Социальная инженерия против людей

Опубликовано
«Къ» постарался разобраться в новых видах финансового мошенничества и узнал, как можно противостоять социальной инженерии

Наша жизнь технизирована, а формы человеческого общения все более компьютеризируются. Социальные сети и альтернативные каналы связи занимают ключевые позиции в обществе, и финансовая сфера не исключение. В режиме онлайн мы оплачиваем покупки, получаем кредиты и заключаем договоры. На этот же режим перешли и мошенники. «Къ» постарался разобраться в новых видах финансового мошенничества и узнал, как можно противостоять социальной инженерии. 

При подготовке материала «Къ» побеседовал с представителями служб безопасности четырех крупных банков страны. Сотрудники всех кредитных организаций без объяснения причин пожелали остаться неизвестными.

Социальная инженерия – один из методов манипулирования сознанием людей. Эксперты говорят, что первыми социальными инженерами были сотрудники спецслужб. Часто их жертвы (политики и государственные деятели) делились тайнами, не подозревая о том, что их используют. 

«Социальная инженерия – метод получения необходимого доступа к информации, основанный на особенностях психологии людей. Сейчас основной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям, банковским данным. В Казахстане, как и во всем мире, с помощью социальной инженерии происходит львиная доля финансовых преступлений, где потерпевшие – обычные клиенты банков со средним достатком», – рассказал сотрудник крупного БВУ. 

Когда продавец проигрывает

По словам специалистов, 80% мошеннических схем приходятся на объявления о продаже. Перспектива быстро продать, например, автомобиль заставляет людей забыть о железобетонном правиле – «утром деньги, вечером стулья». «Обычно мошенники звонят по объявлениям в конце рабочего дня, когда человек устает, его бдительность снижается в разы. Продавца подробно расспрашивают о товаре и затем, не торгуясь, соглашаются на покупку и просят номер карты, для того чтобы немедленно перечислить задаток.

«Счастливчик» поддается на эту психологическую уловку – ему кажется, что сделка практически завершена, остались формальности. И на этой волне продавец передает все персональные данные. Далее схема проста: мошенник просит сообщить номер карты, срок ее действия, код CVV/CVC, а также просит подключить в банкомате номер его мобильного телефона к интернет-банкингу. После подключения номера телефона мошенник выпытывает пароль (код), поступивший SMS-сообщением на мобильный телефон жертвы, якобы для завершения перевода задатка. Получив все данные, аферист крадет деньги, при этом через интернет-банкинг он получает доступ к деньгам как на карточке, так и на депозите», – поделился директор по защите информационных ресурсов одного из банков.

Код CVV/CVC – это три цифры с тыльной стороны карты, он используется только для оплаты в интернете и не имеет никакого отношения к отправителю. «Эти цифры лучше запомнить и заклеить, чтобы код никто не увидел случайно. Соответственно, если кто-то попросил вас продиктовать три цифры с тыльной стороны карты, то этот человек мошенник», – категорично заявил представитель другого банка.

Его коллега, начальник управления экономической безопасности, рассказал о клиентах, которые подключают в банкоматах телефоны злоумышленников к интернет-банкингу. «Иногда люди сами подключают сотовый телефон афериста к интернет-банкингу. Некоторые банки для подтверждения переводов и платежей отправляют 6-значные коды. Мошенник сообщает, что банк требует смены телефона. Потенциальная жертва идет к банкомату и подключает телефон вора», – объяснил представитель БВУ.

Поиск жертвы в соцсетях

Нередки случаи, когда клиенты банков добровольно делятся со злоумышленниками конфиденциальными данными через социальные сети. «Столкнувшись с проблемой, клиенты банков, вместо того чтобы позвонить в call-центр и разобраться в ситуации, начинают писать в социальных сетях. Иногда таким людям приходят «на помощь» мошенники. Они представляются сотрудниками банков и для якобы идентификации просят сообщить номер карточки, срок ее действия, код CVV/CVC и SMS-код. В итоге человек передает свои конфиденциальные данные. Деньги исчезают со счетов за несколько минут», – пояснил специалист. 

Сотрудники служб безопасности всех четырех банков утверждают, что большая часть доверчивых клиентов после излишней откровенности звонили в кредитные организации. Если человек успевает, то счет удается заблокировать до потери денег.

«Всегда надо проверять страницу банка или страницу того, кто вам пишет. Важно помнить, что ни один сотрудник кредитной организации не имеет права интересоваться вашими персональными данными (номер карточки, срок действия карточки, код CVV/CVC и SMS-коды). Номера ИИН вполне достаточно для идентификации клиента», – объяснил представитель БВУ.

Иногда аферисты связываются с клиентами БВУ спустя несколько месяцев после публикаций в социальных сетях. «Вам пишут или звонят якобы из банка, сообщают, что заблокирована карта. Далее просят сообщить полные данные карточки для разблокировки. Следует помнить, что даже если сотрудники банка с вами свяжутся, то они никогда не будут спрашивать коды и пароли», – пояснил представитель банка.

Лжеброкеры

В последнее время все чаще встречаются ситуации с липовыми сайтами брокерских компаний. Часть их позиционируют себя как брокеры рынка Forex. «Человек может увидеть рекламное объявление или получить сообщение в социальной сети о высоком заработке. Далее клиент банка заходит на мошеннический сайт, регистрирует свой личный кабинет. После этого с жертвой связывается мошенник, который выдает себя за брокера и для начала торговли убеждает пополнить счет в личном кабинете. После того как жертва переведет деньги в личный кабинет, злоумышленник выводит их на свой счет», – сообщил специалист по информационной безопасности одного из банков страны.

«Мошенники позволяют клиенту получить небольшой доход, чтобы еще больше затянуть его в сети и добиться от жертвы вложения суммы, превышающей в несколько раз первоначальный взнос, но итог всегда один. Самая большая потеря на моей памяти была у мужчины, предпринимателя. В течение года он лишился более $100 тыс.», – рассказал спикер.

Знания и регистрация телефонов нам помогут

Количество подобного рода преступлений может снизиться после реализации инициативы Министерства информации и коммуникаций. Как известно, с 1 января 2019 года вступают в действие правила по обязательной регистрации абонентских устройств по схеме: IMEI-код плюс SIM-карта плюс ИИН лица. «Новый закон защищает всех граждан Казахстана не только от кражи гаджетов, но и от мошенников. После введения этих правил злоумышленники не будут покупать одноразовые номера, а значит, не смогут звонить людям с казахстанского телефона. Звонок из-за рубежа уже сам по себе должен вызывать подозрение. Думаю, что со временем проблема пойдет на спад», – поделился ожиданиями директор департамента защиты информационных ресурсов одного из БВУ.

Еще одно противодействие – финансовая грамотность населения. «Кто предупрежден, тот вооружен. И незнание не освобождает от ответственности за сбережение собственных денег. Все, кто имеет счета и карточки, кто пользуется интернет-банкингом, должны знать об опасности раскрытия информации. Все пользовательские пароли являются собственностью человека, фактически ключами от его квартиры, где деньги лежат», – заключил спикер.
 

Читайте также