Распознать и обезвредить
«Социальная инженерия», широко применяемая злоумышленниками для хищений средств в системах электронных платежей, сама по себе появилась не вчера. Мошенники всегда вводили в заблуждение людей для получения выгоды за их счёт. Обманутая жертва должна своими руками отдать злоумышленнику деньги, другие ценности, что-то сделать для него себе в ущерб. «Проделки хитрецов» описываются ещё в древних мифах и сказках, сложился целый жанр плутовского романа.
ВРАСПЛОХ, НАСПЕХ
Раньше мошенники действовали в реальном мире, лично контактируя с жертвами. В наше время к их услугам высокотехнологичные инструменты, дистанционное общение в виртуальном мире, мобильная связь и интернет. Многие граждане, пользующиеся электронными финансовыми сервисами, не задумываются, что туда могут вклиниться злоумышленники. Поэтому становятся жертвами уловок, на которые ни за что не купились бы при личной встрече в реальном мире.
Злоумышленники используют хорошо придуманные и отработанные техники дезинформации клиентов, позволяющие обманным путём дистанционно побудить перевести им деньги. «Социальные инженеры» атакуют неожиданно и стремительно, нагнетают обстановку и требуют немедленных действий. Злоумышленники застигают жертву врасплох, когда она не ожидает подвоха. Используя это временное преимущество, они спешат оказать психологическое давление.
Мошенники могут «пугать» возможной упущенной выгодой, делая акцент на том, что сроки «акции» заканчиваются. Напротив, могут и угрожать жертве мнимым ущербом, или тем, что помощь близкому человеку опоздает. Им важно вывести жертву из душевного равновесия, поставить в цейтнот. Чтобы та запаниковала, не стала тратить время на трезвую оценку ситуации и проверку информации, а скорее распростилась с деньгами.
ПРЕДУПРЕДИТЬ, ЧТОБЫ ВООРУЖИТЬ
Основная задача Банка России в противодействии «социальной инженерии» выглядит следующим образом. Это инициирование и стимулирование развёрнутой кампании информирования граждан об особенностях безопасного использования электронных финансовых сервисов. Не только о технических правилах безопасности, но и о том, как обезопасить себя от мошенников, «социальных инженеров». Чтобы граждане были начеку, знали, на что обращать внимание, как заподозрить неладное и проверить подозрительную информацию.
Эта важная и нужная работа будет усилена также финансовыми организациями, в первую очередь банками. Соответствующие требования Банком России уже установлены: информировать клиентов о рисках использования финансовых инструментов и мерах противодействия. Такое информирование в обязательном порядке должно быть доведено до каждого клиента.
Важное отличие «гуманитарных» атак на электронные платёжные средства от «технических» в том, что мишенью является пользователь, человек, а не то или иное техническое средство. Это мошенничество, а не кража со взломом. Противодействовать «техническим» атакам сотрудники подразделений информационной безопасности банков могут самостоятельно, организационно-техническими мерами.
Для отражения атак «социальных инженеров» банкам потребуется настройка фронтального контура систем антифрода, определенное профилирование деятельности клиента. Но это не панацея, этого явно недостаточно: необходимо задействовать самого клиента. Научить его распознавать злоумышленников, не поддаваться на их уловки.
НАУЧИТЬ ОСТОРОЖНОСТИ
Общие рекомендации гражданам нужны, но сами по себе малоэффективны. Целесообразно профилировать аудитории по группам. Злоумышленники так уже делают: для каждой группы у них есть свои подходы, техники, психологические приёмы, ключевые слова. К основным группам относятся: люди пожилого возраста, молодёжь − школьники и студенты, экономически активное население, предприниматели. В отношении молодёжи такую работу важно вести и для того, чтобы помешать её вовлечению в противоправную деятельность.
ФинЦЕРТ Банка России ведёт мониторинг и делает аналитику всех инцидентов, включая связанных с социальной инженерией. Обрабатывается отчётность финансовых организаций, обращения клиентов. На основании получаемых данных можно определить, какие социальные группы в какой степени подвергаются «гуманитарным» атакам, какими техниками оперируют злоумышленники, как часто добиваются успеха.
Отслеживается динамика: как появляются новые вредоносные техники, как постепенно сходят на нет, когда у граждан вырабатывается к ним «иммунитет». Банк России рассылает финансовым организациям, которые взаимодействуют с ФинЦЕРТом, оперативную информацию об актуальных угрозах со стороны злоумышленников. На этом основании можно специфицировать информирование разных групп клиентов о том, каких именно рисков, приёмов злоумышленников следует опасаться на текущий момент.
Более общая проблема в том, чтобы вообще научить клиентов осторожно, аккуратно пользоваться электронными инструментами на финансовых рынках. Это проблема не только клиентов, но и финансовых организаций, и отраслевого регулятора.
МИШЕНЯМИ СЛУЖАТ ВСЕ
В информировании населения приходится учитывать социально-психологические особенности разных групп, включая возрастные. Так, люди старшего поколения привыкли внимательно относиться к выступлениям официальных лиц, выполнять их рекомендации, в том числе к предупреждениям об опасностях, связанных с использованием электронных финансовых сервисов. Поэтому пенсионеры, которые первоначально были одной из главных мишеней мошенников, стали заметно осторожнее.
Злоумышленникам пришлось переносить «вектор главного удара» на экономически активное население. Эти изобретательные люди не сидят сложа руки. Не так давно они выявили массовую проблему получения кредита людьми, которым нужны деньги. Для её «решения» сформировали новый криминальный «бизнес-продукт».
Рассылают якобы от имени кредитных организаций по электронной почте, посланиями в мессенджерах, SMS-сообщениями информацию о том, что «вам одобрен кредит на такую-то сумму». Но сначала надо перечислить комиссию за оформление или сделать первый регулярный платёж… Некоторые граждане спохватываются лишь тогда, когда перечислят злоумышленникам чуть ли не сумму, которую рассчитывали получить в кредит.
«ЖИЗНЕННЫЙ ЦИКЛ» УЛОВОК
Мошенники ведут мониторинг финансовой отрасли: новых продуктов, каналов и форм их доведения до граждан, следят за спросом, особенно за неудовлетворённым. Есть своеобразная аналогия с созданием и использованием технических решений, бизнес-продуктов.
В сфере электронных платежей набор криминальных схем регулярно обновляется. Разрабатывают, пробуют, сработает или нет, затем отрабатывают и продвигают всё новые и новые приёмы обмана. Запускают в «промышленную эксплуатацию». «Разработчики» используют мошеннические технологии и сами, и продают другим «коллегам», как отдельные инструменты и технологии, так и «коробочные решения».
У «гуманитарных» мошеннических схем, как и у вирусов, бывает стадия начала использования, потом пик «эпидемии», и в итоге они постепенно сходят на нет. По мере выработки у граждан и организаций «иммунитета» к данной схеме. «Жизненный цикл» схем электронных преступлений в настоящее время составляет порядка трёх лет. Техники «социальной инженерии» могут трансформироваться намного быстрее.
ПОДМЕНА ТЕЛЕФОННОГО НОМЕРА
Одна из свежих криминальных новаций основана на открывшейся уязвимости определения номера входящего телефонного звонка. Делая звонок гражданину со своего номера, злоумышленники производят подмену на номер официального колл-центра, службы технической поддержки банка. Представляются сотрудниками банка и либо выведывают у клиента данные, позволяющие завладеть его деньгами, либо побуждают своими руками перечислить им свои средства. Техника эта показала эффективность, и всего за полгода её вывели на «промышленную эксплуатацию».
Совместно с банками, телеком операторами и профильным ведомством, Минкомсвязи РФ, Банк России ищет решение этой проблемы, организационно-техническое и нормативно-правовое. Отдельный вопрос о номерах ip-телефонии. Межведомственное согласование непростой процесс, хотя контакты налажены и взаимодействие ускорилось. Тем не менее, вопросы решаются не в одночасье: у каждого участника свой профиль, своя точка зрения, свой взгляд на проблему.
Чтобы защититься от этого вида мошенничества гражданам нужно знать, какую информацию, необходимую мошенникам для хищений, настоящие сотрудники банков ни при каких условиях не будут спрашивать: PIN-код, CVV-код, код из СМС. Клиентам, принимающим подозрительные звонки, рекомендуется для проверки перезванивать в банк по официальному номеру колл-центра, технической поддержки, указанному на банковской карте или сайте банка. Перезвонив по нему, попадаешь по нужному адресу, а не на скрытый номер, принадлежащий злоумышленникам. Недостаток в том, что это означает увеличение нагрузки на некоторые банки, у которых колл-центры не связаны со службами технической поддержки. Однако для клиента это самый действенный способ проверки.
ПРОВЕРЯТЬ ПОДОЗРЕНИЯ
Сейчас стоит вопрос о формировании базы данных подозрительных телефонных номеров. Это касается злоумышленников, которые не маскируют номера своих телефонов, занимаясь фишингом путём рассылки потенциальным жертвам сообщений и совершая голосовые звонки. Информация о таких телефонах могла бы поступать в банки от самих клиентов, и централизованно обрабатываться.
Однако речь не идёт о блокировке номеров. Это сложный вопрос и технически, и юридически. Нельзя, чтобы неудобства испытывали граждане, не причастные к деятельности злоумышленников, которые просто приобрели освободившийся «плохой» номер.
Есть аналогия с базой данных подозрительных банковских счетов, имеющих признаки использования в схемах хищений, которую ведёт ФинЦЕРТ Банка России. Подозрительные счета не блокируются, потому что признаки использования для мошенничеств − далеко ещё не юридические доказательства. Информация в базе ориентирует банки проявлять повышенную бдительность к операциям с этими счетами, проводить дополнительные процедуры проверки легальности.
Что касается возможной базы данных подозрительных телефонных номеров, то информация о её фигурантах могла бы автоматически выводиться на экраны смартфонов, принимающих звонок, получающих сообщение с сомнительной информацией, чтобы гражданин был своевременно предупреждён о потенциальной угрозе мошенничества и дальше действовал осмотрительно.
«ПОРТРЕТ» ЗЛОУМЫШЛЕННИКА
Аналитика ФинЦЕРТа позволяет составить «портрет» типичных злоумышленников. Сегодня это криминальные группы, члены которых могут быть рассредоточены по разным регионам страны, находиться за границей, быть знакомыми только дистанционно, под вымышленными никнэймами. Их обязанности и полномочия распределены: это организаторы, аналитики, разработчики инструментария и схем обмана, сотрудники фальшивых «колл-центров», создатели схем вывода похищенных средств и проводчики платежей, «нальщики».
Противостоять приходится не одиночкам, отдельным «социальным инженерам», а хорошо организованной преступности. Противодействие такому криминалу − общее дело и клиентов, и финансовых организаций, и государственных органов, включая правоохранительные.
Свежий пример − вынесение в начале 2019 года Мещанским судом Москвы обвинительного приговора группировке из 15 злоумышленников, обвинявшихся в хищениях у российских банков через социальные сети около 1 млрд рублей. Осудили их по ч.1 ст. 210 (организация преступного сообщества) и по ч. 4 ст. 159.6 (мошенничество в сфере компьютерной информации) Уголовного Кодекса РФ. Члены группы получили сроки от 6,5 до 14 лет, а их главарь − 15 лет лишения свободы. Такая судьба ожидает и тех злоумышленников, которые пока на свободе, продолжают свою противозаконную деятельность.
Автор: Артем Сычёв, первый заместитель директора департамента информационной безопасности Банка России