Павел Крылов: «Банку проще заблокировать карту, чем просить клиента перевести деньги на «безопасный» счёт» A− A= A+
Методы социальной инженерии в сфере финансового мошенничества эволюционируют. О новых уловках мошенников и приёмах самозащиты клиентов банков порталу Finversia.ru рассказал руководитель направления Secure Bank/Secure Portal компании Group-IB Павел Крылов.
- Кем чаще всего представляются мошенники – сотрудниками банка, сотового оператора, может быть, появились ещё какие-то популярные варианты?
- В начале этого года полицией была задержана группа, которая занималась финансовым мошенничеством. Сотрудники отдела расследований Group-IB принимали участие в этой операции. Как выглядела схема мошенников? Человек звонил пенсионерам и представлялся «Прокурором» Москвы. Утверждал, что фирма, у которой пожилые люди несколько лет назад приобрели лекарства и биодобавки, по решению суда была признана мошеннической, и в этой связи покупателям якобы была положена компенсация в размере от 100 000 до 600 000 рублей. Обрадованные покупатели, не понимая, что это «развод», переводили деньги, причём довольно крупными суммами, на чужие счета. Это чистая социальная инженерия, при которой не используются никакие специальные средства.
- Какие каналы связи чаще всего используют мошенники для общения с потенциальными жертвами? Телефонная связь/мессенджеры/социальные сети/электронная почта или их комбинации?
- Были многочисленные случаи, когда мошенники массово находили жертв в социальных сетях и мессенджерах. Взламывались учётные записи, и от имени пользователей их друзьям рассылались просьбы перевести деньги. Кроме того, многие банки стали двигаться в социальные сети, для того чтобы повысить удобство обслуживания клиентов. Создавали официальные группы, где можно оставить отзыв, задать вопрос. Мошенники стали делать профили, которые похожи на профили сотрудников банка, и обращаться к клиентам. Например, когда кто-то из них оставил сообщение в официальной группе. Не все же пишут в личные сообщения – кто-то рассержен, хочет обратиться публично. В результате мошенник выходит на такого клиента быстрее, чем реальный сотрудник банка, и пишет: «Здравствуйте, уважаемый … Я сотрудник банка, готов решить вашу проблему…». И дальше начинается классика: просят оставить данные, реквизиты карты, пин-код, CVV и т.д. Это была популярная схема в прошлом году.
- Почему эта разновидность мошенничества сошла на нет?
- Люди стали понимать, как работают мошенники, запоминают, на какие уловки не стоит попадаться. И мошенники переключились на новую схему. Они звонят через IP-телефонию с подменой номера. Естественно, потенциальная жертва видит номер банка, это вызывает некое доверие. Плюс к этому мошенники используют персональные данные, «слитые» из различных организаций. Например, в первой половине 2019 года, по данным ЦБ, в даркнете были обнаружены 13 000 объявлений о покупке и продаже персональных данных и только 1500 из них относятся к кредитно-финансовым организациям. Всё остальное «течёт» из других, в том числе государственных, организаций, которые концентрируют в себе эти данные. Мошенники используют эти данные. Они могут обратиться по имени-отчеству, назвать остаток по счёту. Иногда поступают ещё хитрее: присылают с обычного, не банковского телефона смс о том, что произошла попытка списания денежных средств. Клиент видит, что смс с неофициального номера, пугается, но ничего не делает. И тут идёт звонок с номера банка (подменённого), клиент уже готов содействовать…
Иногда работает жажда наживы, лёгких денег. Делается фишинговый сайт или группа в социальной сети, где предлагается пройти опрос, за который банк заплатит денег. Предлагались деньги от скромных 3 000 рублей до каких-то безумных сумм в 250 000 рублей. Человек, казалось бы, должен понимать, что за прохождение опроса никак не могут платить такие деньги. Но, тем не менее, вот этих подложных ресурсов, где собирались данные, необходимые для того чтобы провести платёж, было очень и очень много. Человека вели по скрипту, он заполнял форму, указывал всё, что нужно мошенникам для того чтобы списать деньги.
- С фейковыми опросами – это распространённая схема?
- Да. Буквально на прошлой неделе я видел такое объявление по конкретному банку, но в целом это не основной фронт мошенничества.
До сих пор популярно использование досок бесплатных объявлений. Там есть номера телефонов. Мошенник звонит продавцу, выступает в роли заинтересованного покупателя, говорит, что болеет или находится в другом городе, и предлагает снять лот с продажи взамен на некую предоплату. Люди, которые не совсем понимают в банковских продуктах (мошенник прощупывает эту тему), соглашаются выполнить определённые инструкции. Им говорят: «Давай я тебе переведу деньги, а чтобы это произошло быстро, сходи к банкомату, мы там проведём платёж». И под диктовку человек, не совсем понимая, что он делает, фактически проходит регистрацию в системе дистанционного банковского обслуживания, получает коды доступа в личный кабинет. Часто при этом там указывается номер телефона мошенника как основной, и тот получает полный доступ к средствам клиента.
Бывает, что якобы сотрудник банка звонит и просит человека скорее бежать к банкомату, чтобы предотвратить несанкционированное списание – перевести деньги на некий сейф-счёт. Это полный бред. Банку проще заблокировать карту, нежели просить клиента перевести деньги на какой-то счёт.
Очень популярная схема с удалённым управлением. Звонит якобы сотрудник банка, говорит об обнаружении проблемы: «Ваши деньги отображаются на счёте, но вы не можете ими распоряжаться. Пустите меня удалённо на свой телефон, мы с вами быстро проблему устраним». Клиент банка из официального Google Play загружает приложение для удалённого доступа (одно из популярных – TeamViewer QuickSupport) и сообщает по телефону свой уникальный идентификатор, позволяющий подключиться к его конкретному смартфону. После этого мошенник на экране компьютера или на планшете видит экран клиента и может на нём совершать любые действия. Дальше возможны разные сценарии. Человек либо сам совершает эти действия, переводит в мобильном банке средства на «безопасный счёт» (который, конечно, оказывается счётом мошенника), либо это делают за него.
- Что ещё используют?
- Вы, наверно, знаете, что банки предупреждают своих клиентов: не говорите смс-коды и CVC-коды. Зная это, мошенники стали звонить и говорить: «Я сотрудник банка. Нам нужно удостовериться, что это вы. Ни в коем случае, не говорите нам смс-код, пожалуйста. Наберите его в тоновом режиме». И по тональности звуков восстанавливают код.
В последнее время мы видели несколько встревоженных постов в Facebook о том, что в телефонном разговоре с неизвестными ни в коем случае нельзя говорить: “Да” или “Да, я подтверждаю” - мошенники записывают фразы и потом пытаются снять деньги со счета. Это похоже на миф или очередную интернет-страшилку. Систем верификации на основе только голоса либо другой биометрической информации как одного-единственного фактора идентификации клиента для совершения перевода или платежа в банках нет. Недавно “Ростелеком” официально заявлял, что снять деньги со счета или воспользоваться любой другой финансовой услугой по одному слову, например, «да» или «я подтверждаю» через Единую биометрическую систему (ЕБС) невозможно.
- Технологии сегодня позволяют синтезировать голос практически любого человека. Это может стать почвой для массового финансового мошенничества? Допустим, звонит вам ваш друг (мама, брат) и говорит, что попал в трудную ситуацию…
- Не могу сказать, насколько это сейчас доступно «в быту» с точки зрения технологий. Но уже есть прецеденты целенаправленных атак такого рода на богатых людей – там, где оправданны такие сложности. Трудно дать чёткую рекомендацию в этом случае. Конечно, не помешает самостоятельно дозвониться до своего друга или родственника и выяснить, в чём дело. Конечно, подобные случаи крайне редки – их сложно реализовать, поэтому вряд ли эта схема станет популярной, но её нельзя исключать.
- Может быть, сформулируете краткий перечень правил, которых нужно придерживаться всем и всегда, чтобы не попадать в подобные ситуации?
- Первое. Если вам звонит сотрудник банка, вежливо прервите разговор и сами перезвоните в банк или дойдите до отделения.
Второе. Помните, что банку точно не нужно знать ваш номер карты, CVC-код, пин-код для того чтобы обслужить вас. Даже для того чтобы заблокировать карточку. Если их спрашивают – это точно не банк. Правда, недавно в отделении банка (не буду называть какого) мне для получения выписки со счёта предложили назвать смс-код. Девушка, которая стоит на входе в отделение, решила таким образом оптимизировать работу. Я возразил, что банк сам запрещает говорить код кому-либо, даже сотруднику банка. Здесь кредитные организации сами себе противоречат. Конечно, если такое правило существует, то оно должно соблюдаться во всех каналах. Тогда будет очень чёткий месседж клиентам, что этого делать ни при каких условиях не стоит.
Третье. Не надо ставить различные приложения на телефон, даже полученные (якобы) от друзей. Существуют троянские программы, которые позволяют получить доступ к учётной записи вашего друга, и от его имени рассылать ссылки на вредоносные программы. Если получили информацию от друга – проверяйте её по другому каналу (перезвоните, напишите смс). А для младшего и старшего поколений не помешает провести ликбез, чтобы они в каждом непонятном случае звонили вам и уточняли, как себя вести.