Журнал ПЛАС » Архив » 2019 » Журнал ПЛАС №3 » 1216 просмотров

Социальная инженерия. Кто виноват и что делать

Социальная инженерия. Кто виноват и что делать

О том, почему использование преступниками социальной инженерии начинает выходить сегодня на первый план в общей картине фрода, как реализуются типичные сценарии такого рода преступлений и что можно противопоставить изобретательности мошенников и доверчивости наших граждан, в беседе с журналом «ПЛАС» рассказывает Алексей Голенищев, директор по мониторингу операций и диспутам Альфа-Банка.

Потребитель – слабое звено в цифровую эпоху

Мошенничество с использованием социальной инженерии за последнюю пару лет получило очень широкое распространение. Это обусловлено целым рядом факторов, первый из которых – появление в портфелях банков значительного количества популярных у населения цифровых продуктов и услуг, включая денежные P2P-переводы с карты на карту, дистанционные платежи и т. д. Некоторые классические банковские сервисы были переведены из физического формата филиалов и дополнительных офисов в цифровой формат и удаленные каналы обслуживания.

Также не исключено, что с развитием стартовавшей в начале 2019 года Системы быстрых платежей (СБП) мы будем наблюдать появление новых схемотехник с применением социальной инженерии.

Второй фактор – качественный рост физической защищенности самих банковских карт как платежного средства, произошедший за последние годы. Переход на чиповые технологии, антискимминговая защита банкоматов и других устройств самообслуживания, а также распространение бесконтактных платежей привели к тому, что сегодня количество случаев компрометации карточных данных с последующим использованием поддельных карт пошло на спад, превратив их в единичные инциденты. На этом фоне мошенники тоже стали массово и организованно переходить из физических каналов в «цифру».

Характерно, что сами каналы и приложения, предоставляющие потребителям цифровые услуги, достаточно надежны и хорошо защищены. Слабым звеном здесь выступают сами пользователи этих услуг в лице клиентов банков. Они в своем большинстве, как правило, избыточно доверчивы, мало информированы и не сильно подкованы с точки зрения соблюдения даже элементарных правил безопасности при пользовании такими услугами. При этом массовость использования цифровых финансовых продуктов обеспечивает охват ими, в том числе, самых некомпетентных с этой точки зрения слоев населения, включая пожилых людей. Этому, к сожалению, косвенно способствует и активная политика государства по «цифровизации» сферы оплаты услуг. Естественно, что мошенники активно пользуются сложившейся ситуацией.

Лицом к лицу с мошенником

Надо отметить, что понятие социальная инженерия появилось отнюдь не вчера. Сама по себе она – не более чем набор социально-психологических приемов, позволяющих мошенникам получать конфиденциальные данные напрямую у самих потребителей, используя различные форматы коммуникаций и сценариев. Среди них наиболее распространены телефонные разговоры, а также SMS-сообщения и электронная почта.

Преступниками разработано очень много схемотехник, базирующихся на использовании социальной инженерии

С помощью этих каналов преступник связывается с потенциальной жертвой, выстраивая с ней устойчивые доверительные отношения. Чаще всего он представляется сотрудником банка, например, сотрудником «службы безопасности». Играя на чувстве обеспокоенности и страха либо доверии, клиенту сообщают о якобы существующих у него проблемах с обслуживанием кредита, заблокированной карте либо несанкционированном списании средств с карты или счета. По словам мошенника, клиенту для предотвращения огромных потерь нужно срочно предпринять некие действия, например, перевести средства на «безопасный» счет или сообщить полученный в SMS код якобы для отмены операции, и т. п. Жертва, напуганная неожиданной информацией, впадает в состояние тревоги, иногда даже паники, и перестает адекватно воспринимать действительность. Именно в этом состоянии атакуемый и выдает конфиденциальную информацию в полной уверенности, что действительно имеет дело с банковским сотрудником, в то время как правильное осмысление ситуации просто блокируется и отключается. В результате он может сообщить преступнику практически любые конфиденциальные данные: реквизиты своих карт, счетов, кодовые слова и одноразовые пароли для входа в системы интернет-банка и пароли для подтверждения операций, полученные им по SMS.

Непосредственно в ходе сеанса общения с жертвой мошенники параллельно входят под ее именем в мобильное или интернет-приложение банка, получая тем самым доступ ко всем счетам клиента. А дальше диапазон мошеннический действий велик – это и изменения настроек личного кабинета, и непосредственно сами мошеннические операции – перевод средств клиента на счета мошенников, досрочное закрытие депозитов с последующим выводом/обналичиванием, принятие кредитных предложений с аналогичным выводом заемных сумм и т. п.

Благодаря повсеместному развитию сервисов ДБО к настоящему времени преступниками разработано очень много схемотехник, базирующихся на использовании социальной инженерии. При всем их разнообразии в основе каждой лежит доверчивость клиентов. Не все потребители знают о таких схемах и не в полной мере осознают возможные риски. Кроме того, очень часто мошенники уже обладают определенными знаниями о клиенте, что позволяет им быстрее и надежнее заручиться его доверием непосредственно в момент общения.

К сожалению, случаи утечки данных из финансовых организаций, телеком-операторов, других органов и компаний, являющихся хранителями конфиденциальной информации, пусть единичные, но есть. Хотя в большинстве случаев клиенты сами выдают личные данные. Часто размещают о себе много лишней информации в соц­сетях, чатах и т. д. Хорошей площадкой для мошенников выступают различные торговые интернет-площадки вроде Авито.

Как это работает? Размещая в объявлении данные о продаже той или иной вещи, клиент уже с самого начала предоставляет преступникам свои ФИО и номер телефона. На него выходят мошенники под видом покупателей, предлагая перевести задаток за товар на карту продавца.

Если у вас есть подписка, нажмите

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных