Вряд ли сейчас можно найти человека, который не слышал о телефонных мошенниках, опустошающих банковские счета физических лиц. Кажется, что их приёмы рассмотрены и объяснены во всех вариантах, поэтому не должны срабатывать. Однако статистика говорит о другом. По данным следственного департамента МВД России, ущерб от телефонного мошенничества в России за 11 месяцев 2021 года составил 45 млрд рублей. Половина потерпевших добровольно передавали преступникам секретные данные, пароли и коды.
Попробуем разобраться, откуда взялось это противоречие, какие меры предлагает регулятор и помогут ли они защитить граждан.
ИСТОРИЯ ОБМАНА
Рассмотрим мошенническую многоходовку с несколькими участниками.
Всё начинается со звонка от «сотрудника» службы безопасности банка. «Сотрудник» в довольно грубой манере сообщает, что проводит проверку личности клиентов банка и для подтверждения жертва должна назвать ему свои полные паспортные данные и реквизиты всех карт банка. Когда возмущённая жертва отказывается сообщить конфиденциальную информацию, собеседник говорит что-то оскорбительное и вешает трубку. Главная задача этого разговора — вызвать негативные эмоции у жертвы.
Через несколько дней жертва получает ещё один звонок. На этот раз с ней разговаривает «сотрудник внутренней безопасности Банка России», который спрашивает, звонили ли жертве из банка со странными вопросами, а затем сообщает, что проводится расследование деятельности недобросовестных сотрудников банка, и просит оказать содействие следствию.
Вскоре поступает ещё один звонок от «представителя Следственного комитета РФ», «майора отдела ФСБ по расследованию банковских преступлений» или какого-то другого представителя силовых ведомств со звучной должностью. Его служба расследует мошеннические инциденты с участием сотрудников банка, в частности прозвоны клиентов с требованием подтвердить паспортные данные. Чтобы поймать и наказать преступников, нужна помощь жертвы.
Помощь может быть самой разной. Например, жертве предлагают перевести деньги со своих счетов на «помеченный» защищённый счёт или передать наличные «надёжному человеку», который положит их в «спецхранилище». Встречаются и варианты с оформлением кредита и передачей всей суммы «агенту ФСБ под прикрытием» или даже с продажей квартиры и размещением денег на «спецсчёте в ЦБ РФ». Во всех случаях мошенники обещают жертвам достойное вознаграждение после поимки преступников.
В обязательном порядке от жертв требуют соблюдения секретности, объясняя его тайной следствия, а иногда и угрожая ответственностью за разглашение.
КТО ПОД УДАРОМ?
Довольно распространено мнение, что мошенники обманывают только совсем наивных или неграмотных людей, далёких от реалий сегодняшнего дня. Но на самом деле всё гораздо серьёзнее.
Генерал МВД или профессор психиатрии просто в силу своих профессиональных знаний не должны были поддаться обману. Они совершенно точно знали о мошенниках и имели представление о сценариях, которые те используют. Однако, когда они сами стали участниками «спектакля», не смогли включить рациональное мышление и выпутаться из ситуации без потерь.
ПОЧЕМУ ЛЮДИ ВЕРЯТ АФЕРИСТАМ
Мошенники строят свои сценарии с учётом особенностей человеческой психики. Они знают, что сильные эмоции выводят человека из равновесия и отключают критическое мышление. Поэтому первое действие во всех сценариях — удар по базовым эмоциям — страху, гневу, радости, любопытству и т. п.
В описанном выше мошенническом сценарии первый удар по эмоциям наносит фальшивый сотрудник банка, вызывая у жертвы гнев и негодование.
Появившийся на втором этапе «сотрудник ЦБ РФ» снова атакует эти эмоции, заставляя жертву вспомнить о неприятном эпизоде. И сразу же даёт надежду на то, что преступников могут поймать и наказать, нужно всего лишь помочь следствию.
Для реализации этой надежды в дело вступает «следователь», который выполняет дальнейшую обработку жертвы. Он продолжает стимулировать сильные эмоции, усиливая их воздействие авторитетом. Для этого упоминаются ФСБ, Следственный комитет и Центральный банк РФ, а также «солидная» должность звонящего.
Ещё один фактор, который используют мошенники для повышения эффективности воздействия, — изоляция жертвы от родственников, друзей и знакомых. Они добиваются этого с помощью «режима секретности», запрещая сообщать кому-либо об участии в «расследовании». Не имея возможности посоветоваться с другими людьми, жертва остаётся под «очарованием» мошенников и выполняет нужные им действия.
Примечательно, что преступники уже вовсю используют борьбу с самими собой как дополнительную мотивацию для жертв: «Вы же слышали о телефонных мошенниках? Вы можете помочь поймать одну такую банду и получить вознаграждение! Вот что от вас требуется…» Желание помочь и жажда вознаграждения часто оказываются решающими факторами в деле убеждения жертвы.
Таким образом, практически все мошеннические кампании построены примерно по одной схеме: удар по базовым эмоциям → отключение рационального мышления жертвы → повышение интенсивности воздействия с помощью эмоциональных усилителей → доверие жертвы → профит.
К сожалению, практически все люди в большей или меньшей степени уязвимы для таких атак. Даже если в отдельных случаях они успешно распознавали звонки мошенников, другие сценарии всё ещё могут сработать.
КАК ПЫТАЮТСЯ ЗАЩИТИТЬ ГРАЖДАН
Огромные суммы хищений со счетов граждан не остались без внимания банковского сообщества, регулятора и правительства. Чтобы защитить владельцев счетов от мошенников, предлагают:
БУДУТ ЛИ РАБОТАТЬ ЭТИ МЕРЫ ЗАЩИТЫ?
Фундаментальная проблема всех перечисленных мер состоит в том, что они не принимают в расчёт то, что практически во всех эпизодах с мошенниками люди действовали ДОБРОВОЛЬНО. Они ЗНАЛИ, что нельзя никому сообщать CVV-код банковской карты или SMS-код подтверждения операции. И уж точно они ПОНИМАЛИ, что, передавая деньги лично в руки незнакомым людям, рискуют лишиться их. Но это знание их не остановило. Мошенники сумели привлечь их к участию в спектакле и убедить добровольно расстаться с деньгами.
Предположим, что банки ввели обязательную дополнительную верификацию для перевода средств. Пусть, например, кроме SMS-кода, требуется принять звонок от робота и сказать: «Подтверждаю перевод». Как поступит человек, который выполняет перевод денег, считая, что спасает их от преступников? Скорее всего, он подтвердит перевод точно так же, как буквально минуту назад добровольно сообщил код подтверждения мошенникам.
Аналогичная ситуация и с другими защитными мерами. Клиент банка должен иметь возможность управлять своими счетами. А значит, даже обязательный визит в офис банка не станет препятствием для мошенников, ведь они вполне могут убедить жертву, что сотрудники банка пытаются её ограбить.
Чтобы защититься от мошенников, клиенты должны не только знать о них, но и уметь действовать безопасно
КАК ВСЁ-ТАКИ ЗАЩИТИТЬ ЛЮДЕЙ?
Телефонные мошенники грабят клиентов банков, не применяя сложных технических средств. Они используют в качестве оружия социальную инженерию, эксплуатируют слабости людей, которые сформировались за годы эволюции. В результате жертвы самостоятельно обходят все системы защиты банков, считая, что действуют себе во благо.
Чтобы остановить мошенников, нужно в первую очередь работать с потенциальными жертвами — клиентами банков. Как показывает практика, даже широчайшего информирования недостаточно, чтобы люди перестали верить аферистам. А как показывают описанные выше инциденты, даже те, кто знает и вроде бы не должен верить, всё-таки становятся жертвами. Причина в том, что, кроме знания, необходимы навыки безопасного поведения в различных ситуациях.
Многие банки используют оповещение клиентов — физических лиц о мошеннических угрозах, но, как и любое информирование, само по себе оно малоэффективно. Чтобы помочь банкам защитить своих клиентов и снизить операционные и репутационные риски, компания «Антифишинг» разработала решение «Антифрод», которое гибко встраивается в бизнес-процессы кредитной организации.
ОБ АНТИФРОДЕ
Рисунок 1. Схема работы решения «Антифрод» от «Антифишинга»
Система построена на технологиях «Антифишинга», показавших свою эффективность в выработке навыков безопасного поведения сотрудников компаний, но адаптирована к особенностям целевой аудитории — физических лиц — клиентов финансовых организаций (рис. 1).
Рисунок 2. Цикл обучения и тренировки навыков в системе «Антифрод»
В «Антифроде» реализован цикл обучения и тренировки навыков, который позволяет сформировать высокий уровень осведомлённости клиентов финансовых организаций и научить их безопасному поведению в различных ситуациях (рис. 2).
Рисунок 3. Пример теста из интерактивного тренажёра в составе «Антифрода»
В «Антифроде» имеется функциональность для обучения и тренировки навыков внешних пользователей в виде электронных обучающих курсов и диалоговых тестов, а также интерактивный тренажёр по безопасности и буклеты по безопасной работе в системе онлайн-банкинга, социальных сетях, мессенджерах и электронной почте (рис. 3).
Система «Антифрод» позволяет проводить имитированные атаки через СМС и по электронной почте с вложениями и фишинговыми сайтами. Решение может быть интегрировано с антифрод-системами и другими внутренними системами банков.
Рисунок 4. Дополнительные метрики для антифрода по каждому клиенту
Таким образом, после внедрения «Антифрода» банк получит:
ИТОГИ
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных