На Международном финансовом конгрессе в Санкт-Петербурге представители Центробанка огласили основные тенденции этого года в сфере информационной безопасности. В частности, эксперты назвали главные способы хищения средств с банковских счетов россиян, наиболее популярные у мошенников в этом году. Результаты исследований ошеломили многих: первое место в списке рисков, с которыми сталкиваются пользователи мобильных устройств при совершении платежных операций, занимает низкая осведомленность и неосторожность пользователей (29%). При этом потеря гаджета приводит к утрате денежных средств лишь в 27% случаев, а кража – в 11%.
Чаще всего злоумышленники, которые похищают средства с банковских карт, используют методы так называемой социальной инженерии. Жулики прибегают к различным психологическим приемам (зачастую довольно нехитрым), и в итоге жертва сама сообщает им все данные, необходимые для списания денег. Причем, по оценкам банков, к таким манипуляциям воры прибегают все чаще, и тенденция демонстрирует тревожный рост.
Нам часто приходят сообщения, в которых банки просят ни в коем случае не сообщать мошенникам пароли из СМС и другую информацию о платежной карте. Мы постоянно предупреждаем об опасности наших детей и престарелых родителей, которые склонны к излишней доверчивости и неопытны в подобных вещах. Тем не менее даже взрослый, опытный, скептически настроенный человек может стать жертвой искусных манипуляторов.
В такой ситуации оказалась моя собеседница Олеся: несколько дней назад у ее мужа списали с карты крупную сумму денег. Александр до последнего был уверен, что все в порядке, и, напротив – его средства пытаются спасти.
«Мужу позвонили якобы из его банка. Сообщили о подозрительных операциях: о том, что кто-то из другого региона пытается с его карты снять деньги, – рассказывает девушка. – Они уже знали номер его карты, личные данные и его геоположение. Заботливо спросили, не терял ли он карту, попросили проверить ее наличие при нем. Затем предложили заморозить счет и перевести деньги на новую карту, которую обещали привезти на следующий день».
Когда зашла речь о новой карте, Александр все-таки заподозрил неладное и напрямую спросил собеседника, почему он должен ему верить. Но жулик и не думал отступать.
«С другого конца провода сказали: «Посмотрите, на вашей карте указан номер телефона банка. Мы звоним с этого номера, значит, вы общаетесь с сотрудником банка». Этого было достаточно, чтобы он поверил и сообщил собеседнику номер из СМС-сообщения для перевода денег на другую карту. Им даже не понадобился трехзначный номер на обороте карты», – вздыхает Олеся.
Даже после разговора с мошенниками Александр был уверен, что все сделал правильно, и завтра ему доставят новую карту с деньгами. Но жена оказалась более бдительной и убедила его связаться с оператором банка по тому же номеру, чтобы уточнить информацию.
«При повторе звонка он действительно попал в колл-центр своего банка и дождался связи с оператором, который, к сожалению, подтвердил наши опасения. Деньги уплыли к мошенникам, и удастся ли их вернуть, пока неизвестно», – признается собеседница «МИР 24».
Александр стал далеко не единственной жертвой подобного грамотного «развода». Вскоре после этой истории Олеся показала мне сообщение от банка, в котором молодой человек хранит свои средства (СМС действительно прислали сотрудники организации). В сообщении говорилось об участившихся случаях мошенничества, когда клиентам банка звонили через виртуальный сервер (то есть на экране высвечивался реальный номер банка), обращались по имени-отчеству и просили предоставить коды подтверждения из СМС и другую информацию о картах. Олеся рассказала, что спустя несколько дней после того, как ее мужа ограбили, их общему знакомому также позвонили «из банка» и заявили, что его счет пытаются взломать. Спасло мужчину только то, что звонок внезапно оборвался.
Ввести жертву в состояние стресса
По данным компании Zecurion, которая занимается исследованиями в области информационной безопасности, доля несанкционированных списаний с карт при помощи психологических приемов в России может доходить до 60%.
«У мошенников главная задача – ввести свою потенциальную жертву в состояние стресса, – объясняет генеральный директор компании Zecurion Алексей Раевский. – В этом состоянии отключается способность рационально мыслить, и включается инстинкт «бей или беги». От осведомленности тут даже мало что зависит, потому что у любого человека могут быть какие-то моменты, когда он больше подвержен стрессу: может, у него иммунитет ослаблен, день был тяжелый или он с женой поругался. В такое состояние можно погрузить любого человека. Вспомните тех же цыган: среди них есть мошенники, которые просто начинают разговаривать с жертвой, и жертва, сама не понимая как, отдает им деньги и украшения, потом приходит в себя, а уже поздно. И это происходит с людьми, которые прекрасно знают, что с цыганами на улице нельзя разговаривать, нельзя им ничего давать. Тем не менее все эти методики работают, потому что человеческая психика подчиняется определенным законам».
Таким образом, попасться на уловку мошенников может абсолютно любой человек. Не стоит забывать, что на другом конце провода зачастую – отличные психологи и ловкие манипуляторы.
«Я думаю, дело было еще в собеседнике, – рассуждает Олеся. – Скорее всего, он был очень убедителен. К тому же, по словам мужа, в трубке слышался шум, который обычно бывает, когда звонят из колл-центров. Наверное, официальный тон беседы плюс телефон банка его сбили с толку».
Главным элементом этой преступной схемы всегда является уровень доверия жертвы. Если бы мошенники звонили с улицы случайным людям, то, вероятнее всего, их бы ожидал провал. Но когда к вам обращаются по имени, называют номер вашей карты и даже точный остаток на счете – как тут не поверить? Интересно, что в случае с Александром махинаторы смогли определить даже его местоположение. Возникает логичный вопрос: откуда у постороннего человека взялась такая информация? На самом деле ничего сложного в том, чтобы добыть ее, нет. Какие-то данные (например, тот же номер телефона) легко получить из открытых источников. А вот данные о банковских картах воры, скорее всего, получают от рядовых сотрудников банков, и никакие хитрые программы тут не нужны.
«Наиболее очевидный вариант источника таких данных – это инсайдеры. Это сотрудники банка, которые нарушают внутренние инструкции и «сливают» данные клиентов. Они делают это в основном с целью заработка, потому что эти данные стоят денег. Есть черный рынок, где можно эту информацию купить и продать, а банки пока не очень успешно борются с этой проблемой», – рассказывает Алексей Раевский.
Таким образом, даже если вы заведете себе второй смартфон или дополнительную SIM-карту и постараетесь как можно меньше «светить» в сети свой личный номер телефона, мошенники, которые уже получили доступ к вашей информации через банковских сотрудников, все равно позвонят на тот номер, который находится в базе банка.
Чтобы обезопасить себя, важно запомнить главное: настоящие сотрудники банков никогда не звонят клиентам, чтобы узнать у них какую-либо информацию. У банка всегда есть доступ ко всем вашим счетам и операциям, и, чтобы заморозить ваш счет в случае угрозы, сотрудник вряд ли станет звонить вам и требовать, чтобы вы назвали ему проверочный код по телефону.
Создать «колл-центр» проще, чем написать вирус
Не стоит забывать и о таких видах мошенничества, как фишинг и скримминг, которые были в ходу у жуликов несколько лет назад. Злоумышленники-фишеры создают сайт, имитирующий официальный сайт банка. Для этих целей используется доменное имя, похожее на имя банка, но зарегистрированное в одной из доменных зон какого-либо удаленного региона – Южной Америки, Африки и т.д. Как правило, жертву заманивают на подставную страницу письмом, имитирующим официальное сообщение от техподдержки банка. После того, как вы попали на сайт-ловушку, вас, скорее всего, попросят ввести все данные о карте, включая CCV и пин-код.
Еще один способ получить доступ к чужому банковскому счету называется «скримминг». Скриммер – это портативный сканер, считывающий данные с карты. Устройство имеет вид накладки, которую злоумышленник устанавливает на щель приема карты банкомата. Скриммер пропускает через себя карту и проталкивает ее дальше, в банкомат, считывая при этом данные с магнитной ленты. После этого мошенники легко могут изготовить точную копию вашей карты и списать с нее все деньги.
«Фишинг сам по себе никуда не делся. Но сейчас в связи с 3D-аутентификацией и прочими новыми технологиями, конечно, без дополнительной психологической составляющей невозможно украсть деньги чисто с помощью фишинга. Установка на банкоматы какого-то дополнительного оборудования, которое позволяет получить данные карточки и потом изготовить дубликат, пока еще применяется, но уже в меньшей степени, потому что все-таки почти везде используются чип-карты (карты со встроенным микропроцессором, где данные о счете зашифрованы с помощью сложных цифровых кодов – прим. ред.). Мне кажется, что стоит опасаться вирусов-шифровальщиков, потому что они, как показала практика недавних лет, являются серьезной угрозой. В принципе, все классические угрозы никуда не делись. Просто мошенники ведь тоже оценивают потенциальные затраты, сложности и выгоды», – объясняет Алексей Раевский.
Главный плюс социальной инженерии состоит в том, что она не требует сложных технических средств и навыков. Мошенники же идут по пути наименьшего сопротивления и наибольшей монетизации, отмечает эксперт.
«Если написать и запустить вирус-шифровальщик, чтобы он зашифровывал деньги и вымогал биткойны у жертв – это задача нетривиальная, то посадить, условно говоря, 10, 20 или 100 человек за такую «работу» гораздо проще. Тем более говорят, что этим занимаются в местах лишения свободы, где у людей вообще много свободного времени. И там это бизнес, поставленный на поток. Нужно лишь определенное количество телефонов, соответствующее числу людей, которые «работают» в этом, если можно так выразиться, «колл-центре». Средство для изменения номера можно купить, базу данных, по которой предстоит звонить – тоже можно купить. То есть здесь требуются чисто финансовые вложения, а дальше уже идут доходы», – говорит Раевский.
Ответственность банков: борьба со «сливами»
Что же делать, если вы стали жертвой манипуляций? Можно ли как-то вернуть деньги? Безусловно, стоит немедленно обратиться в полицию, но гарантий, что ваши средства к вам вернутся, конечно, никто не даст. Банк же далеко не всегда сможет помочь в такой ситуации, говорит Раевский.
«Тут надо читать соглашение банка с клиентом, в котором это регулируется. Как правило, конечно, банк пишет, что, если организация получила тот или иной запрос и код, значит, клиент с этим согласен, он как бы под этим подписался. Если изменить эту систему, то это вновь приведет к злоупотреблениям. Те же самые мошенники будут открывать счета в банках, покупать себе с карточки яхты и «мерседесы», а потом говорить: «Меня обманули, верните мне деньги! Это не я, это мошенники». То есть это тоже палка о двух концах», – подчеркивает глава Zecurion.
И все же банки тоже можно упрекнуть в том, что они плохо борются с инсайдерами, которые «сливают» базы данных клиентов, утверждает Раевский. Он отмечает, что на Западе ответственность за подобные утечки со стороны банков гораздо более серьезная, чем в России.
«Есть соответствующие системы, которые позволяют мониторить внутреннюю безопасность. На законодательном уровне у нас банки никак не страдают из-за таких утечек. На Западе очень жесткие законы о защите персональных данных. А у нас максимальный штраф, который организация может понести по закону – 75 тысяч рублей. Грубо говоря, допустим, у какого-то крупного банка украли всю базу данных, а он заплатил штраф в размере 75 тысяч рублей и может не заморачиваться. Конечно, там есть имиджевые потери, но крупные банки не очень страдают из–за этого. Тем временем в Америке и в Европе банки штрафуют на десятки миллионов долларов за утечки персональных данных. Во-первых, банки обязаны сообщать о таких утечках, во-вторых, каждая такая утечка расследуется, и выясняется, почему она произошла. И, конечно, штрафы там кратны количеству украденных записей», – говорит Раевский.
Алексей, как и многие его коллеги, считает, что наиболее действенным способом противостоять мошенникам могли бы стать специальные программы по киберграмотности. Раевский убежден: в школах необходимо вводить такой предмет, как кибербезопасность. Эту дисциплину можно преподавать отдельно или в рамках основ безопасности жизнедеятельности. По мнению эксперта, знать основы поведения в киберпространстве необходимо каждому, и начинать лучше как можно раньше.
«Об этом давно уже говорят, и я сам призываю к этому не первый год. У нас в школьной программе есть замечательные уроки ОБЖ. Там рассказывают, что делать в случае террористических актов и техногенных катастроф. Но шансы у обычного гражданина стать жертвой теракта и техногенной катастрофы гораздо ниже, чем стать жертвой мошенников. Поэтому я считаю, что киберграмотность обязательно нужно включать в школьную программу. С каждым годом мы (особенно молодое поколение) все больше времени проводим в киберпространстве, где очень много опасностей», – предостерегает Алексей Раевский.
Подробнее в сюжете: Осторожно, мошенники!