Журнал ПЛАС » Архив » 2020 » Журнал ПЛАС №8 » 53 просмотра

Пандемия и социальная инженерия. Что изменилось и как противодействовать?

Социальная инженерия — манипулирование поведением людей с целью совершения ими определенных действий, в том числе разглашение конфиденциальной информации, установка вредоносного программного обеспечения, результат — хищение денежных средств. Социальная инженерия известна с библейских времен: змий обещал Еве, что если вкусить запретный плод, то люди станут равными Богу, на самом же деле люди были изгнаны из рая. Змий — тот самый социальный инженер, который путем обмана добился желаемых для себя действий со стороны людей. Меняются технологии, мы живем в эпоху цифровизации, но люди не меняются, пороки и слабости остаются, к сожалению, прежние. Так что же заставляет людей верить мошенникам? И как на потенциальных жертв повлияла пандемия?
Как утверждает гештальт-­психолог Наталья Савенко, общим для всех кризисов является ощущение дезадаптации, и пандемия COVID‑19 не исключение. Во время пандемии и карантина меняется привычная окружающая среда, стратегии поведения, система планирования (отпуск, учеба, бюджет, способы передвижения). Психика человека приходит в стрессовое состояние, и запускаются адаптационные процессы. Организм использует резервы, которые в норме не задействованы, когнитивные функции становятся обслуживающими и реагируют на эмоциональное состояние, поэтому память и внимание на ­какой-то период времени ухудшаются. Как следствие, повышенная подверженность влиянию мошенников. То есть если в норме человек не склонен верить в «подозрительные транзакции», о которых сообщают с незнакомого номера, в состоянии стресса тревожность побеждает, и человек становится жертвой.Во время пандемии появились новые схемы, связанные с новыми событиями и процессами, — получение пропусков, пособий, штрафы за нарушение карантина, продажа средств защиты и т. п. По данным отчета компании Positive Technologies «Актуальные киберугрозы: II квартал 2020 года», тема COVID‑19 была затронута в 16% атак с использованием методов социальной инженерии, 36% таких атак не были привязаны к конкретной отрасли (в качестве целей предполагали широкий круг лиц), 32% атак были направлены против частных лиц.Во время карантина и удаленной работы появились новые факторы, которые службам безопасности банков приходится учитывать: обработка клиентских документов на домашних компьютерах, использование плохо защищенного домашнего интернета и незащищенных каналов связи (Skype, ZOOM). Как утверждает Алексей Голенищев, директор дирекции мониторинга электронного бизнеса Альфа-­Банка, «очевидно, что при работе в удаленном режиме с конфиденциальными данными у недобросовестного работника больше возможностей для различных злоупотреблений, чем на рабочем месте в офисе, где есть и системы видеонаблюдения, и коллеги. Так, например, некоторые компании организовывают удаленный доступ таким образом, что при этом принудительно подключается видеокамера домашнего компьютера сотрудника, фиксирующая все его действия в период удаленной работы в корпоративной сети.Также могут возникать риски, связанные с недостаточной защищенностью каналов связи с корпоративной сетью, и т. п.Александр Вураско, ведущий аналитик INFOSECURITY, отмечает, что сейчас наблюдается увеличение фишинговых атак на корпоративных клиентов банков. Фишинговые сайты нацелены на компрометацию ДБО, малый и средний бизнес, и чаще всего мошенники предлагают скачать банковский троян. Произошел всплеск атак на банки из первой «двадцатки», а под клиентов шести-семи основных банков даже появились универсальные скрипты. Активизировались и мошенники, нацеленные преимущественно на физических лиц, причем, по данным Александра Вураско, чаще всего это теплые звонки. Безусловно, отрицательную роль в этой цепочке играют многочисленные утечки клиентских данных как из самих банков, так и из служб доставки. В даркнете продается много конфиденциальной информации, вплоть до выписок со счетов, и владение такой «закрытой» информацией заставляет жертв думать, что они действительно разговаривают с представителем банка.
Во время пандемии появились новые схемы мошенничества, связанные с новыми событиями и процессами
По информации Генеральной прокуратуры РФ, в связи с пандемией существенно возросло количество фейков в интернете. В органы прокуратуры поступило свыше 340 уведомлений о распространении недостоверной информации. В целях ее блокировки в Роскомнадзор направлено 153 требования (в аналогичном периоде 2019 г. — 6 требований). В целом за полугодие по итогам рассмотрения 219 требований заблокировано свыше 4 тыс. сайтов, с более чем 25 тыс. ресурсов противоправные сообщения удалены[1].Несмотря на разнообразие приемов, технически и технологически все эти схемы базируются на старых методах манипулирования поведением людей.Однако помимо чисто человеческих психологических факторов значительную роль в успешных действиях мошенников стали играть и технологические. Человек все больше и больше погружается в цифровой мир. Это позволяет злоумышленникам автоматизировать атаки, делать их массовыми, что приносит результативность (прибыль) даже при низкой эффективности (примером может служить фишинг — рассылка электронных сообщений, содержащих информацию, убеждающую пользователя посетить ложный веб-сайт, на котором предлагается ввести конфиденциальные данные или загрузить вредоносное программное обеспечение).С другой стороны, проявляется эффект так называемой дистанционной вой­ны — когда солдат не видит лицо противника, легче убивать, в нашем случае — совершать преступление, например, похитить деньги у пенсионера.В отличие от мошенников («хакеров»), большинство людей не готовы к безопасной жизни в цифровом мире. Если в обычной жизни детей учат основам безопасности: не разговаривать с незнакомцами, не открывать чужим дверь, то в цифровой сфере многие взрослые не знают или не понимают, что является угрозой и несет опасность.Например, насколько опасно жаловаться на публичных сайтах, например, в социальных сетях, на действия банков?Клиент банка ПАО «Почта Банк» обратилась с претензией (жалобой) на официальный сайт банка, но быстрого ответа не получила. Тогда она зашла на сайт Банки.ру, где сформировала свой профиль и задала вопрос специалисту банка, после чего ей на электронную почту пришло сообщение, в котором предлагалось дополнительно сообщить номер счета, дату рождения, номера мобильного телефона и сформированного запроса, информационное письмо предлагалось отправить на указанный электронный адрес, что она и сделала. В дальнейшем на ее телефон пришло SMS-сообщение, в котором было указано, что с ней якобы общается специалист банка В., которая указала, что от нее не поступает подтверждение. Кроме того, клиенту приходили SMS-сообщения о том, что истек тайм-аут подтверждения. В этот же момент от ПАО «Почта Банк» ей приходили сообщения о том, что она регистрируется в Почта Банк онлайн, а также о том, что для завершения операции по переводу денег ей нужно позвонить по указанному номеру. Потерпевшая позвонила по этому номеру, но, не дождавшись ответа, снова написала В. о том, что ей приходят SMS-сообщения с просьбой подтвердить операцию. В. ответила, что операция отменена, в банке обновление процессинговых систем, возможны перебои, и на SMS не нужно обращать внимание, что она и сделала. Таким образом, от имени банка с клиентом общались мошенники, которые получили от нее конфиденциальную информацию и похитили денежные средства. Клиент обратилась в суд. Нерехтский районный суд Костромской области (дело № 2‑654/2019) в удовлетворении иска Ивакиной И. Н. к ПАО «Почта Банк» о защите прав потребителей отказал.Закономерно возникает вопрос о путях решения проблемы социальной инженерии и стабилизации ситуации с мошенничеством, распространившимся во время пандемии. Как говорят эксперты, эффективной системы противодействия сейчас не существует, и пандемия лишь ярче это продемонстрировала. Правоохранительные органы с неохотой берутся за дела, связанные с социальной инженерией, ведь в сфере онлайн неясно, кого преследовать и как искать преступников. Фиксируется высокая латентность и низкая раскрываемость таких преступлений, поэтому о ­какой-либо стабилизации говорить пока еще рано.Алексей Голенищев считает, что реальное противодействие оказывать можно, причем эффективнее всего оно было бы на нескольких уровнях: техническом, образовательно-­организационном и на уровне мониторинга. Задача технического противодействия заключается в том, чтобы даже если клиент «повелся» на уговоры преступника, использующего методы социальной инженерии, то он технически не смог бы перевести деньги мошенникам. Это вводится путем «утяжеления» продукта, вводом дополнительных средств аутентификации, помимо привычных SMS-уведомлений с кодами авторизации. Идеально было бы, если подтвердить операцию можно было только из приложения в своем телефоне, добавить дополнительные ключи. Или использовать биометрию, или задействовать анализ самого пользовательского устройства… Банки же на это идут не всегда охотно, так как это утяжеляет продукт и делает его менее «юзабильным», — считает Алексей Голенищев.Противодействие на образовательно-­организационном уровне может представлять собой работу популярных телевизионных программ со своей аудиторией: демонстрировать сюжеты, которые помогали бы телезрителям распознать мошенников в реальной жизни. Хорошие мониторинговые системы помогали бы структурам уже на выходе. Именно фрод-мониторинг оценивает риски и следит за появлением потенциально опасных ресурсов. Банки могли бы заранее учитывать факт регистрации подобных сайтов и сразу же принимать меры.Сегодня наблюдается положительная динамика, как минимум в сфере информирования граждан: это и образовательный канал в приложении Сбербанка «Осторожно, мошенники», и рекламная кампания Альфа-­Банка, стилизованная под мошенническую, и статьи в официальном аккаунте Тинькофф журнала в Инстаграме. Даже в московском метро крутят рекламный ролик о рисках социальной инженерии и методах противодействия!Возникает вопрос, кто же должен заниматься финансовой грамотностью граждан? Наши внешние эксперты считают, что это общая задача как банков, так и государства.Некоторое время назад Банк России начал заниматься повышением уровня финансовой грамотности граждан, выпустил курс онлайн-­уроков, задачник для школьников и методические материалы по финансовой грамотности для начальных классов. Однако дальше рекомендательного характера это не пошло, так как целевую аудиторию стали делить на группы, чтобы каждому в соответствии с группой преподнести нужную информацию. В результате широкого распространения такой образовательный процесс не получил.Необходимо вводить обучение в школьные программы: финансовая и киберграмотность. Нужна социальная реклама на улице, в метро, на телевидении. Банки по мере своих сил и возможностей, в том числе финансовых, пытаются донести информацию до клиентов. Выпускают памятки, рекомендации, направляют SMS-сообщения. Но этого явно недостаточно. Более действенны интерактивные ролики и рекламы, когда человек понимает, что мог оказаться в шаге от потери финансовых средств. Например, для клиентов Альфа-­Банка запустили рекламную кампанию с фальшивыми объявлениями о выплатах. Стиль и дизайн объявлений были максимально точно приближены к мошенническим, и когда спровоцированный клиент в теории мог бы уже потерять деньги, имей он дело с настоящими мошенниками, на его экране высвечивалось обращение от команды Альфа-­Банка. В первую же неделю на эту «рекламу» попалось более двадцати тысяч человек.
Делать ставку только на финансовую грамотность — все равно что в борьбе с уличной преступностью обучать население самбо
Однако делать ставку только на финансовую грамотность населения — это все равно что в борьбе с уличной преступностью обучать население приемам самообороны. Без пресечения преступных действий правоохранительными органами это не даст желаемого результата. Преступники всегда будут более подготовлены и технически вооружены. К сожалению, эффективность правоохранителей в данном направлении на сегодняшний день оставляет желать лучшего. В приведенном примере с «Почта Банком» по факту хищения клиент обращалась с заявлением в полицию. Но по итогам проверки было вынесено постановление об отказе в возбуждении уголовного дела в связи с отсутствием в действиях неустановленного лица события преступления, предусмотренного Особенной частью УК РФ. Полиция посчитала, что отсутствует сам факт общественно опасного деяния. То есть, несмотря на то, что денежные средства похитили, полиция не увидела в этом преступления и искать мошенников не стала.  Неэффективность правоохранительной системы по раскрытию такого вида преступлений также способствует расцвету киберпреступности.17 июля 2020 года под председательством Генерального прокурора Российской Федерации Игоря Краснова состоялось заседание Координационного совещания руководителей правоохранительных органов Российской Федерации по вопросу «О состоянии работы правоохранительных и контролирующих органов по предупреждению, выявлению, пресечению и расследованию преступлений, связанных с посягательствами на безопасность в сфере использования информационно-­коммуникационных технологий, включая критическую информационную инфраструктуру Российской Федерации». Участники совещания обсудили следующие факты.За последние 5 лет число преступлений, совершенных с использованием информационно-­коммуникационных технологий, возросло в 25 раз (с 11 до 294 тыс. в 2019 году). При этом их раскрываемость составила всего 25%. В первом полугодии 2020 года негативная тенденция лишь усилилась. Зафиксирован рост на 92% (225 тыс.). Генеральный прокурор Российской Федерации обратил внимание участников совещания на
Если у вас есть подписка, нажмите
Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных