В последнее время в украинских банках не так часто случаются резонансные кражи с помощью технических ноу-хау.
Социнженерия 2.0: Как мошенники обманывают банки и их клиентов
Поэтому недавняя история, когда мошенники вывели из одного из крупнейших финучреждений около 170 тыс. кредитных средств через пополнение двух десятков мобильных номеров, стала настоящей сенсацией. По рынку сначала пошел слух, что в деле «работали» хакеры, обнаружившие уязвимость в системе защиты мобильного приложения банка.
На самом деле в этой истории не было ничего необычного. Но она напомнила: параллельно с развитием банковских технологий, эволюционируют и мошенники.
Какие новшества появились на этом «рынке» и как с ними бороться? На каких «китах» держится современное банковское мошенничество, разбирался «Минфин».
Метод «топора»
Описанная выше афера произошла в ПУМБе еще в начале 2019 года. Как оказалось, все было более банально, чем детективная версия с хакерами. Реальный клиент банка нашел способ обойти ограничение по использованию кредитного лимита (овердрафт). Он просто пополнял свой мобильный, а затем пересылал деньги на 23 разных номера – все из системы оператора Киевстар.
Об этом деле стало известно благодаря постановлению Печерского райсуда Киева. Он удовлетворил ходатайство следователей Нацполиции, которые запрашивали доступ к непубличным документам и информации об абонентах Киевстар.
«Ничего связанного с кибератаками или социнженерией в данном случае не происходило, на счету реального клиента возник несанкционированный овердрафт, по факту которого банк подал заявление в правоохранительные органы. Мы могли бы рассказать об этом случае, но, как одна из сторон, не имеем права до окончания следствия разглашать какие-либо факты», – разъяснил «Минфину» главный специалист управления финансово-экономической безопасности ПУМБ Александр Савченко.
Новое слово в мошенничестве
Эта история могла бы стать очередным примером даже не мошенничества, а обычной попытки «топорной» кражи, если бы не одна деталь – у злоумышленников вряд ли получилось бы добиться результата, если бы им не помогал сам клиент банка.
Следствие по делу ПУМБа пока не дало окончательного ответа, участвовал ли он осознанно, как член преступной группы или же мошенники воспользовались его личными данными и с их помощью получили доступ к счету.
Но как отмечают опрошенные банкиры, именно умышленное либо неосознанное (так называемая социальная инженерия) участие клиента остается основой подавляющего большинства прецедентов банковского мошенничества.
По данным Ассоциации членов платежных систем ЕМА, в 2018 году на социнженерию приходилось 68% всех случаев «работы» злоумышленников. При этом сама «отрасль» переживает явный регресс: если в 2017 году на социнженерии мошенники заработали 510 млн грн, то в прошлом их доходы составили 241 млн грн. «Средний чек» одной мошеннической операции остался на прежнем уровне – около 2,4 тыс. грн.
Читайте также: Мошенничество с картами: ловушки для доверчивых
Все это означает, что мошенникам стало сложнее выманивать данные банковских карт с помощью примитивного обмана. Их подходы все время усложняются. Так, мнимые сотрудники банка постепенно «эволюционировали» в представителей НБУ или других госорганов, а банальный телефонный обзвон постепенно уступает место смеси социнженерии и хакерства, но направленного уже не на клиентов-физлиц, а на бизнес.
«Принцип используется тот же – в основе мошенничества лежит низкая финансовая грамотность населения, в данном случае – сотрудников компаний, которые отвечают за денежную составляющую. Нередко случается, когда бухгалтеры небольших фирм для собственного удобства хранят ключи доступа к интернет-банкингу прямо на рабочем столе. Это как раз то, что нужно мошеннику», – рассказывает представитель Департамента киберполиции (входит в структуру Нацполиции) Евгений Даценко.
Немного истории
Как писал «Минфин», есть несколько наиболее распространенных способов мошенничества, с помощью которых преступники уводят деньги со счетов физлиц.
Вишинг — телефонное мошенничество. Преступники могут позвонить держателю платежной карты, например, от имени сотрудника банка и рассказать, что его счет заблокирован или с него сняли деньги. Чтобы решить эту проблему, им нужно получить данные карты. Доверчивого держателя карты также могут попросить перевести деньги с якобы «заблокированного» счета на новый.
Действуют изобретательно, например, просят назвать номер отделения, в котором была открыта карта. Большинство людей этого не знает, а мошенники «подсказывают», что номер отделения — это 3 цифры на обороте карты (код CVV).
Смишинг — это похожая уловка, но с помощью SMS. Аферисты часто используют его как подготовку к вишингу. Распространенный прием — сообщение о том, что пользователь выиграл денежный приз или автомобиль и ему нужно предоставить дополнительную информацию, то есть данные карты.
Фиктивные покупатели и продавцы. Первые обычно работают в паре: первый «переводит» деньги за товар, второй — информирует продавца от имени банка, что деньги зачислены на счет, но для подтверждения операции нужны данные карты. Фиктивные продавцы маскируются под реальных, выманивая предоплаты за несуществующий товар.
Перевыпуск SIM-карты и кража финансового номера, который привязан к платежной карте. Таким образом мошенники получают доступ к кодам и паролям, которые банк отправляет клиенту для подтверждения платежных операций.
«Преступные» новинки
Как пояснил «Минфину» программист крупной украинской IT-компании, пожелавший остаться неназванным, в интернете все большей популярностью пользуются сервисы позволяющие мошенникам имитировать любой почтовый адрес. На практике это выглядит так: бухгалтер компании получает письмо, в котором его начальник просит поделиться платежными данными. Подделку распознать можно, но для неопытного пользователя это не самая простая задача. Тем более, что здесь хакеров страхует та самая социальная инженерия: если раньше они пользовались неопытностью клиентов банков, то теперь их главное оружие – имитация людей, которым их жертвы доверяют.
Неудивительно, что с усложнением мошенничества, обычным клиентам банков все тяжелее противостоять ему. По словам начальника сектора мониторинга и расследования мошеннических операций ОТП Банка Ярослава Захарченко, неоднократно встречаются случаи, когда один и тот же человек становится жертвой разных модификаций социальной инженерии более одного раза.
Что банки могут противопоставить мошенникам? Как отмечает начальник отдела интернет- и мобильного банкинга Укргазбанка Викентий Чеботарев, банкиры не должны ограничиваться «просветительскими» кампаниями среди клиентов и рассчитывать, что те будут хранить конфиденциальность данных.
«Нужно выстраивать свою систему идентификации таким образом, чтобы мошенники по умолчанию не смогли добраться до учетной записи клиента с помощью информации, которую они могут выудить обманом», – говорит Чеботарев.
По его словам, речь идет об ограничениях на определенные операции после входа на новом устройстве или при генерации нового пароля. «Таким образом, злоумышленник, заполучив данные клиента, не сможет завладеть его средствами», – считает Чеботарев.
Как добавляет Ярослав Захарченко из ОТП Банка, при малейшем намеке на подозрительную активность по счету, лучше в индивидуальном порядке связаться с клиентом и уже по ситуации решать, пропускать его сделки или нет. «Наша безопасность в случае подозрений связывается с клиентом для подтверждения операций в любое время дня и ночи», – отмечает Захарченко.
Прямых попыток хакерских атак с целью кражи средств с банковского счета практически не происходит, говорят банкиры. По словам Викентия Чеботарева, обойти систему банковской защиты таким путем слишком сложно. Александр Савченко из банка ПУМБ отмечает, что любая мошенническая активность, которая происходит через удаленные каналы доступа к счету (мобильное приложение, десктоп-версия интернет-банкинга) происходит исключительно при участии клиента, а не с помощью взлома.
«К нам поступают данные с кодами подтверждения операций от клиента, отправленные на его телефонный номер – с точки зрения банка такие операции клиента выглядят легитимными. Он не может подтвердить личность клиента на другой стороне телефона/компьютера, кроме как по введенному логину, паролю и коду подтверждения операции. А их отправляют исключительно на финансовый телефон, который клиент сам указал в своей анкете», – сетует Захарченко.
Поэтому банкиры настаивают: главная уязвимость любого банковского счета – это его владелец. Ответственность за сохранение и неразглашение своей информации он несет сам. А это значит, что мошенники будут искать новые способы заработать на доверчивости украинцев.
Ольга Терещенко
Комментарии - 3
А у вас в офисе какие-то растения есть?
(два человека отвечают одновременно):
— бухгалтерия
— плесень