
Социальная инженерия против банковских клиентов. Причины «успеха» и способы защиты

Юрий Божор, начальник отдела методологии и анализа рисков финансовой доступности (на правах Управления) Службы по защите прав потребителей и обеспечению доступности финансовых услуг Банка России
В настоящее время подавляющая часть потерь банковских клиентов от мошенничества приходится на успешные хищения с помощью социальной инженерии.
Можно выделить несколько направлений в этом бурном и мутном потоке.
Мошенничество коммуникативное – получение от жертвы в телефонном разговоре либо в процессе общения в различных чатах, соцсетях, электронных письмах и т. д. конфиденциальных данных (персональных, номеров и других параметров платежных карт, счетов, номеров и сканов документов и т. д). Затем на основании этих данных осуществляется попытка хищения активов потенциальной жертвы. Аналогичные атаки проводятся в отношении сотрудников финансового блока компаний, только в этом случае мошенники покушаются не на личные деньги, а на деньги предприятия и для вхождения в доверие используют информацию о руководстве и сотрудниках компании, представляются сотрудниками центрального офиса, помощниками руководителей, сотрудниками контролирующих и надзорных органов. Технологически банки уже предусматривают защиту, предполагающую участие клиента в процессе подтверждения операции (например, обязательная защита дистанционных карточных платежей 3D-Secure), либо эта защита требует ввода дополнительных кодов для подключения к Samsung Pay или Apple Pay, другим системам платежей со счета или карты. Поэтому вторым этапом мошенники стараются узнать коды или пароли, приходящие в сообщениях от банка.
Главный «родовой признак» этих атак: убедить потенциальную жертву сообщить требуемые данные. Приемы злоумышленников опираются на три кита любого мошенничества: жадность, страх и, в ряде случаев, банальное невежество, когда клиенту либо обещают «на грош пятаков» или другие золотые горы, пугают его «вот сейчас все заблокируем», «сейчас или никогда», либо убедительно рассказывают какие-то фантастические истории.
Мошенничество с использованием технологических решений – когда жертва получает письмо, в котором находится ссылка на зловред, либо жертву заманивают на мошеннический сайт, очень похожий на настоящий сайт банка, билетного оператора, оператора услуг и т. п., либо сообщают о выигрыше в лотерею или другом неожиданном поступлении средств. Это по сути тот же вариант, что и в коммуникативном случае, но мошенники даже не утруждают себя общением с клиентом, все делает программа.
У меня вызывает наибольший интерес проблема: как ответственный, часто весьма квалифицированный и образованный человек за короткий промежуток времени попадает под влияние лица, совершенно ему неизвестного, принимая его за представителя банка, компании, государственного регулирующего органа, спецслужб и действует в полном соответствии с инструкциями злоумышленника. При этом классические, известные столетиями приемы манипулирования, которые, например, используют цыганки, получая все деньги жертвы, имеющиеся у нее не только при себе, но и в квартире, на счете в банке и т. п., или различные уличные преступники, ловцы «на живца» доверчивого обывателя (найденное кольцо, кошелек, уличные игры «кто больше поставит») здесь работать не могут. Мошенники добиваются нужной реакции от совершенно незнакомого человека и воруют активы без физического контакта с жертвой: путем убеждения при телефонном разговоре или в процессе переписки, обходя и различные методы дополнительной защиты, и весьма изощренные системы фрод-мониторинга банков.
Пять вопросов о социальной инженерии
В рамках круглого стола мы предложили экспертам из самых различных областей, включая банкинг, информационную безопасность и психологию, поделиться своим мнением и ответить на следующие вопросы:
1. Почему люди так легко попадаются на удочку мошенников, несмотря на постоянные напоминания банков о бдительности, различные сообщения в прессе и на телевидении?
2. Почему не дают радикального эффекта кампании по повышению финансовой грамотности населения, что необходимо улучшить или дополнить, особенно для помощи социально незащищенным категориям населения?
3. Справедливо ли мнение, что всех потребителей все равно не сделать специалистами, повышение финансовой грамотности населения в борьбе с социальной инженерией недостаточно эффективно, и следует сосредоточиться именно на технологических аспектах обеспечения безопасности на стороне провайдеров финансовых услуг? Могут ли банки обеспечивать защиту от социальной инженерии какими-либо дополнительными средствами, и какие это могут быть средства?
4. На фоне постоянно выявляемых новых схемотехник преступной деятельности в банкинге и платежной индустрии насколько эффективна может быть работа на опережение, когда компетентные органы перманентно исследуют потенциальные угрозы и информируют банки о возможных новых рисках еще до того, как преступники начали использовать те или иные новые методы? Насколько затратен такой превентивный подход и в какой мере он может повысить защищенность банковского сектора и населения, в том числе от социальной инженерии?
5. Как защитить компании от непродуманных или вынужденных действий сотрудников, попавших под влияние манипуляторов? Это должны быть технические решения или ситуацию можно переломить обучением сотрудников, различными регламентами и процедурами контроля по методу «четырех глаз»?
Росбанк: Необходимо постоянно работать
над минимизацией человеческого фактора
Михаил Иванов
директор департамента
информационной безопасности Росбанка
Вопрос № 1. К сожалению, уровень финансовой грамотности россиян в среднем все еще достаточно невысок, что позволяет мошенникам использовать методы социальной инженерии для получения доступа к средствам граждан. При этом технологии финансового мошенничества развиваются и совершенствуются стремительно.
Вопрос № 2. Люди пожилого возраста, социально незащищенные категории населения, молодежь зачастую плохо воспринимают информацию, исходящую только от банков, ввиду ее сложности и больших объемов. На мой взгляд, программы повышения осведомленности в области противодействия мошенничеству и в области информационной безопасности необходимо запускать на федеральном уровне с использованием всех возможных каналов информирования.
Вопрос № 3. В любой системе или сервисе самым слабым звеном всегда является человек – не случайно именно на него методами социальной инженерии воздействуют мошенники. И исключить человеческий фактор из данного процесса полностью не представляется возможным, так как вне зависимости от внедренных технических мер подлинность транзакции в конечном итоге может подтвердить или опровергнуть только ее непосредственный создатель. И именно на него и направлена атака методами социальной инженерии. На наш взгляд, действительно, всех потребителей нельзя сделать специалистами, и человеческий фактор необходимо минимизировать. Однако в связи с тем, что полностью человеческий фактор исключить нельзя, работы по повышению осведомленности необходимо не просто продолжать, но и значительно усиливать их интенсивность и эффективность.
Вопрос № 4. Работа на опережение не может быть на 100% эффективна сама по себе, но ее результаты повышают общую эффективность принимаемых мер безопасности в банкинге и платежной индустрии. Превентивный подход всегда несет в себе дополнительные затраты, и его эффективность не всегда может быть оценена корректно, но в ряде случаев он может помочь минимизировать риски мошенничества. Например, если бы заранее было известно о планируемом начале волны мошенничества с использованием методов социальной инженерии, а также были бы понятны технологии используемых скриптов, то, помимо дополнительного усиления мер защиты можно было бы заранее провести кампанию по повышению осведомленности и постараться привлечь внимание клиентов к потенциальным рискам.
Вопрос № 5. Только комплексный подход может защитить компании от непродуманных или вынужденных действий сотрудников, попавших под влияние манипуляторов. Необходимо постоянно работать над минимизацией человеческого фактора, при этом постоянно совершенствуя системы и принимаемые меры защиты, дополняя их результатами превентивной работы.
МКБ: Информационно-разъяснительная
работа дает свои результаты
Вячеслав Касимов
директор департамента информационной
безопасности Московского кредитного банка
Вопрос № 1. Чаще всего жертвами мошенников становятся те, кто склонен верить в выдуманные истории о неизлечимых болезнях, потерянных документах и т. п., а также те, кто привык безоговорочно доверять официальным инстанциям – банкам, соцотделам, службам безопасности. Другая причина – низкая грамотность в отношении информационных технологий, в том числе в отношении действий по защите своих данных. Несмотря на то, что банки постоянно информируют клиентов о способах предотвратить кражу денежных средств мошенниками, многие люди уверены, что это их не коснется, и просто игнорируют такие разъяснения.
Вопрос № 2. Я так не считаю – информационно-разъяснительная работа, безусловно, дает свои результаты. Мы, например, регулярно информируем клиентов о правилах безопасности при осуществлении операций в интернет-банке, а также при операциях с картами – причем всеми возможными способами: в соцсетях, на сайте банка, при помощи рассылок, выступаем на радио и ТВ. И отмечаем, что наши клиенты стали более внимательными. Другое дело, что преступники тоже постоянно повышают «эффективность», совершенствуя свои подходы и сценарии.
Вопрос № 3. Отчасти справедливо: есть люди, которые никогда не будут обращать внимание на требования безопасности, но большинство все же готовы выполнять некий «гигиенический минимум». У банков сегодня широкий арсенал средств борьбы с мошенниками, но в большинстве случаев основная уязвимость – действия конкретного человека, клиента или сотрудника банка.
Вопрос № 4. Фоновые атаки на банковские ИТ-системы идут постоянно, но с разной степенью интенсивности. Что касается атак на банкоматы и терминалы для внесения наличных, там все выглядит сезонно, и какого-либо тренда, связанного с откровенным ростом или, наоборот, падением количества атак, не наблюдается. Происходят единичные всплески, когда появляются определенные преступные группировки. Потом их успешно отлавливает полиция, и снова какое-то время ничего не происходит. Но поскольку предсказать, когда это произойдет, проблематично, все банки постоянно готовятся к отражению атак. Это правильный подход, и он не сильно затратен, если в штате банка есть свои специалисты.
Вопрос № 5. Здесь хороши все способы: обучение, тестирование сотрудников, ограничение прав доступа к персональной информации. У нас основные превентивные действия нацелены на то, чтобы минимальное количество работников имело доступ к персональным данным: мы даем сотрудникам доступ только в том объеме, который им необходим для выполнения своих функций, и не больше. Кроме того, у нас функционирует управляющая система, которая запрещает копировать информацию из банка по определенным каналам, используя заложенные в нее шаблоны.
Ассоциация участников МастерКард:Нужно использовать и технологии, и обучение
Николай Дош
директор по рискам,
Ассоциация участников МастерКард
Вопрос № 1. Люди так легко попадаются на удочку мошенников, потому что мошенники стараются максимально приблизить свое общение с жертвой к общению «клиент – банк». Фразы мошенников зачастую соответствуют стандартным скриптам банковских call-центров, а это уже располагает потенциальную жертву к диалогу. Это так называемая точка входа, через которую мошенники транслируют свои «сказки» для дальнейших махинаций с восприятием человека, подавляя тем самым критическое мышление объекта атаки. И вот тут происходит удивительное, что хотелось бы особо отметить. В наш век информационной перегрузки, когда нет времени проверять достоверность информации, но при этом с помощью технологий практически все можно изменить или подделать, критическое мышление человека дает сбой: либо отключается вовсе, либо неверно срабатывает. Например, в тот момент, когда звонят настоящие банковские сотрудники и убеждают клиента не совершать те или иные действия, так как в последнее время мошенникам часто удается убедить жертву, что «все последующие звонки от службы безопасности – это мошенники, и с ними общаться не надо!» Как ни странно , это работает, и порой жертвы бросают трубку, когда им перезванивают настоящие сотрудники банка.
Вопрос № 2. Финансовая грамотность – очень объемное понятие, и я не готов давать оценку такого рода кампаниям. Мы говорим о вполне конкретных вещах, о безопасности клиентов, и по этой тематике я не вижу глобальных процессов в масштабах нашей страны. Многие по отдельности этим занимаются – это факт, но этого явно недостаточно на сегодняшний день. Со своей стороны мы поддержали рабочую группу по противодействию мошенничеству с использованием методов социальной инженерии на базе ЦБ и активно участвовали в ее создании совместно с банками, так как полагаем, что регулятору следует взять на себя координирующую роль в данном процессе.
Вопрос № 3. Я категорически не согласен с тем, что у программы «повышение финансовой грамотности населения» должна стоять задача сделать из потребителей финансовых услуг специалистов. По моему мнению, необходимо сосредоточиться на устойчивом закреплении в мышлении пользователей финансовых услуг элементарных базовых принципов и простых навыков «цифровой гигиены» (на уровне привычки), и задача эта более чем масштабная и трудоемкая. На протяжении как минимум последних 10 лет клиенты сообщают непонятно кому СVC/CVV и OTP пароли из SMS, поэтому есть над чем поработать. У банков, несомненно, есть технологические инструменты противодействия мошенничеству, но в отношении социальной инженерии они не особо эффективны из-за человеческого фактора – невозможно контролировать поведение и действия клиента, который сам сообщает злодеям всю информацию.
Вопрос № 4. Предотвращение мошенничества для службы антифрода – наиболее приоритетная, но и наиболее сложная задача, и по этому вопросу мое мнение достаточно тривиально: не имеет значения, насколько затратен будет данный подход, т. к. его отсутствие в конечном итоге приведет к потерям, значительно превышающим затраты на обеспечение безопасности. В этом плане принципиально важны позиция и квалификация правоохранительных органов, т. к. именно они должны быть определяющим звеном в деятельности по предотвращению преступлений. За последние годы уровень технической подготовки и знаний правоохранителей значительно вырос, и я искренне верю в то, что эта позитивная тенденция будет наблюдаться в будущем. В связи с этим хочу отметить высокий профессионализм сотрудников УВД по ЮЗАО г. Москва под руководством Ю. В. Демина, которые добились серьезных результатов в плане борьбы с «социнженерами».
Вопрос № 5. Пока не придумали 100%-ного лекарства от болезни под названием «подверженность социальной инженерии», компаниям необходимо использовать как технологические составляющие для обеспечения внутренней защиты, так и последовательное и углубленное обучение сотрудников методам распознавания мошеннических действий, направленных на них и на компанию.
Неспособность раскрывать такие преступления порождает эффект безнаказанности
Николай Пятиизбянцев
независимый эксперт
Методы манипулирования поведением людей путем обмана известны с библейских времен: Змей искушает Еву, обещая, что, вкусив плод, люди станут Богами, знающими Добро и Зло. Как известно, не выдержав искушения, они нарушили заповедь, за что и были изгнаны из рая. Почему в последнее время социальная инженерия в области финансовых хищений получила такое большое распространение? По моему мнению, проблема в том, что окружающая нас действительность очень сильно поменялась и продолжает стремительно меняться в последнее время. Человеческое общество из коммуникаций в реальном мире перемещается в цифровые технологии. Цифровизация несет новые риски и угрозы, к которым оказались не готовы не только обычные люди, но и государство.
Решение данной проблемы – комплексная задача, в которой должны принимать участие и финансовые организации, и государство. Повышение финансовой и киберграмотности населения – задача, безусловно, важная. Нужно начинать учить со школьной скамьи. Но ограничиваться только этим направлением – все равно что для борьбы с уличной преступностью учить приемам самообороны.
Хорошо подготовленный преступник всегда будет иметь преимущество перед жертвой. Одно из важнейших условий успешной борьбы с данными преступлениями – это неотвратимость наказания. Подчеркну – не строгость, а именно неотвратимость. Именно неспособность правоохранительных органов раскрывать данные преступления, а в итоге самой судебной системы государства карать за совершенные корыстные преступления и порождает эффект безнаказанности в криминальной среде.
Так, например, по словам начальника ГУ МВД России по Москве Олега Баранова, за полгода из 659 преступлений, связанных с хищением средств с банковских карт, раскрыто всего 10. И это только по возбужденным уголовным делам.
Количество же латентных преступлений, когда выносятся неправомерные отказы в возбуждении или когда потерпевшие сами не обращаются с заявлениями (мол, все равно не найдут, только зря тратить время и нервы), намного превышает число возбужденных уголовных дел. Если же принять во внимание покушения на преступления (фишинговые письма, рассылки, телефонные звонки), которые не привели к хищениям, а также предоставление внутри криминальных структур (darknet) такого сервиса, как «преступление как услуга», можно понять какой огромный объем криминальной деятельности выпадает из внимания правоохранительных органов. Для борьбы с киберпреступниками нужна мощная, хорошо подготовленная и эффективная киберполиция, которая умеет вести оперативно-разыскную деятельность в киберпространстве. А для этого нужны и люди, и средства.
Социальная инженерия.
Без поддержки МВД не обойтись?
Павел Есаков
эксперт по системам аутентификации
ООО «Потенциал»
В последние несколько лет произошло резкое изменение трендов в сфере мошеннических операций. Вместо использования различных технических приемов (например, распространение вирусов) мошенники практически полностью переключились на методы социальной инженерии, по крайней мере в отношении розничных клиентов банков. Такое явление, с точки зрения автора настоящей статьи, имеет вполне понятное объяснение. Банки сами предоставили мошенникам чрезвычайно удобный инструмент – перевод средств другому лицу на карту или даже по номеру телефона.
Как известно, дорога в ад вымощена благими намерениями. Вряд ли банки предполагали, что, разрабатывая и внедряя крайне удобный для клиентов механизм, они тем самым одновременно спровоцируют и резкий рост мошенничества, основанный на использовании этого инструмента для мошеннических целей.
Механизм перевода средств с карты на карту стал крайне популярен, и существенный денежный поток не мог пройти незамеченным для мошенников, которые весьма оперативно применили подходы, позволяющие отвести часть денежного потока в нужном направлении. Как известно из опыта карточных платежных систем, покупатели менее болезненно расстаются с безналичными средствами по сравнению с оплатой товара или услуги наличными деньгами. А возможность заплатить за товар или услугу, не вставая с дивана, весьма привлекательна. Именно это обстоятельство, а также один из таких факторов человеческого характера, как жадность, позволили преступникам разработать несложные приемы опустошения банковских счетов населения.
Огромное количество переводов денежных средств, оказавшихся впоследствии результатом мошенничества, было санкционировано самими клиентами, в добровольном порядке, с использованием механизма перевода на карту или по номеру телефона с целью приобретения товара по очень выгодной цене, внесения залога за понравившийся дорогостоящий товар, оплатой налога для получения приза или выигрыша в лотерее и т. д. В результате, не получив обещанный товар или услугу, клиенты обращались в банк с попыткой вернуть денежные средства. По мнению автора, такие инциденты не должны быть включены в статистику отчета ЦБ «О несанкционированных переводах…» в силу определения, так как переводы средств носят безусловно санкционированный характер.
В целом трудно логически объяснить и обращение в банк для возврата средств. Ведь с точки зрения здравого смысла (и закона) имело место банальное мошенничество: мошенники получили деньги, но не предоставили товар или услугу. Ведь такая ситуация может произойти и при оплате товара наличными денежными средствами. Правда, отчет ФинЦЕРТа дает подсказку о причине такого поведения потерпевших: в органы МВД обратилось только 4 процента клиентов банков, пострадавших в результате действий мошенников. Можно предположить, что обращение потерпевших в банк с просьбой вернуть утраченные средства – не более чем отчаянная попытка сделать хоть что-то, ибо открытие уголовного дела в отделении полиции по факту мошенничества в реальной жизни выглядит вполне проблематично.
В ходе юбилейного 10-го ПЛАС-Форума, прошедшего в последних числах мая этого года, представитель Сбербанка привел цифры по объему несанкционированных переводов за 2018 год (точнее общий объем и «санкционированных», и несанкционированных переводов в адрес мошенников). Так, по статистике крупнейшего банка страны, потери от социальной инженерии составили 81% от общего числа инцидентов, а на остальные причины потерь пришлось 19%. Заметим, что данные Сбербанка существенно отличаются от значений, приведенных в обзоре ФинЦЕРТа (97% – социальная инженерия и только 3% случаев – другие причины). Причина таких расхождений в цифрах неочевидна. Одновременно с оглашением данных по количеству несанкционированных переводов под воздействием социальной инженерии был озвучен и процент «самопереводов» – т. е. те самые случаи, когда клиент санкционировал перевод денежных средств в адрес лица, которое после получения средств отказалось предоставить товар или услугу. Это весьма внушительная цифра – 86% от числа операций, связанных с социальной инженерией. Путем несложных математических операций можно подсчитать, что общее число «самопереводов» составляет внушительные 69,96% от общего числа несанкционированных переводов. Приведенные банком цифры свидетельствуют как минимум о следующем:
- основной объем несанкционированных переводов таковым на самом деле не является, поскольку операции были санкционированы клиентами банка без какого-либо применения методов социальной инженерии – необходима корректировка статистики, изменение классификации типов несанкционированных переводов;
- включение «самопереводов» в статистику несанкционированных переводов существенно искажает картину мошеннических операций;
- имеющиеся системы фрод-мониторинга не могут успешно выявлять такие операции (без существенного усложнения этих систем);
- банки по непонятной причине пытаются подменить органы внутренних дел, пытаясь по косвенным признакам вычислить мошенников.
Но даже если система фрод-мониторинга, позволяющая оценить риски в случае «самопереводов», будет создана и сможет обеспечивать близкую к 100% эффективность, все равно остается нерешенным вопрос, что делать для пресечения мошенничества. В соответствии с Гражданским кодексом РФ банки не имеют права ограничивать клиента в проведении операций за исключением случаев, предусмотренных законом, например, в рамках 115-ФЗ. Но большинство переводов не содержат признаки операций, подпадающих под действие упомянутого закона. Кроме того, расходы по созданию, обучению и обеспечению функционирования такой системы могут оказаться весьма обременительными даже для крупного банка. Может быть, все-таки стоит предпринять усилия, направленные на то, чтобы клиенты банка, которые перевели деньги мошенникам, обращались в органы МВД? Например, помочь клиентам банка в этом непростом деле, ибо иного реального метода остановить мошенников не существует.
P.S. Дополнительным источником фрода упомянутого типа в ближайшее время может послужить подключение всех банков к СБП – это расширит возможности для мошенников, которые ранее не могли работать с теми клиентами банков, которые не имели в составе предлагаемых сервисов перевода в пользу третьих лиц по номеру телефона.
У широких слоев населения отсутствует мотивация стать финансово грамотнее
Александра Шеттлер
психолог, гештальт-терапевт
Вопрос № 1. На каждого из нас сейчас обрушивается действительный вал информации, которую мы не способны переварить. Соответственно человек из всего потока выбирает наиболее интересное или актуальное. Пока не случился прецедент, предупреждения и напоминания для большинства потребителей не являются чем-то важным и актуальным. Тем более что у многих есть известная иллюзия – это может случиться с кем угодно, только не со мной. С одной стороны, эта иллюзия адаптивная: если мы будем жить в постоянной тревоге, что все беды обрушатся именно на нас, это может привести к тяжелым неврозам (и такие примеры есть). А с другой стороны – она порождает у человека полезное стремление контролировать окружающую реальность.
Мошенники эксплуатируют особенности характера и сильные эмоции потенциальных жертв. Есть совсем примитивные манипуляции типа выигрыша в лотерее (радость и эйфория от внезапно обрушившегося богатства, не требующего никаких усилий), но есть и более сложные, весьма действенные приемы. Одно время были очень популярны письма в социальных сетях со взломанных страниц с просьбой перевести сумму денег другу или родственнику, попавшему в беду. Еще один эффективный способ – когда очень вежливый «якобы сотрудник банка» звонит и всеми силами пытается спасти счет будущей жертвы. Он очень вежлив и предусмотрителен, заботится, пытается помочь.
В обоих случаях человек испытывает целый коктейль эмоций. В первом варианте это и страх за знакомого, и стыд за то, что может быть уличен в жадности либо равнодушии. Легко пройти мимо объявления о сборе средств, но когда просят точечно, лично нас, называя по имени, мы оказываемся в плену морали и часто отдаем даже то, в чем крайне нуждаемся сами: чтобы добросердечно помочь или же чтобы продолжать считать себя хорошим человеком.
Во второй же ситуации это еще более актуально, потому что помочь просят не нас, а, наоборот, нам помогают в опасной ситуации, хотя мы об этом и не просили. Как можно отвергнуть помощь и заботу неравнодушного человека, да еще обладающего (по нашему ощущению) большими компетенциями и знаниями в сфере безопасности финансов.
Вопрос № 2. При этом кампании по повышению финансовой грамотности населения действительно не дают должного эффекта, и причина, как ни странно, в самих сообщениях в прессе и на телевидении, которые выглядят слишком назидательно и занудно. Внимание массового потребителя они в любом случае не удерживают.
Нельзя также не отметить отсутствие мотиваций стать грамотнее у самого населения, особенно это справедливо для социально незащищенных категорий. Когда люди заняты выживанием, другие потребности отходят на второй план. Повышение финансовой грамотности – это скорее про образование. Причем образование, которое не поможет заработать прямо сейчас денег (как любые профильные курсы), а то, которое поможет сохранить то, что прямо сейчас не отбирают. Для человека, занятого проблемами выживания и зарабатыванием денег на удовлетворение базовых потребностей, такое образование – очень далекая перспектива с неочевидным профитом. Интересно было бы поискать исследования корреляции хотя бы привычки ведения бюджета и уровня жизни.
Плюс недостаточна сама информированность аудитории о таких кампаниях.
Вопрос № 3. Всех специалистами не сделать однозначно ввиду человеческого фактора. Простое наблюдение: все знают, что перед едой необходимо мыть руки, чтобы минимизировать риск попадания в организм инфекций. Но сколько людей действительно моют руки каждый раз, когда садятся за стол?
Вопрос № 5. Принцип «четырех глаз» поможет лишь в том случае, если каждый из обладателей этих глаз будет понимать степень своей ответственности, иначе это рискует превратиться в бюрократическую проволочку, когда решение должно «полежать на столе» у каждого сотрудника перед получением его подписи, а в суть никто так и не вникнет.
Что же нужно сделать, чтобы реально затруднить деятельность мошенников?
На мой взгляд, разработать и развернуть кампании по повышению финграмотности, реально привлекающие внимание массовой аудитории, возможно, с разбором конкретных кейсов. Люди, например, хорошо реагируют на посты в соцсетях, где человек, с которым уже произошла беда, об этом рассказывает. Можно снимать видео и распространять информацию через банковские приложения. Использовать для этих целей SMS и почту неэффективно, так как мошенники действуют через эти же каналы и уже успели скомпрометировать их в глазах потребителя.
«Ошибка валидности»: критический анализподменяется схожестью образа
Дмитрий Атерлей
эксперт в области развития человека, психолог, психотерапевт,
автор метода «когнитивное моделирование будущего»,
основатель «Гильдии Мастеров Дмитрия Атерлея»
Причины, почему мошенникам удается вводить в заблуждение граждан, лежат, условно, в двух плоскостях. Первая плоскость – недостаточная (вплоть до отсутствия элементарных базовых представлений) финансовая грамотность части населения. Мошенники легко этим пользуются, просто предлагая гражданам совершить действия, последствия которых они не осознают.
Вторая плоскость – особенности мышления человека, зная которые, мошенники также могут достигать своих целей. Так, мозг человека «категоричен»: при анализе чего-либо мы очень быстро заносим объект в какую-то категорию, например, видя SMS с названием банка, сразу заносим сообщение в категорию «банк». А дальше, после занесения в категорию, у человека есть опасность попасть в ловушку мышления под названием «ошибка валидности»: мы принимаем положительное решение не на основе критического анализа, а на основе схожести образа. Так, если SMS (которое мы уже подсознательно занесли в категорию «банк») похоже на привычное SMS из банка, с высокой долей вероятности можно попасть в расставленные мошенниками сети.
Ответные меры тоже лежат в этих плоскостях. Первое – это просветительская работа в области финансовой грамотности. Вторая – построение алгоритмов общения с клиентами, снижающее автоматизмы в наших действиях как клиентов банка. Важно целенаправленное создание таких алгоритмов, которые позволяли бы нам быть в фокусе внимания и не «соскальзывать» в ловушки мышления типа категорий и им подобным. Такие алгоритмы должны требовать большего «пятна» контакта сознательного мышления клиента с тем, что он делает. Например, это обязательное сочетание букв и чисел, запрещение ввода кодов или паролей с очевидным смыслом (дни рождения, имена и т. п.) и т. д.
Финансовая грамотность не меняет человеческой природы
Наталья Ещенко
эксперт по специальной психологической
подготовке, преподаватель АИС
Вопрос № 1. Атаки социальных инженеров всегда производятся в обход аналитических инструментов разума. Они воздействует преимущественно на эмоциональную сферу, привычно подавляемую у людей, занятых умственным трудом. Высокий интеллект здесь не спасает, потому что методы социальной инженерии направлены на разрушение шаблонов поведения, страхи и приспособительные рефлексы.
Чтобы развитый критический блок не мешал воздействию на жертву, ее перегружают информацией или манипулируют фактором времени, требуя срочного принятия решения и незамедлительных действий.
В ситуации принятия срочных решений и при дефиците информации жертва начинает действовать, руководствуясь эмоциями: желанием помочь, жаждой признания или желанием отделаться от возникшей проблемы. Также часто мошенникам удается сыграть на стремлении к легкой наживе, страхе потерять деньги, результаты труда или репутацию.
Мошенники всегда являлись тонкими психологами с большим практическим опытом эксплуатации «уязвимостей» человеческой натуры. Со временем меняется только способ коммуникации с жертвой.
Если раньше это был исключительно контактный способ (хотя «письма счастья» тоже не исключались), то в эпоху социнженерии применяются в основном дистанционные методы – телефон, электронная почта, социальные сети, SMS и мессенджеры. Кроме того, благодаря повсеместному распространению дистанционных финансовых и информационных сервисов появляются новые типы жертв, на которые мошенникам становится легче воздействовать именно благодаря электронным каналам связи – например, дети, люди преклонного возраста и т. п.
Вопрос № 2. Эффекта от информационных кампаний нет, потому что дело не в уровне финансовой грамотности. Мошенники используют свои знания законов поведения большинства людей, поэтому и называются социальными инженерами. Например, большинство людей смотрят на внешнюю атрибутику, не обращая внимания на суть, – то есть на манеру поведения, на то, как себя позиционирует человек, как он одет (если контакт очный), степень уверенности, отражаемая его голосовыми интонациями, и т. п.
Большинство людей отрицательно зависимы от чувства собственной значимости. И такие люди уязвимы для атак. В психологии есть такое понятие – «опережающие ожидания». Скажем, когда с человеком начинают общаться преувеличенно уважительно или как с квалифицированным специалистом, он начинает себя вести в соответствии с ожиданиями партнеров по общению. По этой причине многие жертвы не задают уточняющих вопросов (боясь выглядеть глупо) и совершают поступки, которые впоследствии не могут себе объяснить.
Еще одна проблема в том, что многие представители социально незащищенных слоев населения имеют все признаки социальной инфантильности. Они хотят, чтобы все хорошее, что только может с ними в жизни произойти, произошло как можно быстрее и желательно с минимальными усилиями с их стороны. Сюда относятся всевозможные выигрыши в миллион рублей или нового автомобиля, за которые нужно перечислить «всего» 20–30 тыс. рублей «в уплату налога».
Не стоит также забывать, что большинство людей настолько жадны до денег, что упоминание о последних фактически отключает у них инстинкт самосохранения. Социальная инженерия – почти всегда игра на людских пороках и слабостях.
Вопрос № 5. Сотрудников компаний, безусловно, нужно обучать. Причем не только совершенствовать внутрикорпоративные процедуры контроля, но и развивать их личные качества – критичность мышления, психологическую устойчивость, проницательность. В психологии применяются эффективные техники визуальной и аудиальной психодиагноститики, бесконтактного детектирования лжи, распознавания манипуляций, и все они доступны для освоения обычными людьми, не имеющими специального психологического образования. В основе освоения данных техник – не столько книги и учебники, сколько живая практика, разбор реальных кейсов, психологические игры и т. д.
Банк ЗЕНИТ: массовый потребитель не должен быть экспертом в финансовой сфере
Олег Волков
начальник Департамента кибербезопасности, Банк ЗЕНИТ
Вопрос № 1. Так сложилось, что в России большинство людей генетически не склонны к оценке рисков, а полагаются на пресловутый «авось». Каждый думает, что этого с ним не случится, а жажда получения благ бесплатно – известная черта человека. Любопытство и «халява» преодолевают логику и здравый смысл. Отсюда и результат.
Вопрос № 2. По моему личному мнению, все проводимые государством кампании не следуют заявленной цели – осведомленность и восприятие населением информации, повышающей финансовую грамотность, а направлены на слепое выполнение указов правительства и президента, при этом качество результата лежит вне поля целей чиновников, проводящих любые кампании такого рода, в связи с чем, по моему мнению, они просто не обеспокоены результатами своей деятельности. Я считаю, что государству необходимо проводить регулярные бесплатные тренинги и курсы повышения финансовой грамотности на базе районных библиотек, сельских домов культуры, многофункциональных центров, школьных помещений и т. п. Также в программу школьного образования необходимо включать дисциплину по повышению финансовой грамотности. Кроме того, в массовых государственных печатных изданиях, читаемых большинством населения, необходимо на регулярной основе публиковать на понятном для обывателя языке информацию по актуальным видам мошенничества и способам их предотвращений.
Вопрос № 3. Вполне очевидно, что массовый потребитель не должен быть экспертом в финансовой сфере. Необходимо в достаточном объеме снабжать население базовой информацией о способах защиты своей платежной и персональной информации и рисках, связанных с ее компрометацией, и этого будет вполне достаточно, чтобы сохранять должный уровень осведомленности по защите информации и держать преступность под определенным контролем. Что касается технических мер, то крупными игроками банковской сферы и так обеспечивается необходимый уровень защиты. При этом ЦБ РФ играет основную роль в регулировании и контроле этого вопроса. Ведь если житель держит в одном внешнем кармане и ключ от квартиры, и коды от домашней сигнализации, то ни один суперзамок, ни одна суперсигнализация не спасут его от квартирных грабителей.
Вопрос № 4. Такой подход может быть весьма продуктивным, тем не менее, насколько я понимаю, в настоящее время в РФ существует компетентный орган, в чье ведение входят задачи по определению актуальности угроз. Однако, насколько мне известно, он не занимается глубоким изучением потенциала угроз и вероятностями их развития.
Вопрос № 5. Компаниям необходимо достичь баланса между внедрением технических средств и осведомленностью сотрудников. Перекос в любую сторону обычно вызывает либо удорожание стоимости защиты информации и, как следствие, сокращение прибыли компаний, либо ослабление защиты и потери от действий внешних злоумышленников.
Организационные меры тоже являются одной из эффективных мер защиты информации. Однако необходимо профессионально подходить к архитектуре таких мер, а не уповать на сознательность и самоконтроль сотрудников.