В соответствии с данными профессионального исследования, проведенного столичным агентством по информационной безопасности дистанционного банковского обслуживания и защите от утечки данных (DLP) “Zecurion (Серебряный партнёр компании Samsung Electronics в рамках программы Samsung Enterprise Alliance Program в области разработки мобильных корпоративных решений), за время с апреля 2015 по апрель 2016 год используя схему IVR (Сервис интерактивных голосовых ответов) с карт россиян было похищено порядка 6 млн. рублей. В масштабах страны и проанализированного временного интервала такая цифра выглядит достаточно скромно, но с учетом динамики роста “популярности” нового способа мошенничества не может не вызвать справедливые опасения.
Традиционно, IVR программируются на входящие вызовы и настраиваются для приветствия абонента – напр.: “Спасибо, что вы дозвонились в нашу компанию. Если вам знаком внутренний номер сотрудника, вы можете набрать его прямо сейчас …” и т. д. С недавнего времени мошенники расширили возможности IVR, распространив их и на исходящие звонки с целью кражи данных карт пользователей. Как правило, дозвонившийся робот ссылается на необходимость уточнения информации или сбой в системе, после чего просит продублировать данные карт, логины-пароли для входа в кабинет онлайн-банкинга, PIN и CVV-коды. С учетом динамики последних месяцев специалисты Zecurion предупреждают: число попыток и вероятные объемы краж карточных средств россиян в текущем 2016 году вырастут на 40-50%.
Чаще всего роботизированные программные алгоритмы запускаются мошенниками в облачных дата-центрах, что существенно усложняет их оперативную идентификацию. Для того, чтобы окончательно запутать почти поверившего металлическому голосу пользователя, робот может перенаправить последнего к вполне реальному собеседнику, исполняющему роль работника банка. Психологически такая схема выглядит безупречно и с учетом фактора внезапности иногда вводит в заблуждение даже достаточно предусмотрительных и аккуратных пользователей. В отсутствии достаточного объема разъясняющей информации со стороны банков ставка мошенников на то, что электронный ассистент будет вызывать безусловное доверие рядовых пользователей чаще всего срабатывает.
“Новая мошенническая схема достаточно специфична, но эффективна, — комментирует руководитель аналитического центра Zecurion Владимир Ульянов. — Жертвы мало знают о том, что роботы могут звонить. Сталкиваясь с нестандартной ситуацией, банковские клиенты теряются — это первое, что нужно злоумышленникам, дальше обрабатывать человека гораздо легче. Во-вторых, автоответчик вызывает доверие: в представлении людей подобные системы используют крупные компании. Также, по мнению потерпевших, робот не обладает интеллектом, достаточным для того, чтобы обмануть. Но при этом граждане, которые становятся мишенью мошенников, забывают, что настройку системы производят живые люди”.
По словам руководителя отдела безопасности бизнеса “Бинбанка” Дмитрия Каштанова: схема с “обработкой” клиента голосовым роботом чаще всего запускается на этапе, когда мошенники уже располагают логинами и паролями для входа в интернет-банк. Именно на этапе ввода одноразового пароля для подтверждения операции момент доверия приобретает особую ценность. Еще совсем недавно, чтобы выудить одноразовый пароль, приходящий в SMS мошенники дозванивались персонально. Теперь у нас появились все шансы пообщаться с “роботом”. Для того, чтобы мотивировать звонок робот часто ссылается на ошибочную транзакцию, произошедшую по причине сбоя системы. Для ее отмены робот просит сообщить одноразовый пароль, доставленный клиенту в SMS.
Вместе с тем, как считает руководитель направления по борьбе с мошенничеством центра ИБ “Инфосистемы Джет” Алексей Сизов, автоматизация мошеннической схемы лишает ее гибкости, поскольку живой собеседник всегда сохраняет за собой преимущество оперативно отреагировать на эмоциональное состояние жертвы. Но, с другой стороны, соглашается Сизов, по статистике выходит, что автодозвоны дадут злоумышленникам больше, если “качество” атаки (в сравнении с традиционным способом, когда звонит человек) понизится втрое, но число дозвонов возрастет впятеро. Здесь, уточняет он, многое зависит от уровня профессионализма и изобретательности настройщиков робота.
В случае дозвона автоматического информатора эксперты советуют сбросить звонок, перезвонить по контактному номеру, указанному на сайте банка или своему личному менеджеру и уточнить, насколько обоснованы требования, которые вам предъявил электронный ассистент. Подобный совет работает и в случае, если к вам обратился по телефону реальный человек.
Со своей стороны мы надеемся, что вовремя полученная информация позволит нашим читателям избежать проблем, описанных выше.
Уважаемые читатели, мы всегда с удовольствием встречаем и ждем вас на страницах нашего блога. Мы готовы и дальше делиться с вами актуальными новостями, обзорными материалами и другими публикациями, и постараемся сделать все возможное для того, чтобы проведенное с нами время было для вас полезным. И, конечно, не забывайте подписываться на наши рубрики.
Другие наши статьи и события
- Обзор Netatmo Welcome Camera. Добрый Большой Брат
- Портативные Hi-Fi плееры. Музыка не с iPhone
- Распродажа полезных гаджетов и интересных штук
- Jawbone UP3 vs. Xiaomi Mi Band 1S Pulse — битва за наши сердца!
- Выбор умных часов сегодня. Что изменилось?
- Весенние скидки на Hi-Fi технику Onkyo
- Logitech дарит Tom Clancy's the Division
Комментарии (19)
DrPass
14.04.2016 10:45+1> Вместе с тем, как считает руководитель направления по борьбе с мошенничеством центра ИБ “Инфосистемы Джет” Алексей Сизов,
> автоматизация мошеннической схемы лишает ее гибкости.
Как показывает практика, для того, чтобы собрать информацию о жертвах, не надо никакой гибкости, достаточно включить автоответчик. Помнится, когда мы в свое время запустили банковский IVR для информации о задолженностях по кредитам, там нужно было вводить код доступа, выдаваемый в отделении. Об этом всем говорили, везде говорили, писали, уведомляли, что «никогда никому не сообщайте ваш пин-код». И вообще, по здравому смыслу, никакого отношения пин-код карты к кредитам и не имеет. И что? Каждый день в логе в ответ на вопрос «Введите ваш код доступа» сотни пин-кодов к картам, и после второй-третьей неуспешной попытки обычно терпеливо вводится сам номер карты.
Не хотят клиенты думать о своей безопасности, как бы мы не старались. Поэтому хлеб для мошенников найдется всегда.
atorero
14.04.2016 20:14> там нужно было вводить код доступа, выдаваемый в отделении
Может быть в названии комбинации для доступа к помощнику просто не надо было использовать «код» и подобные слова, которые у клиентов банка ассоциируются с картами? (ну и длину, отличную от 4-х символов)DrPass
14.04.2016 22:50> Может быть в названии комбинации для доступа к помощнику просто не надо было использовать «код» и подобные слова
Может быть. Но вот вы сами, например, ничего лучше «комбинации для доступа к помощнику» как синоним слову «код» не смогли придумать. И я не могу придумать, код доступа — он и есть код доступа. «Пароль» еще с натяжкой можно использовать. Хотя с очень большой натяжкой.
> ну и длину, отличную от 4-х символов
Я не знаю, какая Ванга внутри вас решила, что там было 4 символа, но инженер внутри вас в это время спал. Иначе он бы задал вам вопрос: как по коду всего лишь из четырех цифр идентифицировать клиента через IVR? ;)
susnake
14.04.2016 10:50+2Жертвы мало знают о том, что роботы могут звонить.
Счастливые люди. Видимо они всегда вовремя оплачивают телефонию, эл.энергию и кредиты. Стоит хоть на один день опаздать с оплатой, как звонит робот и сообщает, что просрочка и нужно срочно оплатить.
VoiceDao
14.04.2016 11:24-1) Тут, вероятно, акцент смещен на то, что дозваниваются роботы не как предъявители требований, а как участливые электронные ассистенты, задача которых обеспечить качественное обслуживание клиента.
SnowLoKu
14.04.2016 14:41-1Както всегда платил в 20х числах, а не в до 10го. всегда была пеня, но никто никогда не дозванивался.
sweetbrick
14.04.2016 10:52-2Если так пойдет и дальше, можно ожидать появление роботов, ворующих деньги у… роботов-покупателей.
Стоит ли доверять деньги своему холодильнику?
Delics
14.04.2016 18:47Что там за интеллектуальные роботы такие?
Когда звонишь в тех. поддержку Ростелекома, там тоже с тобой сначала разговаривает так называемый «робот». Совершенно тупая программа, которая ничего кроме простых слов «тех. поддержка», «платеж» и т.п. не понимает. Да ещё и думает несколько секунд после ответа.
> было похищено порядка 6 млн. рублей
Пусть лучше продадут своего робота Ростелекому. Будет реальная польза.
geher
14.04.2016 20:25А робот и должен быть тупым. Он тупо диктует текст, а потом записывает то, что ответил пользователь. Ну, может быть, чуть умнее, в ответе пользователя вычленяет запрошенный код. Сработает, конечно, далеко не на всех, но тех, на ком сработает, хватит, особенно при достаточно массовом охвате.
IgorGIV
Хотелось бы написать, что советы в заметке являются КЭПством, но, к сожалению, не прекращаю поражаться доверчивости (необразованности?) людей.
Shadow_Runner
Хочется к этим советам добавить то, что банки НИКОГДА не интересуются полными данными карты и уж тем более паролями от кабинета. Когда банки интересуются одноразовыми кодами — это всегда новый код высланный оператором, а не код который вам пришел ранее для другой операции.
Также в таких смс с кодом обычно указано «Сообщите этот код кассиру/оператору» в противовес стандартному «Не сообщайте этот код никому».
VoiceDao
это всегда новый код высланный оператором, а не код который вам пришел ранее для другой операции — вы абсолютно правы. Но, логично предположить, что если пароль и логин уже злоумышленникам знакомы, они автоматически фиксисруют момент входа в кабинет. Точно также автоматически дозваниваются в промежутке после того, как SMS пользователю уже отправлена, но код подтверждения еще не введен. В этом временном окне и появляется такая возможность.
Shadow_Runner
Да, но в коде для кабинета всегда приписка «Не сообщайте никому», по крайней мере у моего банка.
xxvy
По поводу НИКОГДА…
На днях установил себе мобильный клиент одного зелёного банка. Мне срочно было нужно перевести 300р другому клиенту этого же банка.
Для разрешения этой операции (т.к. до этого она ни разу не запрашивалась) мобильный клиент попросил позвонить на горячую линию банка (вызов, кстати, можно было сделать прям из приложения).
Девушка-оператор с горячей линии первое что спросила — номер карты, данные паспорта, кодовое слово и даже по-моему номер с обратной стороны… в общем т.к. кодовое слово я не помнил — перевод сделать не удалось :)
Shadow_Runner
Ну если CVV кодом интересовались, то это уже беда какая-то. Я его у себя на карточке вообще стер, только в памяти моей теперь и лежит)