Финансовая сфера

Банковское обозрение


29.01.2021 FinRegulationFinSecurityАналитика
Метод Фрода

Социальная инженерия. Не слишком ли красивое название для профессионального «развода» и мошенничества? Может быть, еще фрод-лингвистическое программирование будет вместо НЛП? Хотя, конечно, не в этом дело. Дело в объективной правовой беззащитности ее жертв в большинстве случаев


Тренинг от одного из лидеров российского рынка кибербезопасности — Group IB — начинается с такого кейса: берут ваш номер телефона и номер коллеги. Через минуту раздается звонок от него вам, а он сам, разумеется, в той же аудитории и без телефона. Вот так все просто. И сложно.

Способов — десятки. Главное, схемы становятся все более «технологичными». К примеру, из последних фрод-хаков — выманивание кода идеально маскируется под взаимодействие с чат-ботом. То есть если раньше меньше подозрений вызывало живое общение с приятным собеседником, то теперь наоборот — псевдобот или псевдопрограмма с крутым интерфейсом для мобильного придает звонку мошенника этакую «цифровую важность».

Есть и хорошие новости: банки все больше вкладывают в технологии оперативного выявления и предотвращения подобных схем, а ФСИН, как известно, с приходом нового руководства стал активно бороться с мобильными в камерах (много звонков «социальных инженеров» совершалось из мест заключения).

Но история в целом подобна борьбе с наркотрафиком. На месте вырубленного куста быстро вырастает новый, еще более цепкий. Контролирующие фрод-криминальный бизнес «картели» по-прежнему готовы инвестировать и в IT-специалистов, и в софт, и в подкуп сотрудников финансовых компаний, имеющих доступ к базам. Потенциально можно предположить, что уровень технической маскировки мошенников вскоре позволит им стать абсолютно неотличимыми от реальных колл-центров.  

Как реагировать банкам?

Соцсети заполнены скриншотами из переписки пострадавших от социальной инженерии клиентов с банками. К сожалению, в целом, тональность пока не внушает оптимизма. Основная проблема — увы, с момента сообщения и подтверждения своего пин-кода или кода из СМС (а именно на это действие настроено большинство инструментов манипуляции мошенников) клиент становится «сам виноват». Ведь в процессе общения он собственноручно совершает все операции в своем аккаунте. И здесь юридически банки практически бессильны, уровень уже «полицейский».

Ментальность русского человека, к сожалению, не позволяет ему делать выводы даже из собственных ошибок. Зафиксировано много случаев повторного мошенничества с одним и тем же клиентом. Как правило, опытные «разводящие» улавливают и фиксируют «точку» доверия, после которой проще работать с потенциальной жертвой повторно. Хотя ведь и в «МММ» нашлись желающие вложиться после краха. Чему же удивляться?

Поэтому гораздо больше перспектив представляет собой не кибертехнологический, а просветительский путь снижения количества инцидентов «социальной инженерии». Отправной точкой могла бы стать масштабная и серьезная совместная коммуникационная кампания банков. Ключевое сообщение очень простое, хотя и не такое короткое, как Just do it у Nike:

ДОРОГИЕ КЛИЕНТЫ! СОТРУДНИКИ БАНКОВ ПО ТЕЛЕФОНУ НИКОГДА НЕ ПРОСЯТ ДЕЛАТЬ ПЕРЕВОДЫ, СООБЩАТЬ ИМ КОДЫ И СМС, ПИНКОДЫ И ЛИЧНЫЕ ПАРОЛИ.

А для начала, по возможности, просто дайте прочитать этот текст своим родителям.