2017-08-08T16:31:24+03:00

Cоциальная инженерия

Cоциальная инженерияCоциальная инженерия

Обсуждаем главные экономические новости, которые касаются каждого с Алексеем Голенищевым (директором по мониторингу электронного бизнеса "Альфа-Банка")

Социальная инженерия

00:00
00:00

Алфимов:

- Сегодня в «Личных деньгах» мы будем говорить о том, как не потерять свои собственные, кровно нажитые, любимые и драгоценные денежки, как их не потерять именно с банковского счета. Как сделать так, чтобы они остались при вас и именно вы распорядились им так, как вы хотите, а не кто-то там. И мне сегодня поможет в этом вопросе Алексей Голенищев, директор по мониторингу электронного бизнеса акционерного общества «Альфа-банк».

Итак, немножко статистики. В первом полугодии 2017 года мошенники похитили с кредитных карт россиян почти втрое меньше денег, чем за такой же период года прошлого. Это заявление Центробанка. И там говорят, что вообще за 2016 год сумма таких хищений составила около миллиарда рублей. Миллиард рублей увели мошенники со счетов ничего не подозревающих россиян. А знаете почему? Потому что мы сами виноваты.

Голенищев:

- Ну, на самом деле, да, я соглашусь с Валентином. Если предыдущее время интересы мошенников были направлены именно на карты, на поддельные карты, их использование соответственно, сейчас достаточно сильно переключились именно на атаки банковских счетов с использованием разных технологий, и одна из этих технологий, может быть, сейчас она для кого-то из вас прозвучит непонятно, но она наиболее эффективная, наверное, сейчас и наиболее в общем-то обидная для того, кто становится ее жертвой. Это так называемая социальная инженерия.

Алфимов:

- Термин, надо сказать, очень такой сложный. Думаешь, что они залазят тебе в голову какими-то там специальными лучами и выуживают оттуда все, нет, на самом деле, все не так. Я уверен, что 90% из вас с этим сталкивались. Что это такое? Это когда звонят по телефону и спрашивают данные карты. Ну, это если в двух словах…

Голенищев:

- Да, в двух словах – именно так. А на самом деле все гораздо сложнее. То есть, есть какие-то простейшие механизмы социальной инженерии. То есть, смысл один – любым каналом, там по телефону, СМС, почтой электронной, достучаться до вас кому-то, кому вы интересны как потенциальная жертва, и войти с вами в доверительные отношения. То есть, чтобы вы поверили тому, кто с вами связывается. И, соответственно, когда на той стороне чувствуют, что они вошли с вами в такой доверительный контакт, где-то быстро, где-то с большим набором таких ухищрений, с вас начнут вытягивать ваши данные персональные, конфиденциальные данные, как там счета, номера карты, параметры карт, всевозможные коды и пароли доступов, одноразовые коды для подтверждения операций и так далее. Соответственно, дальше уже использовать эти данные для совершения мошеннических операций.

Алфимов:

- Ну и самое интересное, что банк потом не обязан будет отвечать по вот этим случаям… Алексей, давайте проще…

Голенищев:

- Да, упрощу. Какие виды бывают социальной инженерии? Ну, скажем так, пути и варианты, как достучаться до вашего мозга, ввести вас в заблуждение, какое-то доверие вызвать у вас к себе и вытащить у вас данные. Ну, самое простейшее – это, ну, может быть, вы сталкивались и получали СМС-ки – мама, я там в аварию попал, срочно кинь деньги на телефон. И многие велись… сейчас-то уже нет, потому что тема как бы отработанная, такая уже реально паленая. Следующее – это уже звонки сотрудников банка, которые начинают вытаскивать с вас под разными предлогами, типа ваша карта заблокирована, или вы получаете на телефон СМС-ку, что код подтверждения на такую-то операцию там такой-то, сумма операции какая-нибудь интересная, и вам тут же звонит кто-то, мошенник представляется сотрудником банка и пытается этот код у вас получить, либо, чтобы вы ему выдали какие-то другие конфиденциальные данные. Понятно, что у потенциальной жертвы срабатывает такой как бы рефлекс, к сожалению, такой опасный, что, ну, вот, как же, сотрудник банка, как я могу не сказать. И человек по своей природе доверчив, но, к сожалению, все, что касательно ваших конфиденциальных данных и ваших денег, я вот просто умоляю вас эту доверчивость убирать куда подальше.

Алфимов:

- Что интересно, когда приходит сообщение от банка, когда реальные сообщения от реального банка приходят, в том числе, от «Альфа», там в сообщении крупными буквами всегда написано – НИКОМУ НЕ СООБЩАЙТЕ КОД, ДАЖЕ СОТРУДНИКАМ БАНКА.

Голенищев:

- Совершенно верно. То есть, наши СМС-ки, которые получают клиенты с одноразовыми кодами для подтверждения операций, прямо действительно пишется – никому не сообщайте данный код, даже сотруднику банка. И прошу это тоже вот себе на сердце буквально зарубить – это правило номер один.

Какие еще бывают варианты социальной инженерии? Это всевозможные почтовые сообщения. Причем, они могут приходить, даже вы видите адрес там Центрального банка, от Визы, от Мастеркарда – там карта ваша заблокирована или еще чего-то, и для получения дополнительной информации кликните сюда-то, либо могут быть сообщения от налоговой инспекции, от госорганов каких-то – что у вас там задолженность, кредит не погашен и т.д. В любом случае, если вы это получаете и у вас какое-то недоумение, что вроде как у вас ничего такого не должно быть, найдите в интернете или где угодно координаты этого учреждения, которое якобы вам прислало это сообщение, позвоните туда и по телефону уточните, что это такое. И я вас уверяю, что в 99% случаев вы поймете, что это мошенническая атака. Потому что это может быть, понимаете, даже не просто социальная инженерия, как бы вот направленная прямо сию минуту получить данные и использовать их как-то для хищения, вы можете получить в почтовом сообщении некий файл, вложенный там в Ворде, в Эксэль, в котором может сидеть серьезный компьютерный вирус. И как только вы туда кликните, ваш компьютер будет заражен и, если вы через свой компьютер совершаете какие-то финансовые операции, то этот вирус может собрать все данные, для того, чтобы деньги похитить с тех счетов, с которыми вы работали на этом компьютере.

Алфимов:

- Некоторые браузеры выпускают специальные дополнения и, если ты открываешь страницу мобильного банка, то они отправляют на защищенную, ну, начинают все данные отправлять по защищенному каналу.

Голенищев:

- Да, это вот к теме вообще безопасности в интернете. То есть, если вы совершаете какие-то финансовые операции с помощью своего компьютера, планшета, телефона – неважно – и заходите в тот раздел интернет-ресурса, где вы должны вводить какие-то конфиденциальные данные и тем более уже именно страница оплаты, страница браузера должна быть защищена. И если вы посмотрите в левый угол, где название этой страницы, там в обыкновенном как бы формате стоит аш-ти-ти-пи – латинскими буквами – там слэш и уже как бы адрес, на защищенной странице всегда пишется аш-ти-ти-пи-эс. То есть, всегда дополняется буковка эс и в зависимости от вида браузера там либо в левом верхнем углу, либо в правом верхнем углу появляется пиктограммка замочка. Значит, это защищенное, закриптованное как бы вот соединение и ваши данные никуда на сторону не уйдут.

Но мы уклонились немножко от социальной инженерии. Я хотел бы еще продолжить.

Алфимов:

- Да, еще какие есть методы?

Голенищев:

- Наверное, я расскажу один из наиболее популярных сейчас каналов, вариантов использования именно социальной инженерии, через который часто получаются случаи хищения. Это распространенная схема, ну, можно так ее назвать в кавычках «схема Авито». Вам всем известен этот достаточно популярный ресурс, через который можно продать и купить все, что угодно.

Алфимов:

- Насколько я понимаю, к нему никаких претензий-то нет…

Голенищев:

- Нет, к ним нет. Эта схема, я говорю, в кавычках, то есть, это не обязательно может иметь отношение к этому ресурсу, это может быть и авто.ру и другое там что угодно ру. Смысл в следующем. Потенциальная жертва, которая об этом еще не знает, она на Авито, либо похожем ресурсе, размещает объявление о продаже чего бы то ни было. Если это что-то достаточно дорогое, то, к сожалению, вам, скорее всего, сразу позвонят. И начнут с вами выстраивать доверительные отношения. То есть, позвонит мошенник и начнет с вами выстраивать доверительные отношения, чтобы влезть к вам в голову, в душу, ввести вас в заблуждение и т.д. Что именно этот товар ему нужен, что именно такого цвета, таких качеств и характеристик… причем, сразу имейте в виду, что они могут быть уже адресно подготовлены и рассуждать с вами не просто типа мне это надо, а разговаривать конкретно… А вам же надо продать, вы верите, у вас выключается как бы та зона мозга, которая отвечает за безопасность и включается жилка коммерческая. Вы уже представляете, куда вы эти деньги потратите и все такое. И вы зациклены как бы на этой уже волне. И это вот основной прием социальных инженеров, то есть, мошенников. И дальше он говорит – вы только не продайте никому, это то, что мне надо. И вы говорите – нет, не продам. Он – вот давайте, чтобы я точно был уверен, что вы не продадите, я вам предоплату дам за этот товар.

Алфимов:

- То есть, я, как продавец, слышу – мне предлагают денег, прямо сейчас…

Голенищев:

- Да, все, как бы бизнес попер, грубо говоря. И у вас вот как бы мышеловка захлопывается, грубо говоря, и вы говорите - давайте. Он говорит – у вас есть номер карты? Причем, у вас могут спросить номер конкретной карты конкретного банка. Иногда спрашивают – есть ли у вас карта «Альфа-банка», так же могут спросить, есть ли карта «Сбербанка»… Просто отдельные группы мошенников работают только по конкретным банкам – там, где чьи технологии они досконально знают… И вы даете свой номер карты, ваш номер телефона они знают, буквально 30 секунд, минута – и вы на свой телефон получаете СМС-ку, где написано – перевод с карты, кард ту кард, си ту си, на ту сумму предоплаты, которую вам мошенник и объявил. И некий код. И он же вам по телефону говорит – дайте код, чтобы операция завершилась и деньги будут на вашем счету.

Алфимов:

- Но сообщение-то приходит не от банка, а просто с какого-то номера?

Голенищев:

- Нет, сообщение приходит от банка, оно абсолютно честное, но вы должны понимать, и это очень важно, что, если вы на свой телефон получаете СМС-ку с подтверждением некоего кода перевода с карты на карту, то это не вам переводят деньги, а с вас их пытаются списать. И под любым предлогом если вы сообщаете этот код мошеннику, то деньги уходят с вашей карты на карту мошенника, которую вы не видите и не знаете. И что обидно и встречается не раз, они трубку не бросают сразу, а продолжают вас обрабатывать дальше. Типа, извините, чего-то не получилось, давайте еще раз попробуем, и так – по практике знаю – много случаев, где клиенты неоднократно выдавали с СМС-ок эти коды и с них списывали там по пять и больше раз.

Алфимов:

- Я не совсем понимаю, как эта схема может работать, потому что, когда у меня списывают деньги с моей карты, кстати, вот тоже один из способов не то чтобы обезопасить себя, но хотя бы быть в курсе того, что происходит, - это поставить себе мобильный банк. Плюс еще сообщения приходят. Мне придет сообщение – с вас списано там столько-то тысяч рублей.

Голенищев:

- Да, это действительно так, но мошенники готовятся достаточно изощренно, и почему они работают именно по конкретным банкам? Они знают нюансы работы их продуктов. То есть, зная номер карты, которую вы им дали, зная ваш телефон, есть сервис, которым можно пользоваться, когда вы как бы забыли пароль доступа в интернет-банк, в мобильный банк, и там для восстановления нужно набить, как один из вариантов, номер карты ввести и вам банк пришлет на ваш телефон СМС с паролем для восстановления доступа в этот банк. И вот на этом участке мошенники этот код выведывают, который вы получаете в виде СМС-ки и уже на своем мобильном телефоне открывают ваш кабинет, грубо говоря, ваше приложение в мобильном банке. А там видно уже и один счет, и, если несколько счетов, то несколько счетов. И с ними уже работают гораздо более адресно. Уже не факт, что переводы с карты на карту, это могут быть переводы и на другие счета. И там же в этом приложении – ну, это как бы тоже для удобства клиентов, которые не любят получать СМС-ки каждый раз по своей операции, есть функция «отключить уведомление о расходных операциях», о чем, к сожалению, мошенники тоже знают. Соответственно, выключив эту опцию, СМС-ки на телефон жертвы приходить не будут, чем, собственно, мошенники и пользуются.

Алфимов:

- По-хорошему, для того, чтобы снять деньги с карты, мошеннику достаточно знать номер телефона и номер карты – вот эти 16 цифр, которые написаны на лицевой стороне – и все?

Голенищев:

- К сожалению, да. Но опять-таки этого недостаточно. Этого достаточно для разыгрывания вот этой театральной социальной инженерии и уже дальше с ее помощью получать вот эти одноразовые коды и т.д. Вот вы с телефона хотите за что-то заплатить и вам хочется это сделать быстро, удобно и банк здесь идет вам на помощь и делает эти сервисы действительно для вас простые, что вы там буквально в два-три клика можете заплатить за телефон, провести какие-то операции. Делать для вас их более сложными и защищенными, конечно, тоже можно, но не факт, что вам удобно будет этим пользоваться. К сожалению, вот на этом рубеже безопасности и удобства сидят мошенники. Но если бы вы сами не выдавали им пароли, было бы все отлично.

Алфимов:

- Да еще половина людей психует, когда просто им по каждому чиху надо ввести код и т.д.

Хорошо, мы обещали слушателям нашей программы рассказать, почему вот за это банк ответственности не несет? Почему он деньги-то не вернет?

Голенищев:

- Основное – это то, что здесь, собственно, не были взломаны ни сервисы банка, ни приложения, ни программное обеспечение, а здесь вы сами, добровольно, выдали пароли, выдали какие-то конфиденциальные данные и банк вот здесь ничем вам помочь и защитить вас не может. Получается, что вы добровольно отдали свои деньги. К сожалению, такие операции очень тяжело ловятся системой выявления мошеннических операций. Потому что здесь все исполнено. Перевод с карты на карту делает сам клиент, сам вводит код. Ну, как это видит система. Но бывают некие параметры, которые все-таки срабатывают, система иногда реагирует, то есть, с банка могут позвонить сотрудники мониторинга и спросить, вы или не вы совершаете операцию? И в случае, если вы быстро среагируете, что вас обманули, либо банк среагирует, но, к сожалению, это нечасто случается, иногда удается связаться с тем банком, на чью карту пришли эти деньги, чтобы деньги эти заблокировать там и попытаться их вернуть клиенту. Но путь этот очень непростой и иногда упирается там вплоть до необходимости судебного решения о возврате этих денег.

Алфимов:

- В общем, подводим итог. Никому не разглашайте данные своей карты. Никому не говорите вот эти коды, которые вам приходят.

Голенищев:

- Даже если сотрудником банка представляется человек.

Алфимов:

- Да. Потому что сотрудник банка, если ему надо, он знает все.

Голенищев:

- Он знает номер карты, знает ваши счета. Ни в коем случае, если вам звонит сотрудник банка, не говорите кодовое слово, в том числе. То есть, его можно говорить, если вы сами звоните, допустим, в телефонный центр банка, да. Потому что сотруднику кол-центра нужно вас идентифицировать, а кодовое слово – это достаточно распространенный как бы идентификатор. Но если вам звонит как бы сотрудник банка, ни в коем случае ни паролей, ни кодов не говорите, и то, что вам приходит из СМС-ок, никому ничего не сообщайте.

Алфимов:

- И ваши деньги останутся при вас!

Слушайте также

ОБРАТНАЯ СВЯЗЬ
Московская студия 8-800-200-97-02
+7 (967) 200-97-02 +7 (967) 200-97-02
СЛУШАЙТЕ ТАКЖЕ