Жулики 3.0. Как меняется мошенничество в финансовой сфере в эпоху новых технологий

Элементарные правила личной финансовой гигиены позволят вам не попасться на крючок мошенникам

Фото: Fotolia/weerapat1003

Мы уже вступили в электронный век новых технологий и находимся в самом начале диджитал-революции. Но это не значит, что число мошенников, мелких воришек и аферистов уменьшается. Они просто находят новые способы обмана, подстраиваясь под новый технологичный век.

С появлением банковских карт и мобильных банков жить стало гораздо легче. Теперь не нужно постоянно проверять, на месте ли кошелек. Не надо думать, куда спрятать деньги дома так, чтобы их не нашли воры. Даже за сохранность мобильного телефона теперь переживаешь гораздо меньше благодаря паролям и сканерам отпечатков пальцев. Но и злоумышленники развиваются вместе с технологиями.

Стыдно, когда видно

Большая часть населения России не в силах предотвратить хакерскую атаку на компьютер или иное электронное устройство. Но не сообщать ПИН-код мошеннику и не «светить» банковской картой может каждый. Однако все равно сегодня почти каждый десятый россиянин подписывает финансовые документы, не читая их. Каждый пятый россиянин оценивает свой уровень знаний и навыков в финансовой сфере как нулевой.

В России ежедневно жертвами становятся 350 пользователей устройств на платформе Android, а объем хищений вырос более чем на 450%, говорится в исследовании Group-IB за 2016 год. Все новые трояны для хищений у юридических лиц, появившиеся в России за отчетный период, поддерживают веб-инжекты, позволяющие проводить автозалив.

Автозалив — метод хищений, позволяющий автоматически и незаметно для пользователя интернет-банка подменять реквизиты и сумму платежа.

С помощью легальных сервисов переводов с карты на карту хакерам удалось полностью автоматизировать фишинговые (фишинг — мошенничество в Интернете) и вишинговые (вишинг — мошенничество с использованием социальной инженерии через телефон) атаки на физических лиц. Для таких атак требуется СМС-код подтверждения трансакции с телефона жертвы. Подобная атака укладывается в несколько минут и не требует от хакера никакого участия.

«Я увидела, что на двух моих кредитных картах баланс равен нулю»

17 июля в «Народном рейтинге» Банки.ру большой резонанс получила жалоба девушки, с нескольких счетов которой мошенники списали 150 тыс. рублей. Она утверждает, что не давала злоумышленникам никакой информации, кроме домашнего адреса и номера телефона, и не диктовала им данные из СМС-уведомлений.

«Вечером (7 июля) я разместила на Avito.ru объявление о продаже куртки. Через 15 минут мне позвонила неизвестная девушка и сказала, что готова забрать куртку, выслав за ней такси, а деньги перечислить на карту, если меня это устроит. Она спросила адрес, по которому отправить машину. В этот момент я находилась дома и назвала домашний адрес, а потом сказала, что деньги мне будет удобно получить на карту Сбербанка. На что девушка спросила, нет ли у меня (ВНИМАНИЕ) карты Альфа-Банка. Я ответила, что есть и в принципе можно отправить на нее. Девушка спросила номер карты. Я продиктовала. Далее она начала задавать разные вопросы по куртке (где покупали, все ли в порядке с молниями), а в промежутках между вопросами уточнила, на меня ли зарегистрирована карта, и спросила, есть ли у меня «Альфа-Клик». Я ответила, да. Девушка сказала, что деньги выслала, что сейчас вот-вот они должны прийти, и продолжила задавать разные вопросы», — говорится в отзыве «Народного рейтинга» Банки.ру (здесь и далее орфография и пунктуация автора сохранены).

Девушка спросила номер карты. Я продиктовала. Далее она начала задавать разные вопросы по куртке (где покупали, все ли в порядке с молниями), а в промежутках между вопросами уточнила, на меня ли зарегистрирована карта и спросила, есть ли у меня

Далее клиентке Альфа-Банка пришло уведомление о входе в «Альфа-Клик».

«В этот момент девушка начала говорить в трубку, что у нее что-то оборвалось, что платеж не прошел, начала суетиться и задавать вопросы, мол, что вам там пришло, что там пишут в смс, потом вдруг сказала, что перезвонит, после чего звонок оборвался. Открыв «Альфа-клик», я увидела, что на двух моих кредитных картах баланс равен нулю, а на третьей карте осталось только 300 евро из 900. В этот момент мне начали на телефон сыпаться смс о подтверждении каких-то переводов без указания карт и счетов и одна смс о подключении к «Альфа-Чек». При этом ни одной смски о списании денег, как это обычно бывает, у меня не было! Только информация о подтверждении каких-то переводов, которые я лично никаким образом не подтверждала и на которые я не давала никакого согласия. В ужасе я начала звонить в Альфа-Банк. По данным приложения «Альфа-Клик» общая сумма списанных у меня денег составила 150 тыс рублей», — отмечает девушка.

«К себе в кабинет она впустила их сама»

В Альфа-Банке подчеркивают, что к себе в мобильный банк девушка впустила мошенников сама. Об этом свидетельствуют проверочные СМС.

«В этом письме очень много лукавства. Кроме номера телефона, который был публично размещен в Avito, и номера карты, который она сама назвала, мошенники больше ничего не знали. Она сама сдала все одноразовые пароли и пароль для входа в мобильный банк. От ее имени они вошли и начали формировать переводы», — комментирует резонансный отзыв директор мониторинга электронного бизнеса Альфа-Банка Алексей Голенищев.

«Таких историй, к сожалению, очень много. И не только про Альфа-Банк. 70% случаев мошеннических операций можно было избежать, следуя элементарным правилам, о которых знают все. Например, прикрывать ПИН-код рукой в банкоматах или понимать, что переводы на твою карту ты не можешь сделать. Только с твоей. Вот это понимание, что если эсэмэска пришла тебе, значит идет операция с твоей карты. Потому что эсэмэски присылаются тому, кто отправляет деньги», — поясняет Голенищев.

«Людям приходит эсэмэска, где написано «перевод с карты на карту». Но непонятно, с какой карты и на какую карту. Состав этой текстовой эсэмэски не очень корректен по своей структуре, и ничего банк здесь сделать не может. Там даже не видно, на какой номер идет перевод. Сейчас платежные системы хотят внедрить новые стандарты, чтобы мы могли в СМС написать «хвост» карты, куда пересылаются деньги», — отмечает Голенищев.

Клиент думает, что деньги переводят ему. Мошенник, который в этот момент с ним разговаривает, говорит, что для перевода ему необходим код клиента. Клиент сообщает код, и мошенник снимает деньги с карты.

«Бывают случаи, когда люди и по семь раз рассказывают свой код. Они думают, что деньги им переводят, почему бы не сказать. В этом вся беда — в доверчивости и низкой финансовой грамотности», — подчеркивают в Альфа-Банке.

«Девушка лукавит. У нас разные сервисы: эсэмэски об операциях и эсэмэски расходные. На ее номер пришли СМС «для перевода с карты на карту пароль такой-то». Мошенники подключили расходные эсэмэски на свой телефон, чтобы она не видела, что у нее что-то снимают. Сделали они это через мобильный банк. Для того чтобы зайти в него, им нужен был пароль из СМС, который она же им и рассказала. Мы видим, что эсэмэски с паролями приходили именно ей, а не мошенникам. Это нужно просто читать. Люди зачастую совершенно не читают то, что приходит им в СМС. Это называется «социальная инженерия», — поясняет Голенищев.

Бывают случаи, когда люди и по 7 раз рассказывают свой код. Они думают, что деньги им переводят, почему бы не сказать. В этом вся беда – в доверчивости и низкой финансовой грамотности

Так как, по мнению кредитной организации, девушка сама сообщила мошенникам все данные, украденные деньги она сможет компенсировать только через суд и только в случае решения в ее пользу.

В Альфа-Банке отмечают, что с клиентами других банков тоже происходят похожие случаи, но для этого могут быть необходимы другие данные для восстановления. «У нас, чтобы восстановить пароль, нужен номер карты и телефон, на который тебе придет эсэмэска. Мы всегда и везде информируем клиентов о правилах безопасности. Например, офлайн- и онлайн-семинары по финансовой грамотности, рассылки. Первый и главный совет всегда — будьте предельно внимательны и осторожны», — советует директор мониторинга электронного бизнеса Альфа-Банка.

Случай кражи с Avito.ru не единичен. В период майских праздников Альфа-Банк зафиксировал рост мошеннических действий в полтора раза в отношении клиентов службы онлайн-объявлений Avito.ru. Под видом покупателей злоумышленники списывали средства со счетов реальных продавцов, разместивших подлинные объявления.

«В большинстве случаев мошенничество коснулось пользователей ресурса Avito.ru, которые размещали на нем объявления о продаже чего-либо, а мошенники под предлогом перевода предоплаты на самом деле списывали средства с введенных в заблуждение «продавцов» на свои подставные карты с последующим обналичиванием в банкоматах», — пояснил представитель кредитной организации.

Хакеры любят покрупнее

Если с социальной инженерией можно бороться с помощью информирования населения и повышения финансовой грамотности, то с хакерскими атаками на банки дело обстоит гораздо сложнее. Только за 2016 год в результате целевых атак на банки было украдено 2,5 млрд рублей, говорится в исследовании Group-IB.

В феврале 2016 года стало известно о попытке хищения из Центрального банка Бангладеш 1 млрд долларов. Год спустя, в феврале 2017-го, были скомпрометированы несколько банков в Польше.

Целевые атаки на банки, которые только начинают распространяться по миру, происходят в России с 2013 года. Русскоговорящие преступные группы имеют опыт атак практически на все банковские системы, включая платежные шлюзы и банкоматы, карточный процессинг и биржевые терминалы. За отчетный период ущерб российских банков от целевых атак вырос почти на 300% (более 2/3 хищений приходятся на группу Buhtrap).

Все преступные группы, стоящие за атаками, ранее специализировались на хищениях денежных средств у юридических лиц (клиентов банков).

Хакеры научились сжигать компьютеры

В начале июня этого года была предпринята хакерская атака на средних размеров региональную компанию в Тверской области через систему «Банк — клиент» Россельхозбанка.

«Было сделано восемь платежек. Каждая на сумму 200 тысяч, 300 тысяч, 70 тысяч рублей. В общей сумме получилось порядка 3 миллионов рублей. И мы знаем несколько организаций, в которых были такие же прецеденты. Нам позвонили из банка уточнить, что это за платежи. Из кол-центра кредитной организации периодически звонят и спрашивают, делали ли мы такую платежку на такую-то сумму. Мы сверяемся, и после этого деньги отправляются по адресу», — рассказал Банки.ру главный бухгалтер компании.

«В этот раз, когда банк нам позвонил, мы сразу зашли в «Банк — клиент» и увидели, что там сделано несколько платежей на разные суммы, причем часть уже в статусе «отправлено». И сразу после того, как мы зашли и увидели это, компьютер выключился. Запустилась какая-то программа, которая уничтожает компьютер. И вся информация, которая была на компьютере, восстановлению не подлежит», — отметил работник организации.

Мы сразу зашли в банк-клиент и увидели, что там сделано несколько платежей на разные суммы, причем часть уже в статусе «отправлено». И сразу после того, как мы зашли и увидели это, компьютер выключился. Запустилась какая-то программа, которая уничтожает компьютер

В IT-отделе отметили, что мошенники удаленно разогнали видеокарту, благодаря чему удалось сжечь процессор и уничтожить все данные постороннего вмешательства в работу компьютера.

В банке успели отменить все платежи, и мошенники ничего не смогли списать.

В любой непонятной ситуации звони в кол-центр

«Сам по себе банк очень неповоротливый, и дозвониться до него практически нереально. Нас спас звонок из кол-центра, через который мы смогли отменить платежки. В банке вообще долго соображали, что делать, так как мы отменили платежки в Твери через кол-центр, а в Москве эти операции не видели. Потому что у них отображаются платежи только после того, как они будут обработаны. Я уверена, то, как хакеры проникают в «Банк — клиент», это вряд ли вирус. Мы так и не поняли, что произошло, так как компьютер никак не восстановить. Но поскольку это ошибка банка, а не наша, то мы открыли несколько счетов в других банках», — подчеркнул представитель компании.

По мнению заместителя директора Центра информационной безопасности компании «Инфосистемы Джет» Андрея Янкина, подобного рода атаки на компьютеры, на которых установлено ПО «Банк — клиента», широко распространены.

«Обычно сценарий следующий: производится заражение одного из компьютеров компании, зачастую с использованием методов социальной инженерии (например, письма с вредоносным вложением). Затем злоумышленники заражают машину с «Банк — клиентом». Совершенно аховое состояние информационной безопасности в среднем и малом бизнесе (зачастую даже ОС и антивирус не обновляются) крайне упрощает атаку. Сначала злоумышленник удаленно следит за работой оператора, а затем, выбрав удобное время, удаленно вручную пытается осуществить переводы денежных средств», — комментирует эксперт.

В подобных атаках всегда виновником признается компания, а не банк. По сути, при атаке не используются какие-то недостатки банковского ПО. Если деньги все же ушли, косвенную вину можно возложить на недостаточно качественную работу подразделения борьбы с фродом в банке. Но основная ответственность лежит, разумеется, на самой компании. В данном случае ни одна из трансакций не прошла. Более того, банк связался с компанией для подтверждения перевода, тем самым не допустив ущерба организации.

Для уничтожения следов присутствия злоумышленники, как правило, осуществляют процедуру безвозвратного уничтожения данных на жестком диске.

«Комментарий пострадавшей стороны об уничтожении процессора при помощи разгона видеокарты звучит совершенно нелепо. К сожалению, подобные объяснения нам приходилось слышать не раз. Их придумывают, разумеется, не бухгалтеры, а некомпетентные технические специалисты, которые пытаются скрыть свою вину и убедить бизнес, что виноват в инциденте банк, подрядчик, нечистая сила, но только не они», — подчеркивает Янкин.

Такого типа атаки фактически происходят ежедневно в целом по отрасли в РФ. Для крупных банков подобные инциденты являются постоянным объектом внимания.

Руководитель направления противодействия мошенничеству центра информационной безопасности компании «Инфосистемы Джет» Алексей Сизов отмечает, что подобный профиль атак на современный «Банк — клиент» не сильно видоизменился за последние 3—5 лет. По-прежнему наибольший урон наносят двумя типами атак: либо классическим вредоносным ПО, которое обеспечивает формирование нелегитимных платежных поручений от лица фактического пользователя ДБО трояном/вирусом; либо с помощью удаленного управления компьютеров с системой «Банк — клиент». Причем такое управление также зачастую возникает по факту заражения, но фактическое создание нелегитимной платежки делает злоумышленник.

Типичный сценарий взлома

В большинстве случаев атака на банк происходит по типовому сценарию, комментирует руководитель группы информационной безопасности компании «Инфосистемы Джет» Андрей Захаров.

На публичные e-mail-адреса работников банка (например, маркетинг, HR) приходит фишинговое письмо.

Содержимое письма обычно не вызывает подозрения у работника банка, поскольку содержит информацию, с которой он имеет дело в ежедневной работе. Зачастую это резюме, счет на оплату либо любые другие информационные материалы, которые работник ожидает получить. В фишинговом письме содержится либо специально подготовленное вложение, либо ссылка на веб-ресурс, контролируемый злоумышленником.

При открытии ресурса используемая пользователем программа дает контролируемый сбой, в результате которого исполняется предусмотренный злоумышленником набор команд. Обычно это загрузка и последующий запуск многофункционального вредоносного ПО. На этом этапе решающее значение имеют принятые злоумышленником меры по сокрытию вредоносного кода от антивирусного ПО. Это может быть шифрование, использование экзотических упаковщиков и т. д. Как только модуль вредоносного ПО загрузился и успешно запустился, персональный компьютер банковского работника можно считать скомпрометированным.

Далее вредоносное ПО либо действует полностью автоматически, выполняя заложенный алгоритм (там работают сетевые черви типа шифровальщиков WannaCry и Petya/Misha), либо открывает для злоумышленника канал удаленного управления. Действующий удаленно злоумышленник должен будет потратить определенное время на сетевую разведку: прежде чем атаковать желаемую цель, ее необходимо обнаружить. Процесс приближения к цели чем-то напоминает действия хищника, подбирающегося к своей жертве с использованием различных укрытий, в роли которых выступают слабо защищенные узлы сети.

Этап разведки является наиболее длительной и заметной фазой проникновения. Большую услугу злоумышленнику оказывают непропатченные операционные системы, права локального администратора у обычных пользователей и поддержка устаревших версий протоколов. При наличии развитых процессов мониторинга сетевой активности действия злоумышленника могут быть легко обнаружены. Если же этого не произошло, злоумышленник обычно находит способ получить контроль над узлом, участвующим или контролирующим какие-либо платежные процессы. Последним шагом злоумышленник инициирует поддельные операции, которые приводят к безналичному переводу или непосредственной выдаче денежных средств.

«Данная схема, с небольшими вариациями, имела место в большинстве резонансных и ставших известными широкой общественности банковских взломах последних лет», — отмечает Андрей Захаров.

Начни с себя

Вероятность того, что вы можете стать жертвой профессиональных хакеров, не так уж высока, как может показаться на первый взгляд. А вот попасть в лапы мелких мошенников, специализирующихся на самых примитивных банковских кражах, может каждый из нас.

Чтобы этого не произошло, необходимо соблюдать ряд простейших правил безопасности: во избежание неприятных сюрпризов с деньгами не показывайте никому свой ПИН-код, прикрывайте его рукой; не давайте карту в руки посторонним людям; для снятия наличных и перевода средств пользуйтесь официальными банковскими отделениями, а не услугами уличных пройдох.

Во избежание неприятных сюрпризов с деньгами не показывайте никому свой пин-код, прикрывайте его рукой; не давайте карту в руки посторонним людям; для снятия наличных и перевода средств пользуйтесь официальными банковскими отделениями, а не услугами уличных пройдох

Перед поездкой, вне зависимости от страны путешествия, актуализируйте свои контактные номера телефонов в банке. Это позволит сотрудникам банка оперативно связаться при необходимости и уточнить, все ли в порядке.

Также стоит учитывать некоторые национальные особенности поведения мошенников. Например, в Турции по-прежнему процветает выдача наличных на рынках или в других людных местах, когда мошенник с PОS-терминалом в руках под видом сотрудника банка действительно выдаст вам какую-то сумму, прокатав вашу карту. При этом он скопирует данные карты и ПИН-код. Поэтому в Турции наличные стоит получать только в банкоматах, и желательно, чтобы они были установлены в крупных отделениях банков.

И самое основное: никогда, ни при каких обстоятельствах не сообщайте незнакомцам номер своей банковской карты, CVC-код (есть на обратной стороне каждой карты) и другую аналогичную информацию. Владея этой информацией, мошенники легко смогут вывести деньги с вашего банковского счета.

Наталья СТРЕЛЬЦОВА, Banki.ru

Подписывайтесь на Телеграм бот Банки.ру! 
@banki_ru_bot

ПОДПИСАТЬСЯ

Источник: Banki.ru