Инженеры ленивых душ, или Как вас ограбят в интернете

© Игорь Ставцев/Коллаж/Ridus

В прошлом году объем операций с использованием банковских карт увеличился на треть и составил 32 млрд рублей. При этом отмечался также рост количества и объема несанкционированных операций. Если в 2017 году Центробанк выявил 317 тысяч таких операций суммарным объемом 961 млн рублей, то в прошедшем году — более 400 тысяч на 1,38 млрд рублей. Однако регулятор объясняет эту динамику не активизацией мошенников, а повышением прозрачности предоставляемых банками данных о несанкционированных операциях. Кредитные организации обязаны сообщать ЦБ обо всех несанкционированных операциях, их причинах, а также о возмещении клиентам средств, похищенных мошенниками. К слову, благодаря требованиям Банка России эффективность систем информационной безопасности банков повышается.


По мнению замначальника отдела технической защиты информации ГУ Банка России по ЦФО Дмитрия Ибрагимова, цифровая трансформация отечественной банковской сферы проходит быстрее, чем в странах Западной Европе.

За короткое время крупнейшие российские банки перевели в онлайн многие операции — от открытия депозитов до оформления кредитов. Нет ничего удивительного в том, что около 4/5 выявленных несанкционированных операций более чем на 1 млрд рублей проведено через интернет и мобильные устройства — здесь мошенники чувствуют себя очень уверенно, — говорит он.

А 90% мошеннических операций стали возможны только потому, что злоумышленникам удалось убедить, а если проще — всеми правдами и неправдами выудить у банковских клиентов информацию об их персональных данных, чтобы использовать их для хищения. И для этого им не потребовались ни угрозы, ни пистолет, ни столь популярный в 90-е годы утюг. В полном соответствии с советом профессора Преображенского: только убеждением и лаской, и никакого насилия. Просто злоумышленники хорошо знают человеческие слабости и умеют ими пользоваться. Методы, используемые при этом мошенниками, получили название социальной инженерии.

Утюг или социальная инженерия

© pexels.com

Действительно, социальная инженерия — страшная сила. Но прежде всего необходимо условиться о терминах. Дело в том, что о социальной инженерии в последнее время говорится исключительно в негативном свете и применительно только к мошенникам. Между тем в своем изначальном смысле она представляет собой вполне легальную научно-практическую деятельность, определяемую как применение инженерного подхода к решению ряда социальных проблем (в сфере общественного взаимодействия, на производстве) и воздействию на социальные системы. Это совокупность подходов, ориентированных на изменение поведения и установок людей, на адаптацию людей и социальных институтов к изменяющимся условиям, на разрешение социальных проблем и сохранение социальной стабильности.

Зародилась социальная инженерия более века назад в США. Там же это направление получило наиболее широкое развитие. У нас разработки в этой области еще в 1920-е годы начинал А. К. Гастев, активно проводились они в 60—80-е годы прошлого века, в 90-е были преданы забвению, но сейчас интерес к социальной инженерии снова растет.

Обязательная составная часть социальной инженерии — знание человеческой психологии и поведения людей в различных критических ситуациях. Это дает возможность предвидеть линию поведения человека в определенной ситуации. В целях исследования — с тем чтобы вывести человека на ту или иную реакцию — эти ситуации могут создаваться искусственно.

Киберпреступники создают эти ситуации постоянно, загоняют людей в искусно организуемые ловушки, вынуждают тех выдавать секретную информацию. Приемы, используемые ими, основаны на повсеместно распространенных человеческих слабостях — жалости, страхе и неистребимом желании обогатиться — сказочно и быстро. Мошенники прекрасно понимают, что самое главное в общении с потенциальной жертвой — ошеломить человека, не дать ему возможности сосредоточиться и времени на раздумья.

Работа социальных инженеров-профессионалов главным образом во благо, а не во зло, и помыслы их преимущественно чисты. Иными словами, они используют уже упоминавшийся нами утюг по прямому назначению — чтобы гладить брюки, рубашки и т. п., а не в качестве крайней степени убеждения. И совсем не их вина, что тот же утюг в руках киберпреступников превращается в идеальное средство отъема денег у населения. Поэтому не надо в каждом социологе, занимающемся социальной инженерией, видеть преступника. К слову, будут ли добросовестные ученые и практики называть так свою сферу деятельности после шквала обличительных публикаций — большой вопрос.

Возникшее смешение понятий можно объяснить объективными и субъективными трудностями перевода, а также далеко зашедшим процессом формирования множества узкопрофессиональных языков и их разбегания. Так, в ИТ-среде социальная инженерия однозначно определяется как незаконный метод получения информации — либо закрытой, либо представляющей большую ценность.

Видимо, все-таки не следует дискредитировать уважаемую профессию — из-за того лишь, что какие-то из ее подходов активно используются мошенниками. Применительно к последним можно говорить о методах социальной инженерии, но не о социальной инженерии в целом. Не надо смешивать, а тем более обобщать.

Фишинг, претекстинг и другие методы злоумышленников

© kaspersky.ru

За какой информацией охотятся киберпреступники? Разумеется, им необходимы реквизиты карты клиента: номер, срок действия, имя и фамилия владельца, код CVV (или CVC), ПИН-код. Еще их интересует цифровой код из СМС для подтверждения платежей и переводов. Но как все-таки получается, что люди добровольно делятся с мошенниками сведениями, которые надо беречь как зеницу ока?

Еще несколько лет назад очень многие получали СМС с незнакомого номера, где «сын», «дочь» или любой другой «родственник» просили срочно положить ему (или ей) некоторую сумму на этот самый непонятный номер. Мне самому как-то раз пришло такое сообщение: «Мамочка, срочно положи пятьсот рублей на этот номер. Позже перезвоню». Я уже не помню, каким именем было подписано письмо, то есть угадал отправитель имя моей дочери или нет, но на мамочку я откликнулся вполне адекватно. Впрочем, некоторые клевали на эту наживку, особенно поначалу.

Гораздо менее безобиден другой вариант развода. Опять-таки с незнакомого номера вы получаете СМС-сообщение, что ваша карта заблокирована, и номер телефона, по которому необходимо срочно позвонить, чтобы уточнить детали и решить проблему. И если вы позвоните, то окажетесь в «службе безопасности банка», где вас попросят сообщить данные карты. Причем немедленно, а то будет поздно. И говорят очень убедительно. Вы встревожены, вы не слишком контролируете свои поступки, вы послушно выполняете все указания мошенников. Тем самым вы откроете им доступ к карте и лишитесь ваших денег.

Среди наиболее часто используемых злоумышленниками приемов безоговорочное первое место занимает фишинг (от англ. «рыбалка»). Свою «рыбу» мошенники ловят, главным образом отправляя личные сообщения на сайтах или по СМС, а также через массовые почтовые рассылки якобы известных компаний. В письме есть ссылка на сайт, который представляет собой почти точную копию настоящего, и предложение срочно перейти по ней, от которого трудно отказаться — вы ведь помните, преступники хорошо изучили психологию пользователя и умело играют на его чувствах. Главное, чтобы тот не заметил, что сайт поддельный, перешел по ссылке и ввел на этом сайте-клоне свои личные данные.

Фишинг резко активизируется накануне больших праздников, когда буквально все одержимы приобретением подарков, и крупных международных событий — спортивных, культурных и пр., когда тысячи и тысячи фанатов рвутся за билетами, — предупреждает Дмитрий Ибрагимов. — В это время создаются сотни сайтов-клонов, копирующих популярные торговые площадки и интернет-магазины известных брендов, а также псевдосайтов — агрегаторов скидок и групп в социальных сетях.

Техника «троянский конь» рассчитана на эмоции — свойственное многим любопытство, различные страхи и так далее. Злоумышленник отправляет жертве письмо по электронной почте или СМС, а во вложении находится или «обновление» антивируса, или ключ к денежному выигрышу, или еще что-нибудь очень нужное и крайне интересное. На самом деле там притаилась вредоносная программа, которая после того, как пользователь запустит ее на своем компьютере, будет использована мошенником для сбора или изменения информации.

Из распространенных мошеннических техник можно также отметить претекстинг, обязательным условием которого является наличие у злоумышленника некоторых данных о потенциальной жертве — ФИО, даты рождения и каких-нибудь еще — для вящей убедительности. Обработка жертвы проводится по заранее разработанному сценарию с использованием голосовых средств, жертва постепенно теряет контроль над ситуацией и в результате выдает необходимую информацию.

На самом деле таких техник очень много. Объединяет их одно: мошенники тонко играют на наших самых обычных слабостях — страхе или желании обогатиться — и умеют обвести вокруг пальца даже самого осторожного человека, не дать ему опомниться и сосредоточиться. Недаром у многих жертв остается впечатление, что они действовали как будто под гипнозом, — говорит Дмитрий Ибрагимов.

Кто кого?

© flickr.com

Технологии стремительно развиваются. Киберпреступность, увы, тоже не стоит на месте. Она выросла из обычной, примитивной преступности и всего-навсего приспосабливается, использует новые инструменты и технологии. Надо признать, пока весьма успешно.

Теперь мошенники, выходя на жертву, часто знают не только фамилию, имя и отчество, но и совершенные ею операции по банковской карте. Конечно, когда вам звонят настолько информированные люди, трудно представить, что это звонок не из банка. К слову, эти данные злоумышленники могут получить и на черном рынке, и благодаря утечкам из баз данных, а также из самого банка — и такое случается. А еще мошенники научились подделывать телефонные номера банковских горячих линий — разница в одну — максимум две цифры.

Что и говорить, перспективы весьма туманные. Если не принимать во внимание одно обстоятельство, о чем уже говорилось в начале статьи, — 90% мошеннических операций проводятся потому, что мошенникам удается выведать у банковских клиентов информацию об их персональных данных. То есть технологии уязвимы в меньшей степени, главное — уязвимость клиента, пресловутый человеческий фактор. Дело за малым — изменить людей. Всего-навсего. А если серьезно, решить эту проблему крайне сложно. Но не решать нельзя.

А в заключение несколько советов клиентам банков.

Говоря по телефону с мошенниками (или сотрудниками банка — но откуда вы знаете?), ни в коем случае не раскрывайте СМС-коды, приходящие на ваш гаджет. Нельзя также сообщать звонящему кодовое слово, привязанное к карте. Если вам позвонили мошенники (или сотрудники банка — но откуда вы знаете?), извинитесь, повесьте трубку и перезвоните по номеру, указанному на оборотной стороне банковской карты. Тогда все (или почти все) прояснится.

Нам важно ваше мнение!

+0

Комментарии (0)

США расширили санкции против России

© Игорь Ставцев/Коллаж/Ridus

Вашингтон расширил антироссийские санкции. Под ограничения попали две компании и военный учебный центр, которые обвинили обвинив в нарушении американского законодательства.

Соответствующая информация размещена на сайте Федерального реестра США.


Под санкции попали московский завод «Авангард», тульское конструкторское бюро приборостроения и учебный центр зенитных ракетных войск в Гатчине.

Помимо трех российских организаций в черный список внесены китайские и сирийские юридические компании.

Санкции, в частности, подразумевают запрет на закупки США продукции предприятий.

Ограничительные меры утвердил помощник госсекретаря США по вопросам международной безопасности Кристофер Форд.

Санкции будут действовать в течение двух лет, однако их срок может быть увеличен или сокращен по решению госсекретаря США, отмечает ФАН.

Нам важно ваше мнение!

+0

Комментарии (0)

|статья

История

Осада Руби-Ридж — это история о том, как государственная машина решила уничтожить одну отдельно взятую семью и проиграла.

Можно сказать, что станция «Мичуринский проспект» почти готова.