по которым вы собираетесь перейти, и адрес сайта, на котором вы собираетесь ввести какие-либо данные, например платежные. Лучше не кликать по готовым ссылкам из сообщений (даже если вы почти на 100% уверены в их надежности), а вручную вводить URL в адресную строку браузера.

Не пересылайте ссылки своим контактам в мессенджерах и соцсетях, если не уверены в их подлинности: таким образом легко стать частью мошеннической схемы.

Мобильные трояны

На третьем месте по популярности у злоумышленников находятся мошенничества с использованием мобильных троянов, когда пользователи сами устанавливают себе на смартфоны приложения, скачанные из неизвестных источников, либо вводят в поисковике запрос на нужное приложение и в результатах поиска переходят по рекламным ссылкам, которые, как правило, забивают первые строчки выдачи, и устанавливают себе на устройство не оригинальное приложение, а версию мошенников. В результате их личные данные с мобильного устройства тоже уходят налево — мошенникам.

Как работают вредоносные мобильные приложения

Одна из распространенных функций вредоносных приложений — перехват sms-сообщений и отправка sms за вас. Получив доступ к вашим sms-сообщениям, мошенники могут понять, каким банком вы пользуетесь, получить историю ваших операций и информацию об остатках по счету. Отправив sms на короткий номер банка, можно перевести деньги с карты на карту, подтверждение также придет по sms. К слову, один из эффективных методов противодействия такого рода мошенничествам — подключение push-уведомлений.

Кроме того, мобильные трояны могут настраивать переадресацию вызовов с одного номера на другой: если вы, к примеру, почуяли неладное и пытаетесь позвонить в техподдержку банка, вас перенаправят совершенно к другим людям.

— Сейчас есть так называемые универсальные мобильные трояны — приложения, которые маскируются под множество разных финансовых организаций, — говорит Артемов. Попадая к вам на телефон, такой троян сначала опрашивает систему по ключевым словам, например «деньги», «финансы», «банки» и так далее, находит какие-то совпадения и выводит на экран иконку нужного банка или платежной системы, чьим приложением вы пользуетесь.

Как понять, что приложение вредоносное?

— Если вы устанавливаете на смартфон приложение банка или платежной системы не из официального источника, то есть не с сайта банка и не из магазина приложений Google Play, обращайте внимание на то, какие права у вас запрашивает приложение при установке (доступ к sms, фото, документам и т. д.), — советует Артемов. — Или к примеру, при установке на телефон какого-то простейшего приложения, скажем, банального «Калькулятора», он вдруг начинает запрашивать у вас права на доступ к sms или контактам. Это сразу должно вас насторожить. Обязательно обращайте на такие случаи внимание.

Бывают и более сложные ситуации, когда сразу после установки приложение работает нормально, а затем через какое-то время оно обновляется и к нему добавляется вредоносный функционал.

— Во всех описанных случаях речь идет про смартфоны, работающие на операционной системе Android. У пользователей iPhone таких проблем практически нет, — уточняет специалист Group-IB. — Изначально платформа iOS была построена на других принципах, там данные шифруются намного эффективнее и внутри самой платформы доступ приложений друг к другу очень сильно ограничен. Платформа Android в этом смысле намного более уязвима. Кроме того, по статистике, около 84% людей в мире пользуются смартфонами на базе Android. Этот рынок попросту намного шире, мошенникам выгоднее атаковать ту платформу, которая чаще используется пользователями.

JavaScript-снифферы

Еще одна разновидность технологий финансовых мошенников — JavaScript-снифферы. JS-сниффер — это несколько строк кода, который внедряется злоумышленниками на сайт для перехвата вводимых пользователем данных: номеров банковских карт, имен, адресов, логинов, паролей и так далее.

— Подумайте, как часто вы используете одинаковые пароли для разных аккаунтов? Добыв таким образом один ваш пароль, мошенники, вероятнее всего, попробуют пролезть с ним в ваши соцсети и почту, — предупреждает Артем Артемов. — А получив доступ к почте, например к вашему Google-аккаунту, мошенник может попытаться подменить пароли ко всем вашим аккаунтам в соцсетях, которые привязаны к данному Google-аккаунту. После этого злоумышленники попытаются либо шантажировать вас, либо продадут полученные данные на специализированных форумах в даркнете. Правда, стоит отметить, что сайты банков от таких атак в основном защищены, по крайне мере в России, так как наши банки уже достаточно хорошо натренированы российскими хакерами.

Как не попасть на уловки мошенников

  • Регулярно обновляйте все программное обеспечение на ПК и смартфоне. Это элементарное правило цифровой гигиены. Как мы регулярно моем лицо, руки и чистим зубы, так же нужно обращаться и со своим компьютером и смартфоном.
  • Не будьте слишком жадными — не устанавливайте на ПК и смартфон бесплатные «взломанные» приложения из сторонних источников. Они могут содержать дополнительный «функционал», который угрожает утечкой данных с ваших устройств.
  • Заведите резервную дебетовую банковскую карту (помимо зарплатной). Держите на ней небольшой объем средств и именно ее используйте для оплаты покупок в Интернете и через платежные терминалы. Если мошенники похитят данные резервной карты, вы сможете ее тут же заблокировать. При этом доступ к основной карте, где хранятся основные средства, сохранится.
  • Подключите для всех своих аккаунтов в соцсетях и на почтовых серверах двухфакторную аутентификацию. В этом случае для входа в аккаунт вам потребуется ввести не только логин и пароль, но и специальный код, приходящий по SMS или электронной почте. Такая двухслойная защита более эффективна от несанкционированного проникновения.
  • Если вам позвонили, представившись сотрудником банка, и просят быстро принять решение, описывая пугающие сценарии, не впадайте в панику и не спешите. Две минуты ничего не решат. Прекратите разговор, положите трубку, спокойно все обдумайте, затем самостоятельно свяжитесь с банком и разберитесь в том, что происходит в действительности.
  • Никогда не сообщайте в телефонном разговоре никому, в том числе сотруднику банка, полные реквизиты карт, ПИН-коды, CVV/CVC-коды, одноразовые пароли для подтверждения операций, данные о наличии счетов в других банках или любую другую личную информацию. Если вас просят сообщить подобные данные или ввести в онлайн/мобильном банке реквизиты для перевода, немедленно прекратите разговор и самостоятельно перезвоните в банк по официальному номеру, который указан на сайте банка или на обороте карты.

Полную версию инфографики можно скачать тут.

НАВЕРХ


ЧИТАЙТЕ ТАКЖЕ:

✔ Как быстро оформить вычет по ИИС

✔ Как не попасть в поведенческую ловушку на фондовом рынке

КОММЕНТАРИИ