Социальной инженерией называют действия злоумышленника по введению жертвы в заблуждение путем обмана или злоупотребления доверием с целью совершения ею нужных ему действий. В сфере финансовой информационной безопасности этими действиями являются переход по ссылке, скачивание и установка программ, предоставление конфиденциальной информации (учетных данных, PIN-кодов, паролей из СМС, данных банковских карт и т.п.), совершения платежа и другие действия, ведущие к хищению средств.
В бизнесе доверие является ценностью высокого порядка, одним из ключевых нематериальных активов. Доверие - элемент лояльности и цель формирования репутации, однако склонность и предрасположенность граждан доверять наряду с добросовестными игроками часто используют финансовые мошенники.
Поэтому в контексте доверия на финансовом рынке нас интересует природа и механизм формирования доверия - к людям и к организациям.
Объем и количество хищений растут, так как злоумышленники «всегда на шаг впереди». Необходимы юридические механизмы по противодействию нелегальному обороту персональных данных, созданию стимулов для банков в повышении качества антифрод-процедур, созданию условий для повышения эффективности деятельности правоохранительных органов, а также расширению аудитории программ киберграмотности, ориентированных на целевые группы клиентов – физических лиц, с акцентом на формирование критического мышления.
Чем объясняется успешность применения методов социальной инженерии?
Где «водораздел» ответственности банков и клиентов? Насколько он справедлив с точки зрения технологических возможностей банков и психологических возможностей клиентов противодействовать хищениям? Как борются с мошенничеством банки и интернет-компании? Достаточно ли применения юридических и технологических механизмов для противодействия операциям без согласия клиентов? Могут ли финансовые организации помогать клиентам формировать навыки критического мышления без потери репутационной составляющей?
Зачастую для кражи средств преступники используют так называемые “фишинговые сайты”: мошенники маскируют свои страницы в Интернете под официальные интернет-магазины и заманивают на них пользователей. Думая, что находятся в официальном интернет-магазине, пользователи вводят данные своих банковских карт для оформления покупок.
После того, как покупатель ввел данные, ему поступает сообщение с кодом подтверждения, который нужно ввести на странице с подтверждением покупки (технология 3D Secure). Мошенники проводят операции, используя уязвимость в этой технологии, в результате чего деньги поступают не интернет-магазину, как надеется пользователь, а на счет киберпреступника.
Мониторинг сообщений о мошенничестве в открытых источниках за год пандемии, поведённый Народным фронтом, показал, что объем жалоб на телефонное мошенничество с использованием методов социальной инженерии превысил максимум за всю историю наблюдений. Количество успешных для мошенников актов, о которых пишут граждане, выросло за год на 60%. У клиентов российских банков украдено на 70% больше денег, чем в 2019 г., а доля социальной инженерии выросла до 80% от всех случаев мошенничества (67% в 2019 г.).
Народный фронт предлагает решение для общественного мониторинга финансового мошенничества и добровольной взаимопомощи пострадавшим. Оно позволит гражданам справиться с последствиями действий преступников и выявлять новые схемы мошенничества на стадии их появления, а правоохранительным и надзорным органам предлагать актуальные методы по противодействию.
Онлайн-платформы разрабатывают все новые способы защиты своих пользователей, используя при это самые современные технические решения. Пока пользователь остается на сайте или в приложении — он в безопасности, поэтому основная задача мошенников — под любым предлогом выманить человека в мессенджеры или связаться с ним по телефону.
Эффективный способ борьбы с мошенничеством, основанным на механизмах социальной инженерии — обучение людей основным правилам безопасности. Поговорим о том, как Авито обучает своих пользователей основам безопасного онлайн-шоппинга, а также о технологиях, которые помогают защитить пользователей.