Социальная инженерия против банковских клиентов. Причины «успеха» и способы защиты

[Dmitry Bondarenko 90]

Почему люди так легко попадаются на удочку мошенников, несмотря на постоянные напоминания банков о бдительности?

 

Юрий Божор, начальник отдела методологии и анализа рисков финансовой доступности (на правах Управления) Службы по защите прав потребителей и обеспечению доступности финансовых услуг Банка России

 

В настоящее время подавляющая часть потерь банковских клиентов от мошенничества приходится на успешные хищения с помощью социальной инженерии.

 

Можно выделить несколько направлений в этом бурном и мутном потоке.

 

Мошенничество коммуникативное – получение от жертвы в телефонном разговоре либо в процессе общения в различных чатах, соцсетях, электронных письмах и т. д. конфиденциальных данных (персональных, номеров и других параметров платежных карт, счетов, номеров и сканов документов и т. д). Затем на основании этих данных осуществляется попытка хищения активов потенциальной жертвы. Аналогичные атаки проводятся в отношении сотрудников финансового блока компаний, только в этом случае мошенники покушаются не на личные деньги, а на деньги предприятия и для вхождения в доверие используют информацию о руководстве и сотрудниках компании, представляются сотрудниками центрального офиса, помощниками руководителей, сотрудниками контролирующих и надзорных органов. Технологически банки уже предусматривают защиту, предполагающую участие клиента в процессе подтверждения операции (например, обязательная защита дистанционных карточных платежей 3D-Secure), либо эта защита требует ввода дополнительных кодов для подключения к Samsung Pay или Apple Pay, другим системам платежей со счета или карты. Поэтому вторым этапом мошенники стараются узнать коды или пароли, приходящие в сообщениях от банка.

 

Главный «родовой признак» этих атак: убедить потенциальную жертву сообщить требуемые данные. Приемы злоумышленников опираются на три кита любого мошенничества: жадность, страх и, в ряде случаев, банальное невежество, когда клиенту либо обещают «на грош пятаков» или другие золотые горы, пугают его «вот сейчас все заблокируем», «сейчас или никогда», либо убедительно рассказывают какие-то фантастические истории.

 

Мошенничество с использованием технологических решений – когда жертва получает письмо, в котором находится ссылка на зловред, либо жертву заманивают на мошеннический сайт, очень похожий на настоящий сайт банка, билетного оператора, оператора услуг и т. п., либо сообщают о выигрыше в лотерею или другом неожиданном поступлении средств. Это по сути тот же вариант, что и в коммуникативном случае, но мошенники даже не утруждают себя общением с клиентом, все делает программа.

 

У меня вызывает наибольший интерес проблема: как ответственный, часто весьма квалифицированный и образованный человек за короткий промежуток времени попадает под влияние лица, совершенно ему неизвестного, принимая его за представителя банка, компании, государственного регулирующего органа, спецслужб и действует в полном соответствии с инструкциями злоумышленника. При этом классические, известные столетиями приемы манипулирования, которые, например, используют цыганки, получая все деньги жертвы, имеющиеся у нее не только при себе, но и в квартире, на счете в банке и т. п., или различные уличные преступники, ловцы «на живца» доверчивого обывателя (найденное кольцо, кошелек, уличные игры «кто больше поставит») здесь работать не могут. Мошенники добиваются нужной реакции от совершенно незнакомого человека и воруют активы без физического контакта с жертвой: путем убеждения при телефонном разговоре или в процессе переписки, обходя и различные методы дополнительной защиты, и весьма изощренные системы фрод-мониторинга банков.

 

Далее: https://www.plusworld.ru/journal/2019/plus-6-2019/sotsialnaya-inzheneriya-protiv-bankovskih-klientov-prichiny-uspeha-i-sposoby-zashhity/?fbclid=IwAR0gUEQUz769GBTd3fxMMtroGWeo9-aIlfHFZ8uz4EpqK2jOI7ZPh6XLEOU.