Применяемые методы информационной безопасности позволяют остановить значительную часть мошеннических операций (по данным Банка России, благодаря методам, принимаемым для противодействия мошенничеству, применяемым в 2022 году, общее количество хищений снизилось на 15,31% в сравнении с 2021 годом), однако есть область, в которой эти методы не действуют. Речь идет о социальной инженерии. Используемые мошенниками приёмы и методы социальной инженерии, в сочетании с невысоким уровнем знаний граждан о финансовых услугах, продуктах, о работе кредитных организаций, легко позволяют манипулировать людьми в своих интересах. Мошенники ежедневно на практике оттачивают свое мастерство и совершенствуют свои навыки. А широкая сеть обмена информацией позволяет использовать актуальные приемы значительному количеству преступников.

Статистика Банка России показывает, что в 2022 году социальная инженерия является основным инструментом для хищения средств. Доля таких операций составила 50,4% против 49,4% годом ранее. При этом объёмы возвратов средств по операциям без согласия клиентов составили в 2022 году чуть более 4% от всего объёма операций по переводу денежных средств, совершённых без согласия клиентов (в 2021 году показатель составил 6,8%). Общая сумма потерь за три квартала 2022 года составила 5,2 млрд руб.

Столь высокие цифры потерь связаны с невысоким уровнем осведомлённости граждан не только о работе финансового сектора, о финансовой культуре и финансовой гигиене, но и о порядке взаимодействия государственных органов, о своих правах, возможностях, об азах информационной безопасности. Всё это является твёрдой основой для построения схем мошенничества, в которых используется основной принцип воздействия: «напугать – спасти».

«НАПУГАТЬ – СПАСТИ»

В рамках этого принципа жертву должны напугать негативным известием. Например, сообщением о несанкционированном перечислении крупной суммы с текущего счёта гражданина и вопросом о подтверждении этой операции. Затем будет предложено спасение: собеседник сообщит о блокировке операции службой безопасности. И подскажет, что нужно сделать, для возврата суммы на счёт. Речь мошенника будет монотонной, с редкими паузами. Как правило, в разговоре мошенники используют множество финансовых терминов. При прослушивании записи разговора понятно, что терминология ошибочна и упоминается не к месту, однако основная задача – создание ровного «информационного фона» – выполняется.

В качестве известия может выступать любая негативная причина – с начала 2023 года мошенники начали звонить с информацией «об утечке персональных данных». Жертве сообщают, что база данных банка, в котором открыт ее счёт, была «взломана» и выложена в сеть. Далее в рамках «оперативных мероприятий» будет предложено сверить персональные данные, сообщить информацию о банковских картах. В разговоре мошенники запрещают людям советоваться по ситуации, мол, проводятся «следственные действия, и любое разглашение информации чревато уголовным наказанием». Люди, напуганные негативными известиями, сообщают ПИН-коды, коды подтверждения операций, коды доступа к личному кабинету и множество иной информации.

Также этот принцип используется для запугивания жертвы сообщением, что с её счёта только что списаны средства в адрес экстремисткой организации, что является уголовным преступлением. Для отмены операции необходимо перевести средства на «безопасный счёт», специально открытый Банком России для таких целей. Как бы абсурдно это не звучало, это работает. Люди, напуганные информацией, переводят деньги по указанным реквизитам.

«Благодаря» этому принципу, люди идут в банк или к банкомату, досрочно закрывают вклады, снимают последние деньги со счетов и переводят их на счета, указанные мошенниками. Использование этого принципа лежит в основе метода, называемого «претекстинг».

«ПРЕТЕКСТИНГ»

Претекстинг – это заранее продуманный и просчитанный речевой алгоритм, позволяющий вести диалог с жертвой, не давая ей возможности отходить от главной линии разговора. Все возможные вопросы и ответы заранее продуманы и внесены в алгоритм. Любой вопрос, любой ответ, любое поведение жертвы учтены и заложены в схему. Жертву изначально напугают и дальше будут «вести» по алгоритму к нужной цели, обыгрывая любые повороты диалога.

Если жертва скажет, что в банке, якобы из которого осуществляется звонок, у неё нет счетов, мошенник сообщит, что счёт открыт в соответствие «распоряжению Министерства Финансов, согласно постановлению Правительства № такой-то, для зачисления на него льготного кредита, выдаваемого в рамках государственной программы поддержки населения. В случае отказа от кредита, вам нужно подтвердить отказ, продиктовав подтверждение отказа из СМС-сообщения». Повторю: любой поворот диалога заранее учтён, записан и имеет подготовленный ответ, который подведёт к следующему блоку алгоритма.

Часто люди, когда понимают, что разговаривают с мошенниками, вступают с ними в диалог, «тянут время», пытаясь вывести мошенника из равновесия. Однако самая правильная модель поведения – прекратить разговор, перезвонить по официальному номеру в банк, от имени которого был звонок, и сообщить о нём, затем занести номер в «чёрный список». Забавляясь разговором с мошенником, люди укрепляют «претекстинг», добавляя в алгоритм новые вопросы, новые ответы и модели поведения. Вся информация будет обработана и затем использована.

В статистике использования социальной инженерии появляются данные о случаях мошенничества в отношении юридических лиц. Во время самоизоляции появился метод «Звонок босса», когда в бухгалтерию компании поступает звонок от руководителя с требованием срочного перевода средств по указанным реквизитам. Руководителя плохо слышно, он торопится, кричит и требует заплатить некоторую сумму немедленно. Все документы он обещает подписать, как только приедет – буквально через час, и грозится уволить, если перевод не будет сделан. Надо ли говорить, что, хотя это и кажется невероятным с точки зрения информационной безопасности и корпоративного управления, но этот метод мошенничества работает: в итоге руководитель получает не санкционированный им платёж и ссылающуюся на звонок бухгалтерию.

«ПОРОКИ»

Странно писать об этом в статье в банковском журнале, но мошенники используют чувства. Выше я упоминал о том, что одной из причин высоких потерь является низкий уровень осведомлённости граждан о финансовой культуре и финансовой гигиене. Однако не всё так просто. Существует забавное исследование, получившее Шнобелевскую премию (Авторы исследования из Вагенингенского университета, (Нидерланды) и Университета Индианы (США), проанализировали исторический баланс между эмоциями и рассуждениями на основе слов в книгах на английском и испанском языках, выпущенных между 1849 и 2020 годами. Работа выделяла закономерности изменения частоты употребления слов, относящихся к рациональному и эмоциональному, отражающих перемены в том, как люди ощущают реальный мир – прим. Ред.). В поисках индикаторов изменения мировоззрения общества, специалисты систематически проследили многолетнюю (170 лет) динамику частотности употребляемых слов,  результаты которого подтверждают, в общем-то, привычные всем нам наблюдения: с 70-х годов прошлого века можно выделить усиление эмоционального ощущения мира обществом. Исследователи обнаружили, что общество в целом становится более эмоциональным, отмечая повышение скорости реакции на события и сокращение время на разбор ситуаций.

Люди всегда склонны кому-то доверять, основывая на этом свои решения, свои поступки. Это некий когнитивный базис, который строился раньше на рациональном, но сегодня скорость играет на руку эмоциям: с этого времени фиксируется рост субъективно-эмоциональной оценки реальности. Замена медленных и рациональных рассуждений на эмоциональные и быстрые (необдуманные) уже произошла. Интересно, что в указанной работе учёными введён термин «пост-правда» («post-truth»): условия, при которых апелляция к фактам имеет меньшее значение при формировании мнения.

Можно сомневаться в результатах исследования, однако наблюдения за мошенниками подтверждают использование ими эмоций, чувств, если угодно – пороков. Например, финансовые пирамиды, привлечение средств в которые связано с желанием быстро разбогатеть с минимумом усилий и затрат. Или метод мошенничества «Троянский конь».

«ТРОЯНСКИЙ КОНЬ».

Метод основан на желании гражданина получить деньги, не прилагая никаких усилий. В любом магазине мобильных приложений появляются приложения с простыми названиями «Получить пособия 2021», «Поиск начислений 2022» и т.д. В оформлении они используют цвета, схожие с оформлением государственных и муниципальных сервисов, например, МФЦ. Часто используются символика, похожая на государственную, в наименовании сервисов указываются слова «федеральный», «национальный» и т.п. Ещё полгода назад эти приложения висели в ТОП по скачиваниям социальных приложений, однако теперь их довольно быстро уничтожают.

В чём суть метода? Такие приложения обещают выплаты от государства, якобы положенные по различным социальным программам. Жертва устанавливает приложение, регистрируется в нём, указывает свои данные и наблюдает за красивой анимацией поиска, во время которого выскакивают уведомления «найдена льгота», «найдено пособие». Сумма пособий растет и около отметки в 300 тысяч рублей останавливается с информацией «к выплате 300 тысяч рублей». Далее жертве предлагается оплатить комиссию 300–500 рублей за работу юриста по оформлению переводов и ждать зачисления 300 т.р. на счёт. Если посмотреть отзывы таких приложений (а скачиваний там от 10 до 150 тысяч), то все они начинаются со слов «Мошенники! Верните деньги!»).

В каждой аудитории, в которой мы проводим лекции, есть один-два человека, пострадавших от мошенников. Нашлось они и среди школьников, с которыми также проводились встречи. Мошенники оперативно и тщательно изучают новые продукты, услуги, возможности и используют их. И если инвестиционные игры, привлекающие подростков, обещая заработок от продажи виртуальных товаров (вступительный взнос, покупка персонажа, персонаж выполняет работу, за которую начисляются баллы, которые можно «вывести» в реальные деньги), грозят потерей, в общем, небольших сумм, то привлечение подростков для «дроп-заработка» грозит уголовным наказанием.

«ДРОП»

Дроп – подставное лицо, используемое мошенниками в цепочке переводов. Как правило, дропов привлекают для осуществления нескольких операций (например, нанимают подростков, карты которых используются для снятия наличных денег в банкоматах или используют карты дропов для осуществления нескольких переводов: деньги приходят на карту – деньги уходят с карты по заданным реквизитам). Дропы долго не существуют – ими обычно жертвуют при раскрытии схемы. Причём если дропы использовались для переводов, попадающих под действие закона 115-ФЗ, наказание может быть весьма суровым. Однако темпы привлечения дропов не снижаются, объявления о покупке карт, наборе людей для «налива на карты» – висят в интернете.

И если обычно дроп – это лицо, сознательно (хотя обычно не в полной мере) понимающее, что совершает противозаконный поступок, за который предусмотрена ответственность, то есть схемы, в которых стать дропом может каждый. Это, например, перевод другу.

«ПЕРЕВОД ДРУГУ»

Бывает, что люди ошибаются и переводят деньги не туда, куда хотели. В принципе, обычная ситуация, бывает. И хотя возврат таких ошибочных средств является рутинной процедурой, для которой достаточно звонка в банк или нажатия пары кнопок в мобильном приложении, граждане придумывают способы возврата самостоятельно (вроде повторного перевода 1 рубля с назначением платежа «перезвоните мне»), что в итоге привело к появлению ещё одного метода мошенничества.

Представьте, что вам на счёт поступает небольшая сумма денег. Скажем, три тысячи рублей. Перевод подтверждается выпиской, остатком средств. Отправитель вам неизвестен. Вскоре раздаётся звонок. Вам звонит неизвестный и сообщает об ошибочном переводе – он поясняет, что хотел перевести деньги другу, но ошибся и случайно перевёл вам. Далее он просит эти деньги не возвращать ему, а направить другу, номер телефона или счёта которого он вам продиктует (иногда поясняют просьбу трудностями с переводом с его счёта, мол, счёт под арестом, выпускают только лимит, а он его почти превысил и т.п.). Если вы соглашаетесь, то можете стать участником мошеннической цепочки переводов.

Схема проста: на сайте бесплатных объявлений публикуется объявление о продаже товара по весьма привлекательной цене. Находится покупатель, готовый его купить. Продавец в беседе предлагает оплатить аванс, мол, очень много звонков, товар нарасхват. Покупатель соглашается и просит реквизиты для перевода. Продавец даёт ему ваши реквизиты для перевода. После получения от покупателя подтверждения перевода, продавец связывается с вами и просит перевести «ошибочно перечисленные деньги другу». Если вы это делаете, то становитесь участником мошенничества. Товар с сайта исчезает. Продавец тоже. Покупатель требует от вас деньги. Доказать покупателю, что вы не имеете отношения к продавцу, будет сложно.

Методов мошенничества множество. Часто они дублируют друг друга, часто комбинируют.  Никуда не делись клоны сайтов, поддельные службы доставки, фальшивые предложения работы с требованием демонстрации экрана смартфона, звонки «из банков» с навязыванием установки антивирусного ПО (которое оказывается ПО для удаленного доступа к смартфону) и многое другое. Более того, методы постоянно изменяются, подстраиваются под обстановку, становятся сложнее для расследования. В данной статье я рассказал только о массовых схемах.

МЕТОДЫ ПРОТИВОДЕЙСТВИЯ.

Как уже было сказано, делается много. Выпускаются материалы, формируется яркий и интересный контент в сети интернет. Почти каждый банк имеет страничку на сайте, на которой публикуются материалы по финансовой грамотности, проводятся семинары, лекции, встречи. Крупные банки регулярно проводят мероприятия, которые посещают тысячи человек. Печатные материалы встречаются везде – в транспорте, в учреждениях, в магазинах. С одной стороны, это правильно – имевшийся ранее информационный вакуум должен закрываться. Однако, из-за объёмов информации, есть опасность формирования информационного шума. Понятное стремление превратить информирование граждан в маркетинговый инструмент, приводит к появлению «развлекательного» контента, стремящегося больше поразить аудиторию, чем донести информацию о конкретных ситуациях, действиях.

Отсутствие системы общего взаимодействия в банковском сообществе по данному направлению, привело к массовому появлению информационного контента, не только не соответствующего необходимому уровню просвещения, но и иногда наносящего вред.

В ЗАКЛЮЧЕНИЕ

Цель моей статьи заключается не в оглашении каких-то открытий и новаций, нет. Проблема будет решена только благодаря упорной и планомерной работе. Учитывая проблемы доступности, порой возникающие у старшего поколения в получении информации из интернета, трудности с объёмным количеством информации, для решения проблемы нужен диалог между банком и клиентами. Не в рамках работы по привлечению и удержанию клиентов. В рамках простого человеческого общения друг с другом. Добавление памятки к договору приводит лишь к росту макулатуры. Необходимо проведение очных мероприятий в формате диалога с клиентами. Для эффективной работы общебанковской системы повышения финансовой грамотности достаточно одного человека от каждой кредитной организации. Комитет по финансовой грамотности готов взять на себя обучение персонала для проведения мероприятий с клиентами, мы готовы делиться наработками, методологическими материалами.

Надеюсь, что мой материал позволит привлечь коллег из банковского сообщества, государственных учреждений, общественных организаций к решению проблемы финансового мошенничества, связанного с социальной инженерией. В конечном итоге, вся эффективная борьба с мошенничеством, основанным на социальной инженерии, заключается в прекращении телефонного разговора.  

Справка

В 2022 году на базе Ассоциации российских банков был создан Комитет по повышению финансовой грамотности. Создание единого центра компетенций на базе Ассоциации, позволит систематизировать практические знания и навыки работы в этом направлении, поможет организовать работающие системы повышения грамотности клиентов в кредитных учреждениях и сформировать общие подходы к информационным материалам, организации мероприятий, проведению кампаний.

Текст: Максим СЁМОВ, Председатель Комитета по повышению финансовой грамотности АРБ, Руководитель направления УМБП, Азиатско-тихоокеанский банк (АО)

Материал также опубликован в печатной версии Национального Банковского Журнала (март 2023)