На звонки мошенников от имени банковских сотрудников попались миллионы россиян
Социальная инженерия за последние годы вытеснила все остальные виды кибермошенничества. В один лишь Сбербанк в этом году поступило 2,5 млн жалоб на телефонное мошенничество — звонки под видом службы безопасности банка.
По сравнению с 2017 годом рост был в 15 раз, причем про многие случаи просто неизвестно, поскольку клиенты не сообщали о них банку. Мошенники уже обзавелись персональными консультантами, которые анализируют методы встречного реагирования банков.
О росте доли мошенничества с использованием социальной инженерии рассказал 5 декабря управляющий директор—начальник управления противодействия кибермошенничеству Сбербанка Сергей Велигодский. По его словам, за три года социальная инженерия «фактически выдавила традиционные схемы киберворовства — скимминг и вредоносное программное обеспечение».
Особое внимание он обратил на тренд, зародившийся в 2017 году,— звонки мошенников клиентам банка под видом службы безопасности кредитной организации. «Жалоб на такие звонки у нас в 2017 году было всего 160 тыс.,— уточнил господин Велигодский.— А в 2019 году мы зафиксировали уже почти 2,5 млн обращений».
Причем, подчеркнул топ-менеджер, это лишь клиенты, которые пожаловались банку. Кроме них есть «значительная доля» граждан, которые в банк не обратились.
«Если вам кто-то звонит, пытается узнать ваши данные — положите трубку и сами перезвоните в контактный центр вашего банка… Это простая гигиена кибербезопасности»
Эльвира Набиуллина, глава Банка России
Сергей Велигодский также отметил изменения в технологии мошенничеств. Так, если до 2018 года у клиента пытались выведать данные, чтобы самостоятельно провести незаконную операцию, то теперь мошенники предпочитают использовать для совершения денежного перевода жертву. Это снижает эффективность систем банка для противодействия хищению клиентских средств. В том же 2018 году мошенники освоили технологию подмены телефонного номера, чтобы жертва видела входящий звонок с номера телефона, которым пользуется банк. Особенно такой подход стал популярен в конце 2019 года. Также в 2019 году у мошенников появляются профессиональные консультанты, которые анализируют сценарии борьбы банка с социальной инженерией, что позволяет им быстро менять схемы.
Сбербанк в 2019 году подсчитал и число уникальных номеров, с которых звонят злоумышленники,— их оказалось 170 тыс.Городские номера, как правило, Московского региона, а мобильные номера на протяжении нескольких лет преимущественно обслуживает «Билайн». В 2017 году самым популярным способом вывода украденных средств было пополнение мобильного телефона. В 2019 году наиболее популярный канал — интернет-сервисы (P2P-операции через 3-D Secure). На втором месте — карта стороннего банка.
Основатель DeviceLock Ашот Оганесян считает, что столь резкий рост атак с использованием социальной инженерии связан с быстрой ликвидацией технических уязвимостей в банковских системах. «Можно вспомнить, например, как быстро развивались, а потом так же быстро сошли на нет атаки на интернет-банки в телефонах на Android,— рассуждает господин Оганесян.— С человеком же всегда есть индивидуальный шанс обмануть, напугать или запутать».
Если для взлома информационной системы требуются очень дорогие узкие специалисты, для «взлома человека» вполне хватает знания психологии на уровне бывшего наперсточника.С точки зрения технологий в пользу мошенников играет также сегодняшний уровень развития телефонии, которая «зависла между XX и XXI веком», поскольку, по словам эксперта, протоколы голосовой связи пришли из 1970-х и не предоставляют адекватной возможности аутентификации звонящих.
Утечки баз данных позволяют злоумышленникам делать адресные звонки и проще входить в доверие к потенциальным жертвам, добавляет гендиректор Zecurion Алексей Раевский. Еще одна проблема заключается в слишком хорошей осведомленности преступников о внутренних процедурах банка — знакомство с процедурами антифрода дает возможность придумывать варианты их обхода. В-третьих, для вывода похищенных денег используются также банковские счета, открытые на подставных лиц, а это означает, что практика «знай своего клиента», ставшая стандартом в Европе, в России «применяется формально».
Для борьбы с социальной инженерией сейчас остается лишь работа по осведомлению населения о потенциальной угрозе, отмечает председатель совета директоров «СёрчИнформ» Лев Матвеев. Но, подчеркивает он, необходимо усилить наказание для организаций, допустивших утечку клиентских данных.
По сравнению с 2017 годом рост был в 15 раз, причем про многие случаи просто неизвестно, поскольку клиенты не сообщали о них банку. Мошенники уже обзавелись персональными консультантами, которые анализируют методы встречного реагирования банков.
О росте доли мошенничества с использованием социальной инженерии рассказал 5 декабря управляющий директор—начальник управления противодействия кибермошенничеству Сбербанка Сергей Велигодский. По его словам, за три года социальная инженерия «фактически выдавила традиционные схемы киберворовства — скимминг и вредоносное программное обеспечение».
Особое внимание он обратил на тренд, зародившийся в 2017 году,— звонки мошенников клиентам банка под видом службы безопасности кредитной организации. «Жалоб на такие звонки у нас в 2017 году было всего 160 тыс.,— уточнил господин Велигодский.— А в 2019 году мы зафиксировали уже почти 2,5 млн обращений».
Причем, подчеркнул топ-менеджер, это лишь клиенты, которые пожаловались банку. Кроме них есть «значительная доля» граждан, которые в банк не обратились.
«Если вам кто-то звонит, пытается узнать ваши данные — положите трубку и сами перезвоните в контактный центр вашего банка… Это простая гигиена кибербезопасности»
Эльвира Набиуллина, глава Банка России
Сергей Велигодский также отметил изменения в технологии мошенничеств. Так, если до 2018 года у клиента пытались выведать данные, чтобы самостоятельно провести незаконную операцию, то теперь мошенники предпочитают использовать для совершения денежного перевода жертву. Это снижает эффективность систем банка для противодействия хищению клиентских средств. В том же 2018 году мошенники освоили технологию подмены телефонного номера, чтобы жертва видела входящий звонок с номера телефона, которым пользуется банк. Особенно такой подход стал популярен в конце 2019 года. Также в 2019 году у мошенников появляются профессиональные консультанты, которые анализируют сценарии борьбы банка с социальной инженерией, что позволяет им быстро менять схемы.
Сбербанк в 2019 году подсчитал и число уникальных номеров, с которых звонят злоумышленники,— их оказалось 170 тыс.Городские номера, как правило, Московского региона, а мобильные номера на протяжении нескольких лет преимущественно обслуживает «Билайн». В 2017 году самым популярным способом вывода украденных средств было пополнение мобильного телефона. В 2019 году наиболее популярный канал — интернет-сервисы (P2P-операции через 3-D Secure). На втором месте — карта стороннего банка.
Основатель DeviceLock Ашот Оганесян считает, что столь резкий рост атак с использованием социальной инженерии связан с быстрой ликвидацией технических уязвимостей в банковских системах. «Можно вспомнить, например, как быстро развивались, а потом так же быстро сошли на нет атаки на интернет-банки в телефонах на Android,— рассуждает господин Оганесян.— С человеком же всегда есть индивидуальный шанс обмануть, напугать или запутать».
Если для взлома информационной системы требуются очень дорогие узкие специалисты, для «взлома человека» вполне хватает знания психологии на уровне бывшего наперсточника.С точки зрения технологий в пользу мошенников играет также сегодняшний уровень развития телефонии, которая «зависла между XX и XXI веком», поскольку, по словам эксперта, протоколы голосовой связи пришли из 1970-х и не предоставляют адекватной возможности аутентификации звонящих.
Утечки баз данных позволяют злоумышленникам делать адресные звонки и проще входить в доверие к потенциальным жертвам, добавляет гендиректор Zecurion Алексей Раевский. Еще одна проблема заключается в слишком хорошей осведомленности преступников о внутренних процедурах банка — знакомство с процедурами антифрода дает возможность придумывать варианты их обхода. В-третьих, для вывода похищенных денег используются также банковские счета, открытые на подставных лиц, а это означает, что практика «знай своего клиента», ставшая стандартом в Европе, в России «применяется формально».
Для борьбы с социальной инженерией сейчас остается лишь работа по осведомлению населения о потенциальной угрозе, отмечает председатель совета директоров «СёрчИнформ» Лев Матвеев. Но, подчеркивает он, необходимо усилить наказание для организаций, допустивших утечку клиентских данных.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.
+1
Сдаётся мне, сами работники банков так и промышляют в свободное время.
Уж больно голос последней мошенницы, мне позвонившей прямо с московского телефона, был профессионально-вежливо-банковский.
А телефон её, проверенный Гуглом, обозначил ей статус «мошенники».
И какой толк тогда звонить в службу безопасности банка?
- ↓
0
Надо ЛИЧНО появляться в службу безопасности Банка, а не звонить.
- ↑
- ↓
+1
Службам и без этого есть чем заниматься…
Сколько всяких блогеров ещё не посажено…
- ↓
-1
И садить их надо не в клетку, где надо их кормить, а на кол.
- ↑
- ↓
+1
А кто ж тогда будет твоего работодателя поносить, который твою пенсию на Канары променял? :)) Все будут только «одобрям-с». :))
- ↑
- ↓
+1
Блогеры никогда работягу не защищали.
- ↑
- ↓
+2
Ну как же ж? Они ВСЕХ обиженных защищают. Призывают «бороться и не пущать». :)) Сами-то мы на баррикады не идём. Только ноем. Так за что ж им кол-то?
- ↑
- ↓
+2
Вам — осиновый. ;)))
- ↑
- ↓
0
Я никого из работников не обижал.
Так что у вас — пролёт.
- ↑
- ↓
+1
Значит по факту раза в три больше. Не хило так…
- ↓
+3
Жульё работает там, где отсутствует закон.
- ↓
0
… и не способность банков, защитить своих клиентов.
- ↑
- ↓
0
«У банков» — это слишком неопределённо. Банк, это такая штука, которая знает все ваши счета, сколько там денег лежит и где-то хранит все ваши пин-коды и пароли доступа.
То есть, стоит работникам банка проявить «недобросовестность», они сумеют найти всё это и выпотрошить все счета в свой карман.
Хтя в целом банку это не выгодно — после этого дни жизни такого банка будут сочтены — однако не все банки, видимо, могут держать режим достаточной строгости для своих работников. Первые признаки тому — «уплывание» конфеденциальных сведений клиентов «налево».
- ↑
- ↓
0
Что-то я не замечаю, чтобы были сочтены дни Сбера, в котором деньги прут и прут. В Альфе, РСХБ, ВТБ и куче других банков не прут, а Сбере — запросто — такая «служба безопасности» у Сбера прожорливая. И похоже, что они умеют делиться со своим «руководством».
- ↑
- ↓