Мобильное приложение журнала
Google Play Apple Store
курс цб на 22.07: USD 62.8666 EUR 70.7941
криптовалют: BTC 10595.3$ ETH 225.47$
Журнал ПЛАС » Архив » 2019 » Журнал ПЛАС №3 847 просмотров

Социальная инженерия. Кто виноват и что делать

Социальная инженерия. Кто виноват и что делать

О том, почему использование преступниками социальной инженерии начинает выходить сегодня на первый план в общей картине фрода, как реализуются типичные сценарии такого рода преступлений и что можно противопоставить изобретательности мошенников и доверчивости наших граждан, в беседе с журналом «ПЛАС» рассказывает Алексей Голенищев, директор по мониторингу операций и диспутам Альфа-Банка.

Потребитель – слабое звено в цифровую эпоху

Мошенничество с использованием социальной инженерии за последнюю пару лет получило очень широкое распространение. Это обусловлено целым рядом факторов, первый из которых – появление в портфелях банков значительного количества популярных у населения цифровых продуктов и услуг, включая денежные P2P-переводы с карты на карту, дистанционные платежи и т. д. Некоторые классические банковские сервисы были переведены из физического формата филиалов и дополнительных офисов в цифровой формат и удаленные каналы обслуживания.

Также не исключено, что с развитием стартовавшей в начале 2019 года Системы быстрых платежей (СБП) мы будем наблюдать появление новых схемотехник с применением социальной инженерии.

Второй фактор – качественный рост физической защищенности самих банковских карт как платежного средства, произошедший за последние годы. Переход на чиповые технологии, антискимминговая защита банкоматов и других устройств самообслуживания, а также распространение бесконтактных платежей привели к тому, что сегодня количество случаев компрометации карточных данных с последующим использованием поддельных карт пошло на спад, превратив их в единичные инциденты. На этом фоне мошенники тоже стали массово и организованно переходить из физических каналов в «цифру».

Характерно, что сами каналы и приложения, предоставляющие потребителям цифровые услуги, достаточно надежны и хорошо защищены. Слабым звеном здесь выступают сами пользователи этих услуг в лице клиентов банков. Они в своем большинстве, как правило, избыточно доверчивы, мало информированы и не сильно подкованы с точки зрения соблюдения даже элементарных правил безопасности при пользовании такими услугами. При этом массовость использования цифровых финансовых продуктов обеспечивает охват ими, в том числе, самых некомпетентных с этой точки зрения слоев населения, включая пожилых людей. Этому, к сожалению, косвенно способствует и активная политика государства по «цифровизации» сферы оплаты услуг. Естественно, что мошенники активно пользуются сложившейся ситуацией.

Социальная инженерия. Кто виноват и что делать

Лицом к лицу с мошенником

Надо отметить, что понятие социальная инженерия появилось отнюдь не вчера. Сама по себе она – не более чем набор социально-психологических приемов, позволяющих мошенникам получать конфиденциальные данные напрямую у самих потребителей, используя различные форматы коммуникаций и сценариев. Среди них наиболее распространены телефонные разговоры, а также SMS-сообщения и электронная почта.

Преступниками разработано очень много схемотехник, базирующихся на использовании социальной инженерии

С помощью этих каналов преступник связывается с потенциальной жертвой, выстраивая с ней устойчивые доверительные отношения. Чаще всего он представляется сотрудником банка, например, сотрудником «службы безопасности». Играя на чувстве обеспокоенности и страха либо доверии, клиенту сообщают о якобы существующих у него проблемах с обслуживанием кредита, заблокированной карте либо несанкционированном списании средств с карты или счета. По словам мошенника, клиенту для предотвращения огромных потерь нужно срочно предпринять некие действия, например, перевести средства на «безопасный» счет или сообщить полученный в SMS код якобы для отмены операции, и т. п. Жертва, напуганная неожиданной информацией, впадает в состояние тревоги, иногда даже паники, и перестает адекватно воспринимать действительность. Именно в этом состоянии атакуемый и выдает конфиденциальную информацию в полной уверенности, что действительно имеет дело с банковским сотрудником, в то время как правильное осмысление ситуации просто блокируется и отключается. В результате он может сообщить преступнику практически любые конфиденциальные данные: реквизиты своих карт, счетов, кодовые слова и одноразовые пароли для входа в системы интернет-банка и пароли для подтверждения операций, полученные им по SMS.

Непосредственно в ходе сеанса общения с жертвой мошенники параллельно входят под ее именем в мобильное или интернет-приложение банка, получая тем самым доступ ко всем счетам клиента. А дальше диапазон мошеннический действий велик – это и изменения настроек личного кабинета, и непосредственно сами мошеннические операции – перевод средств клиента на счета мошенников, досрочное закрытие депозитов с последующим выводом/обналичиванием, принятие кредитных предложений с аналогичным выводом заемных сумм и т. п.

Благодаря повсеместному развитию сервисов ДБО к настоящему времени преступниками разработано очень много схемотехник, базирующихся на использовании социальной инженерии. При всем их разнообразии в основе каждой лежит доверчивость клиентов. Не все потребители знают о таких схемах и не в полной мере осознают возможные риски. Кроме того, очень часто мошенники уже обладают определенными знаниями о клиенте, что позволяет им быстрее и надежнее заручиться его доверием непосредственно в момент общения.

К сожалению, случаи утечки данных из финансовых организаций, телеком-операторов, других органов и компаний, являющихся хранителями конфиденциальной информации, пусть единичные, но есть. Хотя в большинстве случаев клиенты сами выдают личные данные. Часто размещают о себе много лишней информации в соц­сетях, чатах и т. д. Хорошей площадкой для мошенников выступают различные торговые интернет-площадки вроде Авито.

Как это работает? Размещая в объявлении данные о продаже той или иной вещи, клиент уже с самого начала предоставляет преступникам свои ФИО и номер телефона. На него выходят мошенники под видом покупателей, предлагая перевести задаток за товар на карту продавца.

Продолжение материала содержит полезную для вашего бизнеса информацию…

Подписка позволяет читать все статьи портала

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных