Предлагаю остановиться на самом остром виде социальной инженерии, задевающем наших клиентов, простых людей. Сегодня почти все пользуются банковскими картами и, казалось бы, имеют достаточный опыт в обращении с ними. Но по-прежнему многие, получив звонок «из банка», доверяют звонящему, представившемуся «Василием из службы безопасности».
По опыту нашего банка, украсть деньги у неискушенного человека достаточно просто – достаточно выудить у него информацию о номере и сроке действия карты, а также код CVC на её обороте. После этого обычно заявляется, что «обнаружена мошенническая операция на 15 000 рублей – для её отмены надо ввести код из СМС». Человек, чуть раньше уже выполнивший несколько указаний мошенников, «на автомате» называет цифры из текстового сообщения и теряет указанную сумму.
ТЕХНОЛОГИЯ ОБМАНА
Что же стоит за этой простой, но стабильно работающей и эффективной операцией? Каков ее механизм?
Сегодня это, опять же из опыта нашего банка, хорошо отлаженный бизнес-процесс, где:
Все начинается с подготовки операторов. Они должны легко ориентироваться в сценариях. Как правило, под разные типовые профили жертв используются разные подходы.
Для привлечения «клиентов» часто в ход идут рассылки СМС. Такие сообщения обычно выглядят как информация о списании денежных средств, но, в отличие от настоящих сообщений, в них нет суммы остатка на карте. Чаще используются просто «слепые звонки» с перебором указанного координатором диапазона номеров. Иногда общение с «оператором» предваряет текст, прочитанный роботом. Задача робота – повысить авторитет оператора, а также отфильтровать грамотных людей, которые «не ведутся» и бросают трубку. Такие люди знают, что настоящий сотрудник банка, обзванивающий клиентов, всегда обращается к ним по имени-отчеству. Это самый первый фильтр от звонков мошенников.
Если «клиент повелся», в дело вступает Оператор, представляющийся, как правило, сотрудником службы безопасности (обычно называется самый популярный банк в регионе). Его задача рассказать клиенту, что «деньги вот-вот украдут», и провести его по всем этапам сценария.
Что Оператору важно:
Интересный факт: при ответе, что на карте «около 100 рублей» – просто вешают трубку.
Обычно сценарии мошеннических схем условно можно разделить на виды:
В первом случае операции повторяются до тех пор, пока у клиента есть деньги на карте. Во втором и третьем – мошенникам достаточно получить единичный код, чтобы списать все деньги без дополнительных операций.
Для снижения средней суммы ущерба банки выставляют лимиты на операции. Для обхода этого мошенники используют «многоканальный» вывод денег и сразу несколько сервисов перевода с карты на карту (сервисы «не видят» операций друг друга и не могут на основании серии однотипных списаний остановить операции). Все операции осуществляются с учетом типовых лимитов каждого конкретного банка. Где-то это 15 тыс. рублей, а где-то и 500 тыс. по конкретному виду. Обычно предельные суммы намного выше, если клиент осуществляет операции через «свой» Интернет-банк или мобильное приложение.
Интернет-банк удобен не только пользователям, но и мошенникам. Можно увидеть точный остаток денежных средств «жертвы», использовать операции «оплатить услугу», «перевод по реквизитам счета» и даже «закрыть вклад с переводом денежных средств на карту» или «взять экспресс-кредит у Банка».
Главная задача оператора – сформировать денежный поток на карты мошенников, ответственных за обналичивание в банкоматах. Их карты периодически меняются во избежание блокировки «по подозрению». Тут соучастником воров, как это ни парадоксально, является финтех. Дело в том, что банки не видят получателей денежных средств по переводам своих клиентов (за исключением операций в Интернет-банке). Существующая система банк-сервис-банк проигрывает мошенникам в оперативности. Поскольку данные получателя банк отправителя не видит, а видит сервис, то и заблокировать карту мошенника может только банк-эмитент такой карты. То есть, чтобы добраться до получателя денег, нужно сделать минимум два последовательных запроса.
СРЕДНЯЯ ТЕМПЕРАТУРА ПО БОЛЬНИЦЕ
Сегодня банки предоставляют информацию об инцидентах в ФинЦЕРТ Банка России в режиме почти реального времени. Подавляющее число инцидентов связаны с пластиковыми картами. Официальная сводная статистика публична, любой может ознакомиться с ней на сайте БР.
Направляя информацию в ФинЦЕРТ, банки видят регистрационный номер своего инцидента. По нему можно судить о числе инцидентов на момент регистрации. В обычный день получается около 4 тыс. инцидентов, но счетчик может быть и больше (видели более 12 тыс.), и меньше – в зависимости от времени дня, активности злоумышленников и банков. Для прогноза возьмем значение 4 тыс. инцидентов в рабочий день.
Предположим, в квартале 60 дней, активность в выходные учитывать не будем, техническими сообщениями, участвующими в том же счетчике, также пренебрежем – их мало. Результат на Рисунке 1.
Рисунок 1. Цифры 2019 года – это близкая к нижней границе информация о числе инцидентов с пластиковыми картами
Цифры 2019 года – это не всплеск, это просто близкая к нижней границе информация о числе инцидентов с пластиковыми картами. Каждый наш клиент, получая письменный ответ на своё сообщение о действиях мошенников, видит регистрационный номер своего инцидента в Банке России и инструкцию по его использованию правоохранительными органами. Данный прогноз не претендует на абсолютную точность, но очень хорошо показывает и смену методологии Банка России и высокую «среднюю температуру по больнице».
ПРОБЛЕМА СЕРВИСОВ
Кто-то может купить навороченную систему антифрода, а кто-то просто грамотно настраивает систему лимитов (ограничение максимального ущерба от операций мошенников в рамках какого-то их сценария). Что мешает работе таких систем? Желание клиентов полной свободы в своих операциях и любовь к использованию первых попавшихся сервисов.
Надо понимать, что для банка важен вопрос удобства клиентов. Как, например, человеку отправить другу 10 тыс. руб. при лимите 8 тыс.? Пока клиент выбирает вариант «вбить в поисковик и щелкнуть по первой ссылке» для совершения любого платежа, мы получаем множество сервисов и невозможность сильно снизить сумму лимита на операцию. Банки постоянно дорабатывают свои мобильные приложения, делают свои Интернет-банки удобнее, но человеческая лень делает своё черное дело. Для такого левого сервиса конкретный клиент – как песчинка – абсолютно незаметен. Возник и пропал, а доход сервиса в виде комиссии, как с мошенников, так и с обычных пользователей, одинаков. С сервисами электронных кошельков и виртуальных карт сложнее, но как инструмент приема платежей при переадресации они активно используются мошенниками.
КАК БОРОТЬСЯ?
К сожалению, законодательная основа для оперативной борьбы отсутствует. Борьба опирается на сами банки, их работу с клиентами и готовность операторов связи реагировать на обращения банков с просьбой прекратить работу мошенников.
Чтобы обезопасить своих клиентов мы выбрали комплексный подход:
Эффект есть! Мы не победили, но снизили в разы число пострадавших и сумму ущерба для каждого клиента. Своеобразный рекорд: «бригада» мошенников 1,5-2 часа «водила» клиента по различным способам хищения его денежных средств – и всё с нулевым результатом.
Но главное – это повышение грамотности клиентов. На наш взгляд, самое простое – это Стоп-Вопросы. Т.е. услышали в разговоре с «сотрудником» банка хотя бы один пункт, сразу повесьте трубку.
Стоп-Вопросы
Из неожиданного. Фантазия у мошенников работает плохо: «Объединенная служба безопасности всех коммерческих банков», «Служба безопасности Хлыновского Центробанка»...
БАНК ДЛЯ ЧЕЛОВЕКА
У малых банков есть свои минусы. Нас мало, и мы не можем позволить себе «систему антифрода с искусственным интеллектом и космическими технологиями», не можем присутствовать на всех тематических конференциях…
Но есть и плюсы. Мы очень легки на подъем:
Мы видим и слышим каждого нашего клиента, а не безликую массу.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных