Журнал ПЛАС » Архив » 2019 » Журнал ПЛАС №3 » 1268 просмотров

Социальная инженерия. Кто виноват и что делать

Социальная инженерия. Кто виноват и что делать

О том, почему использование преступниками социальной инженерии начинает выходить сегодня на первый план в общей картине фрода, как реализуются типичные сценарии такого рода преступлений и что можно противопоставить изобретательности мошенников и доверчивости наших граждан, в беседе с журналом «ПЛАС» рассказывает Алексей Голенищев, директор по мониторингу операций и диспутам Альфа-Банка.

Потребитель – слабое звено в цифровую эпоху

Мошенничество с использованием социальной инженерии за последнюю пару лет получило очень широкое распространение. Это обусловлено целым рядом факторов, первый из которых – появление в портфелях банков значительного количества популярных у населения цифровых продуктов и услуг, включая денежные P2P-переводы с карты на карту, дистанционные платежи и т. д. Некоторые классические банковские сервисы были переведены из физического формата филиалов и дополнительных офисов в цифровой формат и удаленные каналы обслуживания.

Также не исключено, что с развитием стартовавшей в начале 2019 года Системы быстрых платежей (СБП) мы будем наблюдать появление новых схемотехник с применением социальной инженерии.

Второй фактор – качественный рост физической защищенности самих банковских карт как платежного средства, произошедший за последние годы. Переход на чиповые технологии, антискимминговая защита банкоматов и других устройств самообслуживания, а также распространение бесконтактных платежей привели к тому, что сегодня количество случаев компрометации карточных данных с последующим использованием поддельных карт пошло на спад, превратив их в единичные инциденты. На этом фоне мошенники тоже стали массово и организованно переходить из физических каналов в «цифру».

Характерно, что сами каналы и приложения, предоставляющие потребителям цифровые услуги, достаточно надежны и хорошо защищены. Слабым звеном здесь выступают сами пользователи этих услуг в лице клиентов банков. Они в своем большинстве, как правило, избыточно доверчивы, мало информированы и не сильно подкованы с точки зрения соблюдения даже элементарных правил безопасности при пользовании такими услугами. При этом массовость использования цифровых финансовых продуктов обеспечивает охват ими, в том числе, самых некомпетентных с этой точки зрения слоев населения, включая пожилых людей. Этому, к сожалению, косвенно способствует и активная политика государства по «цифровизации» сферы оплаты услуг. Естественно, что мошенники активно пользуются сложившейся ситуацией.

Лицом к лицу с мошенником

Надо отметить, что понятие социальная инженерия появилось отнюдь не вчера. Сама по себе она – не более чем набор социально-психологических приемов, позволяющих мошенникам получать конфиденциальные данные напрямую у самих потребителей, используя различные форматы коммуникаций и сценариев. Среди них наиболее распространены телефонные разговоры, а также SMS-сообщения и электронная почта.

Преступниками разработано очень много схемотехник, базирующихся на использовании социальной инженерии

С помощью этих каналов преступник связывается с потенциальной жертвой, выстраивая с ней устойчивые доверительные отношения. Чаще всего он представляется сотрудником банка, например, сотрудником «службы безопасности». Играя на чувстве обеспокоенности и страха либо доверии, клиенту сообщают о якобы существующих у него проблемах с обслуживанием кредита, заблокированной карте либо несанкционированном списании средств с карты или счета. По словам мошенника, клиенту для предотвращения огромных потерь нужно срочно предпринять некие действия, например, перевести средства на «безопасный» счет или сообщить полученный в SMS код якобы для отмены операции, и т. п. Жертва, напуганная неожиданной информацией, впадает в состояние тревоги, иногда даже паники, и перестает адекватно воспринимать действительность. Именно в этом состоянии атакуемый и выдает конфиденциальную информацию в полной уверенности, что действительно имеет дело с банковским сотрудником, в то время как правильное осмысление ситуации просто блокируется и отключается. В результате он может сообщить преступнику практически любые конфиденциальные данные: реквизиты своих карт, счетов, кодовые слова и одноразовые пароли для входа в системы интернет-банка и пароли для подтверждения операций, полученные им по SMS.

Непосредственно в ходе сеанса общения с жертвой мошенники параллельно входят под ее именем в мобильное или интернет-приложение банка, получая тем самым доступ ко всем счетам клиента. А дальше диапазон мошеннический действий велик – это и изменения настроек личного кабинета, и непосредственно сами мошеннические операции – перевод средств клиента на счета мошенников, досрочное закрытие депозитов с последующим выводом/обналичиванием, принятие кредитных предложений с аналогичным выводом заемных сумм и т. п.

Благодаря повсеместному развитию сервисов ДБО к настоящему времени преступниками разработано очень много схемотехник, базирующихся на использовании социальной инженерии. При всем их разнообразии в основе каждой лежит доверчивость клиентов. Не все потребители знают о таких схемах и не в полной мере осознают возможные риски. Кроме того, очень часто мошенники уже обладают определенными знаниями о клиенте, что позволяет им быстрее и надежнее заручиться его доверием непосредственно в момент общения.

К сожалению, случаи утечки данных из финансовых организаций, телеком-операторов, других органов и компаний, являющихся хранителями конфиденциальной информации, пусть единичные, но есть. Хотя в большинстве случаев клиенты сами выдают личные данные. Часто размещают о себе много лишней информации в соц­сетях, чатах и т. д. Хорошей площадкой для мошенников выступают различные торговые интернет-площадки вроде Авито.

Как это работает? Размещая в объявлении данные о продаже той или иной вещи, клиент уже с самого начала предоставляет преступникам свои ФИО и номер телефона. На него выходят мошенники под видом покупателей, предлагая перевести задаток за товар на карту продавца. В результате последним становится известен и номер карты. Как известно, по его префиксу можно определить банк-эмитент. Часто такие коммуникации приводят к инициированию мошеннического списания с карты «продавца» этой суммы «задатка», для чего мошенники совершают операцию перевода с карты «жертвы» на карту мошенника с выманиванием полученного ею по SMS одноразового пароля.

Также во многих банках сегодня есть автоматизированные информационные службы, выдающие информацию о балансе счета при звонке с зарегистрированного в системе банка номера телефона клиента. Для этого мошенники используют один из самых опасных приемов – подстановку действительного номера телефона клиента с помощью IP-телефонии при входящем звонке в call-центр банка. Автоматизированная система распознает такой звонок как обращение клиента, выдавая преступникам данные о балансе счета. А любая, даже небольшая информация, позволяет мошенникам выстраивать с клиентами успешные «социал-инженерные» коммуникации и совершать хищения.

Что делать?

Для противодействия социальной инженерии, которая в последнее время действительно приняла опасные масштабы, важно любыми способами доносить до клиента базовые принципы обеспечения собственной финансовой безопасности. Так, например, надо четко понимать, что при входящих звонках нельзя выдавать (даже сотрудникам банков) не только кодовые слова и одноразовые пароли, но вообще никакие другие данные, включая ФИО. Даже если у клиента создается ощущение, что он имеет дело с  автоматизированной системой банковского call-центра – поскольку мошенники хорошо научились имитировать характерное многоголосие, параллельные разговоры по телефону и даже «голос робота», на которого они якобы переключают пользователя для озвучивания конфиденциальных данных. Клиент должен четко для себя уяснить, что кодовые слова используются только при звонке самого клиента в call-центр банка, причем строго по телефонному номеру, указанному на карте или в договоре.

В ходе сеанса общения с жертвой мошенники параллельно входят под ее именем в мобильное или интернет-приложение банка

Всю эту информацию необходимо доносить до граждан комплексно, в т. ч. не только силами банков и других компаний – поставщиков сервисов и услуг, но и в рамках информационных кампаний федерального масштаба с привлечением центральных каналов телевидения, рекламы на общественном транспорте и в других местах высокой людской проходимости. Одновременно стоит организовать базовую образовательную часть такой кампании, обучая население азам безопасного использования современных финансовых услуг, начиная со школьных учреждений.

К сожалению, многие пользователи достаточно наивно и опрометчиво ведут себя в ситуациях, когда на них выходят мошенники. И это при том, что им звонят и пишут отнюдь не высококвалифицированные психологи и специалисты. При этом им порой задают нелогичные вопросы, ответы на которые сотрудники банков и так знают, а кодовые слова и пароли последним просто не нужны. Известно, что раньше этим занимались заключенные из мест лишения свободы, сейчас же кадры пополнились «не сильно отягощенной моральными принципами» молодежью и людьми, не привыкшими зарабатывать честным трудом. Подход преступников стал более организованным и подготовленным, и они неплохо мотивированы, получая процент от суммы средств «разведенной» ими жертвы.

Используя технологии IP-телефонии (в том числе за пределами российской территории, в частности с Украины), мошенники часто подменяют номер входящего звонка на действительный телефонный номер банка или номер из федерального пула (определяется как «8-800…»). К сожалению, доверчивый клиент часто воспринимает этот факт как подтверждение принадлежности вызова к его банку и не знает, что подобные федеральные номера в реальности создаются только для бесплатных входящих звонков клиентов, звонить с них нельзя! Таким образом, если вам звонят с номера «8-800…», это или мошенники, или, в лучшем случае, недобросовестные рекламодатели.

Еще одна уловка «социальных инженеров» – использование того факта, что многие, особенно состоятельные, клиенты могут иметь несколько счетов в разных банках, а для удобства аутентификации используют одно и то же кодовое слово. И уже отмечены случаи, когда мошенники выходят на таких клиентов целенаправленно и, «выудив» или подобрав кодовое слово, используя его, «обзванивают» call-центры банков, заведомо зная их или наобум, с целью совершения последующих хищений.

В лучшем случае разговор может быть примерно следующим:

– Назовите кодовое слово.
– «Петров».
– Неверно.
– Как неверно, а в другом банке подошло!

К сожалению, обнаружить местонахождение мошенников-телефонистов и тем более задержать их правоохранительным органам достаточно сложно, к тому же звонки поступают больше из-за границы и, как говорилось ранее, зачастую с использованием IP-телефонии, когда практически невозможно стандартными средствами обнаружить физическое нахождение базовой телефонной станции.

Банки и их клиенты по большей части остаются один на один с организованным преступным сообществом

Впрочем, если пойти по пути системного выстраивания комплексной линии обороны, объединив усилия банков, мобильных операторов и ФинЦЕРТа ЦБ РФ, ситуацию можно изменить, в том числе и за счет применения технологий, позволяющих выявлять факты подстановки номера, а также ввода отдельных запретно-ограничительных мер для данных технологий. Однако для этого нужны коллективный подход и заинтересованность всех участников рынка.

А пока банки и их клиенты в плане социальной инженерии по большей части остаются один на один с организованным преступным сообществом.

Будущее – за кросс-канальным мониторингом

Конечно же, ведущие кредитные организации всесторонне пытаются защитить своих клиентов, в том числе используя самые современные технологии фрод-мониторинга, которые они постоянно совершенствуют с учетом актуальных видов атак и мошенничества. И, по опыту Альфа-Банка, большую часть клиентских средств таким образом удается спасти. Но сами попытки мошенничества, связанные с применением социальной инженерии, выявлять одними средствами мониторинга очень сложно, поскольку здесь невольным «пособником» преступников становится сам клиент, самовольно выдающий критичную информацию и порой собственноручно совершающий переводы на карты/счета мошенников. Поэтому мошеннические операции порой выглядят вполне законно.

Тем не менее анализ мошеннических операций позволяет выявить определенные поведенческие маркеры, и мы в Альфа-Банке пошли в направлении аналитики и мониторинга алгоритмов действий клиентов, профилей активности и т. п., позволяющих оперативно выявлять и предотвращать мошеннические операции.

Более того, в настоящее время мы находимся в стадии внедрения системы кросс-канального фрод-мониторинга. Речь идет об объединении отдельно существующих систем мониторинга, а именно мониторинга карточных операций и операций в системах ДБО, в единую мониторинговую кросс-канальную экосистему, позволяющую анализировать одновременно (в режиме онлайн) операции, связанные с конкретным клиентом, не только в карточных каналах, но и в каналах интернет/мобильного банка, операционных офисах банка (кассовые операции) и т. д. Причем данная система позволит обрабатывать и анализировать не только финансовые операции, но и нефинансовые, такие как смена паролей, ПИН-кода, замена SIM-карты телефона, различные триггеры «биометрии» устройств, с которых пользователи совершают операции (например, fingerprint устройства), и др.

Такой подход позволит выявлять признаки попыток реализации разнообразных мошеннических схем, основанных на использовании социальной инженерии, которые, как правило, носят именно кросс-канальный характер и могут быть обнаружены исключительно в ходе комплексного мониторинга. Мошенники часто хорошо осведомлены о функционалах, возможностях и принципах работы банковских сервисов и приложений (в т. ч. конкретных банков), научились атаковать счета эшелонированно, обходя установленные лимиты и иные ограничения путем совершения определенных действий, в том числе нефинансовых. Поэтому банку просто необходима такая кросс-канальная система мониторинга, способная выявлять и предотвращать сложнопрофилированные мошеннические атаки, связанные с одновременным использованием для хищений различных банковских сервисов, приложений и каналов.

Впрочем, в силу своей важности и многогранности эта тема заслуживает отдельного разговора на страницах журнала «ПЛАС».

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных