С недавних пор в своем ежегодном отчете о глобальных рисках эксперты Всемирного экономического форума в число наиболее вероятных угроз включают неприятные сюрпризы, связанные со сферой информационных технологий. Так, в 2017 году 5-е место в списке глобальных рисков заняли кража данных и мошенничество с ними, в 2018 году эта угроза поднялась на 4-е место, а 3-ю строчку заняли кибератаки.
Киберпреступность стала хорошо организованным и очень прибыльным бизнесом. Глобальный ущерб от нее в 2017 году составил, по разным оценкам, от 1,2 до 1,4% мирового ВВП. При этом раскрываемость таких преступлений в мировом масштабе не слишком высока. Наиболее распространенные схемы ориентированы на хищение денег у кредитно-финансовых организаций и их клиентов.
Как это происходит?
© Оксана Викторова/Коллаж/RidusВы или кто-нибудь из ваших знакомых наверняка когда-нибудь получали СМС с извещением о блокировке карты, которое потом оказывалось фальшивкой. Самое удивительное то, что о такой схеме обмана знают уже практически все, но многие до сих пор попадаются на эту удочку. Получив такое сообщение, не паникуйте и ни в коем случае не связывайтесь с его отправителем по телефону, номер которого указан в СМС. Сразу позвоните в свой банк (номер есть на вашей карте), и вам наверняка подтвердят, что с картой все в порядке. И, разумеется, сообщите о попытке мошенничества.
Наиболее популярный вид мошенничества с картами — письма с вредоносными файлами. Они приходят обычно по электронной почте или через мессенджеры, часто маскируются под «выгодные предложения» или прайс-листы. В таком письме наверняка есть вложение либо ссылка, кликнув на которую вы запускаете компьютерный вирус. Вредоносная программа (в просторечии — зловред) похищает логин и пароль онлайн-банка и отправляет их злоумышленнику. Еще хуже, если такую ссылку вы открываете с мобильного устройства — тогда мошенники могут узнать и код подтверждения операции из СМС-сообщения, которое присылает банк. Тогда наверняка можете проститься с вашими деньгами.
Злоумышленники используют все более изощренные приемы. Например, перенаправление на сайт-двойник. Если вы планируете не выходя из дома, то есть посредством интернета, купить авиабилеты, перевести деньги с карты на карту, совершить покупку в онлайн-магазине, тщательно проверьте адресную строку: возможно, вас пытаются обмануть. Сайт может быть очень похож на настоящий, но доменное имя у него иное. Если не будете внимательны — деньги потеряете, а товара так и не дождетесь.
Только за 2017 год Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) снял с делегирования, или, проще говоря, выключил, около 740 фишинговых ресурсов и 100 ресурсов, с помощью которых распространялось вредоносное программное обеспечение (ВПО). И если на заблокированные сайты можно попасть, используя специальные программы или выехав за пределы России, то разделегирование подразумевает, что владелец фишингового ресурса теряет права на него, такой сайт просто перестает существовать.
Киберугрозы постоянно эволюционируют. Новые версии известных зловредов сложнее предшественников, их функционал существенно шире. По мере того как число различных цифровых устройств увеличивается, сразу же расползаются ареалы вредоносного ПО. Например, в настоящее время достаточно популярны карты с системой бесконтактной оплаты. Естественно, незамедлительно появились и устройства для считывания данных с таких карт. Однако в данном случае речь не идет о бесконтактном считывании — злоумышленнику необходим именно контакт устройства с картой.
Человеческий фактор
© Оксана Викторова/Коллаж/RidusВсегда существует опасность заражения мобильного устройства и компьютера через интернет. Может сказаться недостаточность встроенных средств защиты в программные продукты со стороны разработчиков систем дистанционного банковского обслуживания (ДБО) и интернет-банкинга. Но на первом месте — невыполнение пользователями элементарных требований безопасности. Любая схема защиты прямо связана с действиями или знаниями клиента. Какое бы средство защиты ни предоставлялось клиенту, оно может быть скомпрометировано — как извне, так и самим пользователем. Чаще всего злоумышленникам удается обойти самые совершенные средства защиты по причине доверчивости клиента, его неосведомленности, халатности в обращении со средствами интернет-банкинга.
Большая проблема — все более широкое использование злоумышленниками методов социальной инженерии. Это еще одно доказательство уязвимости клиентской стороны. В рамках социальной инженерии злоумышленники быстро находят причину, по которой человек легко пойдет на действия, ведущие к утрате денег. Чаще всего воздействуют на корыстолюбие — например, стремление купить что-то с большой скидкой. Очень часто давят на то, что родственник клиента якобы попал в беду. Особенно подвержены такому воздействию пожилые люди, которые, услышав о несчастье с дочкой, внучкой или еще кем-то, сразу бегут к банкомату и делают то, что им говорят злоумышленники. Бóльшая часть хищений денег со счетов клиентов происходит благодаря самим клиентам. Они сами отдают свои пароли, свои карточки, телефоны, передают СМС-коды подтверждения.
Самый используемый на сегодняшний день прием — простой телефонный звонок. Аферисты могут представляться приставами, сотрудниками банка, мобильного оператора, коммунальных служб или организаторами конкурсов. Их единственная цель — выведать номер карты. Мастерами социальной инженерии изобретено так много приемов убеждения, что теряются даже подготовленные люди. При том что все потенциальные жертвы в принципе знают, что сообщать реквизиты категорически нельзя. 90% всех хищений проворачивают именно так.
Если вчера социальная инженерия использовалась исключительно для получения части данных клиента, то сегодня это способ получить полный доступ к счету или платежному инструменту, позволяющий нейтрализовать многие технические аспекты защиты от злоумышленников. Преступники могут использовать информацию, полученную в результате кражи персональных данных, для последующих махинаций с другими финансовыми продуктами, такими, например, как потребительские кредиты.
Противодействие социальным инженерам представляет достаточно большую проблему. Ее решение — в повышении финансовой и компьютерной грамотности населения.
Кибербезопасность и финансовая грамотность
© flickr.comВ рамках программы повышения финансовой грамотности теме кибербезопасности уделяется большое внимание. И такие занятия проводятся специалистами Банка России и других финансовых организаций не только для школьников и студентов, которые, как правило, в технике разбираются, но и для работающих категорий населения, а также для наиболее уязвимых в этом отношении пенсионеров.
В заключение несколько советов обладателям банковских карт, следуя которым они в существенной степени обезопасят себя от кражи персональных данных и средств.
- Ни в коем случае не реагируйте на звонки и электронные сообщения, в которых вас просят предоставить реквизиты счета, ПИН-коды, пароли или персональные данные.
- Всегда используйте надежные уникальные пароли для максимально возможного количества учетных записей в интернете, а лучше всего — индивидуальный пароль для каждой из них.
- Не храните логин и пароль на своем смартфоне: в электронном сообщении, в виде заметки или для «автоматического заполнения» при открытии интернет-сайта или приложения. Эта информация станет настоящим Клондайком для мошенников в случае утери или кражи вашего телефона. Если в вашем телефоне есть функция входа по паролю, обязательно ею пользуйтесь. Настройте свой телефон так, чтобы на заблокированном экране не были видны приходящие СМС и другие оповещения от вашего банка. Это также сохранит средства на ваших банковских счетах, если вдруг вы потеряли свой смартфон.
- Не ленитесь проверять выписки по банковским счетам и картам на предмет подозрительных транзакций.
- Всегда рвите или иным способом уничтожайте ставшие ненужными документы, содержащие ваши персональные данные.
- Помните, Банк России присылает СМС и e-mail только в ответ на ваше обращение через интернет-приемную.
- СМС-сообщения от регулятора поступают с короткого номера 3434, электронные письма — с адреса noaddress@cbr.ru. Любые сообщения с других номеров, особенно требующие введения ПИН-кода, подтверждения операций, предоставления личных данных и других сведений, следует расценивать как попытку мошенничества.