Соцінженерія 2.0. Як шахраї обманюють банки та їх клієнтів

Тому недавня історія, коли шахраї вивели з одної з найбільших фінустанов близько 170 тис. кредитних коштів через поповнення двох десятків мобільних номерів, стала справжньою сенсацією. Ринком спочатку пішла плітка, що в справі «працювали» хакери, що виявили уразливість в системі захисту мобільного додатка банку.

Насправді в цій історії не було нічого незвичайного. Але вона нагадала: паралельно з розвитком банківських технологій, еволюціонують і шахраї.

Які нововведення з'явилися на цьому «ринку» і як з ними боротися? На яких «китах» тримається сучасне банківське шахрайство, розбирався «Мінфін».

Метод «сокири»

Описана вище афера сталася в ПУМБі ще на початку 2019 року. Як виявилося, все було банальніше, ніж детективна версія з хакерами. Реальний клієнт банку знайшов спосіб обійти обмеження з використання кредитного ліміту (овердрафт). Він просто поповнював свій мобільний, а потім пересилав гроші на 23 різних номера — всі з системи оператора Київстар.

Про цю справу стало відомо завдяки постанові Печерського райсуду Києва. Він задовольнив клопотання слідчих Нацполіції, які запитували доступ до непублічних документів та інформації про абонентів Київстар.

«Нічого пов'язаного з кібератаками або соцінженерією в даному випадку не відбувалося, на рахунку реального клієнта виник несанкціонований овердрафт, за фактом якого банк подав заяву в правоохоронні органи. Ми могли б розповісти про цей випадок, але, як одна зі сторін, не маємо права до закінчення слідства розголошувати будь-які факти», — роз'яснив «Мінфіну» головний спеціаліст управління фінансово-економічної безпеки ПУМБ Олександр Савченко.

Нове слово в шахрайстві

Ця історія могла б стати черговим прикладом навіть не шахрайства, а звичайної спроби «грубої» крадіжки, якби не одна деталь — у зловмисників навряд чи вийшло б домогтися результату, якби їм не допомагав сам клієнт банку.

Незважаючи на запевнення самої фінустанови, слідство у справі ПУМБу поки що не дало остаточної відповіді, чи брав участь він усвідомлено, як член злочинного угруповання або ж шахраї скористалися його особистими даними і з їх допомогою отримали доступ до рахунку.

Але як зазначають опитані банкіри, саме навмисна чи неусвідомлена (так звана соціальна інженерія) участь клієнта залишається основою переважної більшості прецедентів банківського шахрайства.

За даними Асоціації членів платіжних систем ЕМА, у 2018 році на соцінженерію припадало 68% всіх випадків «роботи» зловмисників. При цьому сама «галузь» переживає явний регрес: якщо в 2017 році на соцінженерії шахраї заробили 510 млн грн, то в минулому їх доходи склали 241 млн грн. «Середній чек» однієї шахрайської операції залишився на колишньому рівні — близько 2,4 тис. грн.

Читайте також: Шахрайство з картами: пастки для довірливих

Все це означає, що шахраям стало складніше виманювати дані банківських карт за допомогою примітивного обману. Їх підходи весь час ускладнюються. Так, уявні співробітники банку поступово «еволюціонували» в представників НБУ або інших держорганів, а банальний телефонний обдзвін поступово поступається місцем суміші соцінженерії та хакерства, але спрямованого вже не на клієнтів-фізосіб, а на бізнес.

«Принцип використовується той самий — в основі шахрайства лежить низька фінансова грамотність населення, в даному випадку — співробітників компаній, які відповідають за грошову складову. Нерідко трапляється, коли бухгалтери невеликих фірм для власної зручності зберігають ключі доступу до інтернет-банкінгу прямо на робочому столі. Це якраз те, що потрібно шахраєві», — розповідає представник Департаменту кіберполіції (входить до структури Нацполіції) Євген Даценко.

Трішки історії

Як писав «Мінфін», є кілька найбільш поширених способів шахрайства, за допомогою яких злочинці виводять гроші з рахунків фізосіб.

Вішинг — телефонне шахрайство. Злочинці можуть зателефонувати власнику платіжної картки, наприклад, від імені співробітника банку і розповісти, що його рахунок заблокований або з нього зняли гроші. Щоб вирішити цю проблему, їм потрібно отримати дані карти. Довірливого власника картки також можуть попросити перевести гроші з нібито «заблокованого» рахунку на новий.

Діють винахідливо, наприклад, просять назвати номер відділення, в якому була відкрита карта. Більшість людей цього не знає, а шахраї «підказують», що номер відділення — це 3 цифри на звороті картки (код CVV).

Смішинг — це схожий виверт, але за допомогою SMS. Аферисти часто використовують його як підготовку до вішингу. Поширений прийом — повідомлення про те, що користувач виграв грошовий приз або автомобіль і йому потрібно надати додаткову інформацію, тобто дані карти.

Фіктивні покупці і продавці. Перші зазвичай працюють в парі: перший «переводить» гроші за товар, другий — інформує продавця від імені банку, що гроші зараховані на рахунок, але для підтвердження операції потрібні дані карти. Фіктивні продавці маскуються під реальних, виманюючи передоплати за неіснуючий товар.

Перевипуск SIM-карти і крадіжка фінансового номера, який прив'язаний до платіжної картки. Таким чином шахраї отримують доступ до кодів і паролів, які банк відправляє клієнту для підтвердження платіжних операцій.

«Злочинні» новинки

Як пояснив «Мінфіну» програміст великої української IT-компанії, який побажав залишитися неназваним, в інтернеті все більшою популярністю користуються сервіси, що дозволяють шахраям імітувати будь-яку поштову адресу. На практиці це виглядає так: бухгалтер компанії отримує лист, в якому його начальник просить поділитися платіжними даними. Підробку розпізнати можна, але для недосвідченого користувача це не найпростіше завдання. Тим більше, що тут хакерів страхує та сама соціальна інженерія: якщо раніше вони користувалися недосвідченістю клієнтів банків, то тепер їх головна зброя — імітація людей, яким їх жертви довіряють.

Не дивно, що з ускладненням шахрайства, звичайним клієнтам банків все важче протистояти йому. За словами начальника сектора моніторингу та розслідування шахрайських операцій ОТП Банку Ярослава Захарченко, неодноразово зустрічаються випадки, коли одна й та ж людина стає жертвою різних модифікацій соціальної інженерії більше одного разу.

Що банки можуть протиставити шахраям? Як зазначає начальник відділу інтернет- та мобільного банкінгу Укргазбанку Вікентій Чеботарьов, банкіри не повинні обмежуватися «просвітницькими» кампаніями серед клієнтів і розраховувати, що ті будуть зберігати конфіденційність даних.

«Потрібно вибудовувати свою систему ідентифікації таким чином, щоб шахраї за замовчуванням не змогли дістатися до облікового запису клієнта за допомогою інформації, яку вони можуть вивудити обманом», — каже Чеботарьов.

За його словами, мова йде про обмеження на певні операції після входу на новому пристрої або при генерації нового пароля. «Таким чином, зловмисник, отримавши дані клієнта, не зможе заволодіти його засобами», — вважає Чеботарьов.

Як додає Ярослав Захарченко з ОТП Банку, при найменшому натяку на підозрілу активність за рахунком, краще в індивідуальному порядку зв'язатися з клієнтом і вже за ситуацією вирішувати, пропускати його угоди чи ні. «Наша безпека в разі підозр зв'язується з клієнтом для підтвердження операцій в будь-який час дня і ночі», — зазначає Захарченко.

Прямих спроб хакерських атак з метою крадіжки коштів з банківського рахунку практично не відбувається, кажуть банкіри. За словами Вікентія Чеботарьова, обійти систему банківського захисту таким шляхом занадто складно. Олександр Савченко з банку ПУМБ зазначає, що будь-яка шахрайська активність, яка відбувається через віддалені канали доступу до рахунку (мобільний додаток, десктоп-версія інтернет-банкінгу) відбувається виключно за участю клієнта, а не за допомогою злому.

«До нас надходять дані з кодами підтвердження операцій від клієнта, відправлені на його телефонний номер — з точки зору банку такі операції клієнта виглядають легітимними. Він не може підтвердити особистість клієнта на іншій стороні телефону/комп'ютера, крім як за введеним логіном, паролем та кодом підтвердження операції. А їх відправляють виключно на фінансовий телефон, який клієнт сам вказав в своїй анкеті», — нарікає Захарченко.

Тому банкіри наполягають: головна вразливість будь-якого банківського рахунку — це його власник. Відповідальність за збереження і нерозголошення своєї інформації він несе сам. А це означає, що шахраї будуть шукати нові способи заробити на довірливості українців. 

Ольга Терещенко