Кибермошенничество с помощью смартфонов набирает обороты. В октябре только в Минске милиционеры ежедневно принимали не менее 5 заявлений по случаям вишинга. Банки неустанно публикуют памятки для клиентов: ни при каких условиях сообщать конфиденциальную информацию нельзя. Но меры профилактики срабатывают не всегда, в то время как киберворы неустанно совершенствуют свои приемы. Кто стоит за криминальными схемами? И как злодеям от сети удается втираться в доверие?
Обман с вишингом на торте
Звонок на мобильный раздался вечером выходного дня. 56-летняя гомельчанка сняла трубку. Собеседник представился сотрудником банка и обратился к женщине по имени. Уточнил, не теряла ли она банковскую карточку, не передавала ли третьим лицам. А потом сообщил тревожную новость: кто-то пытался украсть деньги с ее карт-счета. Звонивший был убедителен: необходимо принять меры, чтобы сохранить средства. Для этого ему нужны номер банковской карты и идентификационный номер в паспорте. Испуганная гомельчанка выдала ценные сведения.
Но на этом история не закончилась: женщину перевели на другого «сотрудника банка» – девушка представилась специалистом финансового отдела. Она объяснила, что деньги нужно временно перевести с расчетного счета на другой, резервный, куда злоумышленники не доберутся. Для этого владелице карты необходимо лишь сообщить код, который пришел в СМС-сообщении. Гомельчанка последовала инструкции, после чего со счета в три этапа ушли все деньги – в общей сложности более 3,8 тысячи рублей. Интернет-банкинг больше был недоступен: пароль для входа в личный кабинет оказался изменен.
После выходных героиня истории обратилась в банк. Там выяснилось, что финучреждение не имеет отношения ни к звонкам, ни к выводу денег – их, к слову, сняли безвозвратно. Женщина обратилась в милицию.
Случай похлеще произошел спустя примерно неделю с 34-летней гомельчанкой: у нее украли 2,5 тысячи долларов и 16 870 рублей. На этот раз звонок поступил от «сотрудника банка», в котором жертва не обслуживалась. Якобы от ее имени 30 минут назад поступила заявка на кредит – нужно подтверждение. После того как женщина объяснила, что никаких заявок не оставляла, собеседник стал задавать вопросы: не терялась ли карточка, паспорт? В заявке, мол, указано, что есть пластик другого банка. Женщина назвала финучреждение, после чего ее «переключили на специалиста этого банка». Гомельчанка стала общаться уже с «сотрудником службы безопасности». Ее убедили сообщить реквизиты одной из карточек, паспортные данные, содержание нескольких пришедших СМС с кодами для подтверждения операций – все это под предлогом защиты от мошеннических действий.
Звонки были на протяжении двух дней. Аферисты объяснили, что деньги временно переведут на сейфовую ячейку банка, а расчетный счет и доступ к личному кабинету в интернет-банкинге окажутся пока заблокированы.
Под предлогом заявки на кредит обвели вокруг пальца и 45-летнюю минчанку: по отработанной схеме у нее украли более 1,6 тысячи рублей. Впрочем, подобных примеров можно привести еще не один десяток: схема набирает обороты.
Откуда у злоумышленников ваши данные?
В «банковских» вишинговых схемах злоумышленники не всегда просят клиента самостоятельно выдать всю информацию. Порой они уже обладают рядом конфиденциальных сведений – например, номер карты, Ф.И.О. владельца, обслуживающий банк и так далее. Как такое возможно? На форумах граждане высказывают предположения, что сведения злоумышленники могли получить в результате утечки из банков. Начальник отдела реагирования на компьютерные угрозы (FinCERTby) Управления защиты информации Национального банка Сергей Майсейшин говорит:
– Предположение небезосновательно, учитывая недавний скандал, связанный с утечкой персональных данных крупного российского банка, а также многих других крупный организаций не только финансового сектора по всему миру. Относительно утечек информации из банков нашей страны: за время работы FinCERTby нами таких случаев не зафиксировано. Как злоумышленники могут собирать сведения о потенциальных жертвах? Например, кто-то оформляет объявление о продаже вещей на популярных торговых площадках, при этом указывает свой контактный телефон и имя, этого на первоначальном этапе достаточно для злоумышленника, чтобы начать сбор данных. Социальные сети также являются отличной базой по сбору персональных данных, находящихся в открытом доступе. Также зафиксированы случаи, когда злоумышленники используют найденные в открытом доступе либо купленные в DarkNet копии сканированных паспортов граждан нашей страны. Таким образом, может быть достаточно осуществить целенаправленный поиск в сети для получения необходимых данных.
Киберзлодеи держатся на связиМетод мошенничества, при котором злоумышленники используют телефонную связь и под разными предлогами выманивают у владельца карты личную информацию, называется вишинг. Сергей Майсейшин сообщает, что впервые с такими случаями у нас столкнулись в феврале. Кирилл Вяткин, заместитель начальника управления по раскрытию преступлений в сфере высоких технологий Министерства внутренних дел, говорит, что у злоумышленников нет избирательного принципа – идет сплошная отработка номеров:
– Звонки – по всей стране, но чаще всего – Минск. Явление неновое: эти схемы, как правило, апробируются злоумышленниками сопредельных государств, а потом приходят к нам.
Фабула всегда одна и та же, меняются лишь детали. Сначала – звонок от сотрудника банка (в том числе Национального банка) или подразделений ИT-сопровождения, рассказывет Сергей Майсейшин:
– В некоторых случаях звонящие под различными предлогами уточняли, в каком из перечисленных ими банков клиент обслуживается. После этого гражданину поступал звонок от имени службы безопасности с номера телефона того банка, который клиент указал сам.
Подменить номер несложно с помощью специальных программ-анонимайзеров. Кроме того, злоумышленники успешно имитируют и другие важные детали: работу оргтехники, звонков, голосов на заднем фоне – иными словами, звуки офисного помещения. Что же касается легенды для выманивания сведений, эта часть изменчива, объясняет эксперт:
– Вишинг носит «сезонный» характер: мошенники периодами атакуют клиентов банков, затем наступает затишье. Потом они возвращаются с новыми скриптами. Сейчас, например, «популярно» говорить о якобы оформленном кредите на 5000 белорусских рублей. Если клиент не соглашается предоставить данные, мошенники оказывают психологическое воздействие и пугают, что одобрят кредит.
В разных схемах вишинга часто используется подключение второго оператора. Например, им может быть «старший менеджер», «сотрудник службы безопасности» и так далее. Это делается даже не для пущей правдоподобности. Кирилл Вяткин рассказывает:
– Был случай: у потерпевшей увели достаточно крупную сумму. Женщина говорит, что слышала о вишинге, знала, нельзя передавать ни код, ни пароль. Но злоумышленник был очень убедителен. Еще в ходе разговора гражданка поняла, что совершила ошибку, сообщив данные. Не кладя трубку, попыталась зайти в систему клиент-банк, но сделать этого уже не получилось – пароль сменили. Звонок был после 21 часа – колл-центр банка не работал.
В случаях, когда злоумышленники выманивают реквизиты по телефону, как правило, действует преступная группа. Например, один начинает разговор, добывает данные. Затем подключается следующий соучастник. Его задача не только добыть недостающие сведения, но и тянуть время, чтобы жертва не опомнилась. Пока идет беседа, совершается кража: прозвонщик передает реквизиты тому, кто занимается входом в интернет-банкинг. Он переводит деньги на карточку (оформленную чаще всего на дропа – подставное лицо), которая подконтрольна еще одному участнику схемы: тот уже стоит у банкомата, ожидая сигнала для снятия денег. Все происходит очень быстро.
– По большей части это деятельность мошенников, связанная с манипулированием, использованием социальной инженерии, – объясняет Кирилл Вяткин.
Есть схемы, когда реквизиты выманивают на торговых площадках, обращаясь к жертве под видом покупателя. В таких случаях может применяться еще один прием, который называется фишинг, то есть создание копий ресурсов. Кирилл Вяткин рассказывает:
– Жертв преступники находят на ресурсах, где идет торговля б/у товарами. Обычно люди оставляют там контакты для связи. Мошенники обращаются к ним: мол, хочу купить ваш товар, готов перевести деньги на карту.
Для этого злоумышленники просят реквизиты: номер и срок действия карты. Таких сведений недостаточно, чтобы снять деньги, поэтому граждане без особых сомнений делятся данными. К этому времени у киберзлодеев уже готов фишинговый, то есть поддельный, сайт для входа в интернет-банкинг. Они пишут жертве, что перевели деньги, но нужно подтвердить получение перевода. И прилагают ссылку на липовую страницу. Человек переходит по ней, видит знакомый интерфейс. Для подтверждения суммы его просят ввести номер телефона (привязанный к банкингу), а затем и код, который приходит в СМС. По аналогии с 3D Secure: порядок действий выглядит очень привычным, только человек не отдает себе отчет, что обычно он совершает такие действия, когда оплачивает покупки, а не получает деньги.
– С помощью этих данных злоумышленники получают доступ к интернет-банкингу и похищают средства.
Участники таких преступных групп часто не являются ИТ-специалистами. Как им удается сделать тот же фишинговый сайт? Все просто: это можно заказать у настоящих технарей, объясняет Кирилл Вяткин:
– Произошла трансформация: если раньше киберпреступники работали на себя и создавали незаконные схемы для незаконного обогащения в свой адрес, то сейчас появился рынок киберпреступных услуг. Это сервис. Можно заказать ddos-атаку на определенный сайт, допустим конкурентов. Или атаку с использованием вредоносных программ, чтобы получать конфиденциальные сведения или уничтожить ценную информацию. Продаются базы данных с ценной информацией. Покупателям остается лишь монетизировать эти сведения – шантажом, выманиваем недостающих реквизитов и так далее.
Заслон для цифровых мошенниковЗа 10 месяцев 2018 года у нас было зарегистрировано 2677 киберпреступлений, связанных с хищением средств. За 10 месяцев 2019-го цифра выросла в 2,1 раза – до 5708 случаев. И есть все основания полагать, что она будет только расти: чем больше устройств с выходом в интернет и чем больше онлайн-услуг – тем больше мишеней для киберзлодеев. А «входной» порог в эту теневую сферу нынче невелик.
Бороться с компьютерными преступлениями сложно. За тот же вишинг у нас сейчас положено наказание от 5 до 12 лет лишения свободы, если причинен ущерб в особо крупном размере – то есть от 2,5 тысячи базовых величин (63 750 рублей). В среднем же наши преступники получают 8–10 лет лишения свободы. Но страх наказания сделживает далеко не всех.
Как же можно остановить нарастающий вал киберпреступлений? Александр Сушко, руководитель проекта в Group-IB по предотвращению и расследованию киберпреступлений, говорит вот что:
– Первое направление – профилактика, включая широкое освещение указанной проблемы в СМИ. Второе касается банковских систем мониторинга. Речь идет о программах, которые осуществляют анализ цифрового «отпечатка» устройства и индивидуального поведенческого профиля пользователя. Допустим, если вы проводите 25 секунд в интернет-банкинге, а тут вдруг сидите 2,5 минуты и делаете это с другого устройства, сессия будет разорвана. Все это учитывается – человек так или иначе оставляет свой цифровой след, по которому его можно идентифицировать. Но массовое внедрение таких технологий – это пока будущее. Третье направление – страхование.
Отличить поддельный сайт от оригинального зачастую очень непросто. Но возможно: во-первых, не переходить по ссылкам, а вбивать адрес вручную. Во-вторых, правда, это уже чуть более изощренный метод, – проверить адрес через специальный сайт, чтобы определить, какой стране принадлежит IP-адрес и хостинг ресурса. Кирилл Вяткин подчеркивает: ресурсы всех наших банков размещены в белорусском сегменте интернета.
К слову, компенсация похищенного при нынешних видах атак становится действительно болезненным вопросом. Эффективность принципа нулевой ответственности, согласно которому банк покрывает клиенту украденное, если тот не виноват в произошедшем, в таких случаях, как, например, вишинг, под большим вопросом: клиент ведь нарушил условия договора с банком, сообщив третьим лицам конфиденциальную информацию. И понять банки можно – если покрывать потери каждого, кто повелся на развод, есть вероятность обанкротиться. Но есть и другая сторона.
По-прежнему не все до конца осознают, что именно они раскрывают, когда передают банковские данные незнакомцам. Отчасти осознание того, что изображено на карточках, как работает интернет-банкинг – это до сих пор черный ящик. И здесь мало просто сказать, что можно делать, а что нельзя. Нужно объяснить, как это работает. И не постфактум, а на упреждение.
КАК ЗАЩИТИТЬСЯ ОТ ТЕЛЕФОННЫХ МОШЕННИКОВ
Рекомендации специалистов FinCERTby
• Клиенту следует помнить, что сотрудник банка при звонке заранее должен знать все необходимые ему данные. Сообщать кому-то реквизиты банковской платежной карточки, пароли и коды доступа, паспортные данные ни в коем случае нельзя.
• После разговора при подозрении о факте мошенничества свою карточку можно заблокировать посредством СДБО или контакт-центра банка.
• В случае звонка с «официального» номера банка либо получения СМС с настойчивыми призывами сообщить данные карточки сказать звонящему, что клиент сам перезвонит в контакт-центр или менеджеру.
• В случае если все же злоумышленнику удалось получить реквизиты карточки клиента и был установлен факт хищения денежных средств, следует незамедлительно обратиться с заявлением в правоохранительные органы.
ЕСТЬ КОНТАКТ
Телефонные беседы псевдосотрудников банков с их потенциальными жертвами не раз попадали в открытый доступ. Мы попросили прослушать одну из таких записей эксперта – психолога, медиатора Олесю Пономаренко.
Аудио начинается с того, что собеседник официально представляется: называет свои Ф.И.О. и говорит, что на данном этапе ему передали заявку, что в отношении женщины, которой он звонит, совершаются мошеннические действия. Задает множество вопросов – об интернет-банкинге, практике оплаты картами банка на интернет-сайтах и так далее. Собеседник не раз уверяет, что не запрашивает конфиденциальных сведений. Незаметно беседа подходит к главному – вопросу о логине интернет-банкинга. Потенциальная жертва отказывается его называть и говорит, например, что готова приехать в банк. И вот тут важный момент: мнимый банкир начинает настойчиво убеждать, что именно сейчас кем-то совершается мошенничество и действовать нужно оперативно.
Олеся Пономаренко, прослушав запись, обращает внимание на следующие моменты:
– На заднем фоне – голоса людей мол, звонок из официального учреждения. Это один из элементов, благодаря которому достигается доверие. Звонящий говорит в доверительно-простой манере. Очень часто повторяет фразу-якорь – «в данный момент». Сначала реже, а потом начинает волноваться и уже тараторит ее без остановки. Как работают «якоря»? Человек начинает обращать внимание, что собеседник много раз повторяет одну и ту же фразу, происходит момент фокусировки, а затем раздражения. Человек думает: «Сколько можно это повторять?» И таким образом его уводят от основной темы, это прием отвлечения внимания. Еще один прием: собеседник хвалит жертву, когда та говорит, что никому не передавала конфиденциальные сведения. Получается так: никому не сообщайте конфиденциальную информацию, даже мне – я буду задавать очень простые вопросы – назовите логин и пароль. В этот момент происходит когнитивный диссонанс: когда человеку говорят одно об определенном явлении, а потом прямо противоположное, но очень уверенно. В данном случае формируется установка, что звонит хороший человек, он заботится о вашей безопасности. А потом вдруг он просит данные. Мозг в это время начинает метаться: не может выбрать, потому что оба варианта равнозначны. В этот момент для манипулятора важно нанести удар. Здесь, в частности, злоумышленник торопит и не дает осознать происходящее. Как бы кладет маленькую монетку в сторону довериться: он же до этого сказал ни в коем случае не передавать информацию. Человек в когнитивном диссонансе начинает делать выбор в пользу той стороны, на которую надавил злоумышленник. В этот момент важно сказать: «Я не понимаю, что происходит, мне нужно время, чтобы принять решение». Никогда не торопитесь давать ответ. Малейшие сомнения – не бойтесь взять время, чтобы подумать. Рекомендую так делать всегда.
– Почему даже знание схемы обмана не всегда помогает избежать сетей аферистов?
– Согласно последним исследованиям мозга, все решения на самом деле принимаются бессознательно. Сознание лишь объясняет глубинно принятое решение. Опытные мошенники знают, на какие слабые места надо надавить, чтобы бессознательное приняло нужное им решение. Эти «крючки» можно разделить на четыре категории. Первое – мы все хотим помочь. Второе – мы так или иначе настроены на доверие к другому человеку. Третье – мы не любим говорить нет. Четвертое – мы любим, когда нас хвалят.
Иными словами, мошенники манипулируют желанием людей быть хорошими. Специалист по социальному инжинирингу Кевин Митник, который, к слову, когда-то сам был киберпреступником, но перешел на сторону закона, говорит, что фундамент социального инжиниринга – это очарование, вежливость, уверенность и простота. Когда ранее человек читал о схемах обмана, у него уже есть установка – это делают плохие люди. Но когда ему звонят и искренне, немного по-простецки с ним разговаривают, человек расслабляется и ему кажется: ну нет, только не со мной такое может произойти. Это тоже защитная реакция нашего мозга.
– Как защититься от социальных инженеров?
– Если у вас на ровном месте возникает чувство страха, вины, стыда, обратите на это внимание. Это показатель того, что происходит что-то против вашей воли. Именно наши чувства дают нам связь с нашим бессознательным. Поэтому важно задавать себе вопрос: «Что я сейчас чувствую?». Когда ситуация будет стрессовой, понять, почему мне так страшно? Ага, на меня давят. Либо наоборот, когда вас умаслили, наговорили приятных вещей и так далее. Нужно удерживаться в определенных рамках: помнить о том, что вы почувствовали опасность. И на протяжении всей беседы придерживаться этой позиции, не идти на поводу. Конечно, нужно обзавестись некоторыми знаниями о том, как это происходит, проявлять бдительность лучше больше, чем меньше, не стесняться задавать вопросы. И учиться говорить нет.
Валентина Гаврушева, «Народная газета», 21 ноября 2019 г.
(рисунок Олега Попова)