Легкая кавалерия

Легкая кавалерия

Предлагаю остановиться на самом остром виде социальной инженерии, задевающем наших клиентов, простых людей. Сегодня почти все пользуются банковскими картами и, казалось бы, имеют достаточный опыт в обращении с ними. Но по-прежнему многие, получив звонок «из банка», доверяют звонящему, представившемуся «Василием из службы безопасности».

По опыту нашего банка, украсть деньги у неискушенного человека достаточно просто – достаточно выудить у него информацию о номере и сроке действия карты, а также код CVC на её обороте. После этого обычно заявляется, что «обнаружена мошенническая операция на 15 000 рублей – для её отмены надо ввести код из СМС». Человек, чуть раньше уже выполнивший несколько указаний мошенников, «на автомате» называет цифры из текстового сообщения и теряет указанную сумму.

ТЕХНОЛОГИЯ ОБМАНА

Что же стоит за этой простой, но стабильно работающей и эффективной операцией? Каков ее механизм?

Сегодня это, опять же из опыта нашего банка, хорошо отлаженный бизнес-процесс, где:

• Четко разделены роли.
• Продуман сценарий и алгоритм действий. Чаще несколько сценариев.
• Операторы «на телефоне» прошли обучение и уверенно играют свою роль в соответствии со сценарием.
• Подготовлены карты и счета для приема денег.
• Готовые к снятию денежных средств соучастники дежурят у банкоматов.
• Есть координатор действий.
• Подготовлен к работе комплекс технических средств для управления звонками и денежными потоками.

Все начинается с подготовки операторов. Они должны легко ориентироваться в сценариях. Как правило, под разные типовые профили жертв используются разные подходы.

Для привлечения «клиентов» часто в ход идут рассылки СМС. Такие сообщения обычно выглядят как информация о списании денежных средств, но, в отличие от настоящих сообщений, в них нет суммы остатка на карте. Чаще используются просто «слепые звонки» с перебором указанного координатором диапазона номеров. Иногда общение с «оператором» предваряет текст, прочитанный роботом. Задача робота – повысить авторитет оператора, а также отфильтровать грамотных людей, которые «не ведутся» и бросают трубку. Такие люди знают, что настоящий сотрудник банка, обзванивающий клиентов, всегда обращается к ним по имени-отчеству. Это самый первый фильтр от звонков мошенников.

Если «клиент повелся», в дело вступает Оператор, представляющийся, как правило, сотрудником службы безопасности (обычно называется самый популярный банк в регионе). Его задача рассказать клиенту, что «деньги вот-вот украдут», и провести его по всем этапам сценария.

Что Оператору важно:

• Какой банк выпустил карту – от этого зависят лимиты на операции по карте.
• Номер карты, срок действия, код CVC – нужны для перевода денежных средств.
• Примерный остаток средств на карте – это позволит украсть максимум без лишних операций.

Интересный факт: при ответе, что на карте «около 100 рублей» – просто вешают трубку.

Обычно сценарии мошеннических схем условно можно разделить на виды:

• классические переводы с карты на карту;
• подключение карты к электронному кошельку;
• сброс пароля в Интернет-банке и отправка переводов от имени жертвы.

В первом случае операции повторяются до тех пор, пока у клиента есть деньги на карте. Во втором и третьем – мошенникам достаточно получить единичный код, чтобы списать все деньги без дополнительных операций.

Для снижения средней суммы ущерба банки выставляют лимиты на операции. Для обхода этого мошенники используют «многоканальный» вывод денег и сразу несколько сервисов перевода с карты на карту (сервисы «не видят» операций друг друга и не могут на основании серии однотипных списаний остановить операции). Все операции осуществляются с учетом типовых лимитов каждого конкретного банка. Где-то это 15 тыс. рублей, а где-то и 500 тыс. по конкретному виду. Обычно предельные суммы намного выше, если клиент осуществляет операции через «свой» Интернет-банк или мобильное приложение.

Интернет-банк удобен не только пользователям, но и мошенникам. Можно увидеть точный остаток денежных средств «жертвы», использовать операции «оплатить услугу», «перевод по реквизитам счета» и даже «закрыть вклад с переводом денежных средств на карту» или «взять экспресс-кредит у Банка».

Главная задача оператора – сформировать денежный поток на карты мошенников, ответственных за обналичивание в банкоматах. Их карты периодически меняются во избежание блокировки «по подозрению». Тут соучастником воров, как это ни парадоксально, является финтех. Дело в том, что банки не видят получателей денежных средств по переводам своих клиентов (за исключением операций в Интернет-банке). Существующая система банк-сервис-банк проигрывает мошенникам в оперативности. Поскольку данные получателя банк отправителя не видит, а видит сервис, то и заблокировать карту мошенника может только банк-эмитент такой карты. То есть, чтобы добраться до получателя денег, нужно сделать минимум два последовательных запроса.

СРЕДНЯЯ ТЕМПЕРАТУРА ПО БОЛЬНИЦЕ

Сегодня банки предоставляют информацию об инцидентах в ФинЦЕРТ Банка России в режиме почти реального времени. Подавляющее число инцидентов связаны с пластиковыми картами. Официальная сводная статистика публична, любой может ознакомиться с ней на сайте БР.

Направляя информацию в ФинЦЕРТ, банки видят регистрационный номер своего инцидента. По нему можно судить о числе инцидентов на момент регистрации. В обычный день получается около 4 тыс. инцидентов, но счетчик может быть и больше (видели более 12 тыс.), и меньше – в зависимости от времени дня, активности злоумышленников и банков. Для прогноза возьмем значение 4 тыс. инцидентов в рабочий день.

Предположим, в квартале 60 дней, активность в выходные учитывать не будем, техническими сообщениями, участвующими в том же счетчике, также пренебрежем – их мало. Результат на Рисунке 1.

Рисунок 1. Цифры 2019 года – это близкая к нижней границе информация о числе инцидентов с пластиковыми картами

Цифры 2019 года – это не всплеск, это просто близкая к нижней границе информация о числе инцидентов с пластиковыми картами. Каждый наш клиент, получая письменный ответ на своё сообщение о действиях мошенников, видит регистрационный номер своего инцидента в Банке России и инструкцию по его использованию правоохранительными органами. Данный прогноз не претендует на абсолютную точность, но очень хорошо показывает и смену методологии Банка России и высокую «среднюю температуру по больнице».

ПРОБЛЕМА СЕРВИСОВ

Кто-то может купить навороченную систему антифрода, а кто-то просто грамотно настраивает систему лимитов (ограничение максимального ущерба от операций мошенников в рамках какого-то их сценария). Что мешает работе таких систем? Желание клиентов полной свободы в своих операциях и любовь к использованию первых попавшихся сервисов.

Надо понимать, что для банка важен вопрос удобства клиентов. Как, например, человеку отправить другу 10 тыс. руб. при лимите 8 тыс.? Пока клиент выбирает вариант «вбить в поисковик и щелкнуть по первой ссылке» для совершения любого платежа, мы получаем множество сервисов и невозможность сильно снизить сумму лимита на операцию. Банки постоянно дорабатывают свои мобильные приложения, делают свои Интернет-банки удобнее, но человеческая лень делает своё черное дело. Для такого левого сервиса конкретный клиент – как песчинка – абсолютно незаметен. Возник и пропал, а доход сервиса в виде комиссии, как с мошенников, так и с обычных пользователей, одинаков. С сервисами электронных кошельков и виртуальных карт сложнее, но как инструмент приема платежей при переадресации они активно используются мошенниками.

КАК БОРОТЬСЯ?

К сожалению, законодательная основа для оперативной борьбы отсутствует. Борьба опирается на сами банки, их работу с клиентами и готовность операторов связи реагировать на обращения банков с просьбой прекратить работу мошенников.

Чтобы обезопасить своих клиентов мы выбрали комплексный подход:

• снизили лимиты на рискованные для клиента операции (при возможности увеличить их в офисе банка или удаленно);
• добавили механизмы защиты, реагирующие на типовые сценарии мошенников;
• добиваемся 100% информирования клиентов о действиях мошенников, о мерах безопасности. Даже делали «ковровые» рассылки СМС с предупреждениями для клиентов в самые напряженные моменты;
• постоянно публикуем актуальные предупреждения для клиентов везде, где это возможно. Даже вывешиваем их на «первый показ» на странице входа в интернет-банк (при всплесках активности мошенников);
• любой звонок в Информационный центр банка с сообщением о мошенниках используется для противодействия мошенникам.

Эффект есть! Мы не победили, но снизили в разы число пострадавших и сумму ущерба для каждого клиента. Своеобразный рекорд: «бригада» мошенников 1,5-2 часа «водила» клиента по различным способам хищения его денежных средств – и всё с нулевым результатом.

Но главное – это повышение грамотности клиентов. На наш взгляд, самое простое – это Стоп-Вопросы. Т.е. услышали в разговоре с «сотрудником» банка хотя бы один пункт, сразу повесьте трубку.

Стоп-Вопросы

• Звонящий не знает ваше имя и отчество.
• Просит назвать полный номер карты (можно 2-4 последние цифры).
• Просит назвать срок действия карты.
• Просит назвать CVC код (под любым названием код с оборотной стороны карты).
• Просит назвать код из СМС.
• Просит сделать «тестовый платеж».
• Спрашивает о наличии у вас карт других банков.
• Спрашивает об остатке денежных средств на карте, даже примерно.
• Переключает вас на «службу безопасности другой организации».
• Просит вас сделать какую-то манипуляцию, смысл которой вам не понятен.

Из неожиданного. Фантазия у мошенников работает плохо: «Объединенная служба безопасности всех коммерческих банков», «Служба безопасности Хлыновского Центробанка»...

БАНК ДЛЯ ЧЕЛОВЕКА

У малых банков есть свои минусы. Нас мало, и мы не можем позволить себе «систему антифрода с искусственным интеллектом и космическими технологиями», не можем присутствовать на всех тематических конференциях…

Но есть и плюсы. Мы очень легки на подъем:

• мы можем подвинуть баннер с продажей новой линейки кредитов в пользу предупреждения об активности мошенников;
• за пару часов согласовать публикации в социальных сетях и сделать рассылку СМС по самым уязвимым клиентам;
• просто за 5 минут разработать и запустить новый шаблон реагирования на инциденты, которые только что возникли;
• немного снизить лимит по операциям в выходной день, сделав его ниже «первой попытки» мошенников, которые активизировались в пятницу;
• индивидуально отработать каждое обращение клиента по сложным случаям, предложив человеку варианты решения проблем;
• просто разобрать для клиента какие-то операции, по которым у него есть вопросы, с изучением правил используемого им финансового сервиса – то, чего никогда не сделают в крупном банке;
• для нас два похожих эпизода – это УЖЕ СЕРИЯ: разбираем, оцениваем, принимаем меры.

Мы видим и слышим каждого нашего клиента, а не безликую массу.