21 апреля 2020
Социальная инженерия: базовые разновидности финансовых мошенничеств
По данным отчета Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России за 2019 год мошенники совершили около 572 000 незаконных операций по банковским счетам россиян и украли 5,7 млрд рублей.
Причем в 70% случаев люди сами сообщали свои конфиденциальные данные: полные реквизиты карты, включая трехзначный номер с обратной стороны, а также пароли и коды из СМС. А по банковским правилам, если человек сам сообщил мошеннику секретные данные, он не компенсирует похищенные деньги. И за прошлый год вернуть клиентам банков получись лишь седьмую часть потерь — 870 млн рублей.
Каким образом мошенникам удается выманивать секретную информацию по картам? Все очень просо! Они применяют различные методы социальной инженерии – то есть совокупность приёмов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят человека к необходимому результату. Основной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям, банковским данным и другим защищенным системам.
Рассмотрим основные типы социальной инженерии и методы защиты от них.
Фишинг – (англ. phishing, от fishing — рыбная ловля, выуживание и password — пароль) — вид интернет-мошенничества, цель которого — получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации.
Фишинг представляет собой пришедшие на почту поддельные уведомления от банков, провайдеров, платежных систем и других организаций о том, что по какой-либо причине получателю срочно нужно передать / обновить личные данные. Причины могут называться различные. Это может быть утеря данных, поломка в системе и прочее. Клиента пытаются напугать, придумать критичную причину для того, чтобы он выдал свою личную информацию. Как правило, сообщения содержат угрозы, например, заблокировать счет в случае невыполнения получателем требований, изложенных в сообщении («если вы не сообщите ваши данные в течение недели, ваш счет будет заблокирован»). Забавно, но часто в качестве причины, по которой пользователь якобы должен выдать конфиденциальную информацию, фишеры называют необходимость улучшить антифишинговые системы («если хотите обезопасить себя от фишинга, пройдите по этой ссылке и введите свой логин и пароль»). Характерной особенностью фишинговых писем является очень высокое качество подделки. Еще одной хитростью фишеров являются ссылки, очень похожие на URL оригинальных сайтов. Также в самом теле письма может высвечиваться ссылка на легитимный сайт, но реальный URL, на который она ссылается, будет другим. Иногда личные данные предлагается ввести прямо в письме. Надо помнить, что никакой банк (либо другая организация, запрашивающая конфиденциальную информацию) не будет этого делать подобным образом.
Фарминг – это сопряженное с фишингом понятие, родившееся на фоне совершенствования технологии фишеров. Это тоже мошенничество, ставящее целью получить персональные данные пользователей, но не через почту, а прямо через официальные веб-сайты. Фармеры заменяют на серверах DNS цифровые адреса легитимных веб-сайтов на адреса поддельных, в результате чего пользователи перенаправляются на сайты мошенников. Этот вид мошенничества еще опасней, так как заметить подделку практически невозможно. Наиболее популярные фишерские мишени — аукцион Ebay и платежная система PayPal. Также страдают различные банки по всему миру. Атаки фишеров бывают случайными и целевыми.
Претекстинг - это действие, отработанное по заранее составленному сценарию (претексту). В результате цель (жертва) должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону.
Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований, как: день рождения, ИНН, номер паспорта либо последние цифры счета для того, чтобы не вызвать подозрений у жертвы. Обычно реализуется через телефон или электронную почту. Чаще всего данный вид атаки предполагает использование голосовых средств, таких как Skype, телефон и т.п.
Троянские программы – это техника основывается на любопытстве, страхе или других эмоциях пользователей. Злоумышленник отправляет письмо жертве посредством электронной почты, во вложении которого находится «обновление» антивируса, ключ к денежному выигрышу или компромат на сотрудника. На самом же деле во вложении находится вредоносная программа, которая после того, как пользователь запустит ее на своем компьютере, будет использоваться для сбора или изменение информации злоумышленником.
Дорожное яблоко – этот метод представляет собой адаптацию троянского коня и состоит в использовании физических носителей (например, флэш-ек). Злоумышленник обычно подбрасывает такой носитель в общедоступных местах на территории компании (парковки, столовые, рабочие места сотрудников, туалеты). Для того, чтобы у сотрудника возник интерес к данному носителю, злоумышленник может нанести на носитель логотип компании и какую-нибудь подпись. Например, «данные о продажах», «зарплата сотрудников», «отчет в налоговую» и другое. На носителе же в свою очередь установлена вредоносная программа, которая начинает атаку на компьютер, как только попадает в устройство.
Кви про кво (услуга за услугу) – данная техника предполагает обращение злоумышленника к пользователю по электронной почте или корпоративному телефону. Злоумышленник представляется, например, сотрудником технической поддержки и информировать о возникновении технических проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое, чаще всего, вредоносное, программное обеспечение на компьютере.
Мошенничество с использованием брендов известных корпораций – это разновидность фишинговой схемы, когда используются поддельные сообщения электронной почты или веб-сайты, содержащие названия крупных или известных компаний. В сообщениях может быть поздравление с победой в каком-либо конкурсе, проводимом компанией, о том, что срочно требуется изменить учётные данные или привязать карту к учётной записи для участия. Подобные мошеннические схемы от лица службы технической поддержки также могут производиться по телефону.
Обратная социальная инженерия - данный вид атаки направлен на создание такой ситуации, при которой жертва вынуждена сама обратится к злоумышленнику за «помощью». Например, злоумышленник может выслать письмо с телефонами и контактами «службы поддержки» и через некоторое время создать обратимые неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется по электронной почте с злоумышленником сам, и в процессе «исправления» проблемы злоумышленник сможет получить необходимые ему данные либо опять же установить вредоносное программное обеспечение.
Как не попасть на уловки хитрых мошенников
Основной способ защиты – предупреждение! То есть чем больше вы знаете о методах выманивания и хищения денег, тем меньше шансов нарваться на такую атаку. Не забывайте и о цифровой гигиене: установите и обязательно обновляйте антивирусное программное обеспечение на всех своих устройствах.
Чтобы быть в курсе всех операций по банковскому счет подключите мобильный банк, так вы быстро сможете заблокировать карту в случае несанкционированной атаки. Не храните крупные суммы денег на карте, которую вы носите с собой и используете для повседневных трат.
Расскажите пожилым родственникам и детям об уловках мошенников — именно они чаще всего становятся мишенью злоумышленников.
Материал подготовлен в рамках программы Министерства финансов «Повышение уровня финансовой грамотности жителей Калининградской области». Дополнительная информация — по телефону «горячей линии» по вопросам финансовой грамотности (звонок бесплатный) 8-800-555-85-39 или на сайте fingram39.ru.