В России появился новый способ телефонного мошенничества: злоумышленники пытаются переключить управление смартфоном клиента на себя. Это только один из видов мошенничества, получившего название «социальная инженерия». В результате даже озвучивание невинной, на первый взгляд, информации в соцсетях может привести к компрометации всех имеющихся паролей и исчезновению денег на личных счетах интернет-пользователей. Как обезопасить свою учетную запись в Глобальной сети, где лучше не оставлять свои цифровые отпечатки, а также поможет ли введение биометрической защиты в банкоматах защититься от хакеров, разбирался «ФедералПресс».

Итак, совсем новый способ развода на деньги. Мошенники в телефонном разговоре представляются сотрудниками банка, однако не требуют рассказать конфиденциальные данные банковских карт. Они заявляют, что кредитная организация узнала о попытке несанкционированно вывести средства со счета в другом регионе. Мошенники сообщают, что заблокировали попытку списания денег, и предлагают сверить устройства, которые имеют доступ к личному кабинету. Затем они узнают, пользуется ли клиент операционной системой Android или IOS. Впоследствии злоумышленники предлагают помочь отключить систему, которой не пользуется клиент, с помощью программы делегирования доступа Teamviewer. Как пишет «Российская газета», доказать взлом потом будет невозможно, ведь клиент сам отдал свои пароли и явки.

В биометрии не увидели спасения

Согласно статистике специалистов по информационной безопасности, 90 % хищений денег с банковских карт выполняется с использованием метода социальной инженерии. Звонок от незнакомого человека, представляющегося сотрудником банка, где гражданин имеет счет, сегодня воспринимается рядовым. Неизвестный сообщает о только что заблокированной сомнительной попытке перевода средств с карточки клиента. Для окончательной блокировки транзакции он просит подтвердить согласие ответным сообщением на СМС, которая вскоре приходит на телефон клиента. Но после подтверждения личные средства со счета исчезают. В таких случаях банки разводят руками, отказываясь компенсировать гражданам их финансовые потери. «Вы сами раскрыли информацию по банковской карте, вас к этому не принуждали», – скорее всего ответят в кредитной организации клиенту. Таким образом срабатывает прием социальной инженерии, когда человек поверил звонившему на слово, в результате чего лишился части своих средств. Отметим, что чаще страдают пожилые люди: они менее грамотны в компьютерном плане и более доверчивы. Такие данные были озвучены в Москве на конференции «Мошенничество в банковской сфере», на которой эксперты предложили свои варианты борьбы с киберзлоумышленниками.

Описанный прием является обкатанным мошенниками множество раз. Однако суть его сводится к одному и тому же: желанию получить от вас какую-либо информацию по банковскому счету, которую говорить посторонним ни в коем случае нельзя. Ряд специалистов компьютерной сферы уверены, что сократить число мошенничеств, связанных со звонками лжесотрудников банка, можно, усложнив процедуру перевода средств.

«Чтобы снизить число мошенничеств, банкам под силу усложнить процедуру идентификации клиента. Например, можно подключать биометрическое подтверждение в случаях, если запрошенная сумма превышает определенный установленный порог», – считает заместитель председателя комиссии по цифровым финансовым технологиям Совета по финансово-промышленной и инвестиционной политике ТПП РФ Тимур Аитов.

В качестве примера эксперт предложил подключать биометрическое подтверждение в случаях, если запрошенная сумма превышает определенный установленный порог. Сложность заключается в отношении самих клиентов банков, которых не радует перспектива тратить на рядовые переводы больше времени. Граждане ценят простоту сервиса и уверены, что мошенничество их никогда не коснется, добавил эксперт.

С целесообразностью ввода биометрической идентификации личности не согласен независимый эксперт по информационной безопасности Николай Пятиизбянцев. Он согласен с правом банка не возмещать клиенту средства, переведенные по номеру СМС мошенников. По его мнению, плательщик сам соглашается на транзакцию и подтверждает, что перевод выполнен по его распоряжению. Однако эксперт считает, что ситуацию установкой биометрии в банкоматах не исправишь. Во-первых, если владелец карты решил сделать платеж, то будет ли он использовать биометрическое подтверждение личности или нет, на его решение это не повлияет. Единственный смысл подтверждения личности владельца банковской карты через отпечаток пальца или сетчатку глаза в том, чтобы его картой не воспользовался чужой человек. Но здесь и начинаются сложности. Биометрия не применима к домашнему компьютеру, поэтому завладевшему картой злоумышленнику нет никакого резона снимать деньги со взломанной карты через банкомат с биометрией. Он может просто перевести средства с чужой карты на подставной счет.

«Биометрия не является средством стопроцентной идентификации. Остается вероятность, что, в отличие от банковской карты, сканер не распознает отпечаток вашей ладони или сетчатку глаза. Зачем вводить биометрию, мне не очень понятно. Кроме того, понадобятся банковские карты, которые будут поддерживать эту технологическую возможность, что приведет к удорожанию их обслуживания», – отметил Николай Пятиизбянцев.

Раз, два, три, четыре, пять – хакеры идут искать

Хищения денег клиентов с помощью приемов социальной инженерии составляет лишь одну сторону медали. Ссылаясь на статистику, эксперты утверждают, что с 2012 года росла и крепла тенденция воровства денег непосредственно через банковскую инфраструктуру. Здесь кибермошенники действуют по единой схеме: взлом внутренней сети кредитной организации, затем вывод средств через межбанковские переводы с последующим обналичиванием через банкоматы.

В России, к несчастью, есть собственный антирекорд. Речь идет о выводе в августе 2015 года из одного из региональных банков 470 млн рублей. Используя платежные карты MasterCard, мошенники перевели на множество счетов сторонних банков всю сумму, которую затем обналичили через банкоматы. Как рассказал директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов, в указанном случае использовалась так называемая отмена транзакции. Суть ее заключается в снятии денег с помощью карты со счета банка-эмитента через банкомат сторонней кредитной организации.

По словам эксперта, чтобы добиться доступа к компьютерной инфраструктуре банка, мошенники могут потратить год, готовя почву для вывода крупной суммы денег. Однажды сотрудник кредитной организации получает письмо якобы от руководства банка, какой-либо спецслужбы, МВД или Центробанка. При этом письмо попадает тем сотрудникам, которым по должности необходимо читать подобную корреспонденцию.

«Письмо написано в деловом стиле, с необходимыми логотипами и реальными контактами организации. Открытие такого письма создает туннель, через который хакеры смогут исследовать внутрисетевое банковское пространство, постепенно подбираясь к инфраструктуре, отвечающей за движение средств. Таким образом, для того чтобы внедриться в банковскую систему, нужно получить доступ хотя бы к одному сетевому компьютеру банка», – отметил Дмитрий Кузнецов.

В прошлом году московская консалтинговая компания, специализирующаяся на вопросах сетевой безопасности, провела проверку одной из платежных систем. Выяснилось, что из 200 сотрудников этого учреждения 160 имели учетные записи с паролем «1-2-3-4-5». Системный администратор устанавливал пароль по умолчанию с настойчивой просьбой к сотрудникам сразу же поменять его на собственный, повышенной сложности. Требование было сразу же забыто, что наглядно демонстрирует отношение некоторых организаций и компаний к внутренней безопасности, отметил Дмитрий Кузнецов

Мошенник в роли жертвы

Впрочем, под прицелом злоумышленников могут оказаться и сами мошенники. Попытки собрать информацию об интересующем лице толкают на покупку баз личных данных в так называемой темной зоне интернета (DarkNet), в которой предлагаются материалы с личной информацией, достаточной для взлома компьютера или банковской карты потенциальной жертвы. Тем более что периодически проводимый специалистами анализ защиты личной информации от компрометации показывает, что у большинства граждан пароли остаются весьма слабыми и не представляющими для хакеров большого труда быть взломанными. Поэтому возникает опасность, что объектом внимания продавцов нелегальных данных может стать сам обратившийся.

«Желающие заполучить подобную базу зачастую не понимают, что сами могут стать объектом шантажа со стороны хакеров. Человек уже не пойдет в полицию с жалобой, что продавец нелегальной базы данных требует с него денег за неразглашение частной информации», – отмечает независимый эксперт Алексей Плешков.

Эксперт также рассказал о легальной утечке личных данных по вине сторонних людей и организаций. К примеру, периодически возникают ситуации, когда вас просят сделать скан паспорта, ИНН или СНИЛС. С таким требованием к вам могут обратиться в бюро пропусков, при оформлении номера в гостинице или при оформлении документов в банках. Правда, в последнем случае банки все чаще используют ранее полученную от вас информацию и без особой нужды стараются лишний раз ее не копировать.

Итак, что делать, если звонок все-таки раздался и у вас есть основания сомневаться, что на том конце телефона действительно сотрудник вашего банка? Для начала необходимо убедиться, что звонок действительно из вашей кредитной организации. Для этого выясните, что именно хочет от вас звонящий, положите трубку и перезвоните с этой информацией по контактному телефону в банк. Во-вторых, нужно не полениться и обновить учетные данные, сменив пароли на более сложные. Следите за своей перепиской в соцсетях: в самых невинных разговорах может проскочить информация, которую разглашать ни в коем случае нельзя. Если таковая обнаружилась, то ее следует стереть. Такая функция имеется в диалоговых окнах соцсетей. Если же от вас требуют отсканировать один из ваших документов, то не постесняйтесь спросить, куда направятся сканы с вашими данными после использования. Правда, в последнем случае, скорее всего, просто придется верить на слово.

Автор: Максим Гребенников

Источник: Редакция «ФедералПресс»

ССЫЛКА НА ИСТОЧНИК