Журнал ПЛАС » Архив » 2020 » Журнал ПЛАС №8 »

Пандемия и социальная инженерия. Что изменилось и как противодействовать?

Социальная инженерия — манипулирование поведением людей с целью совершения ими определенных действий, в том числе разглашение конфиденциальной информации, установка вредоносного программного обеспечения, результат — хищение денежных средств. Социальная инженерия известна с библейских времен: змий обещал Еве, что если вкусить запретный плод, то люди станут равными Богу, на самом же деле люди были изгнаны из рая. Змий — тот самый социальный инженер, который путем обмана добился желаемых для себя действий со стороны людей. Меняются технологии, мы живем в эпоху цифровизации, но люди не меняются, пороки и слабости остаются, к сожалению, прежние. Так что же заставляет людей верить мошенникам? И как на потенциальных жертв повлияла пандемия?

Журнал «ПЛАС» благодарит экспертов, принявших участие в подготовке данного материала – прежде всего Николая Пятиизбянцева, а также Алексея Голенищева, Александра Вураско, Наталью Савенко и многих других, включая Елизавету Стуканову.

Как утверждает гештальт-­психолог Наталья Савенко, общим для всех кризисов является ощущение дезадаптации, и пандемия COVID‑19 не исключение. Во время пандемии и карантина меняется привычная окружающая среда, стратегии поведения, система планирования (отпуск, учеба, бюджет, способы передвижения). Психика человека приходит в стрессовое состояние, и запускаются адаптационные процессы. Организм использует резервы, которые в норме не задействованы, когнитивные функции становятся обслуживающими и реагируют на эмоциональное состояние, поэтому память и внимание на ­какой-то период времени ухудшаются. Как следствие, повышенная подверженность влиянию мошенников. То есть если в норме человек не склонен верить в «подозрительные транзакции», о которых сообщают с незнакомого номера, в состоянии стресса тревожность побеждает, и человек становится жертвой.

Во время пандемии появились новые схемы, связанные с новыми событиями и процессами, — получение пропусков, пособий, штрафы за нарушение карантина, продажа средств защиты и т. п. По данным отчета компании Positive Technologies «Актуальные киберугрозы: II квартал 2020 года», тема COVID‑19 была затронута в 16% атак с использованием методов социальной инженерии, 36% таких атак не были привязаны к конкретной отрасли (в качестве целей предполагали широкий круг лиц), 32% атак были направлены против частных лиц.

Во время карантина и удаленной работы появились новые факторы, которые службам безопасности банков приходится учитывать: обработка клиентских документов на домашних компьютерах, использование плохо защищенного домашнего интернета и незащищенных каналов связи (Skype, ZOOM). Как утверждает Алексей Голенищев, директор дирекции мониторинга электронного бизнеса Альфа-­Банка, «очевидно, что при работе в удаленном режиме с конфиденциальными данными у недобросовестного работника больше возможностей для различных злоупотреблений, чем на рабочем месте в офисе, где есть и системы видеонаблюдения, и коллеги. Так, например, некоторые компании организовывают удаленный доступ таким образом, что при этом принудительно подключается видеокамера домашнего компьютера сотрудника, фиксирующая все его действия в период удаленной работы в корпоративной сети.

Также могут возникать риски, связанные с недостаточной защищенностью каналов связи с корпоративной сетью, и т. п.

Александр Вураско, ведущий аналитик INFOSECURITY, отмечает, что сейчас наблюдается увеличение фишинговых атак на корпоративных клиентов банков. Фишинговые сайты нацелены на компрометацию ДБО, малый и средний бизнес, и чаще всего мошенники предлагают скачать банковский троян. Произошел всплеск атак на банки из первой «двадцатки», а под клиентов шести-семи основных банков даже появились универсальные скрипты. Активизировались и мошенники, нацеленные преимущественно на физических лиц, причем, по данным Александра Вураско, чаще всего это теплые звонки. Безусловно, отрицательную роль в этой цепочке играют многочисленные утечки клиентских данных как из самих банков, так и из служб доставки. В даркнете продается много конфиденциальной информации, вплоть до выписок со счетов, и владение такой «закрытой» информацией заставляет жертв думать, что они действительно разговаривают с представителем банка.

Во время пандемии появились новые схемы мошенничества, связанные с новыми событиями и процессами

По информации Генеральной прокуратуры РФ, в связи с пандемией существенно возросло количество фейков в интернете. В органы прокуратуры поступило свыше 340 уведомлений о распространении недостоверной информации. В целях ее блокировки в Роскомнадзор направлено 153 требования (в аналогичном периоде 2019 г. — 6 требований). В целом за полугодие по итогам рассмотрения 219 требований заблокировано свыше 4 тыс. сайтов, с более чем 25 тыс. ресурсов противоправные сообщения удалены[1].

Несмотря на разнообразие приемов, технически и технологически все эти схемы базируются на старых методах манипулирования поведением людей.

Однако помимо чисто человеческих психологических факторов значительную роль в успешных действиях мошенников стали играть и технологические. Человек все больше и больше погружается в цифровой мир. Это позволяет злоумышленникам автоматизировать атаки, делать их массовыми, что приносит результативность (прибыль) даже при низкой эффективности (примером может служить фишинг — рассылка электронных сообщений, содержащих информацию, убеждающую пользователя посетить ложный веб-сайт, на котором предлагается ввести конфиденциальные данные или загрузить вредоносное программное обеспечение).

С другой стороны, проявляется эффект так называемой дистанционной вой­ны — когда солдат не видит лицо противника, легче убивать, в нашем случае — совершать преступление, например, похитить деньги у пенсионера.

В отличие от мошенников («хакеров»), большинство людей не готовы к безопасной жизни в цифровом мире. Если в обычной жизни детей учат основам безопасности: не разговаривать с незнакомцами, не открывать чужим дверь, то в цифровой сфере многие взрослые не знают или не понимают, что является угрозой и несет опасность.

Например, насколько опасно жаловаться на публичных сайтах, например, в социальных сетях, на действия банков?

Клиент банка ПАО «Почта Банк» обратилась с претензией (жалобой) на официальный сайт банка, но быстрого ответа не получила. Тогда она зашла на сайт Банки.ру, где сформировала свой профиль и задала вопрос специалисту банка, после чего ей на электронную почту пришло сообщение, в котором предлагалось дополнительно сообщить номер счета, дату рождения, номера мобильного телефона и сформированного запроса, информационное письмо предлагалось отправить на указанный электронный адрес, что она и сделала. В дальнейшем на ее телефон пришло SMS-сообщение, в котором было указано, что с ней якобы общается специалист банка В., которая указала, что от нее не поступает подтверждение. Кроме того, клиенту приходили SMS-сообщения о том, что истек тайм-аут подтверждения. В этот же момент от ПАО «Почта Банк» ей приходили сообщения о том, что она регистрируется в Почта Банк онлайн, а также о том, что для завершения операции по переводу денег ей нужно позвонить по указанному номеру. Потерпевшая позвонила по этому номеру, но, не дождавшись ответа, снова написала В. о том, что ей приходят SMS-сообщения с просьбой подтвердить операцию. В. ответила, что операция отменена, в банке обновление процессинговых систем, возможны перебои, и на SMS не нужно обращать внимание, что она и сделала. Таким образом, от имени банка с клиентом общались мошенники, которые получили от нее конфиденциальную информацию и похитили денежные средства. Клиент обратилась в суд. Нерехтский районный суд Костромской области (дело № 2‑654/2019) в удовлетворении иска Ивакиной И. Н. к ПАО «Почта Банк» о защите прав потребителей отказал.

Закономерно возникает вопрос о путях решения проблемы социальной инженерии и стабилизации ситуации с мошенничеством, распространившимся во время пандемии. Как говорят эксперты, эффективной системы противодействия сейчас не существует, и пандемия лишь ярче это продемонстрировала. Правоохранительные органы с неохотой берутся за дела, связанные с социальной инженерией, ведь в сфере онлайн неясно, кого преследовать и как искать преступников. Фиксируется высокая латентность и низкая раскрываемость таких преступлений, поэтому о ­какой-либо стабилизации говорить пока еще рано.

Алексей Голенищев считает, что реальное противодействие оказывать можно, причем эффективнее всего оно было бы на нескольких уровнях: техническом, образовательно-­организационном и на уровне мониторинга. Задача технического противодействия заключается в том, чтобы даже если клиент «повелся» на уговоры преступника, использующего методы социальной инженерии, то он технически не смог бы перевести деньги мошенникам. Это вводится путем «утяжеления» продукта, вводом дополнительных средств аутентификации, помимо привычных SMS-уведомлений с кодами авторизации. Идеально было бы, если подтвердить операцию можно было только из приложения в своем телефоне, добавить дополнительные ключи. Или использовать биометрию, или задействовать анализ самого пользовательского устройства… Банки же на это идут не всегда охотно, так как это утяжеляет продукт и делает его менее «юзабильным», — считает Алексей Голенищев.

Противодействие на образовательно-­организационном уровне может представлять собой работу популярных телевизионных программ со своей аудиторией: демонстрировать сюжеты, которые помогали бы телезрителям распознать мошенников в реальной жизни. Хорошие мониторинговые системы помогали бы структурам уже на выходе. Именно фрод-мониторинг оценивает риски и следит за появлением потенциально опасных ресурсов. Банки могли бы заранее учитывать факт регистрации подобных сайтов и сразу же принимать меры.

Сегодня наблюдается положительная динамика, как минимум в сфере информирования граждан: это и образовательный канал в приложении Сбербанка «Осторожно, мошенники», и рекламная кампания Альфа-­Банка, стилизованная под мошенническую, и статьи в официальном аккаунте Тинькофф журнала в Инстаграме. Даже в московском метро крутят рекламный ролик о рисках социальной инженерии и методах противодействия!

Возникает вопрос, кто же должен заниматься финансовой грамотностью граждан? Наши внешние эксперты считают, что это общая задача как банков, так и государства.

Некоторое время назад Банк России начал заниматься повышением уровня финансовой грамотности граждан, выпустил курс онлайн-­уроков, задачник для школьников и методические материалы по финансовой грамотности для начальных классов. Однако дальше рекомендательного характера это не пошло, так как целевую аудиторию стали делить на группы, чтобы каждому в соответствии с группой преподнести нужную информацию. В результате широкого распространения такой образовательный процесс не получил.

Необходимо вводить обучение в школьные программы: финансовая и киберграмотность. Нужна социальная реклама на улице, в метро, на телевидении. Банки по мере своих сил и возможностей, в том числе финансовых, пытаются донести информацию до клиентов. Выпускают памятки, рекомендации, направляют SMS-сообщения. Но этого явно недостаточно. Более действенны интерактивные ролики и рекламы, когда человек понимает, что мог оказаться в шаге от потери финансовых средств. Например, для клиентов Альфа-­Банка запустили рекламную кампанию с фальшивыми объявлениями о выплатах. Стиль и дизайн объявлений были максимально точно приближены к мошенническим, и когда спровоцированный клиент в теории мог бы уже потерять деньги, имей он дело с настоящими мошенниками, на его экране высвечивалось обращение от команды Альфа-­Банка. В первую же неделю на эту «рекламу» попалось более двадцати тысяч человек.

Делать ставку только на финансовую грамотность — все равно что в борьбе с уличной преступностью обучать население самбо

Однако делать ставку только на финансовую грамотность населения — это все равно что в борьбе с уличной преступностью обучать население приемам самообороны. Без пресечения преступных действий правоохранительными органами это не даст желаемого результата. Преступники всегда будут более подготовлены и технически вооружены. К сожалению, эффективность правоохранителей в данном направлении на сегодняшний день оставляет желать лучшего. В приведенном примере с «Почта Банком» по факту хищения клиент обращалась с заявлением в полицию. Но по итогам проверки было вынесено постановление об отказе в возбуждении уголовного дела в связи с отсутствием в действиях неустановленного лица события преступления, предусмотренного Особенной частью УК РФ. Полиция посчитала, что отсутствует сам факт общественно опасного деяния. То есть, несмотря на то, что денежные средства похитили, полиция не увидела в этом преступления и искать мошенников не стала.

Неэффективность правоохранительной системы по раскрытию такого вида преступлений также способствует расцвету киберпреступности.

17 июля 2020 года под председательством Генерального прокурора Российской Федерации Игоря Краснова состоялось заседание Координационного совещания руководителей правоохранительных органов Российской Федерации по вопросу «О состоянии работы правоохранительных и контролирующих органов по предупреждению, выявлению, пресечению и расследованию преступлений, связанных с посягательствами на безопасность в сфере использования информационно-­коммуникационных технологий, включая критическую информационную инфраструктуру Российской Федерации». Участники совещания обсудили следующие факты.

За последние 5 лет число преступлений, совершенных с использованием информационно-­коммуникационных технологий, возросло в 25 раз (с 11 до 294 тыс. в 2019 году). При этом их раскрываемость составила всего 25%. В первом полугодии 2020 года негативная тенденция лишь усилилась. Зафиксирован рост на 92% (225 тыс.). Генеральный прокурор Российской Федерации обратил внимание участников совещания на ежегодный рост компьютерных атак, организаторы которых нередко используют инфраструктуру иностранных государств для попыток взлома информационных систем российских государственных органов, корпораций, крупных банков. Бесконтактный и быстрый способ совершения таких преступлений делает общество все более уязвимым перед новыми вызовами. При этом правоохранительные органы зачастую оказываются к ним неготовыми. Низкая выявляемость и раскрываемость киберпреступлений порождает безнаказанность и чувство вседозволенности, хотя возможности противостоять новым угрозам у правоохранителей имеются.

Необходимость мер по совершенствованию системы профилактики и раннего выявления преступлений, совершенных с использованием ИТ-технологий и компьютерной информации, поставила ряд конкретных задач:

  1. 1. Проанализировать эффективность взаимодействия оперативных служб с центрами реагирования на инциденты в сфере информационной безопасности. Проработать вопрос о возможности создания автоматизированных поисковых систем, в том числе на базе уже существующих, путем расширения функционала по предупреждению и пресечению киберпреступности, а также их интеграции с другими базами данных.
  2. 2. Кардинально изменить подходы к организации оперативно-­разыскной деятельности и предварительного расследования таких фактов.
    Учитывая специфику их выявления, стремительное распространение криминального использования виртуальных активов, компьютерных атак на критическую информационную инфраструктуру государства, необходимо внедрять специализацию сотрудников, осуществлять их профессиональный отбор, добиваться устойчивого повышения раскрываемости преступлений.
  3. 3. Обеспечивать максимально тесное взаимодействие прокуроров, сотрудников оперативных, в том числе технических, служб и органов следствия на всех стадиях выявления данных посягательств и осуществления уголовного преследования виновных лиц, комплексно развивать систему экспертного сопровождения.
  4. 4. Учитывая трансграничный характер киберпреступлений, необходимо более эффективного использовать возможности специализированных сетей правоохранительных органов, международного полицейского взаимодействия и сотрудничества в порядке уголовного судопроизводства[2].

Как в приведенном выше случае, сотрудники правоохранительных органов способствуют латентности преступлений, поскольку не хотят возбуждать и расследовать уголовные дела. На коллегии в Генеральной прокуратуре России на тему «Об итогах работы органов прокуратуры в первом полугодии 2020 г. и о задачах по повышению эффективности прокурорской деятельности на второе полугодие 2020 г.» было указано, что на досудебной стадии уголовного судопроизводства выявлено 2,8 млн. нарушений, почти две трети из которых — при приеме, регистрации и рассмотрении сообщений о преступлениях. В целях устранения нарушений внесено 240 тыс. актов реагирования, 117 тыс. должностных лиц органов дознания и предварительного следствия привлечены к дисциплинарной ответственности[3].

Не секрет, что социальные инженеры в виде криминальных call-центров зачастую работают непосредственно в местах лишения свободы.

Так, сотрудниками североосетинской полиции доказана причастность к преступной деятельности 41‑летнего заключенного исправительной колонии № 1 города Тюмени. С целью незаконного обогащения злоумышленник разработал схему преступной деятельности, согласно которой совершал звонки ранее незнакомым ему людям и представлялся их родственником, попавшим в беду. Далее в ходе телефонного разговора, представляясь сотрудником полиции и работником прокуратуры, которые могут помочь в решении возникших проблем у их родственников, злоумышленник вводил людей в заблуждение и за непривлечение родственников «жертв» к уголовной ответственности требовал немедленно перевести денежную сумму, которая варьировалась от 50 тыс. до 155 тыс. руб­лей. Мужчина звонил с мобильного телефона, постоянно меняя абонентские номера, называл реальные имена и фамилии родственников потерпевших, чем располагал к себе жертву. Восемь обманутых жителей Моздокского района Северной Осетии перевели подозреваемому требуемую сумму посредством электронной платежной системы. В результате оперативно-­разыскных мероприятий были установлены подставные лица, на счета которых переводились денежные средства[4].

Возникают вопросы: как, находясь в исправительной колонии, можно звонить с мобильного телефона, постоянно меняя абонентские номера, называть реальные имена (откуда информация?), контролировать счета подставных лиц (где деньги)? Неужели за всем этим стоит только один человек, который привлечен к уголовной ответственности? К­ак-то не верится — по всем приметам это явно хорошо организованный криминальный бизнес.

И практика это только подтверждает. По сообщению прокуратуры, 4 августа 2020 года Донской городской суд Тульской области вынес приговор по уголовному делу в отношении 23‑летнего бывшего сотрудника системы ФСИН. Сотрудник ФСИН в период с сентября 2019 по апрель 2020 года приобретал за денежные средства осужденных SIM-карты сотовых операторов и мобильные телефоны и проносил их в режимное учреждение для передачи заключенным. За это он получал денежное вознаграждение. Суд приговорил его к 5 годам и 6 месяцам лишения свободы[5].

А ведь ­кто-то еще должен поставлять информацию о потенциальных жертвах и выводить похищенные средства!

Помимо неэффективной работы правоохранительных органов помогают мошенникам и современные технологии, и конкурентная борьба банков за удобство использования своих технологий (usability). Не секрет, что чем безопаснее система, тем сложнее ею пользоваться. Поэтому банки зачастую жертвуют вопросами безопасности, желая предоставить клиентам более дружественный продукт.

Например, многие банки используют интерактивное голосовое меню (IVR). Клиент звонит в банк, по номеру телефона система его узнает и запрашивает некоторые услуги, допустим, узнает остаток на банковской карте. Казалось бы, очень удобно и клиентоориентированно. Но с развитием вишинга (мошенничество с помощью голосовой телефонии) появилась возможность просто и недорого осуществить звонок с подменой исходящего номера. В результате мошенник, зная только номер телефона, может установить: ФИО человека и какой баланс находится у него на карте (картах). После этого, перезвонив в банк с официального банковского номера, также подмененного, убедить клиента, что звонивший является сотрудником банка и пытается остановить мошеннический перевод денежных средств, преступнику становится значительно легче. Кстати, звонки с подменой номеров используют не только банковские мошенники, но и спецслужбы при проведении своих операций. Как в случае пресловутого задержания «военных ЧВК» в Белорусии.

Другой пример: Сервис быстрых платежей. Очень удобная, быстрая, недорогая технология перевода денежных средств по номеру телефона. Но с ее помощью по номеру телефона легко узнать имя, отчество владельца и в каком банке у него счет. Далее следует звонок от «службы безопасности» банка, перед этим, возможно, преступник узнает дополнительную информацию по IVR.

Усилить эффект звонка от имени банка, чтобы убедить клиента о попытке хищения денежных средств, позволяет схема получения кредита через сайт банка. Мошенник заходит на сайт, оформляет заявку на кредит, вводит телефон жертвы. Банк направляет на данный телефон SMS с кодом для подтверждения заявки. После этого клиенту звонит мошенник и сообщает, что ­кто-то пытается получить от его имени кредит. Так как клиент заявку на кредит не подавал, то необходимо ее отменить, для этого нужно сообщить код из новой SMS. На самом же деле это уже будет подтверждение мошеннической операции.

Чем больше мошенник знает о человеке, тем легче его обмануть. Помимо того что современный человек в большом количестве оставляет свои персональные данные в различных местах, например, ФИО, номер телефона, паспорта (карты магазинов, предприятий услуг, сервисных центров, фитнес-­клубов, туристические компании, гостиницы и пр.), все эти данные обрабатываются в электронном виде, и постоянно происходят взломы и утечки информации. Предоставление банковских услуг тоже предполагает возможность доступа к информации не только банков, но и третьих лиц. Например, человек запрашивает в банке кредит, банк проверяет о нем информацию в бюро кредитных историй. Об этом может стать известно и другим банкам, сотрудники которых будут звонить с аналогичными предложениями. Но на момент запроса, пока кредит не выдан, такой человек не является клиентом банка, и информация о нем не будет банковской тайной. В случае предоставления кредита часто дополнительной услугой является страхование (это снижает кредитную ставку). В этом случае сведения о клиенте передаются страховым компаниям. Как у них обрабатывается информация, надежно ли она защищена, банки, как правило, не контролируют.

Телефон сейчас играет очень большую роль в жизни людей не только как средство коммуникации, но и как средство идентификации и/или аутентификации. Мошенники это также активно используют, начиная от замены SIM-карт и заканчивая взломом личного кабинета у оператора связи и перенаправлением звонков. Или устанавливают на телефоны программное обеспечение для удаленного доступа, причем используют с этой целью не только вредоносное, но и вполне легальное ПО.

С подобными проблемами столкнулись не только на российском рынке, но и по всему миру. Международные платежные системы Visa и Mastercard выпускали информационные сообщения об активизации использования мошенниками темы пандемии, причем, как говорит Алексей Голенищев, если раньше проблема социальной инженерии и мошенничества в меньшей степени касалась европейского рынка, то сегодня обсуждением вопроса возросших объемов социальной инженерии занимаются на Mastercard Europe Fraud Advisory Council.

Федеральное бюро расследований (FBI) и Агентство по обеспечению кибербезопасности и безопасности инфраструктуры (CISA) 20 августа 2020 года выпустили совместное предупреждение: пандемия COVID‑19 привела к массовому переходу на работу из дома, что обусловило более широкое использование корпоративных виртуальных частных сетей (VPN), в середине июля 2020 года киберпреступники начали кампанию вишинга — с целью получения доступа к инструментам сотрудников.

Пандемия продолжается, а это значит, что активность мошенников будет только нарастать

Многие считают, что мир ждет вторая, а может, даже и третья волна заболеваний COVID‑19, а это значит, что активность мошенников будет только нарастать. Из всего того, что банковские структуры увидели за период с марта по август 2020 года, можно сделать вывод, что самые нужные качества — адаптивность и умение трезво анализировать ситуацию. Угадать, откуда придет следующий вызов, невозможно, поэтому службы безопасности должны постоянно мониторить как внешние угрозы, так и внутренние. Быть гибкими, выявлять и пресекать нарушения, проводить профилактику. Рост мошенничества приводит к усилению мер и средств безопасности со стороны банков. А это, в свою очередь, снижает удобство и доступность банковских услуг. Чем безопаснее продукт, тем сложнее им пользоваться. Человек легко может запомнить простой и короткий пароль, а сложный и длинный, вероятно, уже запишет, тем самым подвергаясь риску его компрометации.

Таковы выводы наших экспертов о реальной ситуации с социальной инженерией на российском рынке и тех направлениях, которые требуют серьезной и масштабной работы по противодействию деятельности криминала — как от участников рынка, так и от законодательной и исполнительной власти, включая, конечно же, правоохранительные органы. Серьезность этой проблемы особенно заметна, если вспомнить о курсе на цифровизацию, взятом российским государством. Именно о нем напомнил всей государственной машине и кредитно-­финансовой системе страны не кто иной, как президент Российской Федерации Владимир Путин в своем выступлении 27 августа 2020 года. Без сомнения, уже в ближайшем будущем он поручит проверить исполнение взятого курса. Поэтому остается лишь пожелать всем нам успехов на этом пути. За работу, коллеги!

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных