— Эвелина, какой вам видится проблема социнженерии в России? 

— Социальная инженерия на нашем финансовом рынке остается одной из основных проблем, связанных с мошенничеством. Мошенники постоянно совершенствуют свои методы, так как каждая их схема работает лишь до определенного момента, когда люди начинают понимать, что им звонят преступники или их пытаются заманить с помощью фишинга на мошеннический сайт и т.д. После этого мошенникам приходится придумывать новые психологические манипуляции. К сожалению, это происходит достаточно быстро. Так, мошенники адаптировали свои методы и схемы к условиям пандемии.

Во время пандемийных ограничений прежние методы телефонного мошенничества никуда не делись, скорее наоборот — получили новый импульс. Но во время самоизоляции люди стали больше покупать онлайн, и мошенники тоже пошли в онлайн, используя схемы, связанные с интернет-покупками. 

Злоумышленники активно заражали сайты компьютерными вирусами, чтобы собрать персональные данные пользователей и сведения об их платежных картах. Массово стали создаваться мошеннические интернет-сайты по продаже несуществующих товаров и услуг, а также сайты-клоны интернет-магазинов, очень похожие на сайты известных брендов (как правило, они немного отличались лишь названием в адресной строке браузера). Не подозревая о том, что находятся на мошенническом сайте, или о подмене сайта, покупатели оставляли там свои платежные данные, а иногда даже переводили деньги за «покупку».

Чаще всего люди попадают на такие сайты, переходя по ссылкам из электронных рассылок и прочей рекламы, где сообщается о крупных скидках на товары повышенного спроса (например, антисептики, медицинские маски и т.д.) и актуальные услуги (к примеру, диагностика COVID-19) в условиях карантина, о помощи в получении компенсаций за отмененные авиарейсы и т.д. Настоящей бедой стал спам, в котором предлагается помощь в получении государственных пособий в связи с пандемией, помощь с возвратом налогов, с получением кредитов, с отсрочкой платежей по кредитам. Однако в качестве защиты от таких методов социальной инженерии надо руководствоваться банальным принципом «бесплатный сыр бывает только в мышеловке».

— Вы употребляете термины: «фрод», «мошенничество» и «социальная инженерия». Какая между ними разница? 

— Фрод и мошенничество — это одно и то же. Что касается социальной инженерии — это метод мошенничества с использованием психологических инструментов, которые мошенники применяют в целях манипулирования сознанием и страхами людей.

В качестве инструментов используются разновидности классического фишинга с использованием e-mail, смишинг (мошенничество с помощью СМС-рассылок), а также вишинг (vishing, voice phishing) — те самые телефонные обзвоны. Иными словами, социальная инженерия — это разновидность фрода с применением инструментов фишинга, смишинга и вишинга для манипулирования сознанием и страхами людей. Для «обработки» клиента и «выуживания» у него платежных данных требуется не так уж много персональной информации.

— Несут ли потери от социнженеров юрлица?

— Да, например, от фишинга или заражения сайта вирусом. Люди хотят сделать покупку в популярном или в привычном им интернет-магазине, а вместо этого их незаметно перенаправляют на сайт-клон, где покупатели оставляют свои персональные и платежные данные и оплачивают несуществующие или поддельные товары. Понятно, что известные (и не очень известные) бренды и покупатели страдают от потери выручки и собственных средств.

— Собирает ли Visa статистику по фроду?

— Да, мы, конечно, собираем статистику, анализируем тренды и разбираем кейсы. Это делается для того, чтобы совместно с банками оперативно реагировать на изменения, а также вырабатывать планы по противодействию мошенничеству и защите держателей карт. 

С помощью статистического анализа в период пандемии мы увидели рост мошенничества, но несущественный. Уровень мошенничества вырос с 0,3 до 0,5 базисных пункта, то есть на 5 центов на тысячу долларов. И в России уровень мошенничества по картам Visa — один из самых низких в мире. Я связываю это с тем, что кроме слаженной работы всех участников платежного рынка — банков, финтехов, торговых предприятий, платежной системы, и других — значительно выросла информированность населения. Люди стали задумываться о последствиях, перед тем как осуществить платеж или указать данные карт, невзирая на существенный рост попыток социальных инженеров выманить у них деньги.

— Как этого удалось достичь?

— За всеми успехами стоит колоссальная разъяснительная работа со стороны регулятора, банков, платежной системы и других участников финансового рынка. Что касается нас, то мы работаем с банками, делимся с ними рекомендациями, проводим образовательные форумы.

Для держателей карт мы, например, запустили онлайн-игру, основанную на различных сценариях, используемых мошенниками. Любой желающий может протестировать свои знания и навыки, позволяющий не стать жертвой мошенников. Знаете, работает!

— Не угрожает ли России импорт чужих технологий мошенничества?

— Не в большой степени, чем отечественные технологии. Конкретные сценарии, которые используют социальные инженеры, успешны на рынке, где для этого есть соответствующие условия — уровень развития платежной инфраструктуры и платежных продуктов, уровень грамотности населения в сфере финансовой безопасности. Например, в некоторых странах развита оплата со счета мобильного телефона. Поэтому мошеннические схемы там основаны на особенностях местных финансовых продуктов, которые распространены в этом регионе. А в России распространены совсем другие платежные сервисы. В каких-то странах, где вкладчикам законодательно разрешено выводить средства со счетов пенсионных фондов, получили развитие мошеннические схемы с использованием таких счетов. А у нас законодательно это невозможно. 

— Сама Visa может что-то предпринять или это дело исключительно банков-партнеров?

— В платежной системе организован многоуровневый фрод-мониторинг транзакций, начиная с момента инициирования платежа в торгово-сервисном предприятии (ТСП), потом в банке-эквайере, который обслуживает это ТСП, затем непосредственно на уровне платежной системы Visa, потом в банке-эмитенте, выпустившем карту, то есть по всей транзакционной цепочке. На каждом ее этапе собираются данные, они анализируются по 500 критериям, по которым алгоритмы Visa выявляют признаки фрода и присваивают каждой транзакции определенный фрод-скор. Затем операции передаются в банк-эмитент, выпустивший карту, он оценивает транзакцию на предмет риска и в случае необходимости принимает решение об авторизации или отклонения транзакции, либо даже о блокировке карты.

Если фрод-скор очень высокий и Visa на своем уровне видит признаки массовой атаки на какой-то банк, то платежная система может заблокировать конкретную карту или транзакцию. При этом мы направляем уведомление банку, выпустившему карту, по которой замечена подозрительная активность. Иными словами, защита от фрода — это коллективный бизнес-процесс на основе выполнения требований отраслевых стандартов безопасности. Поэтому бороться с мошенничеством, в частности с социальной инженерией, можно!