Почему столь успешно применения мошенниками методов социальной инженерии? Где проходит «водораздел» ответственности банков и их клиентов? Как методы борьбы с мошенничеством предлагают банки и интернет-компании? Могут ли финансовые организации помогать клиентам формировать навыки критического мышления? Эти и многие другие вопросы обсудили эксперты информационной финансовой безопасности и ИТ-рынка обсудили на секции, посвященной социальной инженерии и рискам, которые она несёт банкам, их клиентам и бизнесу.
21 мая 2021 года в рамках Российского интернет форума (РИФ) 2021 состоялась секция по проблематике методов социальной инженерии. В сфере финансовой информационной безопасности этими действиями являются переход по ссылке, скачивание и установка программ, предоставление конфиденциальной информации (учетных данных, PIN-кодов, паролей из СМС, данных банковских карт и т.п.), совершения платежа и другие действия, ведущие к хищению средств. Эксперты рассказали, как злоумышленники вводят в заблуждение жертву путём обмана или злоупотребления доверием с целью совершения ею нужных им действий, и какие методы борьбы с таким мошенничеством сейчас разрабатываются государством и бизнесом.
Модератором дискуссии стал Валерий Тумин (Банк России)
Спикеры отмечают, что объём и количество хищений растут, так как злоумышленники «всегда на шаг впереди». Необходимы юридические механизмы по противодействию нелегальному обороту персональных данных, созданию стимулов для банков в повышении качества антифрод-процедур, созданию условий для повышения эффективности деятельности правоохранительных органов, а также расширению аудитории программ киберграмотности, ориентированных на целевые группы клиентов — физических лиц, с акцентом на формирование критического мышления.
Эксперты подчёркивают, что доверие в бизнесе является ценностью высокого порядка, одним из ключевых нематериальных активов. Доверие — элемент лояльности и цель формирования репутации, однако склонность и предрасположенность граждан доверять наряду с добросовестными игроками часто используют финансовые мошенники. Поэтому в контексте доверия на финансовом рынке одной из ключевых проблем становится природа и механизм формирования доверия — к людям и к организациям.
«Не имеет никакого значения ваше место работы или наличие высшего образования, или возраст — мошенники пользуются нашим доверием. Если рассматривать данные по операциям без согласия клиентов финансовых организаций, то за 2020 год по сравнению с 2019 сумма операций без согласия клиентов возросла с 6,4 миллиардов рублей до 9,8 миллиардов рублей. При этом доля социальной инженерии упала — с 68,6% до 61,8%, но тренд мошенничества стал смещаться в сторону депозитных счетов граждан. Мошенники стали переходить от стратегии «от многих по чуть-чуть» к стратегии «от одного, но много».
Банк России видит когда возникают новые тренды мошенничества и проводит необходимые надзорные мероприятия с организациями.
Так, в конце 2020 года был проведён анализ проводимой кредитными организациями информационной работы по противодействию несанкционированным операциям. По результатам в феврале 2021 года были выпущены для кредитных организаций методические рекомендации.
Наша совместная задача — осуществлять комплекс работ по противодействию несанкционированным операциям. Информация должна быть доведена до целевой аудитории и усвоена ею. Основными способами информирования тут выступают мобильные приложения, экраны банкоматов, интернет-ресурсы, СМИ, наружная реклама, радио, колл-центры, телевидение, добиваясь при этом максимального охвата информирования»», — Валерий Тумин, консультант отдела дистанционного надзора и наблюдения Управления надзора и наблюдения Департамента информационной безопасности Банка России.
«Зачастую для кражи средств преступники используют так называемые “фишинговые сайты”: мошенники маскируют свои страницы в Интернете под официальные интернет-магазины и заманивают на них пользователей. Думая, что находятся в официальном интернет-магазине, пользователи вводят данные своих банковских карт для оформления покупок. Какое может быть решение? Надо заниматься внедрением технологии 3DS 2.0. За второй квартал этого года все банки перейдут на эту технологию. Все мы платим в интернете с одних и тех же устройств. Система будет работать так: когда с одного устройства будут осуществляться платежи, система начинает запоминать данные вашего железа. После того как вы 3 раза введете код SMS, на 4 раз для покупки уже не нужно будет снова вводить код. Система будет знать, что это делаете вы, это сложно подделать мошенникам. Тем самым мы сокращаем пользовательский путь до момента списания средств с карточки», — Игорь Кравцов, коммерческий директор CloudPayments.
«Обучение клиентов и сотрудников – важное оружие в борьбе с социальной инженерией. В конце прошлого года запустили новый обучающий курс “Как не стать жертвой мошенничества” для сотрудников банка, в котором мы рассказываем про безопасность, а отдельный большой блок посвятили социальной инженерии. Основные тактики мошенников — телефонный фишинг, претекстинг (действия по заготовленному сценарию). Им нужно ввести клиента в состояние стресса и получить необходимое. Уровень сознательности наших граждан вырос по сравнению с прошлыми периодами, стало больше сомневающихся клиентов, многие отказываются сотрудничать с мошенниками. Сейчас мошенники начинают применять другие рычаги: клиента начинают ругать. Мы пытаемся выстроить свое информирование так, чтобы не напугать клиента. Мы хотим донести информацию, что сервисами пользоваться нужно. Для противодействия социальной инженерии мы должны объединить усилия, совершенствовать антифрод системы банков, информировать клиентов через СМИ, социальные сети, обмениваться опытом», — Ольга Комарова, Home Credit.
«В историях мошенничества, которые встречались у нас, были все: и сотрудники Банка России, и пенсионеры. Старые схемы мошенничества приобрели сейчас новые формы. Мониторинг сообщений о мошенничестве за год пандемии, проведённый Народным фронтом, показал, что объём жалоб на телефонное мошенничество с использованием методов социальной инженерии превысил максимум за всю историю наблюдений. В период пандемии выросло количество граждан, которых успели обзвонить финансовые мошенники (всего уже 90% граждан столкнулись со звонками от мошенников). При этом, чаще всего жертвами мошенников становятся молодые люди — экономически активное население от 30 до 60 лет, они составляют около 50% всех обращений. Проект “За права заёмщиков” Народного фронта представил платформу Мошеловка.рф. Эта платформа позволит собирать ссылки на мошеннические сообщения. Она позволит помочь гражданам справиться с последствиями действий преступников. Платформа рассчитана не столько на жертв мошенничества, сколько для того, чтобы объединить большое количество людей для сбору данных о жалобах», — Евгения Лазарева, проект «За права заёмщиков» ОНФ.
«Мошенники придумывают новые схемы, используя социальную инженерию, используя неконтролируемые каналы. Одним из методов Avito по борьбе с мошенниками стал контроль взаимодействия — ограничение показа номеров, мы стали ограничивать информацию, кто может, а кто не может смотреть номера пользователей. “Нехорошим” пользователям мы не даем смотреть телефон. Для этого мы анализируем техническую информацию, поведенческие привычки. Эта стратегия в своё время помогла сократить мошенничество. Но вскоре мошенники поняли, что они не могут зарегистрироваться и писать пользователям. После этой штуки мошенники начали взламывать аккаунты пользователей. Уже уведомления о входе в аккаунт помогли снизить взлом аккаунтов на 50%, а мы стали получать в 5 раз меньше сообщений от пользователей с жалобами на фишинг рассылки», — Андрей Рыбинцев, директор по безопасности продукта Avito.
