Logo

Социальная инженерия. Риски бизнеса, банков и их клиентов

21.05.2021

Почему столь успешно применения мошенниками методов социальной инженерии? Где проходит «водораздел» ответственности банков и их клиентов? Как методы борьбы с мошенничеством предлагают банки и интернет-компании? Могут ли финансовые организации помогать клиентам формировать навыки критического мышления? Эти и многие другие вопросы обсудили эксперты информационной финансовой безопасности и ИТ-рынка обсудили на секции, посвященной социальной инженерии и рискам, которые она несёт банкам, их клиентам и бизнесу.





21 мая 2021 года в рамках Российского интернет форума (РИФ) 2021 состоялась секция по проблематике методов социальной инженерии. В сфере финансовой информационной безопасности этими действиями являются переход по ссылке, скачивание и установка программ, предоставление конфиденциальной информации (учетных данных, PIN-кодов, паролей из СМС, данных банковских карт и т.п.), совершения платежа и другие действия, ведущие к хищению средств. Эксперты рассказали, как злоумышленники вводят в заблуждение жертву путём обмана или злоупотребления доверием с целью совершения ею нужных им действий, и какие методы борьбы с таким мошенничеством сейчас разрабатываются государством и бизнесом.



Модератором дискуссии стал Валерий Тумин (Банк России)



Спикеры отмечают, что объём и количество хищений растут, так как злоумышленники «всегда на шаг впереди». Необходимы юридические механизмы по противодействию нелегальному обороту персональных данных, созданию стимулов для банков в повышении качества антифрод-процедур, созданию условий для повышения эффективности деятельности правоохранительных органов, а также расширению аудитории программ киберграмотности, ориентированных на целевые группы клиентов — физических лиц, с акцентом на формирование критического мышления.



Эксперты подчёркивают, что доверие в бизнесе является ценностью высокого порядка, одним из ключевых нематериальных активов. Доверие — элемент лояльности и цель формирования репутации, однако склонность и предрасположенность граждан доверять наряду с добросовестными игроками  часто используют финансовые мошенники. Поэтому в контексте доверия на финансовом рынке одной из ключевых проблем становится природа и механизм формирования доверия — к людям и к организациям.



Представляем дайджест цитат спикеров:



«Не имеет никакого значения ваше место работы или наличие высшего образования, или возраст — мошенники пользуются нашим доверием. Если рассматривать данные по операциям без согласия клиентов финансовых организаций, то за 2020 год по сравнению с 2019 сумма операций без согласия клиентов возросла с 6,4 миллиардов рублей до 9,8 миллиардов рублей. При этом доля социальной инженерии упала — с 68,6% до 61,8%, но тренд мошенничества стал смещаться в сторону депозитных счетов граждан. Мошенники стали переходить от стратегии «от многих по чуть-чуть» к стратегии «от одного, но много».



Банк России видит когда возникают новые тренды мошенничества и проводит необходимые надзорные мероприятия с организациями. 



Так, в конце 2020 года был проведён анализ проводимой кредитными организациями информационной работы по противодействию несанкционированным операциям. По результатам в феврале 2021 года были выпущены для кредитных организаций методические рекомендации. 



Наша совместная задача — осуществлять комплекс работ по противодействию несанкционированным операциям. Информация должна быть доведена до целевой аудитории и усвоена ею. Основными способами информирования тут выступают мобильные приложения, экраны банкоматов, интернет-ресурсы, СМИ, наружная реклама, радио, колл-центры, телевидение, добиваясь при этом максимального охвата информирования»», — Валерий Тумин, консультант отдела дистанционного надзора и наблюдения Управления надзора и наблюдения Департамента информационной безопасности Банка России.



«Зачастую для кражи средств преступники используют так называемые “фишинговые сайты”: мошенники маскируют свои страницы в Интернете под официальные интернет-магазины и заманивают на них пользователей. Думая, что находятся в официальном интернет-магазине, пользователи вводят данные своих банковских карт для оформления покупок. Какое может быть решение? Надо заниматься внедрением технологии 3DS 2.0. За второй квартал этого года все банки перейдут на эту технологию. Все мы платим в интернете с одних и тех же устройств. Система будет работать так: когда с одного устройства будут осуществляться платежи, система начинает запоминать данные вашего железа. После того как вы 3 раза введете код SMS, на 4 раз для покупки уже не нужно будет снова вводить код. Система будет знать, что  это делаете вы, это сложно подделать мошенникам. Тем самым мы сокращаем пользовательский путь до момента списания средств с карточки», — Игорь Кравцов, коммерческий директор CloudPayments.



«Обучение клиентов и сотрудников – важное оружие в борьбе с социальной инженерией. В конце прошлого года запустили новый обучающий курс “Как не стать жертвой мошенничества” для сотрудников банка, в котором мы рассказываем про безопасность, а отдельный большой блок посвятили социальной инженерии. Основные тактики мошенников — телефонный фишинг, претекстинг (действия по заготовленному сценарию). Им нужно ввести клиента в состояние стресса и получить необходимое. Уровень сознательности наших граждан вырос по сравнению с прошлыми периодами, стало больше сомневающихся клиентов, многие отказываются сотрудничать с мошенниками. Сейчас мошенники начинают применять другие рычаги: клиента начинают ругать. Мы пытаемся выстроить свое информирование так, чтобы не напугать клиента. Мы хотим донести информацию, что сервисами пользоваться нужно. Для противодействия социальной инженерии мы должны объединить усилия, совершенствовать антифрод системы банков, информировать клиентов через СМИ, социальные сети, обмениваться опытом», — Ольга Комарова, Home Credit.



«В историях мошенничества, которые встречались у нас, были все: и сотрудники Банка России, и пенсионеры. Старые схемы мошенничества приобрели сейчас новые формы. Мониторинг сообщений о мошенничестве за год пандемии, проведённый Народным фронтом, показал, что объём жалоб на телефонное мошенничество с использованием методов социальной инженерии превысил максимум за всю историю наблюдений. В период пандемии выросло количество граждан, которых успели обзвонить финансовые мошенники (всего уже 90% граждан столкнулись со звонками от мошенников). При этом, чаще всего жертвами мошенников становятся молодые люди — экономически активное население от 30 до 60 лет, они составляют около 50% всех обращений. Проект “За права заёмщиков” Народного фронта представил платформу Мошеловка.рф. Эта платформа позволит собирать ссылки на мошеннические сообщения. Она позволит помочь гражданам справиться с последствиями действий преступников. Платформа рассчитана не столько на жертв мошенничества, сколько для того, чтобы объединить большое количество людей для сбору данных о жалобах», — Евгения Лазарева, проект «За права заёмщиков» ОНФ. 



«Мошенники придумывают новые схемы, используя социальную инженерию, используя неконтролируемые каналы. Одним из методов Avito по борьбе с мошенниками стал контроль взаимодействия — ограничение показа номеров, мы стали ограничивать информацию, кто может, а кто не может смотреть номера пользователей. “Нехорошим” пользователям мы не даем смотреть телефон. Для этого мы анализируем техническую информацию, поведенческие привычки. Эта стратегия в своё время помогла сократить мошенничество. Но вскоре мошенники поняли, что они не могут зарегистрироваться и писать пользователям. После этой штуки мошенники начали взламывать аккаунты пользователей. Уже уведомления о входе в аккаунт помогли снизить взлом аккаунтов на 50%, а мы стали получать в 5 раз меньше сообщений от пользователей с жалобами на фишинг рассылки», — Андрей Рыбинцев, директор по безопасности продукта Avito.

Другие материалы:
만나서 반갑습니다! Корейские компании на РИФ 2021
РИФ.Новости
На РИФ прошла третья встреча Дискуссионного клуба Pharma&IT под эгидой Российской ассоциации электронной коммуникации (РАЭК)
РИФ.Новости
Директор РАЭК встретился с участниками проекта «ТопБЛОГ»
РИФ.Новости
Партнеры
Организационные партнеры
РАЭК
Организатор
РОЦИТ
Организатор
Минцифры
При поддержке
Специальные партнеры
Яндекс
Организационный партнер
Лаборатория Касперского
Партнер компьютерной безопасности
RU-CENTER
Официальный регистратор
Координационный центр .РФ/.RU
Партнер
Skillbox
Образовательный партнер
Медиалогия
Аналитический партнер
Официальные партнеры
Rutube
Официальный видео-партнер
Партнеры
Kokoc Group
Digital партнер
BelkaCar
Каршеринг партнер
AGIMA
Партнер забега
Стэлмас-Д
Партнер воды
FITMOST
Спортивный партнер
Glove.me
Фэшн партнер
Botrois
Фэшн партнер
Генеральные информационные партнеры
Gallery
Digital-оператор N1
ТАСС
Официальное информационное агентство
Novikov TV
Премиальное индор-телевидение
Коммерсантъ
Официальное деловое издание
BFM.Ru
Официальное деловое радио
Эхо Москвы
Официальное радио
Информационные партнеры
Экспоненты
ЮKassa
Экспонент
LuckyAds
Экспонент
eLama.ru
Экспонент
Inside
Экспонент
Стэлмас-Д
Экспонент
Skillbox
Экспонент
Юздеск
Экспонент
AGIMA
Экспонент
Координационный центр .РФ/.RU
Экспонент
MEDIASOFT
Экспонент
Мультимаркет
Экспонент
HelloFactory
Экспонент
inDJ
Экспонент
I-ON Digital
Экспонент
J2C
Экспонент
KSEEK
Экспонент
LILYCOVER
Экспонент
MIRINAE
Экспонент
MOIBA
Экспонент
OLIM PLANET
Экспонент
SMART DIAGNOSIS
Экспонент
SPACE AD
Экспонент
SberCloud
Экспонент
Партнеры по организации мероприятия
Friends Events
Официальное event-агентство
Ruvents
Регистрационный партнер
RUNET-ID
Календарь IT-событий
Гуси-Лебеди
Партнер по веб-разработке