Viktor » 24 дек 2015, 14:02
Сокращение персонала и отзывы лицензий у банков выбросили на улицу большое количество невостребованных банковских специалистов. Это, в свою очередь, привело к бурному росту мошеннических атак с использованием социальной инженерии. Меняются сценарии, все более изощренными становятся технологии. Как банкам уберечь своих клиентов от «социальных инженеров» и стоит ли вообще это делать?
По оценке первого зампреда правления Сбербанка Льва Хасиса, потери России от киберпреступности по итогам 2015 года могут составить около $1 млрд. «Это общие потери государства, бизнеса и граждан от действий киберпреступности. Предпосылок для уменьшения этого ущерба не вижу»,— процитировал его слова «Интерфакс». Лев Хасис добавил, что 45–50% проблем создают преступники, использующие методы социальной инженерии для получения пользовательских данных.
Социальная инженерия является не только российской проблемой. Ведущий менеджер по развитию бизнеса компании «Информзащита» Глеб Альтер приводит данные компании Pindrop Security, согласно которым в 2014–2015 годах акценты по мошенничеству с использованием социальной инженерии сместились на телефонные и e-mail атаки, причем налицо увеличение доли фрода. Так, в 2014 году фродовым являлся каждый 2900-й телефонный звонок, в 2015-м — уже каждый 2200-й. Увеличение потерь от фрода составило $0,57 на каждый звонок.
«Веерные» атаки сменились таргетированными
Искусство управлять действиями человека, используя его слабости и не применяя технического воздействия, существует очень давно. В последние годы мошенники начали понимать, что далеко не всегда стоит тратить время и деньги на взлом операционных систем и обход защитных программ. Голова человека это тоже своеобразный «биокомпьютер» со своим программным обеспечением. И где-то защита сильнее, а где-то слабее. Зачастую такую защиту «взломать» намного легче и дешевле, чем обычный компьютер.
Приемы «социальных инженеров» специалисты делят на несколько основных групп:
•Общение. Получение PIN-кодов, паролей, кодовых слов и т. п. через голосовые сервисы: телефон, Skype и так далее. Как правило, мошенники пользуются заранее составленными сценариями бесед.
•Фишинг. Получение конфиденциальной информации пользователей с помощью поддельных писем от банка с формами для ввода PIN-кодов, паролей и т. п. или со ссылками на поддельный интернет-сайт банка с такими формами.
•Вирус. Внедрение вредоносной программы на компьютер пользователя для сбора конфиденциальной информации с помощью вложения в электронное письмо — «интересное фото», «обновление антивируса» и т. п.
•«Сюрприз». Жертве подбрасывается флешка или диск с расчетом на то, что она из любопытства откроет носитель на своем компьютере; в результате произойдет внедрение вредоносной программы.
•«Служба поддержки». Мошенник обращается к жертве по телефону или электронной почте от имени «службы поддержки» банка и просит перезвонить и совершить ряд определенных действий для «устранения технических неполадок».
В настоящее время широко распространены все перечисленные виды социальной инженерии, возможны изменения в сценариях и комбинирование нескольких видов. Кроме того, «веерные» атаки сменились таргетированными — преступники заранее определяют конкретную жертву или круг жертв по определенным параметрам.
Причины всплеска
Возрастающую активность «социальных инженеров» можно объяснить несколькими причинами.
•Технический прогресс и дешевизна
Активизация «социальных инженеров» во многом объясняется постоянным появлением на рынке новых дистанционных банковских и платежных продуктов и сервисов, активным развитием мобильной среды, использования всевозможных приложений для смартфонов.
Рост количества дистанционных сервисов и продуктов порождает рост активности «социальных инженеров».
Для простоты и удобства использования участники рынка стремятся максимально упростить свои продукты, в том числе и с точки зрения идентификации. Чем более защищен продукт, тем больше данных приходится вводить клиенту, что не всегда ему нравится. Таким образом, рост количества дистанционных сервисов и продуктов порождает рост активности «социальных инженеров», которым несложно при правильном подходе «выудить» у жертвы пароли, коды и т. д.
Кроме того, взлом системы, защищенной всевозможными программными средствами, дорогое удовольствие. Социальная инженерия в этом смысле не особенно затратна.
•Кризис в кошельках
Из-за кризиса покупательская способность населения значительно снизилась. Люди стали намного больше беспокоиться о своих деньгах, экономить. Они стали чаще искать нужные товары в интернет-магазинах, где цена значительно ниже. А там незадачливых клиентов уже ждет множество поддельных сайтов, которые на самом деле ничего не продают, но либо выуживают конфиденциальную информацию по банковской карте, либо принимают плату за товар, который, разумеется, клиент никогда не увидит.
Кризисные явления внесли свои коррективы, в частности в тексты мошеннических SMS-рассылок.
Кризисные явления внесли свои коррективы, в частности в тексты мошеннических SMS-рассылок. Если раньше граждане получали сообщения с текстом «Ваша карта заблокирована» и указывался некий номер телефона, то теперь набирают обороты SMS о якобы списании средств. «Списание с Вашей карты 25 000 руб.» — и, опять же, номер телефона. Человек бросается звонить по такому поводу сразу, не раздумывая, потому что очень жалко денег. И попадает в лапы «социального инженера», которому расскажет все.
•Зачистка банковского сектора
Сокращение персонала и отзывы лицензий у банков стали причиной появления в рядах вольных «социальных инженеров» большого количества готовых специалистов. Такие люди, возможно, обижены на прежних работодателей или на систему в целом, но при этом являются носителями рисковых, опасных знаний — и технических, и психологических. Они умеют общаться с клиентами и получать нужную информацию. А если учесть, что основной уязвимостью обладают мобильные технологии, таким специалистам бывает несложно, получив «доступ» к голове клиента и к его телефону, стать обладателем всех необходимых «отмычек» к счету с деньгами, даже если идентификация и аутентификация клиента происходит по нескольким разным каналам (телефон, электронная почта и т. п.).
Согласно подсчетам РБК, российские розничные банки в июле—сентябре текущего года уволили почти 900 сотрудников. Всего с начала года в банковском ритейле потеряли работу свыше 25 тыс. человек.
Под угрозой — каждый
Стать жертвой «социальных инженеров» может клиент любой категории. Для тех, кто готовит персональные, адресные атаки, безусловно, интересны состоятельные граждане категории VIP. Но им занимаются грамотно: не обязательно напрямую, «в лоб» — зайдут через секретарей, помощников, членов семьи.
С массовым сегментом тоже несложно. Как правило, они пользуются различными услугами и имеют в смартфонах много финансовых приложений. И чем больше таких приложений, тем больше шансов попасть под атаку мошенников. Такому клиенту либо позвонят, представившись «службой поддержки» того или иного сервиса, либо запустят вирусную программу. Операционная система iOS, как оказалось, не такая уж и неуязвимая, а вскрыть Android и вытащить оттуда информацию под силу даже не самому грамотному пользователю.
Есть риск стать жертвами «социальных инженеров» и у компаний, например крупных зарплатных клиентов. Настолько таргетированные атаки пока редки, поскольку банковский персонал юридически отвечает за свои действия и понимает, что делает. У сотрудников сложнее получить данные, чем у обычных клиентов-физлиц — людей среднего и старшего поколения, которые дальше банкомата никуда не ходили.
Выбор цели
Для того чтобы организовать таргетированную атаку, злоумышленники часто используют программы-разведчики, которые загружаются в компьютер или смартфон. Такая программа изучает, какие установлены приложения, в том числе финансовые, может просканировать записанные логины и пароли и так далее. Также «разведчик» отслеживает, какая установлена защита, антивирусные программы и т. п. Далее собранная информация поступает в «центр обработки», где мошенники по заранее заготовленным скриптам обрабатывают информацию. В результате устройства определенных групп жертв получают вирусные заражения. У кого-то «троян» полностью перехватывает управление устройством. У кого-то по запросу «Сбербанк» выдает фейковую страницу интернет-банка. Кому-то звонят из «службы поддержки» и так далее.
Простейшее таргетирование на основе анализа рынка — фейковые письма от имени Сбербанка, ВТБ24 и Альфа-банка. Все просто: это крупнейшие розничные банки, и вероятность того, что письмо попадет по нужному «адресу», велика. Заполучить в свое устройство «разведчика» несложно — начиная от скачивания неавторизованных приложений в интернете и заканчивая визитом на какой-нибудь интернет-сайт (не обязательно «подозрительный»).
Ассоциация банков Сингапура предупредила пользователей мобильных телефонов на платформе Android о новом вирусе.
Так, например, в первых числах декабря ассоциация банков Сингапура предупредила пользователей мобильных телефонов на платформе Android о новом вирусе, который распространяется через поддельные обновления для приложения WhatsApp. При установке несертифицированных обновлений популярная программа «требует ввода персональных данных, в том числе деталей банковских карт». После этого встроенные в подделку вирусы отправляют информацию мошенникам. Кроме того, при помощи уже модифицированной программы злоумышленники способны перехватывать одноразовые SMS, направляемые банками своим клиентам при совершении покупок через интернет с оплатой банковскими картами.
Профессионализм растет
Все приемы социальной инженерии существуют и пользуются популярностью среди мошенников до сих пор. Меняются сценарии, более тщательно разрабатываются скрипты, как говорить с тем или иным типом клиента и т. д. Если раньше на телефонах сидели зачастую осужденные преступники, то теперь прозвоном жертв занимаются более профессионально. Для организации «спектакля» могут наниматься люди с разным образованием: банковским, психологическим, актерским, студенты вузов, имитаторы голоса, гипнотизеры и т. п. Все зависит от цели и выбранного персонажа. Все чаще приемы социальной инженерии по степени сложности становятся настоящими социальными программами: параллельно ведется атака непосредственно на жертву (разговор по телефону и т. п.) и на ее средства коммуникации (компьютер, смартфон и т. п.).
Современные социальные инженеры — это организованные преступные группы обычных «вольных стрелков», действующих поодиночке практически нет. Это целая индустрия.
«Бичом» нескольких последний лет стал взрывной рост мошенничества через сайты бесплатных объявлений: Avito, Auto.ru и других.
«Бичом» нескольких последний лет стал взрывной рост мошенничества через сайты бесплатных объявлений: Avito, Auto.ru и других. «Социальные инженеры» примеряют на себя роли покупателей щенков, автомобилей, земельных участков, гаражей — чего угодно. Они звонят продавцам и убеждают в своей готовности приобрести предлагаемый ими товар. Общее у них одно: «покупатели» находятся где-то далеко, но для того, чтобы вожделенную покупку не приобрел кто-то другой, они готовы перевести часть стоимости или даже полную стоимость немедленно — на банковскую карту продавца.
«Я продиктовала номер карты,— рассказывает женщина, продававшая земельный участок.— На тот момент на ней находилось рублей 10. После Виктория позвонила еще раз, сказав, что перевела деньги, а мне должно прийти SMS с паролем подтверждения, который я должна ей сказать. Я назвала и мне пришла SMS, подтверждающая, что на счет пришли 25 тысяч рублей. Тут же раздался еще один звонок от Виктории. Она извинялась, что операция по переводу 50 тысяч рублей прошла не полностью и сейчас она повторила платеж на 25 тысяч рублей. Также сказала, что сейчас опять должно прийти SMS с паролем. Я вновь назвала пароль, но на этот раз 25 тысяч рублей со счета у меня были сняты. Уже позднее в Сбербанке я узнала, что деньги были сначала переведены с моего сберегательного счета на мой же карточный, а с карты отправлены на другую карту. Естественно, Виктория на мои звонки уже не отвечала, ее номер был недоступен».
«Иногда клиент думает, что виноват банк»
Директор дирекции мониторинга электронного бизнеса Альфа-банка Алексей Голенищев считает, что, несмотря на то что практически всегда жертвы «социальных инженеров» сами выдают нужную информацию мошенникам, банки обязаны их защищать.
•— Чисто юридически атаки направлены не на банк, а на его клиентов, банку ничего не грозит. Так ли уж нужно тратить силы и ресурсы на противодействие социальной инженерии? Клиент ведь сам виноват…
— Банк не потеряет деньги, но он потеряет клиента, которого обманули мошенники. Все равно в голове у каждого человека будут мысли о том, что банк его не защитил, что сервисы банка недостаточно безопасны. Иной клиент вообще подумает, что во всем виноват банк, который «сам все выдал». И он уйдет. Следом могут уйти друзья или знакомые этого клиента, а если он был участником зарплатного проекта, можно потерять весь проект. Начнутся публикации в соцсетях… Ситуация может принять вид нарастающего снежного кома: люди начнут закрывать депозиты, например, и так далее.
•— Все ли банки сегодня осознают опасность атак с использованием социальной инженерии? Или этим озабочены только крупные розничные фининституты?
— Сегодня, насколько я могу оценивать, уже все банки — и крупные, и маленькие — понимают, что это реальная опасность. Это обманутые и обиженные клиенты, это недополученная выгода, это высокий репутационный риск.
•— Что в таком случае может сделать банк, если «социальные инженеры» взламывают защиты в клиентских головах?
— Первое, это активное информирование клиентов. Необходимо донести до каждого, какие файлы нельзя открывать, на какие SMS нельзя отвечать, какие данные нельзя сообщать и так далее. Альфа-банк размещает такую информацию как на своем интернет-сайте, так и на всех прочих возможных ресурсах. Активно ведут такую работу и другие крупные розничные банки.
Второе, внедрение новейших систем антифрод-мониторинга, которые позволяют отследить попытки мошеннических транзакций и предотвратить их. В этом смысле очень показательна ситуация из нашей практики. Звоним клиенту проверить легитимность операции, а он нам по телефону говорит: «Ребята, подождите. Мне сейчас звонят ваши коллеги, мне нужно им пароль продиктовать». И очень хорошо, что мы успели, как говорится, «в разрыв» и предотвратили мошенничество. То есть, антифрод-мониторинг должен быть в моменте, чтобы мошенники не успевали осуществить задуманное.
•— Что третье?
— Идеальным было бы сделать такой канал идентификации, при котором любая социальная атака была бы бесполезна. К примеру, мошенник смог «вытянуть» у человека логин, пароль, еще что-то. Но для совершения транзакции необходимо использование еще, например, голоса или биометрии. Тогда преступникам придется придумывать что-то изощренное. Но, скорее всего, они и придумывать ничего не будут, а будут атаковать клиентов того банка, где всего этого нет. Но напомню, что любое повышение степени защищенности продукта делает его более тяжелым, громоздким, неудобным в использовании, что не всегда нравится клиентам.
•— Участники банковского рынка обмениваются информацией о мошенниках? Или каждый воюет в одиночку?
— На эту тему периодически проходят встречи и мероприятия с участием представителей банков, платежных систем, силовых структур. Безусловно, мы работаем в каком-то определенном правовом поле, и закон о защите персональных данных никто не отменял. Но делиться тенденциями и оповещать коллег о том, что появился новый вид мошенничества или «инновационная» схема, это важно. Нельзя работать в одиночку, потому что мошенники давно объединены, это развитые и хорошо организованные структуры.
•— Нуждаются ли банки в чьей-то поддержке в таком противостоянии?
— Понятно, что каждый банк должен заниматься своими клиентами сам. Но мне кажется, что очень бы помогла поддержка регулятора, государства. Какая-то просветительская работа — фильмы, борды на улице «Будьте бдительны!» и так далее. Это было бы очень полезно именно сегодня, когда кризис, люди без денег и в растерянности от того, какими инструментами им пользоваться. Ведь у каждого банка свои особенности, и они по-разному учат своих клиентов. А нужна единая, централизованная программа, может быть даже на уровне школы. Этого, на мой взгляд, очень не хватает.
(Автор благодарит за помощь в подготовке материала директора дирекции мониторинга электронного бизнеса Альфа-банка Алексея Голенищева и начальника управления мониторинга ДМЭБ Альфа-банка Владимира Бакулина)
Автор: Татьяна Терновская
Источник: bankir.ru
да мне плевать как надо
