Живой — значит уязвимый
Вместе с удобствами цифровизации финансовых услуг в нашу жизнь пришли новые риски. Злоумышленники постоянно совершенствуют приёмы введения человека в заблуждение. Они берут на вооружение новейшие разработки и программы банковских структур и умело их используют в своих преступных целях. Установки специальных программ, звонки «аналитиков банка», переписка в соцсетях с «банком» — почти каждую неделю мы слышим про какие-то новые схемы. Так что же нужно знать и как мы можем защитить себя в технологичном пространстве?
Доверие — основной фактор риска
Человек — слабейшее звено в любой защите. Его можно отвлечь, обмануть, спровоцировать путём нагнетания обстановки. Уже давно и успешно этими бесхитростными методами пользуются все аферисты. Звонок по телефону или письмо на электронную почту, сформированные по определённому сценарию, могут заставить человека совершить необдуманные действия.
Сам термин «социальная инженерия» появился недавно, но расцвет её приходится ещё на 70-е годы. И тогда, и сейчас хакеры так характеризуют элементарную атаку на человека. Телефонным звонком давно уже много чего можно было решить и раздобыть конфиденциальную информацию. Ранее хакеры развлекались бесплатными междугородными и интернациональными звонками. В то время социальная инженерия и приобрела свой первоначальный смысл. Появление компьютерных программ, развитие соцсетей и форумов дали только новые просторы для творчества.
Сейчас в департаментах информационной безопасности банков часто трудятся выходцы из среды хакеров. Они хорошо понимают все механизмы, и поэтому их работа является высокоэффективной для компаний. Атаки непосредственно на сами банки начались примерно в 2014 году. Тогда в фокусе внимания мошенников были изменения платёжной информации. Правильные сведения менялись на липовые, и деньги уходили взломщикам. Потом цель поменялась, и с 2016 года стали атаковать внутренние банковские системы совершения операций. Через год целью становились валютные счета. И только совместными усилиями служб информационной безопасности в банках и соответствующего органа ЦБ эти попытки сошли на нет.
Механизмы вне закона
Теперь очередь за частными лицами. Нам необходимо учиться распознавать ложные приёмы и защищать свои личные сведения. На данном этапе технологического развития мы можем выявить три типа незаконных схем проникновения в ваше информационное пространство с целью махинаций с финансами.
Во-первых, это целенаправленная социальная инженерия. При таком варианте мошенники получают как минимум контактные данные клиента и адресно выманивают данные для входа в интернет-банк. Разговор ведётся чаще от лица работника службы безопасности банка.
Во-вторых, широковещательная социальная инженерия. Она представляет собой не что иное, как прозвон базы номеров или отправку СМС о проблемах с картой и требованием перезвонить. Дальше сценарий тот же, что и при целенаправленном контакте. Алгоритм такой: быстрое понимание того, клиент какого типа звонит, выманивание номера карты, идентификация обслуживающего этого человека банка по номеру карты и побуждение человека сообщить одноразовый пароль для входа в интернет-банк или для совершения транзакции по типу «карта–карта».
Ещё одна схема кибермошенников — заражение устройства клиента или побуждение к установке фальсифицированного приложения. Такие программы очень похожи на мобильный банк. Здесь всё куда более технологично и слабо заметно для человека. Вирус располагается на вашем устройстве и может как подменять страницы входа и оплаты, так и модифицировать платежи, отправляя их через серверы мошенников в банки. В приложениях же вообще всё сразу так настроено, что, кроме как на счёт злоумышленника, деньги никуда перевести нельзя.
Личные приёмы защиты
Как же нужно реагировать на подобные атаки простому человеку? Директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов даёт следующие советы: «Я всегда рекомендую придерживаться правила — не принимать на абсолютную веру входящие звонки и, если они вызывают хотя бы какие-то подозрения, отвечать: «Сейчас я вам перезвоню» — и перезванивать либо по номеру телефона, который указан на сайте банка, либо по номеру телефона, который указан на обороте карты. В большинстве случаев этого достаточно, чтобы не стать жертвой мошенников, использующих методы социальной инженерии».
При общении с представителями банков главное понимать, что входящие звонки от официальных структур носят в основном рекламный характер: предложение каких-то банковских продуктов и услуг. Банки никогда не запрашивают у клиента ту информацию, которая у них и так уже есть: номер карты, счёта, срок действия карты и т.п. Пин-код вообще никто никогда не запрашивает у клиента, это сугубо конфиденциальная информация.
Кроме того, банки не звонят, чтобы провести операцию или отменить её, чтобы сказать, что со счетами клиента происходит что-то подозрительное. Единственное исключение — это когда клиент совершил какую-то транзакцию. В этом случае ему может позвонить специалист банка, который знает всё об этой операции, но он сам сообщает параметры совершённой транзакции и просит дополнительно подтвердить, что именно клиент, а не иное лицо её совершает.
Если же вам приходится сталкиваться с подозрительными установками приложений или программ, то рекомендации здесь также просты. Необходимо своевременно обновлять операционную систему на всех устройствах, используемых для работы с мобильным банком и интернет-банком. По возможности не использовать одно и то же устройство для получения СМС и входа в мобильный банк, не устанавливать неизвестные приложения, полученные из непроверенных источников (например, скачанных не из официальных магазинов мобильных приложений). И по возможности не подключаться автоматически к публичным Wi-Fi сетям, их легко подделать.
Самое главное правило из всего выше изложенного для обычных людей — никому не доверять. Склонность человека поверить впервые услышанному или увиденному обращению — основной фактор риска. Ваше нестандартное для мошенников поведение и совершенно законное право «перезвонить позднее» способно отсеять большую часть опасных для вашего банковского счёта операций.