Оговорка по фроду: как мошенники получают ваши деньги

Почему знание русского языка может оказаться не менее полезным, чем киберзащита

В международном исследовании KPMG, посвященном банковским рискам, социальная инженерия вошла в топ-5 вызовов, стоящих перед банками. 60% респондентов из служб информационной безопасности финансовых организаций столкнулись с активизацией банковских мошенников, а каждый второй банк страдает от растущих потерь из-за таких угроз. Однако убытки банков сложно сравнить с тем, что испытывает отдельно взятый человек, когда теряет свои собственные средства. Согласно BBB Scam Tracker, в 2018 г. среднестатистический американец терял на уловках социальных инженеров от $75 до $2500 в зависимости от сценария, который использовали мошенники. Среди них были и счета за непредоставленные услуги, и участие в «лотереях», и «звонок друга», и один из самых дорогих сценариев – «влюбленность».

Публичных оценок реальных потерь россиян от аналогичных уловок пока нет, однако, согласно отчету ФинЦЕРТ, 97% несанкционированных операций со средствами клиентов российских банков в 2018 г. были спровоцированы социальной инженерией, что эквивалентно сумме в 1,38 млрд руб. Рост активности банковских телефонных мошенников в России уже называют эпидемией. Несмотря на все предупреждения кредитных организаций, люди продолжают доверчиво озвучивать пароли, присланные в СМС, и указывать в мессенджерах номера карт и CVV-коды.

Один из основных сюжетов телефонной социальной инженерии прост и драматичен: клиенту звонят незнакомые люди, представляются сотрудниками банка, через полчаса он остается без денег и звонит в банк с требованием отменить операцию, которую подтвердил сам. Клиент задается вопросом, откуда мошенники узнали данные, которые могут быть известны только банку – номер карты, дату рождения или даже адрес?

Банки заинтересованы в том, чтобы соблюдать нормы законодательства и беречь персональные данные своих клиентов. Нарушение закона о персональных данных может стоить банку штрафов или санкций со стороны регулятора. И самое печальное в феномене социальной инженерии как раз то, что клиенты сами оставляют данные аферистам.

Ахиллесова пята вашего счета

Одна из человеческих уязвимостей, которую активно используют авторы мошеннических схем, – вера в легкую наживу.

Мошенники эксплуатируют мечту о легких деньгах разными способами, один из которых – сайты с беспроигрышными опросами. Выбирая любимую марку автомобиля между Ferrari и Bugatti, участник опроса непроизвольно примеряет на себя мечту о прекрасной жизни, увлекаясь пересчетом «бриллиантов мадам Петуховой». В конце ему доверительно сообщают, что он не только успешно прошел тест, но и должен получить выплату в 118 000 руб. Где найти в себе силы не поверить такой жизнерадостной новости? Для «получения денег» необходимо просто перевести на Яндекс-кошелек символические 200 руб. для закрепления выигрыша. Такие переводы люди делают десятки раз подряд в надежде, что уж на этот раз все получится. Банк с качественной системой мониторинга карточных операций в подобной ситуации уже на второй раз связывается с клиентом, предупреждая, что транзакция инсценирована мошенниками и будет заблокирована. Однако, даже если операцию приостановили, вред уже нанесен – данные клиента скомпрометированы, мошенники пополнят ими базы, которые потом будут использоваться для обзвона.

Еще один проверенный способ психологической атаки – сыграть на «чувстве причастности» и уверенности в собственной правоте. Во время звонка от имени межгалактической службы безопасности человеку сообщают, что по его картам прошли подозрительные транзакции, при этом служба безопасности банка в сговоре и сообщать ей о случившемся нельзя. Именно на такие уловки удается поймать, казалось бы, нетипичную для банковских мошенничеств аудиторию – молодых, экономически активных людей, уверенных в своих действиях. Они не допускают мысли о том, что их могут обмануть, при этом рады «поучаствовать» в раскрытии действий «мошенников», для которого необходимо сверить данные карт.

Одним из самых действенных ходов в рамках социальной инженерии остается многоступенчатость. Мошенники делают несколько последовательных звонков. Например, представляются службой безопасности банка Х и, когда клиент сообщает об отсутствии карт банка Х, его тут же спрашивают: «А в каком банке у вас есть карты?». Далее образцовый колл-центр сообщает: «Сейчас мы вас переведем». Следующий звонок поступает уже из «правильного банка», который уведомляет о блокировке подозрительного перевода и предлагает сверить данные клиента. Когда контакт с жертвой налажен, доходит до того, что клиент сам идет в банк, чтобы снять наличные и перевести их мошенникам на электронный кошелек.

Рекомендации по борьбе с мошенниками: от киберзащиты до знания русского языка

Социальная инженерия – это хорошо организованный криминальный бизнес, на который сейчас обращают пристальное внимание и регулятор, и правоохранительные органы. Сложность борьбы с ней непрерывно растет, потому что мошенники следят за политиками банков, тестируют сценарии по борьбе с мошенничеством (anti-fraud) и потом применяют их в «работе». Поэтому мы захотели поделиться несколькими действенными рекомендациями, которые позволят вам защитить свои средства и нервы.

Первое золотое правило – никогда не сообщать личные данные по телефону или в мессенджерах, будь то код из СМС или полный номер карты, и никогда не пересылать в мессенджерах фотографию своей карты для перевода – даже другу, теще или администратору гостиницы, которую вы бронируете. Переводы в большинстве крупных банков уже можно делать по номеру телефона в Системе быстрых платежей или других сервисах. Второе золотое правило относится к обходу психологических уловок – не торопиться. Если вам неудобно говорить на бегу, попросите перезвонить, не позволяйте возникать ситуации «это нужно сделать прямо сейчас, немедленно». Скорее всего, бенефициар в такой спешке – не вы.

Компрометации карты на сайтах можно избежать, заведя отдельную карту для покупок в интернете. Защищая безопасность своих данных, специалисты по борьбе с мошенниками, к слову, составляют список проверенных сайтов, которым можно доверить номер карты. Список поддельных сайтов – бесконечный, но все, что вам нужно, – несколько проверенных ресурсов для тех покупок, которые вы обычно совершаете в интернете. Конечно, хорошо иметь защитное решение для мобильного устройства, где используются технологии whitelist, которые проверяют сайты автоматически.

Очень много полезных открытий можно совершить, регулярно просматривая свою банковскую выписку. Кажется, что сообщений или пуш-уведомлений об операциях достаточно, чтобы следить за своим счетом, но на деле такая ежемесячная сверка позволяет обратить внимание на то, что вы могли не заметить.

При телефонном общении с сотрудниками банков вам может помочь интуиция и знание русского языка. Клиенты, которым звонили мошенники, обращали внимание на странный говор и акцент, нехарактерные для специалистов крупных компаний. Это могут быть небольшие нюансы в произношении («г» с придыханием) или неправильные ударения, этакая «оговорка по фроду», ошибки в словах (конфидециально, средства) и пр. При любом подобном подозрении можно сразу бросать трубку и связываться с банком по телефону, указанном на обратной стороне вашей карты.

Мнения экспертов банков, финансовых и инвестиционных компаний, представленные в этой рубрике, могут не совпадать с мнением редакции и не являются офертой или рекомендацией к покупке или продаже каких-либо активов.