Жизнь все больше переходит в цифровую плоскость. Меняются как наши привычки, так и возможности. Мы привыкли, что через банковское приложение можем не только проверить остаток, а и оплатить услуги, перевести другу деньги и при необходимости взять кредит без визита в банк.
Кроме удобства цифровизация несет и серьезные риски — потерять свои накопления за пару минут и остаться должником по оформленному кредиту. Такие приложения и сервисы создают новые угрозы — открывают дополнительную «поверхность атаки». Ведь растет их популярность не только у обывателей, но и у мошенников.
Звонки от злоумышленников с целью забрать у вас сбережения давно не являются чем-то необычным. Банки постоянно предупреждают о подобных схемах обмана. YouTube полон роликов с разговорами и высмеиванием подобных хитрецов. Но это не спасает. Каждый день находятся люди, которые переводят деньги мошенникам на якобы защищенный счет. Почему это происходит?
Давайте взглянем на статистику от Центрального банка по количеству операций без согласия клиентов.
Статистика по данным Центрального банка (ЦБ) Как видите, стабильный рост демонстрируют попытки мошеннических операций с уклоном в социальную инженерию. В рамках отдельно взятого банка ситуация отличается не сильно. По своим системам мы видим чуть большую долю попыток фишинга в отношении наших клиентов, но социальная инженерия значительно опережает все другие атаки.
Социальная инженерия
Что представляет собой социальная инженерия в контексте банковского мошенничества? Это совокупность психологических и социологических приёмов, которые позволяют мошеннику получить неправомерный доступ к денежным средствам клиентов банка. Использование этих методов не требует каких-то специфических технических знаний или сложного оборудования. Именно низкий порог входа обуславливает высокую популярность данного метода среди мошенников.
На диаграмме представлена разбивка подтипов социальной инженерии.
Общий сценарий: злоумышленники обманом заставляют клиентов перевести деньги. Например, предлагают озвучить реквизиты карты, коды из СМС или представляются друзьями/родственниками, попавшими в беду, и просят перевести деньги.
Удаленный доступ: мошенники под разными предлогами заставляют клиентов установить на смартфон программы удаленного доступа. Например, чтобы пройти обучение новой работе, для обновления сим-карты (от имени оператора сотовой связи) или чтобы «спасти» деньги от вирусов, которыми якобы заражен телефон.
Инвестиции: различные предложения об увеличении дохода. Более подробно об этом сценарии мы расскажем ниже.
Оформление денежных кредитов и перевод средств мошенникам. Как правило, это происходит под предлогом отмены другого кредита, который на человека хотят оформить по доверенности или в сговоре с сотрудником банка.
Складывается печальная картина, сколько способов воздействия на доверчивых людей. Страшно? Не все так плохо. Банк всегда стремится обезопасить своих клиентов, для чего применяется множество различных механизмов и средств безопасности. К сожалению, слабым звеном в данном процессе остается человек. Представьте: раздается звонок, уверенный голос сообщает, что ваши деньги под угрозой. Кто-то пытается снять их по доверенности или даже оформить на ваше имя кредит. В разговоре перечисляются сложные финансовые термины и номера статей уголовного кодекса, по которым проходят подозреваемые. Вы, якобы, нужны для поимки мошенника. А если не будете содействовать, то попадете под уголовное преследование. Для помощи следствию и спасению денег, вам необходимо срочно оформить кредит «на опережение», а деньги перевести на «безопасный» счет. Стоит ли говорить, что если вы переведете деньги, то больше их никогда не увидите? Причем сценарии с «оформлением кредита» не очень частые, но наносят самый большой урон гражданам.
Запомните сами, расскажите родным и близким, особенно пожилым людям: Никогда не берите кредит, если вас об этом просят по телефону неизвестные люди. Даже если они представились сотрудниками правоохранительных органов. Даже если они в мессенджере скинули вам фотографию удостоверения личности. Никто, кроме вас, не может оформить на вас кредит. Нельзя отменить какой-то кредит взятием другого кредита на опережение.
Что делать, если вам поступает подобный звонок?
Вы переживаете, что обнаружилось что-то неладное по вашим операциям. Самый верный способ — перезвонить в банк самостоятельно. Так вы можете быть уверены, что разговариваете действительно с сотрудниками банка. Но только звонить надо по номеру, указанному на карте, либо на сайте банка, никогда не перезванивайте на номер, с которого вам позвонили. Для дополнительной безопасности у нас реализован механизм отправки push-уведомления о предстоящем звонке. Это позволяет быть уверенным в том, что звонок идет от сотрудников банка, а не от мошенников. Собственно, и во время разговора вы можете попросить подтвердить, что звонок из банка, и оператор отправит вам push-сообщение с таким подтверждением.
Почему именно push, а не СМС? Все очень просто – мошенники могут подделать отправителя СМС, а вот с push-уведомлением такой фокус не пройдет. Естественно, приложение банка должно быть установлено, и вы должны быть авторизованными в нем.
Но лучшая защита — это не разговаривать с мошенниками. Как понять, что вам звонят именно злоумышленники? Мы предлагаем всем пользователям нашего мобильного приложения "Халва — Совкомбанк" активировать определитель номера (АОН), который показал высокую эффективность в борьбе с подобными звонками. Приложение постоянно развивается и дополняется новыми полезными функциями. Например, отдельный раздел "Безопасность", в котором можно посмотреть историю авторизаций, список "привязанных" устройств и отключить их при необходимости. В новых релизах будет возможность проверки любого номера на наличие жалоб, что с этого номера звонили мошенники. Усугубляют положение гласность и «все открытость».
Многие сами выкладывают всю информацию о себе в интернет. Найти профиль человека в социальных сетях по имени или номеру телефона давно не проблема даже для скрипт-кидди осинтеров, не говоря уже про продвинутых злоумышленников. Ну, а различные громкие утечки персональных данных только добавляют мошенникам возможностей втереться к вам в доверие. Что делать для защиты? Компаниям — отслеживать подобные утечки и информировать своих клиентов, если их данные могли стать доступными, ставить таких клиентов на дополнительные контроли. Гражданам — не расслабляться, настороженно относиться к различным звонкам и использовать критическое мышление.
Фейковые брокеры и криптовалюты
Рассмотрим такую «легенду» мошенников, как инвестиции для получения дополнительного дохода, в том числе и вложения в криптовалюты. Таким "заманчивым" предложениям часто подвержены люди, далекие от информационных технологий, и от понимания, что такое криптовалюты. Мошенники обещают золотые горы, а затем будут требовать от вас все новые и новые деньги для увеличения дохода, но в итоге вы останетесь у «разбитого корыта». Хотите инвестировать в акции и облигации — делайте это через официальных брокеров и в их приложениях. В идеале, в приложении вашего банка. Так вы можете быть уверенным, что брокерское приложение защищено так же надежно, как и банковское.
Фишинг
Никуда не делись и старые злые схемы с кражей денег через фишинговые сайты.
Доски объявлений: под предлогом продажи/покупки товара вам направляется отдельная ссылка на оплату/прием платежа.
Fake Date: сайты знакомств и походы в кино\ресторан\на концерты.
Маркетплейсы.
Прочее: оплата парковки, платные дороги, поддельные квитанции по ЖКХ, переходы по QR и т.п.
Отдельно стоит рассказать о фишинговых историях с маркетплейсами, сервисами бронирования и даже отдельными магазинами. Данная схема весьма интересна и обладает элементами «втирания в доверие». Кратко выглядит все так:
1. Покупаете дорогой товар у продавца через маркетплейс (кейсы есть практически по всем крупным игрокам).
2. Проходит оплата, все как положено, списание денег маркетплейсом.
3. Через какое-то время с вами связывается продавец и говорит, что у них ошибка, и товар на складе закончился, оплата будет возвращена, заказ аннулирован.
4. Деньги действительно возвращаются вам на счет. Но тут продавец опять вам пишет и говорит, что точно такой же товар у него есть на другом складе и он даже готов сделать скидку за неудобство. И дает ссылку на оплату товара со скидкой.
5. Вы переходите по ссылке, видите форму оплаты, вбиваете данные карты, и … получаете не оплату товара, а перевод с карты на карту… Будьте внимательны: не переходите по ссылкам и читайте СМС с кодами 3Ds – там написано для чего именно данный код, оплата товаров и услуг, или перевод денег.
Из хороших новостей. Мы научились эффективно бороться с подобными схемами и ежемесячно спасаем сотни тысяч рублей нашим клиентам только в рамках защиты от фишинговых схем.
Как вы понимаете, мошенники не стоят на месте, совершенствуют свои подходы и приемы. У нас есть что им противопоставить. В нашем банке внедрены универсальные и серьезные системы против мошенников. Их высокая эффективность — заслуга наших специалистов.
Все ли это проблемы противодействия кибермошенничеству? Конечно, нет. В этой статье мы подсветили самые частые и, для экспертов банковской сферы, самые очевидные. Пока вы читаете эти строки, мы готовим следующую статью. В ней разберемся:
почему классический транзакционный антифрод не дает нужной эффективности;
какие поправки в 161-ФЗ помогут в борьбе с мошенниками;
почему в системе быстрых платежей (СБП) нельзя просто останавливать все первые операции в адрес нового получателя и запрашивать подтверждение операции у клиента.
Эти и ряд других технических вопросов обсудим в следующей публикации. Она выйдет совсем скоро. Следите за анонсами! К слову, поделитесь, на какие вопросы в сфере противостояния кибермошенничеству вы хотели бы получить ответы в наших статьях? Пишите в комментариях.
Комментарии (32)
Alohahwi
29.05.2024 11:30+7Интересно. Пару раз брал кредиты, задолбался бумажки носить и выжидать одобрения неделями. А тут раз - за 5 минут и готовый кредит человеку, явно находящемуся в неадекватном состоянии. Наверное потому что крайним окажется человек ведь банк получит проценты а мошенник - тело кредита, сплошная выгода. И пока крайним будет человек, этот негласный союз банков и сидельцев будет процветать, сколько бы статей типа этой не появлялось.
Вот когда крайним станет банк в том, что выдал кредит лицу находящемуся в неадеквате, тогда правила игры поменяются, и начнется реальная борьба с мощенниками, а не написание бесполезных статеек-предостережений.
И поправьте названии статьи, оно не соответсвует реальности, должно быть: "Банки и мошенники VS люди. Кто сильнее?".
sovcombank_tech Автор
29.05.2024 11:30Мы на стороне людей. Поэтому заголовок правильный :) Спасибо за комментарий!
Alohahwi
29.05.2024 11:30+9На стороне людей - это за 5 минут оформлять кредит перепуганной пенсионерке, которой по её возрасту/доходам вообще никакой кредит не светит? А потом качать головой и цокать: - "ой как мы сожалеем что вас обманули, ежемесячный платеж вот столько-то, начинайте платить".
ShaltaiBoltai
29.05.2024 11:30+1Более того, за 5 минут оформляют кредит пенсионерке на 5 миллионов рублей только в том случае, если в банк предварительно позвонил Ашот Вазгенович и дал указание "Сэйчас прэдэт бабка, дон. Дайтэ ей крэдит, дон." Иначе не оформляют.
Alohahwi
29.05.2024 11:30Очевидно что никто никому не звонит, просто банки включились в это игру, ведь разводы стали массовым явлением. Они все риски, например что пенсионер покончит с собой после того как в себя придет - закладывают в процент, благо в состоянии аффекта никто не считает, сколько там отдавать надо будет. А на то, насколько это этично, и что банк прямо помогает мошенникам грабить людей - плевать, ведь это деньги.
ShaltaiBoltai
29.05.2024 11:30Вам очевидно? Мне вот совсем не очевидно. А как оно, по-вашему, тогда работает? Если я пойду в банк брать кредит на 5 миллионов рублей, то мне откажут. Но если мне предварительно позвонит, ну, пусть не Ашот Вазгенович, а Наджибулла Ахмедович и я соглашусь "спасти свои деньги посредством кредита на 10 миллионов", то в том же банке в том же окошке мне его без проблем в течении получаса выдадут. Как вот оно так работает?
И нет, это не "навешивание ярлыков", а отражение действительности. Тем более, я же с уважением. Люди умеют работать, крутиться в нашем государстве. Выбрали самую эффективную стратегию по обогащению. Можно только в пример их ставить.
aax
29.05.2024 11:30Мы на стороне людей.
Вполне понимаю, на стороне каких именно людей автор, если не мытьем, так катанием он все оживляет мягко говоря несколько несвеже-костыльную тему с мобильником.
Касаемо F2A, там где это нужно - Госуслуги, например, ввели F2A посредством TOTP (открытого алгоритма RFC 6238). Одноразовый код авторизации генерируется на стороне клиента, например полностью автономным брелком с батарейкой.
mm3
29.05.2024 11:30+1Наличие TOTP на Госуслугах не останавливает разработчиков Госуслуг от выманивания номера телефона под любым предлогом, для предоставления какой нибудь услуги. А после получения номера телефона, он намертво привязывается к аккаунту, без возможности его удаления, предоставляется возможность только его изменения.
После этого активируются мошенники с социальной инженерией для доступа к заветным четырём цифрам. А Госуслуги при этом игнорируют любые иные F2A (тот же активированный TOTP) в процессе восстановления доступа, превращая СМС в единственный достаточный фактор авторизации, не считая публично доступные (утекшие) данные о человеке.
Но здравый смысл всё таки может восторжествовать, если активировать на Госуслугах ещё и контрольный вопрос, ответом на который ни в коем случае не должны быть какие либо публично доступные данные, лучше всего работать с ним как с ещё одним паролем. И тогда появляется слабая надежда на безопасность аккаунта на Госуслугах.
aax
29.05.2024 11:30Соглашусь лишь от части(замечу при этом, что я далек от некритичного отношения к Госуслугам).
Номер телефона на Госуслугах, да пытаются выморщить любым способом.
Если Вы выбрали вторым фактором автоизации в ЕСИА одноразовый код генерируемый посредством алгоритма TOTP, то заветных циферок входа в учетку ГУ шесть и даже привязанный к учетке ГУ мобильник тут не помошник.
Смысл исходного коммента в том, что проблема в том, что банки не мытьем так катанием хотят продлить жизнь несвеже-костыльной идее с мобильником в качестве суррогатного токена F2A(вместо того чтобы применить куда более безопасный TOTP, иначально целевым образом предназначенный для автономной генерации одноразовых кодов, и более, как и положено безопасному инструменту, ни для чего), что и ведет к избыточному сбору персональных данных, который и является питательной средой для мошенников, активно юзающих этот, навязываемый банками, франкенштейн из средства связи и токена-суррогата.
Болезненная тяга некоторых коммерсантов, включая некоторых банкиров, к избыточному сбору персональных данных изначально и предназначена, как мне представляется, для обзвонщиков цель которых, как мне представляется, получить с вас деньги, в том числе путем обмана или злоупотребления доверием(то бишь мошенничества по определению из УК РФ), например склонив доверчивую пенсионерку заключить невыгодный ей договор, который ей впарили как сказочно для нее выгодный. Причем по версии банков "свои" обзвощики это "маркетологи и консультаты, которые ничем не злоупотребляют", а не свои обзвонщики это "плохие мошенники, которые нагло вам врут и вводят вас в заблуждение.".
xaosxaos2
29.05.2024 11:30Полностью Вас поддерживают, у меня реальная история где в одной конторе полирующейся банком стоит лимит на оплату на скажет 30к, всё что больше идёт и подтверждение по звонку. Ну а дальше всё и так ясно в одним не прекрасный день в пятницу вечером делается перевод денег на несколько миллионов без подтверждения. И та дам! В суде против банка, банк заявляет мы что мы не причём, мы звонили но не дозвонились! :)
tatyana_august
29.05.2024 11:30Из хороших новостей. Мы научились эффективно бороться с подобными схемами и ежемесячно спасаем сотни тысяч рублей нашим клиентам только в рамках защиты от фишинговых схем.
Вот тут мне стало интересно, как со стороны банка с этим борятся?
sovcombank_tech Автор
29.05.2024 11:30Отвечает эксперт :)
Использование ML-инструментов в совокупности с расширенными возможностями протокола MirAccept 2.0 позволяют достаточно эффективно выявлять мошеннические транзакции.
VadimProfii
29.05.2024 11:30Ок, обьясните тогда, почему один зеленый банк не разрешил мне купить у знакомого в Ленобласти виниловый проигрыватель? Тут-то что не так пошло?
exTvr
29.05.2024 11:30+1не разрешил купить виниловый проигрыватель? Тут-то что не так пошло?
Просто они за прогресс, а не за это вот это ваше ретроградство/s
inkelyad
29.05.2024 11:30+2Почему именно push, а не СМС? Все очень просто – мошенники могут подделать отправителя СМС, а вот с push-уведомлением такой фокус не пройдет. Естественно, приложение банка должно быть установлено, и вы должны быть авторизованными в нем.
Чтобы, значит, сразу под рукой было средство взять тот самый кредит, перевести деньги итд итп. Сравним с ситуацией, когда приложения нет: пока в компьютере до управления счетом доберешься - есть время одуматься. Когда уже банки научатся разделять/давать абоненту выбор по поводу уровня доступа, что доступно с устройства? Хотя бы платежное приложение отдельно, а управлением всем остальным - отдельно, делали.
Для дополнительной безопасности у нас реализован механизм отправки push-уведомления о предстоящем звонке. Это позволяет быть уверенным в том, что звонок идет от сотрудников банка, а не от мошенников. Собственно, и во время разговора вы можете попросить подтвердить, что звонок из банка, и оператор отправит вам push-сообщение с таким подтверждением.
Для этого не надо push. Можно сразу показывать "мы сейчас звоним, код проверки оператора XYZ. Но, вообще говоря, ни приложения банка, ни связи по интернету - тоже не нужно, т.к. разные OTP работают в обе стороны. Пример (смотрим, как оператор подтверждает, что она из банка. И на дату ролика - тоже смотрим.)
Самый верный способ — перезвонить в банк самостоятельно.
...
Для дополнительной безопасности у нас реализован механизм отправки push-уведомления о предстоящем звонке.
...
Но лучшая защита — это не разговаривать с мошенниками.
Вы уж как-нибудь определитесь. Банк либо звонит(иначе зачем механизм с PUSH?), либо нет. Если нормальное поведение, вдолбленное социальной рекламой и материалами на выдачу: "Банк не звонит никогда, и любой представляющийся сотрудником банка - мошенник" - то проблем со звонками мошенников не будет.
aax
29.05.2024 11:30+1Лучшая защита не давать банкам номер телефона.
Касаемо F2A, там где это нужно - Госуслуги, например, ввели F2A посредством TOTP (Time-based One-Time Password Algorithm). Пользователю предоставляется индивидуальный ключ(цифробуквенный код), для открытого алгоритма RFC 6238, а далее он сам решает на каком вычислительном устройстве он будет генерить одноразовый код авторизации(при желании хоть на покупном брелке, хоть на Ардуине).
А вы в посте все оживляете мягко говоря несколько несвеже-костыльную тему с мобильником.
inkelyad
29.05.2024 11:30+1Это включено в "банк не звонит никогда". Потому что если не звонит - то и номер телефона ему не нужен.
2medic
29.05.2024 11:30Если нормальное поведение, вдолбленное социальной рекламой и материалами на выдачу: "Банк не звонит никогда, и любой представляющийся сотрудником банка - мошенник" - то проблем со звонками мошенников не будет.
В своё время уехал в ближнее зарубежье. Попытался снять деньги в местном банкомате в местной валюте. Операция была отклонена, а мне позвонил банк, и поинтересовался, нахожусь ли я в такой-то стране и пытался ли я снять деньги в банкомате. После подтверждения я стал пользоваться банкоматами беспрепятственно. Так что не все звонки от банков — мошеннические. Иногда и польза есть.
2medic
29.05.2024 11:30+3Почему именно push, а не СМС? Все очень просто – мошенники могут подделать отправителя СМС, а вот с push-уведомлением такой фокус не пройдет. Естественно, приложение банка должно быть установлено, и вы должны быть авторизованными в нем.
Потому, что отправка SMS денег стоит. А отправка push — нет. А цена услуги «оповещение абонента» при этом не меняется.
Batalmv
29.05.2024 11:30Ну, есть и другие моменты, к примеру чтение СМС и пуш приложением
Или редкий кейс, когда ты в роуминге без денег, но есть wi-fi
Но вы правы в том, что СМС дороже. Я вот только не помню, просят ли сейчас денег за пуш, начиная с какого-то объема. Уже давно не было проектов с мобильным приложением,и соответственно не смотрел в эту сторону
nickolas059
29.05.2024 11:30А есть ли мировой положительный опыт по данному вопросу? Как дела и какой опыт есть в мире? Или это чисто наша проблема, как смотанный пробег на авто и недострой?
З.Ы. Порой складывается впечатление, что в схеме задействованы сотрудники этих самых организаций, борущихся с мошенничеством?!
sovcombank_tech Автор
29.05.2024 11:30Мировой опыт: мошенники обкатывают схемы на нас, а после с ними уходят в другие страны и начинают "работать" с клиентами зарубежных банков. Есть и примеры фрода в зарубежных банках с использованием deepfake.
Проблема касается всех, инструменты противодействия везде одинаковые, разница, скорее, на уровне выстраивания процесса противодействия внутри отдельных банков, а не стран.
aax
29.05.2024 11:30+1Казино не должно проигрывать:
Ассоциация банков России (АБР) в начале марта обратилась в Минцифры с предложением отказаться от введения оборотных штрафов за утечку информации при повторном нарушении.
https://vc.ru/legal/1093484-banki-snova-poprosili-ne-vvodit-oborotnye-shtrafy-za-utechki
sunsexsurf
29.05.2024 11:30АБР тут понять можно: они же, фактически, лоббисты.
И да, хоть в АБР в руководстве и выходив из ЦБ (в первую очередь недавно ушедший из жизни Георгий Иванович), но они сейчас льют воду на мельницу именно бизнеса, выступая демпфером между ЦБ и рынком в меру своих сил
aax
29.05.2024 11:30Тут главное, что лоббисты лобируют, по сути фактическое право банков сливать персональные данные, которые банки сейчас всеми правдами и неправдами тянут из клиентов.
sunsexsurf
29.05.2024 11:30при этом для всего рынка это очень удобно. Со стороны ЦБ это выглядит как "Ну, это же не мы предложили...", типа, незамазанные. Банки - тоже взятки-гладки. А лоббисты - ну на то и лоббисты.
aax
Мне интересно к какой категории автор относит людей предлагающих подписать договоры, где ряд пунктов изложен очень мелким шрифтом, а так же людей совершающих веерные обзвоны с настойчивым предложением заключить договор с банком, безотносительно того насколько сей договор выгоден тому, до кого он дозвонился.
Alohahwi
Да, мне час назад звонили с номера +79805317484, впаривали кредитную карту с доставкой на дом. Причем я три раза ясно сказал, мне не нужна карта, но это никак не останавливало процесс впаривания. Создалось впечатление что звонили мошенники, а не тот, кто с ними борется.
aax
На мой субъективный взгляд, если банки, вдруг по какой то неведомой причине, начнут реально, а декларативно, бороться питатаельной средой для мошенников, то мягко говоря у них есть ненулевой шанс быстро выйти на самих себя.