Актуально

18 февраля 2020

Павел Самиев, Евгения Лазарева: Охота за деньгами – как не попасть в сети «социальных инженеров»

Ежегодно россияне теряют сотни миллионов рублей из-за собственной доверчивости, становясь, жертвами так называемых «социальных инженеров». Злоумышленники похищают деньги с карт и личных счетов граждан, применяя манипулятивные техники для «взлома» человека. Бороться с мошенниками можно только одним способом –вычислять их по характерным «приметам». Так считают эксперты постоянной рубрики Национального банковского журнала «Финграмотность от первого лица» Евгения Лазарева (руководитель проекта ОНФ «За права заемщиков») и Павел Самиев (заместитель директора Ассоциации развития финансовой грамотности (АРФГ)).

По данным компаний, специализирующихся на цифровой безопасности, на первом месте среди киберугроз вовсе не уязвимость технологий, «слабым звеном» оказываются люди. Взломам системы и изготовлению вредоносных программ преступники все чаще предпочитают социальную инженерию, то есть применение методов психологической обработки клиента, создания условий, при которых человеком можно манипулировать. Такой вид мошенничества не требует затрат на разработку вредоносных ПО, специальной технической квалификации, достаточно научиться втираться в доверие к людям и использовать их персональные данные. Поэтому социальный инженер – «профессия» сегодня наиболее популярная в мошеннических кругах.  Почти треть киберпреступлений оказываются успешными из-за неосторожности и доверчивости самих граждан. Наибольший риск оказаться жертвой мошенничества у тех, кто использует для платежей мобильные устройства. Банк России в 2019 году зарегистрировал всплеск мошенничеств в финансовой сфере с использованием методов социальной инженерии. В 27% случаев люди сами передают в руки преступников секретную информацию. То есть теряют деньги из-за собственной беспечности и низких знаний в этой области. Преступникам удается запутать человека, испугать. В состоянии стресса теряется бдительность, сам диктует злоумышленникам пароль, логин, код доступа из смс, переводит свои средства на «левый» счет и так далее.

При этом мошенники постоянно ищут для себя «точки роста», мониторят социальную ситуацию, изучают психологию потенциальных жертв, придумывают оригинальные психологические схемы, так сказать, следят за модой. «Мама, мне срочно нужны деньги. Я попал в аварию!»  - такой сценарий уже не работает. Практика рассылки смс-сообщений о блокировке карты со стороны банка и просьбой перезвонить по указанному номеру, также потеряла свою популярность. Если раньше многие люди перезванивали, следовали инструкция мошенника, теряли свои деньги, то сегодня в большинстве случаев люди остерегаются набирать чужой номер. И подобные попытки «развести клиента» смотрится уже в качестве ретро. В 2019 году выросло количество мошенничеств, связанных с объявлениями на Авито и других площадках по размещению объявлений от частных лиц. Злоумышленники представляются покупателями и под разными предлогами выманивают секретные данные у продавца. Но к началу 2020 году, за счет освещения в прессе число таких случаев уменьшилось в разы за счет широкого освещения проблемы в СМИ.  Традиционно в поле зрения банковские клиенты –держатели карт. Сегодня мошенники звонят им, представляются сотрудниками службы безопасности банка, заявляют об обнаружении подозрительной активности, предлагают «спасти» средства, перевести их на «безопасный» счет. Или поторапливают с передачей кода из смс-сообщения, чтобы якобы оперативно заблокировать подозрительную операцию. Для пущей убедительности киберпреступники используют технологию замены номеров. Номер выглядит, как многоканальный, банковский, начинается на 8-800. В прошлом году в борьбу с мошенниками, практикующими подменные номера, включились Центробанк и операторы связи. В итоге было заблокировано более 5 тысяч номеров, этот вид мошенничества пошел на спад.

Фокус внимания современных преступников перемещается также в область социальных сетей. Мошенники взламывают аккаунт, выманивают средства на «оплату лечения» у других пользователей, рассылая трогательные послания по френд-базе. Попутно заражают компьютеры вирусами, скидывая ссылки от имени друзей, в расчете на доверие к источнику информации. Авторитет различных государственных структур также активно эксплуатируется. Могут присылать поддельные штрафы ГИБДД, сообщения об описи имущества приставами за неоплату долга, квитанции об оплате услуг. Специалисты заняты поиском работы? Мошенники скидывают им зараженные ссылки на мифические вакансии, используя базу сайтов по подбору персонала. Люди стали чаще делать покупки через интернет? Мошенники чаще делать сайты-однодневки, где предлагаются товары по привлекательной цене, с оплатой на электронные кошельки или карту продавца. Понятно, что никакой товар не будет прислан, а деньги будут потеряны. Люди набрали кредитов, совершили просрочки, испортили кредитную историю? Мошенники предлагают ее «исправить», обещают заменить уничтожить сведения о задержках платежей, берут за свою работу «предоплату». Конечно, системы Бюро кредитных историй  надежно защищены, сделать это просто невозможно. Мошенники исчезают с авансом, просрочки – остаются. Список предложений о «помощи» населению со стороны социальных инженеров можно продолжать.

Опыт подсказывает, что бороться с социальной инженерией, состоящей на службе киберпреступников можно с помощью информации, повышения финансовой грамотности населения. Широкое оповещение граждан о том, как работают финансовые шулеры, раскрытие всех их фокусов и подходцев, позволяет снизить ущерб. Ассоциация развития финансовой грамотности считает противодействие мошенникам, использующим социальную инженерию, одним из приоритетных своих направлений. Элементарное соблюдение правил безопасности убережет людей от рисков. А для этого нужно донести информацию до населения. Мы отслеживаем «новинки сезона» в области мошенничества, можно сказать, что изучаем мошенников в профиль и анфас.  Тут важно работать на опережение, при первых «симптомах» новых схем мошенничества оповещать людей через СМИ и сеть финансовых волонтеров, которую формирует АРФГ, чтобы не случилось «эпидемии». Занимаемся профилактикой в виде реализации проектов, которые позволяют людям в буквальном смысле зазубрить основные правила поведения в сети и не попасть на удочку киберпреступников. Как не попасться на удочку социальным инженерам? Вот наши 10 советов:

  1. Не сообщайте никому свои пароли и кодовые слова, даже если человек на том конце провода представляется сотрудником банка, экспертом службы безопасности. Нужно положить трубку, затем сделать входящий звонок на телефон, указанный на сайте банка. Нужно помнить, что банковские сотрудники не звонят своим клиентам. И никогда не станут уточнять данные, так как ими владеют. И уж точно не спросят у вас CVC-код (на обратной стороне карты). Когда сам клиент звонит в банк, тогда могут быть уточнены данные для идентификации.
  2. Не сообщайте любым другим незнакомым людям данные карты, коды, пароли их смс-сообщений, какие бы предлоги они не использовали для того, чтобы выманить эти сведения. Храните секретные данные в защищенных местах.  (Уж точно не пишите пароль от карты на самой карте!).
  3. На просьбу оплатить лечение, одолжить сумму до зарплаты, поступившую от друга через социальную сеть, перезвоните другу, или попросите набрать вас, чтобы не было сомнений, что к вам обратился знакомый человек, а не преступник, взломавший чужой аккаунт.
  4. Делая покупки в интернете, не нужно соглашаться на предоплату товара с переводом на карту продавца или электронный кошелек, какой бы привлекательной ни казалась цена. Сделать это можно только в качестве пост-оплаты, если вы уже получили товар.
  5. Не доверяйте письмам с вложениями, даже если в «шапке» указано, что они направлены налоговой инспекцией, банком, Росреестром, ГИБДД и так далее. Перезванивайте в госорганы самостоятельно, уточняйте информацию. Ссылки могут быть заражены вирусами, способными украсть секретные данные с компьютера.
  6. Даже звонок в стиле «Ой, ошибся номером» должен насторожить, если собеседник явно желает продолжить беседу. В процессе разговора он может задавать невинные вопросы о том, как зовут вашу маму, и какая у нее девичья фамилия…Все это выуживание сведений, которые позволят подобрать пароль к личным кабинетам в банках, аккаунтам в социальных сетях.
  7. Если продаете какой-то товар на ресурсах «интернет-барахолка», укажите отдельный номер (можно оформить для этого дополнительную сим-карту без привязки к мобильному банкингу).  Ждите звонка мошенника. Как правило, это человек говорящий скороговоркой, желающий купить у вас все срочно и оптом. Далее будет путаный разговор о проблемах перевода средств, последует просьба сообщить секретные данные своей карты или ввести код из смс-сообщения. Кладите трубку.
  8. Не соблазняйтесь предложением пройти тест в интернете за деньги (в тесте наверняка будут вопросы, которые помогут мошенникам получить доступ к аккаунтам и личному кабинету банка).
  9. Если заняты поиском работы, просматривайте отклики на сайте агрегатора, не переходя по присланным ссылкам.
  10. Не доверяйте сообщениям с соцсетях – даже от ваших знакомых и друзей, если они просят что-то оплатить, перевести деньги, дать им какие-либо данные, относящиеся к вашим финансам, банковским картам и тд. Пока вы не убедились, что с вами общается именно тот человек, кем представляется, а не кто-то через взломанный аккаунт соцсети.
     
Поделиться: