Мошенничество в платежной сфере. Бизнес-энциклопедия - Алексей С. Воронин
Шрифт:
Интервал:
Закладка:
Для прикрытия мошенничеств в киберпространстве используются различные приемы, варьирующиеся от задействования, как отмечалось, так называемых анонимных или слепых прокси-серверов, которые позволяют скрывать истинное местоположение в мировой паутине злоумышленников, управляющих счетами, до сетевых атак типа Denial of Service (DoS) или наиболее опасных — типа Distributed DoS (DDoS)[63], которыми блокируются вычислительные мощности кредитных организаций и (или) их провайдеров. В то же время наибольший ущерб (по совокупности похищенных средств — за последние несколько лет счет уже идет на миллиарды рублей) наносится клиентам кредитных организаций.
Подавляющее большинство мошенничеств в отношении клиентов ДБО — физических лиц основывается на различных методах так называемой социальной инженерии. Многие виды мошенничеств такого рода, широко распространявшиеся за последние 30 лет в Западной Европе и США, в российских условиях оказались непопулярными из-за исторических различий в развитии инфраструктуры и информационных технологий (скажем, атаки через центры обслуживания или внутриведомственные коммутаторы), вследствие чего здесь они не рассматриваются. Вместо этого весьма быстрое развитие получили способы реализации приемов «социального инжиниринга» на основе вариантов мобильного банкинга. В свою очередь, примерно 70–80 % из них[64] ориентированы на обман владельцев карточных счетов. Ниже приведены отдельные примеры типичных попыток совершения мошенничеств на основе приемов такой разновидности социального инжиниринга (которые тем не менее нередко срабатывают):
• «Проверка персональных данных, перезвоните по указанному номеру телефона».
• «Ваша карта заблокирована, необходимо сообщить пин-код службе безопасности банка по телефону…»
• «Ваша карта заблокирована, необходимо связаться со службой безопасности по указанному номеру телефона».
• «Ваша карта заблокирована Центральным банком РФ, необходимо связаться со справочной службой по указанному номеру телефона»[65].
• «Отдел безопасности: ваша карта заблокирована, для разблокировки необходимо сообщить ПИН-код».
• «Ваша карта заблокирована по инициативе банка, срочно оплатите долг 1000 рублей. Телефон…»
• «Операции по вашей банковской карте временно приостановлены, справка по указанному телефону».
• «Действие вашей карты приостановлено ввиду взлома ПИН-кода, перезвоните по указанному номеру телефона».
• «Была попытка взлома ПИН-кода, ваша карта заблокирована, срочно перезвоните по указанному номеру телефона».
• «Ваша карта заблокирована, для разблокировки необходимо подойти к ближайшему банкомату и выполнить следующие действия…»[66]
• «Была попытка перевода денег с вашего счета, перезвоните по указанному номеру».
• «С вашей карты списано хх ххх рублей, перезвоните по указанному номеру».
• «С вашего счета произойдет списание на сумму хх ххх рублей, инфо по телефону…»
• «Ваша заявка на перевод в сумме хх ххх рублей принята, перезвоните по указанному номеру».
• «Подготовка перевода на сумму хх ххх рублей с вашего счета завершена, для справки позвоните по указанному номеру телефона».
• «Для подтверждения платежа по вашей карте в размере хх ххх рублей позвоните по указанному номеру телефона».
• «Вам звонят из банка ***, зайдите в интернет-банк и введите пароль…»[67]
• «Вам звонят из банка***, зайдите в интернет-банк, введите пароль и нажмите кнопку “Отмена”»[68].
• «Введите подтверждающие данные для входа в интернет-банк…»
• «Была попытка входа в ваш интернет-банк, для предотвращения мошенничества перезвоните по указанному номеру и приготовьте данные по карте».
Любой звонок обеспокоенного клиента по предлагаемому номеру телефона влечет за собой «уговоры» сообщить данные персональной идентификации удаленного клиента или заставить его «выдать» их другими способами. Как видно, в подавляющем большинстве случаев используется достаточно примитивный подход (из-за чего многие клиенты сразу обращаются в свой банк), при этом интересно отметить, что мошенники зачастую даже не затрудняют себя сменой номеров телефонов, с которых звонят клиентам банков (а на условиях анонимности владельца номера этого и не требуется). Используются десятки вариантов социального инжиниринга такого рода и, что интересно, находятся люди, неоднократно «попадающие» под одни и те же приемы и, как следствие, теряющие деньги более одного раза. Как говорится, «для компьютерных программ могут существовать “заплатки”, но от человеческой глупости их придумать невозможно». Все перечисленные выше подходы (равно как и многие другие) банкам нужно иметь в виду и «обучать» своих клиентов противодействию таким «социальным» атакам, к чему можно добавлять и выпуск специальных памяток, информирование через Интернет и т. д.
Более «тонкие» методы используют своего рода «настройки» на клиентов конкретных сервисов и могут характеризоваться довольно специфической предварительной подготовкой, обескураживающей атакуемого клиента или завлекающего его в ловушку, например:
• Клиенту поступает телефонный звонок с сообщением якобы от сотрудника банка о блокировке карты и крупной суммы на карточном счете в связи со «взломом ПИН-кода», после чего для разблокировки предлагается сообщить реквизиты карты, что тот и делает.
• Клиенту поступает сообщение «Вы выиграли ноутбук, позвоните в банк по указанному номеру телефона»; когда клиент (любитель халявы!) звонит по указанному номеру, ему предлагают дать номер карты и ввести заданный код для перевода средств с его счета, что зачастую и происходит.
• Клиенту поступает телефонный звонок с предложением якобы от сотрудника банка о возможности льготного кредитования на крупную сумму, после чего следует запрос о его идентификационных данных, номере банковской карты и т. п.