Журнал "Системы Безопасности" № 2‘2020

Ц И Ф Р О В А Я Т Р А Н С Ф О Р М А Ц И Я : A I , У М Н Ы Й Г О Р О Д , I o T 66 Сталкивался каждый третий, а то и второй… По статистике исследовательских компаний, в России и в мире в 2019–2020 гг. от фишинга (обмана по электронным каналам связи) и вишинга (обмана по телефону) пострадал каждый третий клиент финансо- вых организаций, притом что со звонками с неизвестных номеров и попытками введе- ния в заблуждение за последние пару лет в России сталкивался каждый второй житель. В какой-то момент клиент, которого уже обма- нывали мошенники, может начать осознавать свои ошибки, и у него последовательно воз- никают сначала эффект информационного переполнения, а затем эффект автоматическо- го отрицания всего нового, и вся персональ- ная/необходимая/срочная (по мнению финансовой организации) информация, поступающая к такому клиенту по любым каналам, автоматически уходит у него в кор- зину для спама. "Да, ну и что с того? Пусть об этом болит голова у банкиров!" Достучаться до клиента Вероятная проблема в том, что клиент банка, если он здравомыслящий человек со ста- бильной психикой, со временем перестает отвечать на любые обращения от банка и реагировать на реальные предупреждения об угрозах, поступающие по всем возможным каналам. Отделы маркетинга финансовых организаций совместно с ИТ и службами информационной безопасности, подпиты- ваемые серьезными инвестициями владель- цев процессов и бизнес-подразделений бан- ков, идут на все более невероятные вещи: устраивают в Интернете акции по привлече- нию внимания клиентов к проблемам инфор- мационной безопасности, назначают персо- нальных менеджеров и через них пытаются вразумить клиентов, развертывают выделен- ные телефонные линии для обращения в слу- чае инцидентов, внедряют систему аутенти- фикации клиентов с использованием однора- зовых сессионных паролей и т.д. Новые ухищрения В этой постоянной гонке за клиентом акти- висты-мошенники тоже не сидят без дела. Исследуя банковские продукты и приложе- ния на предмет логических и технических уязвимостей, вербуя бывших и действую- щих банковских работников, перенимая опыт западных коллег-киберпреступников, отечественные злоумышленники разраба- тывают алгоритмы и схемы атак, обучают новичков психологическим методам и ком- муникационным инструментам, готовят письменные скрипты для телефонного общения, принимают экзамены на знание и умение привлечь и убедить жертву дистан- ционно. Примеры схем мошенничества Новым поводом вспомнить о старых инстру- ментах мошенников стали отдельные инициа- тивы правительств субъектов РФ по внедрению электронных идентификаторов, электронных паспортов, электронных пропусков, а также системы штрафов за нарушения введенных пра- вил при перемещении по территории городов в период карантина. Сбор реквизитов банковских карт Активисты очень быстро среагировали на дан- ные инициативы и решили воспользоваться недостаточной информированностью населе- ния, разработав формы сбора реквизитов пла- стиковых банковских карт. Пользователям Интернета рассылаются элек- тронные письма и сообщения в социальных сетях с предложением выяснить по номеру своей пластиковой банковской карты возмож- ность перемещаться по городу в период каран- тина, наличие автоматически начисленных штрафов за нарушение правил карантина в общегородской базе и/или получить ответы на другие животрепещущие вопросы. Аналогичная форма в апреле 2012 г. появилась в российском сегменте Интернета с целью сбора конфиденциальных данных держателей пласти- ковых карт. СМС-рассылка Вторым примером адаптированных под совре- менные реалии мошеннических схем стала точечная СМС-рассылка злоумышленниками сообщений о начисленных штрафах за наруше- ния режима карантина или несанкционирован- ное перемещение по городу. Жертве предлага- ется в кратчайшие сроки оплатить штраф путем перевода денежных средств на подконтроль- ный злоумышленникам номер телефона. "Старый добрый" вишинг Третий кейс – это видоизменная классическая вишинговая схема. В конце марта – начале апреля 2020 г. в отношении клиентов и работ- ников крупнейших российских банков (дер- жателей пластиковых банковских карт и поль- зователей мобильных приложений класса интернет-банк) злоумышленники путем настойчивых звонков с городских теле- фонных номеров в Москве или с подделан- ных с помощью инструментов интернет-теле- фонии номеров, соответствующих официаль- ным номерам российских банков, сообщают ответившему лицу (жертве) о якобы имевших место подозрительных операциях по карточ- ному или лицевому счету, о наличии блоки- ровки денежных средств в системе монито- ринга или иную не соответствующую действи- тельности информацию (на имя жертвы якобы оформлен кредит, поступила заявка на закрытие вкладов и т.д.). Цель активностей злоумышленников – напугать жертву, заста- вить поверить, что ее деньги на карточном счете в финансовой организации оказались в опасности и что в данный момент кто-то имеет к ним доступ. Затем жертве предлага- ется возможность спасти эти денежные сред- ства, и тут варианты: либо подтвердить легальность операций, либо для их отмены назвать коды из направленных от имени и с номера банка СМС-сообщений специальной системе-роботу. В некоторых случаях жертве по телефону уверенным голосом говорят о том, что ее мобильный телефон заражен вре- доносным программным обеспечением и для информационной безопасности ей нужно срочно установить на мобильный телефон "специальную программу" (Team Viewer Quick Support), которая позволит мошенникам получить удаленный доступ к смартфону или компьютеру. Другой вариант защиты – это апрель – май 2020 www.secuteck.ru Пример фишингового СМС-сообщения Формы для компрометации данных пластиковых банковских карт: версия формы от апреля 2012 г. слева, версия от апреля 2020 г. справа В ишинг (англ. Vishing от Voice Phis- hing) – один из методов мошенниче- ства с применением социальной инже- нерии, который заключается в том, что злоумышленники, используя телефон- ную коммуникацию и играя определен- ную роль (сотрудника банка, покупате- ля и т.д.), под разными предлогами выманивают у держателя платежной карты конфиденциальную информа- цию или стимулируют к совершению определенных действий со своим кар- точным счетом/платежной картой