Как обманом убеждают стать инвестором
Это вложение денег с целью получения дохода. Существует множество способов инвестирования, например: банковский вклад – деньги передаются банку на определенный срок, спустя который он их возвращает с процентами; покупка золота, недвижимости, ценных бумаг (акций, облигаций), объектов искусства – это позволяет предотвратить обесценивание собственных денежных средств.
То есть инвестиционная деятельность может помочь сохранить деньги и принести дополнительный доход (о том, как увеличить доход и оценить прибыльность и надежность инвестиционных продуктов, читайте в публикации «Инвестиции: во что вложить деньги»).
Карантированный обман: что нового придумали мошенники за время самоизоляции
Пандемия и карантин заставили перестраиваться на новый лад всех, и мошенники не стали исключением. Какие ловушки для наших средств появились за время самоизоляции?
Вам полагается государственная помощь от коронавируса
«Через взломанный аккаунт в ОК, «друг» написал пожилому человеку, что для получения повышенной надбавки, положенной пенсионерам, ему необходимо выслать номер карты, CV код. … Все 6 транзакций пожилой человек подтвердил сам, высылая мошенникам коды, которые приходили ему на телефон. Мошенники суммарно украли около 25 тыс р», — пишет один из пользователей форума Банки.ру (здесь и далее сохранена орфография и пунктуация авторов отзывов).
Схема старая и тривиальная, но люди, особенно пожилые, часто на нее попадаются. Снижение доходов населения и рост безработицы дали этой схеме второе дыхание. Практически в каждом своем выступлении президент России Владимир Путин объявляет о новых мерах поддержки населения и бизнеса. Мошенники ждут этих выступлений не меньше, чем обычные граждане. Ведь первые постараются стать «посредниками» при выплате государственных компенсаций и пособий вторым.
В Интернете публикуется ссылка на сайт с заявлением президента о компенсации населению в связи с напряженной финансовой обстановкой в стране, рассказывают в Сбербанке об одной из наиболее популярных схем. Нажимая на кнопку «Получить помощь», пользователь попадает на другой домен, на котором его просят ввести персональные данные и объявляют размер положенной компенсации. Однако для получения выплаты «виртуальный юрист» сайта требует оплатить «услуги занесения данных в реестр» в размере 365 рублей.
Еще одна схема — якобы с возвратом налога. «Преступники размещают в Сети видеоролики с предложением возврата НДС всем россиянам, оставшимся без дохода. В этой схеме клиенты переходят по мошеннической ссылке из описания к видеоролику и самостоятельно совершают расходные операции», — объясняют в Сбербанке.
От имени государства мошенники готовы выдавать не только «материальную помощь». Коронавирус позволил преступникам использовать в своем роде уникальные уловки. Например, они требуют оплатить якобы выписанный штраф за нарушение режима изоляции, провести обязательный платный анализ на COVID-19 или предлагают оформить пропуск на передвижение, рассказывает заместитель начальника управления федерального государственного надзора в области защиты прав потребителей Роспотребнадзора Андрей Пучковский.
Когда власти Москвы ужесточили требования к самоизоляции и ограничили передвижения по городу, появились мошеннические сайты, Telegram-каналы, VK- и Instagram-аккаунты, предлагающие купить справки-пропуска на период карантина по цене от 3 000 до 5 500 рублей, сообщают в Group-IB. Компания обнаружила 185 мошеннических ресурсов, торгующих цифровыми пропусками, заблокировали 109 ресурсов, остальные находятся в процессе блокировки. Полиция уже задержала двух администраторов мошеннического сервиса, продававшего фальшивые цифровые пропуска.
«Мошенники активно используют низкую осведомленность и несколько нервозное состояние граждан и меняют скрипты атак после выхода практически каждой крупной новости, связанной с пандемией», — считает директор департамента информационной безопасности Росбанка Михаил Иванов.
Ловушка на каникулах
Множество новых схем связано с так называемыми кредитными каникулами. После принятия закона о предоставлении льготного периода по кредитам люди массово стали просить об отсрочке платежей. Однако значительная часть заемщиков не могла получить эти каникулы по закону: либо сумма кредита была выше установленной, либо возникали проблемы с подтверждением снижения дохода на 30% и более.
Пока банки разбирались с наплывом заявок на реструктуризацию, мошенники активизировались и на этом поле. ВТБ, например, зафиксировал появление фирм-однодневок, которые обещали решить любые вопросы с «прощением банковских кредитов». За консультации мошенники требовали денег — разумеется, вперед. «Сейчас такие мошенники весьма активны и мимикрируют под текущую новостную повестку: обещают содействие в получении выплат за соблюдение самоизоляции или кредитных каникул, создавая у граждан ложное впечатление, будто бы такие каникулы представляют собой не отсрочку, а полное списание долга», — отмечает координатор по защите прав потребителей финансовых услуг проекта Минфина России по финансовой грамотности Анна Чаплыгина.
Другой тип мошенников пользуется тем, что многие заемщики, желающие получить кредитные каникулы, испытывают трудности с оформлением документов, подтверждающих снижение дохода. Поэтому мошенники предлагают поддельные справки по форме 2-НДФЛ и фальшивые больничные листы с отметками о коронавирусе. Таким образом они пытаются похитить персональные данные своих жертв.
Неудавшееся путешествие
Мошенники активно пытаются «сыграть» и на неудавшемся отпуске россиян. Закрытие границ и массовые отмены рейсов создали целые «центры возврата» денежных средств авиалиний и отелей.
Преступники воспользовались тем, что авиакомпании не справлялись с возвратом денежных средств за отмененные рейсы и предлагали своим клиентам ваучеры на сопоставимую сумму. Как сообщали в ВТБ, мошенники заранее связывались с клиентами, которые планировали свои перелеты в этом году, представлялись сотрудниками перевозчика и предлагали купить ваучер у них напрямую. В случае если клиент просил все же вернуть ему деньги, злоумышленники обещали «урегулировать вопрос» за определенное вознаграждение.
Двойной обман
В апреле Group-IB предупредила о распространении новой волны мошенничества. Заключалось оно в том, что людям, уже пострадавшим от интернет-преступников, аферисты предлагали получить компенсацию ущерба. Разумеется, никакой компенсации пострадавшие не получали, зато снова предоставляли мошенникам данные банковских карт и лишались очередной суммы денег.
В компании рассказали, что злоумышленники действуют под видом несуществующих организаций — Международной службы «Единый центр возвратов», «Национального Лотерейного Содружества», «Центра финансовой защиты» и других. CERT-GIB обнаружил целую сеть связанных сайтов, включавшую более 170 доменных имен, зарегистрированных на одно и то же лицо.
Фишинг под новым соусом
Во время пандемии наибольшей популярностью у злоумышленников пользуются поддельные сайты, предлагающие купить средства защиты, лекарства или вакцину, недорогой анализ на коронавирус, сделать пожертвование в фонды, связанные с COVID-19, рассказывает ведущий специалист группы исследования киберугроз Positive Technologies Денис Кувшинов. Появились, например, сайты, на которых размещены поддельные карты распространения вируса. Когда пользователь посещает такой сайт, на его гаджет устанавливается вирус-вымогатель либо используется уязвимость в браузере. Это приводит к утечке персональных и платежных данных пользователя.
Злоумышленники также создают на популярных сервисах бесплатных объявлений так называемые лоты-приманки, а затем присылают покупателю ссылку на фишинговую страницу «курьерского сервиса» и просят перевести деньги за товар и доставку. «По такой схеме работают десятки преступных групп, и за три месяца карантина их заработки росли как на дрожжах: от 3,5 миллиона рублей в феврале до 9 миллионов в апреле», — сообщили в Group-IB.
Старые добрые сотрудники службы безопасности банка
«Мне звонит телефон, на экране высвечивается Хоум Кредит банк, парень, имя не помню, и говорит, ваш личный кабинет хотят взломать и взять кредит! Еще один! Я не поверила. Он рассказал полностью всю мою кредитную историю, всю личную информацию обо мне, все как и положено сотруднику банка. Я не зная того, попросила заблокировать мой личный кабинет и дала пароль», — рассказывает пользователь под ником nbv070814.
Телефонные мошенники продолжают находить своих жертв. Пандемия лишь подогрела активность мошенников на этом поприще.
«Рост активности мошенников был связан с пандемией коронавируса и режимом самоизоляции — для людей это было серьезное изменение повседневной жизни, многие испытывали определенный стресс, из-за самоизоляции были ограничены в общении с друзьями и родственниками, и мошенники пытались воспользоваться этой ситуацией», — объясняет директор службы информационной безопасности ПСБ Дмитрий Миклухо.
По данным ПСБ, в апреле количество обращений клиентов, столкнувшихся со звонками мошенников, увеличилось примерно на треть. При этом уже в мае по сравнению с апрелем активность мошенников снизилась на 40%. По мнению Миклухо, это связано с тем, что люди стали более осторожны и информированы, к тому же в мае во многих регионах началось смягчение коронавирусных ограничений, люди возвращались к привычному образу жизни и стали менее уязвимы к атакам мошенников.
Часто «а-ля сотрудники банка» используют новейшие технологии. Например, якобы для отмены мошеннической операции просят назвать СМС-код через «автоматизированную систему» или голосового помощника. Как показывает практика, доверия к таким ноу-хау у клиентов больше.
Как удалось выяснить Банки.ру, мошенники-банкиры не всегда звонят первыми. Иногда клиент и сам может на них выйти, пытаясь связаться со своим банком по официальному номеру телефона. Например, еще на прошлой неделе при вводе номера телефона Альфа-Банка в поиске Skype можно было найти аккаунт мошенника. Он был замаскирован под официальный канал банка, с логотипом и надписью «Дистанционное банковское обслуживание». На самом деле никакого аккаунта в Skype у Альфа-Банка нет и не было, а на том конце жертву ждал учтивый и внимательный мошенник, готовый помочь с любой возникшей проблемой. Сейчас этот канал заблокирован. Подобные ловушки были расставлены и для клиентов других банков, а у самой схемы уже есть как минимум один реальный пострадавший.
Автору этих строк самой «посчастливилось» побеседовать с мошенником, скрывавшимся за фейковым аккаунтом Альфа-Банка. Звонила я под фальшивым предлогом — мол, нахожусь за границей, вернуться не могу, срок карты заканчивается. Мошенник внимательно меня выслушал и взял паузу на несколько минут, но за это время не придумал ничего интереснее, чем посоветовать мне включить режим видеотрансляции экрана и войти в собственный онлайн-банк для «смены лицевого счета». Когда же я раскрыла обман и попыталась пристыдить мошенника, он гордо заявил, что я его оскорбляю, и попросил больше в банк не звонить.
Защита от обмана и злоумышленников
Опубликовано 29.11.2019 в 11:32
Предложен новый подход к защите финансовых операций в системах дистанционного банковского обслуживания, основанный на оценке риска пользовательской сессии в режиме реального времени. Объединение продуктов SafeTech PayControl и Group-IB Secure Bank обеспечивает адаптивную аутентификацию пользователя, подтверждение транзакций электронной подписью, а также скоринг устройств клиента в целях обнаружения признаков финансового мошенничества и немедленного реагирования на подозрительное событие. Интегрированное решение обеспечивает всестороннюю и непрерывную защиту физических и юридических лиц, использующих системы дистанционного банковского обслуживания, снижает нагрузку на колл-центр и антифрод-системы банка, а также делает проведение платежных операций максимально удобным для пользователей.
Павел Владимирович Крылов, руководитель по развитию продуктов Secure Bank/Secure Portal Group-IB, sb@group-ib.com
Дарья Дмитриевна Верестникова, коммерческий директор SafeTech, d.verestnikova@safe-tech.ru
10 октября Telegram-канал Group-IB сообщил: «Крупнейший финансовый форум FINOPOLIS’2019 начал работу. Наши агенты с полей рапортуют, что сегодня утром на стенде Group-IB и SafeTech появились бармены и они активно наливают коктейли – вам «Адаптивную аутентификацию» или «Защищенное ДБО»?». За этим маркетинговым ходом скрывалась продуктовая презентация двух вендоров в области кибербезопасности. Заказ коктейля через специальное приложение инициировал скоринг мобильного устройства при помощи Group-IB Secure Bank. Если все в порядке – операция подтверждалась электронной подписью PayControl. Вся процедура занимала доли секунды, и в итоге клиент получал свой бокал со стикером, содержащим QR-код. Отсканировав его, можно было посмотреть информацию о своем устройстве и статистику за сутки – есть ли подозрительные оповещения: не «рутован» ли смартфон, не стоит ли на нем программа удаленного доступа, не заражен ли он мобильным трояном. Такой подход позволил представить комплексное решение, созданное на основе продуктов Secure Bank и PayControl. Именно оно, по мнению экспертов рынка, является наиболее действенным оружием против банковского мошенничества.
Актуальность «коктейля безопасности»
Обеспечение безопасности систем дистанционного банковского обслуживания (ДБО) по-прежнему входит в число важнейших проблем современной банковской отрасли в России. Согласно Обзору несанкционированных переводов денежных средств за 2018 год, выпущенномуФинЦЕРТ Банка России[1], количество попыток банковского мошенничества в этом сегменте растет из года в год, особенно это характерно для систем ДБО юридических лиц, поскольку успешные атаки на них позволяют похитить более крупные суммы денег. Так, в 2018 году в Банк России была представлена информация о 6151 несанкционированной операции со счетов юридических лиц на общую сумму 1,469 млрд руб. При этом, по сравнению с предыдущим годом, был отмечен рост числа попыток хищений на 631 % (в 7,3 раза!). Почти половина хищений (46 % в 2018 году) произошло в результате получения злоумышленниками доступа к системам ДБО с использованием вредоносного ПО, рассчитанного на взлом программного обеспечения стационарных компьютеров.
В Отчете Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере департамента информационной безопасности Банка России 1.09.2018–31.08.2019 основными причинами хищений в системах ДБО физических лиц также названы вредоносное ПО и методы социальной инженерии[2]. По информации ФинЦЕРТ Банка России, в 2018 году с использованием приемов социальной инженерии было совершено более 97 % хищений со счетов физических лиц. В 2019 году ситуация усугубилась – в арсенале злоумышленников появился новый способ обмана жертв. Как сообщают эксперты ФинЦЕРТ Банка России, технология подмены исходящего телефонного номера на номера, идентичные номерам коллцентров кредитных организаций, позволила им успешно выдавать себя за сотрудников служб безопасности банков и получать необходимую ин формацию у самой жертвы. Обладая ее персональными данными[3], злоумышленники с легкостью имитируют диалог клиента с сотрудником банка, страховой компании, государственной структуры или иной организации. Исходя из предположения, что указанные данные могут быть известны только им, жертва поддается на обман, сообщая в конечном итоге контрольные слова, коды подтверждений и другую информацию, предоставляющую мошенникам возможность вывести с подконтрольных клиенту счетов денежные средства. Все новостные ленты, радио- и телевизионные программы пестрят сообщениями об очередных успешных попытках злоумышленников получить данные пользователей, представившись «сотрудниками банков».
В качестве рекомендаций для защиты систем ДБО экспертами ФинЦЕРТ Банка России названы «…комплексные кросс-канальные решения, позволяющие… отслеживать и предупреждать атаки на стороне пользователей еще на этапе подготовки – за счет функций идентификации устройства, поведенческого анализа и выявления вредоносного ПО». Для решения же проблемы социальной инженерии наряду с административными мерами регулятора, извечными рекомендациями «повышения киберграмотности населения» и «информационными кампаниями» может стать использование таких механизмов подтверждения платежей, которые исключают возможность их проведения иначе чем самими клиентами на своих мобильных устройствах. Это означает безусловный отказ от любых кодов подтверждения, пересланных в сообщениях SMS или PUSH, переход к использованию полноценной мобильной электронной подписи.
Как раз для решения этих задач и был создан «коктейль безопасности» – решение на основе Secure Bank и PayControl.
Универсальная защита: от «сотрудников банка» и от вредоносного ПО
В чем суть комплексного решения? Фактически предложен новый подход к защите финансовых операций в системах ДБО, который основан на оценке риска пользовательской сессии в режиме реального времени. Объединение продуктов SafeTech PayControl и Group-IB Secure Bank обеспечивает адаптивную аутентификацию пользователя, подтверждение транзакций только лишь электронной подписью, а также скоринг устройств клиента в целях обнаружения признаков финансового мошенничества и немедленного реагирования на подозрительное событие.
Рисунок. Схема работы комплексного решения PayControl и Secure Bank
Таким образом, решение обеспечивает всестороннюю и непрерывную защиту клиентов систем ДБО. Интеграция системы проактивного обнаружения банковского мошенничества на устройствах клиента Secure Bank и платформы мобильной аутентификации и электронной подписи PayControl позволяет предотвратить весь комплекс потенциальных проблем, связанных с мошенничеством в системах ДБО, и одновременно сделать дистанционные каналы обслуживания более удобными.
Адаптивная аутентификация: чем выше риск – тем больше факторов проверки
Что подразумевается под адаптивной аутентификацией? Group-IB Secure Bank проводит скоринг смартфона, планшета или любого другого устройства, с которого пользователь заходит в мобильное банковское приложение или в личный кабинет на сайте банка. В режиме реального времени устройство «сканируется» для выявления на нем признаков социотехнических атак, кросс-канального платежного мошенничества, подозрительного поведения пользователя, попыток кражи, нелегального использования учетных данных, заражения банковскими троянами или наличия web-инъекций.
По оценкам Group-IB, системы транзакционного анализа используют как минимум 70 % банков из топ-100, у остальных они присутствуют фрагментарно, например, только на процессинге. Однако, несмотря на широкое распространение «транзакционки», для противодействия мошенничеству с использованием социальной инженерии недостаточно просто уметь анализировать транзакцию, опираясь исключительно на нетипичность платежа, поскольку таких нетипичных платежей может быть много. В результате, банк попросту не сможет это все обрабатывать. Здесь нужны дополнительные данные, которые предоставляют системы поведенческого анализа работы пользователя с банком через различные системы ДБО – мобильный банкинг, интернет-банкинг и др. При этом подход к анализу сессии и дальнейшей аутентификации пользователя должен быть гибким.
Нестандартные транзакции – с большими суммами, на неизвестные счета, с нетипичных устройств – нуждаются в дополнительном скоринге, оценке риска операции и подтверждении электронной подписью. Таким образом, для каждой операции требуется свой набор факторов для контроля, позволяющих ей пройти проверку. В процессе подписания конкретной финансовой транзакции PayControl получает от системы ДБО данные операции, а от Secure Bank – результат скоринга, то есть оценку уровня риска сессий создания и подписания операции. На основании этих данных PayControl «принимает решение», какое количество факторов доступа к ключу подписи запросить у пользователя, и только после их ввода подписывает операцию электронной подписью, позволяющей гарантировать авторство и неизменность платежного документа.
Если финансовая операция вызывает подозрения на уровне сессионного анализа (Secure Bank) или транзакционного анализа (антифродсистема), PayControl обязательно запросит дополнительный фактор для электронной подписи, например, биометрическое подтверждение или ввод PIN-кода. Исполнение транзакции будет невозможно, если устройство не прошло скоринг и выявлены явные признаки мошенничества.
Эти возможности основаны на автоматической оценке уровня риска пользовательских сессий, контроле состояния клиентского устройства и мобильной электронной подписи, контролирующей целостность и авторство подтверждаемого документа (см. рисунок).
Что это дает пользователям систем ДБО? В процессе создания комплексного решения ставилась задача обеспечить максимально возможный уровень безопасности при совершении любых операций в цифровых каналах, не снижая при этом мобильности и удобства работы пользователей. Интеграция как раз и позволила достигнуть сочетания этих требований. Теперь клиентам банков для подписи транзакции потребуется либо ввести пароль, либо предъявить Touch ID или Face ID, либо электронная подпись под доверенной операцией сформируется вообще без каких-либо действий со стороны пользователя.
Комплексное решение – в чем польза для банков?
Разработчики интегрированного решения сделали ставку на простоту внедрения: банк получает готовый инструмент для оценки рисков и электронной подписи конкретных финансовых сессий пользователей. Не менее важным является снижение нагрузки на антифрод-системы за счет отсутствия необходимости сопоставления разрозненных данных о транзакции пользователя из системы ДБО и данных об устройстве пользователя и событиях, связанных с осуществлением платежа.
К плюсам адаптивного подтверждения платежей также относится прямое снижение затрат на услуги операторов связи (расходы на SMS), экономию за счет уже реализованной интеграции систем друг с другом, на их техническую поддержку и эксплуатацию.
Технологически комплексное решение Group-IB и SafeTech позволяет предложить банкам готовое решение не только для выявления мошенничества в совершенных операциях, но и для реагирования в процессе подписания документа. Это расширяет возможности применения системы проактивного обнаружения банковского мошенничества, так как скоринг идет в режиме реального времени во всех каналах коммуникации клиента с банком. Например, если платеж был инициирован через удаленное управление на мобильном устройстве, то подписание транзакции будет отклонено по признаку проведения социотехнической атаки. Таким образом, сколько бы не было осуществлено попыток мошенничества с использованием методов социальной инженерии в отношении конкретного пользователя, даже если он поверил подставному «сотруднику чего бы то ни было», технологически такая операция будет остановлена банком.
[3] Анализ средств и методов социальной инженерии, выполненный ФинЦЕРТ Банка России, свидетельствует, что основными объективными факторами, способствующими распространению социальной инженерии, являются неправомерный доступ к следующим персональным данным физических лиц: фамилии, имени и отчеству, а также номеру телефона.
Двойной обман: Group-IB предупреждает об активизации аферы по возврату денег, украденных интернет-мошенниками
Group-IB, международная компания, специализирующаяся на предотвращении кибератак, фиксирует распространение новой волны мошенничества, в котором пользователям, уже пострадавшим от интернет-преступников, предлагают получить компенсацию ущерба, но вместо этого списывают деньги и похищают данные банковских карт. Злоумышленники действуют под видом несуществующих организаций — Международной службы «Единый центр возвратов», «Национального Лотерейного Содружества», «Центра финансовой защиты» и др. Помимо стандартного привлечения жертв через рассылку по почте, в мессенджерах или соцсетях, мошенники для формирования доверия используют фейковые СМИ с интервью тех, кто якобы уже получил возврат денег. CERT-GIB продолжает блокировку мошеннических ресурсов и призывает пользователей быть бдительными.
Цинизм крепчал: за опрос не бьют в нос
На фоне тревожной новостной повестки, вызванной пандемией коронавируса, перехода на «удаленку» и финансовых трудностей в отдельных сегментах бизнеса, интернет-мошенники активнее используют проверенные психологические приемы с социальной инженерией. Одной из самых успешных интернет-афер остается схема «Двойной обман», которая этой весной активизировалась в интернете.
Суть схемы состоит в том, что людям, однажды уже ставшим жертвами интернет-мошенников, предлагают помощь в получении компенсации за ущерб. Сценариев у схемы несколько — мошенники предлагают возместить деньги за участие в популярных фейковых опросах, give away или «недобросовестных» лотереях. В другом случае обещают компенсацию НДС за расходы на покупку иностранных товаров: лекарств и БАДов, одежды и обуви, продуктов питания, топлива, стройматериалов, бытовой техники и т.д. Мошенники активно используют «синдром обманутого вкладчика» — так в 90-е годы жертвы финансовых пирамид, поддавшись на вирусную рекламу возврата потерянных средств, добровольно несли оставшиеся деньги в структуры типа «МММ» и вновь оказывались жертвами аферы.
CERT-GIB исследовал инфраструктуру одного из мошеннических ресурсов — Международной службы «Единый центр возвратов» (ЕЦВ) — и обнаружил целую сеть связанных сайтов, включавшую более 170 доменных имен, зарегистрированных на одно и то же лицо. Параллельно с ЕЦВ работает ее схема-клон: от лица «Национального Лотерейного Содружества» посетителям обещают страховую выплату за «недобросовестную» деятельность организаторов лотерей.
Рис. 1 Связанные домены схемы «Двойной обман», исследованные с помощью системы графового анализа Group-IB
Пытаясь избежать блокировок, мошенники уходят из Рунета. Если два года назад в доменной зоне .ru были зарегистрированы всего несколько сайтов с предложением компенсаций, то в конце 2019 года появились порядка 200 доменов в международной доменной зоне .xyz (именно здесь часто регистрируют образовательные, инженерные и юридические ресурсы, —прим. Group-IB), чтобы избежать быстрой блокировки. В марте 2020 года появились три десятка новых доменов под схему с компенсацией НДС.
Рассчитайте выплату — и будет вам счастье
Атака, как правило, начинается с рассылки в мессенджерах, по почте или в соцсетях. Эксперты CERT-GIB предполагают, что мошенники проводят свои рассылки как «на холодную» , так и таргетировано, по жертвам прошлых афер, поскольку в различных схемах (например, «Кроличья нора») злоумышленники специально собирают данные пользователей — ФИО, телефоны или адреса электронной почты, чтобы использовать их повторно для рассылки спама или ссылок на новые мошеннические акции.
В кейсе с компенсацией НДС была выбрана более изощренная модель продвижения: мошенники рекламировали в группах Яндекс.Район фейковое интервью со специально созданного сайта-клона популярного издания Лента.ру: «76 летняя пенсионерка получила 170 000 руб компенсации НДС и потратила все деньги на стрептизера» (орфография сохранена). Публикацию сопровождали новости о коронавирусе, самоизоляции и отзывы «счастливчиков», получивших деньги. Из интервью ссылка вела на посадочную страницу, где посетителям предлагали рассчитать сумму компенсации НДС — на сайт «Центра финансовой защиты».
На сайте «Единого центр возвратов» говорится, что максимальная сумма компенсации составила 250 000 рублей. В «лотерейной схеме» пострадавшим от лица несуществующего «Национального Лотерейного Содружества» обещают выплатить чуть больше — до 280 000 рублей, на сайте «Центра финансовой защиты» — до 300 000 рублей.
Чтобы получить возврат за участие в опросе или лотерее, посетителям необходимо рассчитать сумму компенсации, вбив последние 4 цифры своей банковской карты (на сайте «Центра финансовой защиты» — 6 цифр ). По легенде мошенников, сумма возврата якобы рассчитывается, исходя еще и из IP-адреса посетителя и его локации (страна, город), что, конечно же, является фейком.
Введя вымышленные цифры, специалисты Group-IB обнаружили, что могут рассчитывать на сумму возврата в 231 926 рублей (компенсация 181 700 рублей + 50 228 рублей «страховка»). Наличие подобной «уязвимости» — ввести можно абсолютно любые цифры — свидетельствует о том, что мошенники не только завлекали реальных жертв прошлых кампаний, но и просто любопытных посетителей, решивших испытать судьбу. Понятно, что выплаты были одобрены абсолютно всем. Для большей убедительности на сайтах были опубликованы многочисленные позитивные отзывы и «истории успеха» тех «счастливчиков», которые якобы смогли получить компенсацию и не скрывали своей радости.
После расчета и одобрения суммы компенсации пользователю необходимо было ответить на вопросы «юриста отдела страховых выплат». Его аватарка появлялась тут же во всплывающем окне «чат-бота» — юрист предлагал пользователю заполнить анкету, указав ФИО и телефон, а затем оплатить его «услуги» за оформление документов. Разумеется, разговор с «юристом» — имитация живого диалога, все сообщения представляют собой заранее подготовленный скрипт для чат-бота, что еще раз свидетельствует о технологичности придуманной схемы.
Чтобы у жертвы не было желания покинуть сайт, злоумышленники угрожают потерей денег, ссылаясь на несуществующий документ — «О страховых возмещениях № 319» п22, согласно которому, если в течение 24 часов обманутый пользователь не получит деньги, вся сумма якобы вернется организаторам интернет-опроса.
Продолжение классическое: для получения компенсации жертве нужно внести небольшую сумму — как правило, до 1000 рублей за юридическую помощь в заполнении анкеты. Перейдя по ссылке на новую страницу — пользователь попадал на фишинговый сайт. Здесь уже организаторы «Двойного обмана» запрашивают данные банковской карты — номер, имя владельца, срок действия, CVV-код. Таким образом, как и в более ранних схемах мошенничества, со счета жертвы списывается небольшой «взнос», а данные банковской карты остаются в руках интернет-преступников.
Александр Калинин
Руководитель отдела мониторинга и реагирования на инциденты информационной безопасности (CERT-GIB)
Эксперты Group-IB предупреждают, что сайты схемы «Двойной обман» продолжают появляться в Интернете: наиболее активные ресурсы, часть из которых заблокирована, часть в процессе блокировки, приведены ниже:
| r24compencationscenter.xyz | rmoneybackservice.xyz |
| rvozvratmoment.xyz | rcashbackk0.ru |
| rdengikompencation.ru | rloteryhappy.ru |
| rvozvratonline1.ru | rcashpower.ru |
| rchep1pc.ru | rcashe.ru |
| rcsmxpqh.ru | rcpi51roc.ru |
| rc0p9xvc.ru | rhappywinner2020.ru |
Данные мошеннических ресурсов специалисты CERT-GIB направили регистраторам доменных имен для их дальнейшей блокировки. Сообщить о мошеннических сайтах вы можете по телефону «круглосуточной линии» +7 (495) 984-33-64 или на почту response@cert-gib.com
Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления фрода и защиты интеллектуальной собственности в сети. Система сбора данных о киберугрозах Group-IB Threat Intelligence признана одной из лучших в мире по версии Gartner, Forrester, IDC.
В основе технологического лидерства компании – 17-летний опыт расследования киберпреступлений по всему миру и более 65 000 часов реагирования на инциденты ИБ, аккумулированные в крупнейшей в Восточной Европе Лаборатории компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB.
Group-IB — партнер Interpol и Europol, поставщик решений в сфере кибербезопасности, рекомендованный SWIFT и ОБСЕ. Group-IB – компания-участник Всемирного экономического форума.
Как защититься от вредоносных программ? Anchor link
Используйте антивирус
Антивирусное ПО может стать эффективным способом борьбы с обычными «нецеленаправленными» вредоносными программами, используемыми преступниками с целью атаки широкого круга пользователей. Однако антивирус обычно не эффективен при направленных атаках. Примером стала атака на газету New York Times, проведённая китайской командой хакеров, подчиняющихся правительству. EFF рекомендует использовать антивирусное ПО как на вашем персональном компьютере, так и на смартфоне. Однако мы не можем выделить какой-либо антивирус в качестве предпочтительной меры защиты от вредоносных программ.
Относитесь с подозрением к вложениям
Лучшим способом защиты от направленной атаки с помощью вредоносного ПО станет полный отказ от открытия подозрительных документов и прочих файлов (например, установочные пакеты). У продвинутых пользователей со временем развивается «инстинкт»: они чувствуют, что может оказаться вирусом, а что нет. Но хорошо спланированная направленная атака бывает весьма эффективной.
Если вы пользуетесь Gmail, открывайте подозрительные вложения с помощью Google Drive вместо того, чтобы скачивать их. Таким образом вы сможете предотвратить заражение вашего компьютера вирусом. Использование менее распространённых платформ (Ubuntu или ChromeOS) значительно увеличит ваши шансы в противостоянии множеству уловок распространителей вредоносных программ, но, к сожалению, не сможет предоставить гарантированную защиту от наиболее изощрённых злоумышленников.
Обновляйте приложения
Другой способ обезопасить себя от вредоносных программ – всегда использовать самые свежие версии программ и последние обновления, касающиеся безопасности.
Люди узнают о новых уязвимостях приложений, авторы исправляют ошибки и предоставляют эти исправления в качестве обновлений. Без обновлений вы рискуете остаться с уязвимостями. Распространено заблуждение, что если вы пользуетесь нелицензионной копий Windows, то не можете (не должны) устанавливать обновления безопасности. Это не так.
Обратите внимание на индикаторы взлома
Иногда не получается определить наличие вредоносной программы с помощью антивируса, особенно если она новая и/или пока не известна производителю антивируса. В этом случае можно попробовать обнаружить признаки взлома. Индикаторами взлома являются знаки или намеки на то, что ваш компьютер был заражен вредоносным ПО. Например, вы можете обратить внимание на то, что горит индикатор рядом с веб-камерой на вашем ноутбуке при том, что вы её сами не активировали (хотя наиболее продвинутые вредоносные программы способны отключать этот индикатор даже при использовании камеры). Другим примером будет предупреждение пользователя компаниями Facebook, Twitter, Microsoft и Google при подозрении на атаки на вашу учётную запись со стороны злоумышленников, работающих при поддержке государства.
Встречаются и менее очевидные признаки. Так, вы можете заметить, что в вашу учётную запись электронной почты заходили с незнакомого IP-адреса или что настройки оказывались изменены, чтобы копии писем отправлялись на неизвестный вам адрес e-mail. Если вы знакомы с мониторингом сетевого трафика, временные показатели и объёмы трафика тоже могут служить индикаторами взлома. Другим примером может стать подключение вашего компьютера к серверу управления и контроля – компьютеру, который отправляет команды заражённым машинам или получает от них данные.
Успех мошенников в использовании банковской процедуры авторизации 3DSecure в своих целях связан с использованием в России устаревшей версии этой технологии – 3DS 1.0. Именно в ней содержится уязвимость, позволяющая злоумышленником на 100% подделывать данные о назначении платежа и вводить потребителей в заблуждение.
«Повсеместное использование протокола 3DS версии 1.0 говорит о том, что этот вид мошенничества, вероятнее всего, получит дальнейшее распространение. Для защиты своих клиентов банкам, невольно втянутым в схему, нужно использовать системы, задействующие технологии сессионного и поведенческого анализа», – сказал руководитель направления по защите от онлайн-мошенничества Group-IB Павел Крылов.
Он также добавил, что мошенничество с использованием P2P-платежей получило новое развитие в период глобальной пандемии коронавируса COVID-19.
Защита от обмана и злоумышленников
Телефонные мошенники на фоне коронавируса повысили ставки — с похищения денег с банковских карт они переключились на депозиты граждан, где, как правило, хранится гораздо больше средств, чем составляют остатки по счету. Такая смена цели связана с тем, что результативность массовых обзвонов падает, хотя их число растет. О ситуации в сфере кибермошенничества в интервью «Известиям» рассказал первый заместитель директора департамента информационной безопасности Банка России Артём Сычев. Кроме этого, он сообщил об учащении случаев обмана преступниками друг друга и поделился информацией о судьбе законопроектов для борьбы с хищением средств со счетов граждан.
От карт к депозитам
— В период изоляции безналичные платежи выросли на порядок, кроме этого было серьезно засорено информационное поле. Воспользовались ли мошенники ситуацией?
— Темы COVID-19, компенсаций от государства, выплат, снижения налогов, изменения условий по кредитным договорам действительно активно использовались злоумышленниками. Однако мошенники усиленно работали только неделю-полторы, пока не было детальной информации о том, как получить эти льготы. То есть как только государственные органы и банки начали активную разъяснительную кампанию по той или иной важной теме, активность злоумышленников падала.
Что касается кибербезопасности финансовых организаций, то переход на удаленную работу не сильно повлиял на существующую ситуацию. Увеличения числа успешных кибератак на банки в период пандемии нами не зафиксировано. Даже если банки переводят сотрудника на дистанционную работу, доступ к данным у него остаётся таким же, какой был в офисе. Для нас как регулятора важно, чтобы банк мог обеспечить защиту информации на должном уровне, а будет сотрудник при этом работать в офисе или дистанционно — не принципиально.
— Появились ли какие-то новые сценарии обмана?
— Злоумышленники пытаются убедить людей в том, что есть угроза их накоплениям. Сценарий «с вашего счета перевели деньги» трансформировался в новый — «есть угроза вашему депозиту». Суть в целом осталась та же — средства нужно перевести на якобы безопасный счёт. Для этого жертва либо должна сообщить данные карты, коды из СМС и т.д., либо самостоятельно перевести деньги. С точки зрения злоумышленников депозиты гораздо интереснее, чем остаток по обычному счету, так как можно сразу получить большие деньги. Это смещение интереса означает, что в массовом сегменте, где доход мошенника зависел скорее от количества обзвонов, прибыльность начала снижаться.
— Это как-то повлияло на количество обзвонов?
— Их количество возросло, но результативность — нет. Суммы похищаемых денег существенно не увеличились. Мы также видим, что доля несанкционированных операций в общем объеме платежей уменьшается. Более того, злоумышленники стали звонить по одному и тому же номеру несколько раз, да ещё в течение нескольких дней подряд. Это означает, что либо работает несколько групп, либо одна и та же, но ей не хватает выручки. То есть доля удачных звонков, которые закончились хищением средств, сокращается. Я полагаю, что снижение результативности массовых обзвонов связано и с тем, что наши граждане стали в большей степени вооружены знаниями о существовании мошенников-обзвонщиков, стали настороженнее относиться к звонкам.
10 рублей и выше
— За последний год в публичном поле массово появлялись данные о миллионных утечках баз данных из крупнейших финансовых организаций. Можно ли его окрестить «годом утечек персональных данных из банков»?
— Я бы так его не назвал. Роста утечек в финансовом секторе по сравнению с прошлым годом мы не наблюдаем. Рынок нелегальной информации, отнесенной к персональным данным, в принципе всегда относительно стабилен. И говорить о каких-то всплесках можно с очень большой натяжкой.
— В каких объёмах на чёрном рынке продаются именно банковские утечки?
— В гораздо меньших объемах, о которых в своих «предложениях» утверждают сами злоумышленники. Что примечательно, на этом же черном рынке есть большое количество мошенников, которые обманывают других мошенников. Они заявляют, что у них миллион записей из банка, а на самом деле их в лучшем случае несколько тысяч, или утечка эта из других организаций или скомпилирована из открытых источников — из соцсетей. На рынке очень много материалов, которые выдают за свежие данные, а на самом деле это очень давние утечки.
Конечно, можно ужесточать правила защиты информации в разных организациях, однако это полностью проблему не решит. То, что человек выдает о себе в социальных сетях, разных фишинговых сайтах, интернет-магазинах и других сайтах может использоваться мошенниками, и важно всем об этом помнить.
Более того, проблему утечек надо рассматривать в комплексе. Данные крадут для того, чтобы использовать в противоправных целях. Обзвонщики с помощью техник социальной инженерии вынуждают людей совершать поступки, которые приводят к тому, что деньги утекают от законного владельца к злоумышленнику. Если сравнить объемы утечек из банков с числом людей, которым звонят мошенники, то диспропорция становится очевидной: злоумышленники звонят гораздо большему числу людей, чем количество клиентов банков, данные которых утекли. Вывод один — проблема утечек характерна не только и даже не столько для банков.
— Как это выясняется?
— Мы видим не только количественную статистику по обзвонам, по операциям без согласия клиента, но и структуру — суть этих операций. Кстати, практически по всем утечкам именно из кредитных организаций, которые были зафиксированы в прошлом году, есть реализованные уголовные дела, какие-то уже имеют судебные решения. То есть если все-таки происходит утечка из банка, то всегда проводится серьезное расследование, виновные, как правило, находятся и предстают перед судом.
— Сколько стоят клиентские данные на чёрном рынке?
— Цена сильно зависит от состава данных, от продавца. В среднем одна запись стоит от 10 рублей и выше.
— Информация о базах данных, в том числе банковских, стала все чаще появляться в открытых источниках — на форумах, в телеграм-каналах. Насколько она интересна для ФинЦЕРТ с точки зрения надзорной практики? Если нет, то кто может быть интересантом ее распространения (иными словами — может ли это быть инструментом конкурентной борьбы)?
— Информация, конечно, нам интересна именно с точки зрения использования ее в надзорной практике. Что касается конкурентной борьбы — нет, черный рынок для этого не используется. Основные потребители такой информации — это службы безопасности. Криминалитет — на втором месте, и здесь мы будем двигаться в сторону ужесточения наказания за незаконный оборот.
Борьба на рассмотрении
— Банки обычно отказывают в возврате средств жертвам социальной инженерии, поскольку они сами подтвердили операцию, назвав код из СМС. Сейчас в Ассоциации банков России (АБР) готовится законопроект, который позволит замораживать счета на стороне получателя средств, если отправитель объявит, что они были уведены с помощью какой-то из схем социальной инженерии.
— Да, мы с коллегами обсуждали эту инициативу. Ассоциация направила свои предложения по законопроекту в Банк России, но он требует еще очень серьезной юридической проработки. Механизмы, которые предложены, не всегда укладываются в логику Гражданского кодекса.
— Ещё с марта прошлого года в Госдуме лежит законопроект о взаимодействии между банками и сотовыми операторами по обмену данным о сим-картах. Поясните, в чем суть проблемы, которую поможет решить его принятие?
— Суть в том, что сейчас существуют мошеннические схемы, когда злоумышленники без ведома владельца телефона меняют сим карту. После этого преступники получают доступ к онлайн банкингу, перехватывают смс сообщения и опустошают счета законных владельцев денег. При этом сами владельцы даже не сразу понимают, что произошло — к ним не приходят смс о списании денег со счета.
— Какой механизм решения заложен в законопроекте и когда вы ожидаете его принятия?
— Оператор связи будет обязан информацию о замене сим-карт предоставить в банк. И что важно — доступ к этой информации получат все без исключения банки (если это касается их клиента), а не только самые крупные. Таким образом банк сможет отследить, что номер привязан к законному владельцу, а не злоумышленнику. Более того, чтобы качественно провести работу по противодействию мошенничеству, банкам необходимо знать дополнительные сведения — что происходит с устройством гражданина. Это не значит, что за гражданином надо следить. Оператор видит признаки того, что на телефоне стоит вредоносное программное обеспечение. Эта информация нужна банку, чтобы они предотвратили кражу, предупредить клиента.
Мы рассчитываем, что в осеннюю сессию во втором чтении законопроект примут.
— А что касается борьбы с подменой номеров, когда мошенники маскируются под сотрудников банка?
— Законопроект готов, находится в профильном комитете Госдумы. После его принятия появится правовая база для того, чтобы не давать злоумышленникам использовать технику подмены номеров. Мы считаем, что его нужно принимать как можно скорее.
— В Европе уже довольно давно действует Общее положение о защите данных -GDPR — регламент, который обязывает сообщать об утечках и штрафует банки за сливы персональных данных. В России будет ужесточаться регулирование в этом направлении?
— Когда мы говорим о регулировании в этом контексте, необходимо помнить о том, что я говорил выше: данные далеко не всегда утекают из банков. И если равняться на юридическую конструкцию GDPR, то штрафовать нужно будет только банки, а это, наверное, не очень эффективно с точки зрения борьбы с утечками.
Банк России высказывал свои предложения и пожелания относительно возможных изменений в Федеральный закон «О персональных данных» (ответственный федеральный орган исполнительной власти — Минкомсвязь), где ужесточение наказания — лишь одна из составляющих.
Система быстрых и безопасных платежей
— В последнее время наращивает обороты система быстрых платежей (СБП), через нее проходят миллиарды рублей в месяц. Насколько защищена СБП с точки зрения обеспечения безопасности пользователей?
— Мы проектировали Систему быстрых платежей с учетом большого числа тонкостей с точки зрения безопасности и выстроили многоуровневую защиту: на стороне Банка России, НСПК и банка клиента. Кроме того, в СБП реализован обмен между банками-участниками так называемым риск-баллом — то есть набором определенных данных и критериев (например, номер телефона ранее был использован для совершения несанкционированной операции), позволяющим определить, насколько та или иная операция может быть отнесена к операции без согласия клиента. Это своего рода превентивный многофакторный анализ возможных атак на клиентов банков. Это позволяет быстро выявлять атаки и не допускать потерь клиентов банков. Такого механизма пока нет у международных платёжных систем, его только собираются внедрять. Благодаря этой технологии банк понимает всю цепочку передачи денег и может принять взвешенное решение.
— Упростила ли СБП задачу для социальных инженеров, которые убеждают переводить деньги по номеру телефона?
— Нет. Мошенники обычно используют перевод с карты на карту, со счета на счет, а также оплату товаров и услуг с чужих карт. К СБП пристального внимания в этом плане нет. Сейчас злоумышленники хотят получить контроль над счетом, над аккаунтом пользователя. Важна техника, которую они используют для этого — перепривязка своего телефона к онлайн-банку клиента, авторизация в приложении с чужого смартфона. Для этого им и нужны коды из СМС. Для мошенников вопрос не столько в скорости получения денег, сколько в масштабе тех средств, к которым они пытаются открыть себе доступ.
— В прошлом году ЦБ направил в кредитные организации письмо, где говорилось, что СБП может быть использована для пробива данных: когда вводится номер телефона и высвечивается имя, отчество и первая буква фамилии, а также наличие счёта в определённом банке. Мошенники эти сведения используют для более успешного обмана. Сейчас эта проблема решена?
— Пробив интересен мошенникам, если его можно использовать массово. СБП таких вещей не допускает. Механизм быстро блокирует возможность проверки множества номеров, если замечается подозрительная активность, то есть, если есть признаки пробива.
— В конце августа в одном из банков хакеры нашли уязвимость, которая позволяла подменять номер отправителя средств. Сколько клиентов могли пострадать из-за этой уязвимости, пока она не была обнаружена ФинЦЕРТом и связана ли эта уязвимость с СБП?
— Уязвимость была обнаружена не в СБП, а в программном обеспечении системы дистанционного банковского обслуживания небольшого банка-участника системы. И это принципиально разные вещи. Никакие сервисы и протоколы самой СБП уязвимы не были. Мы совместно с банком оперативно устранили «брешь» в программном обеспечении. Сейчас у банка все работает в штатном режиме. Банк полностью компенсировал потери пострадавшим клиентам.
Как вычислить злоумышленников?
1. Попросите сообщить и запишите название организации, должность, Ф.И.О. сотрудника, который вам позвонил. Затем прервите разговор и перезвоните в компанию, чтобы уточнить, работает ли у них этот сотрудник, актуальны ли озвученные по телефону предложения.
Перезвоните в компанию по номеру, указанному на сайте Центрального банка РФ в разделе «Проверить участника финансового рынка».
2. Не спешите делать выводы: если вам позвонили с номера, который есть на сайте компании, это еще не значит, что вы говорите с ее сотрудником. Мошенники часто используют программы, которые позволяют сымитировать номер.
3. Если сотрудник приглашает вас в свой офис, обязательно позвоните по телефону, указанному на сайте компании, и уточните адреса офисов в вашем городе.
4. Никому ни при каких обстоятельствах не передавайте конфиденциальные данные: логин, пароль и реквизиты вашей банковской карты (секретный код безопасности CVV2, подтверждающий подлинность карты, имя ее владельца, срок действия), ПИН-код, кодовое слово.
5. Если вас просят авторизоваться на сайте инвестиционной компании для открытия счета, обязательно обратите внимание на адресную строку: проверьте, на том ли сайте вы находитесь.
6. Прежде чем ввести логин и пароль, посмотрите, защищено ли соединение. Если перед адресом сайта стоит «https», то все в порядке.
7. Проверьте правовой статус инвестиционной компании на сайте ЦБ РФ в разделе «Проверить участника финансового рынка». По законодательству РФ деятельность на финансовом рынке требует лицензии (ст. 39 Закона о рынке ценных бумаг). Осуществляйте проверку по ИНН или ОГРН, а не по наименованию компании.
8. Не переводите денежные средства до заключения инвестиционного договора. Причем отдавать предпочтение лучше договору в бумажном виде. Это позволит вам заранее проверить лицензии компании и задать вопросы ее сотруднику во время консультации. Кроме того, на руках будут оригиналы документов, с которыми в дальнейшем при необходимости можно обратиться в суд или госорганы.
Заключение договора в форме онлайн менее надежно, так как информация с электронных ресурсов может быть удалена. Также крайне затруднительно привлечь к ответственности злоумышленника, если договоренности были достигнуты по телефону.
9. Проверьте условия договора. В документе должны быть отражены те условия, о которых говорил вам сотрудник компании. Если вы не видите их в тексте и сотрудник не может их показать, то лучше отказаться от заключения договора и передачи денежных средств.
Защита от обмана и злоумышленников
Опубликовано 29.11.2019 в 11:32
Предложен новый подход к защите финансовых операций в системах дистанционного банковского обслуживания, основанный на оценке риска пользовательской сессии в режиме реального времени. Объединение продуктов SafeTech PayControl и Group-IB Secure Bank обеспечивает адаптивную аутентификацию пользователя, подтверждение транзакций электронной подписью, а также скоринг устройств клиента в целях обнаружения признаков финансового мошенничества и немедленного реагирования на подозрительное событие. Интегрированное решение обеспечивает всестороннюю и непрерывную защиту физических и юридических лиц, использующих системы дистанционного банковского обслуживания, снижает нагрузку на колл-центр и антифрод-системы банка, а также делает проведение платежных операций максимально удобным для пользователей.
Павел Владимирович Крылов, руководитель по развитию продуктов Secure Bank/Secure Portal Group-IB, sb@group-ib.com
Дарья Дмитриевна Верестникова, коммерческий директор SafeTech, d.verestnikova@safe-tech.ru
10 октября Telegram-канал Group-IB сообщил: «Крупнейший финансовый форум FINOPOLIS’2019 начал работу. Наши агенты с полей рапортуют, что сегодня утром на стенде Group-IB и SafeTech появились бармены и они активно наливают коктейли – вам «Адаптивную аутентификацию» или «Защищенное ДБО»?». За этим маркетинговым ходом скрывалась продуктовая презентация двух вендоров в области кибербезопасности. Заказ коктейля через специальное приложение инициировал скоринг мобильного устройства при помощи Group-IB Secure Bank. Если все в порядке – операция подтверждалась электронной подписью PayControl. Вся процедура занимала доли секунды, и в итоге клиент получал свой бокал со стикером, содержащим QR-код. Отсканировав его, можно было посмотреть информацию о своем устройстве и статистику за сутки – есть ли подозрительные оповещения: не «рутован» ли смартфон, не стоит ли на нем программа удаленного доступа, не заражен ли он мобильным трояном. Такой подход позволил представить комплексное решение, созданное на основе продуктов Secure Bank и PayControl. Именно оно, по мнению экспертов рынка, является наиболее действенным оружием против банковского мошенничества.
Актуальность «коктейля безопасности»
Обеспечение безопасности систем дистанционного банковского обслуживания (ДБО) по-прежнему входит в число важнейших проблем современной банковской отрасли в России. Согласно Обзору несанкционированных переводов денежных средств за 2018 год, выпущенномуФинЦЕРТ Банка России[1], количество попыток банковского мошенничества в этом сегменте растет из года в год, особенно это характерно для систем ДБО юридических лиц, поскольку успешные атаки на них позволяют похитить более крупные суммы денег. Так, в 2018 году в Банк России была представлена информация о 6151 несанкционированной операции со счетов юридических лиц на общую сумму 1,469 млрд руб. При этом, по сравнению с предыдущим годом, был отмечен рост числа попыток хищений на 631 % (в 7,3 раза!). Почти половина хищений (46 % в 2018 году) произошло в результате получения злоумышленниками доступа к системам ДБО с использованием вредоносного ПО, рассчитанного на взлом программного обеспечения стационарных компьютеров.
В Отчете Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере департамента информационной безопасности Банка России 1.09.2018–31.08.2019 основными причинами хищений в системах ДБО физических лиц также названы вредоносное ПО и методы социальной инженерии[2]. По информации ФинЦЕРТ Банка России, в 2018 году с использованием приемов социальной инженерии было совершено более 97 % хищений со счетов физических лиц. В 2019 году ситуация усугубилась – в арсенале злоумышленников появился новый способ обмана жертв. Как сообщают эксперты ФинЦЕРТ Банка России, технология подмены исходящего телефонного номера на номера, идентичные номерам коллцентров кредитных организаций, позволила им успешно выдавать себя за сотрудников служб безопасности банков и получать необходимую ин формацию у самой жертвы. Обладая ее персональными данными[3], злоумышленники с легкостью имитируют диалог клиента с сотрудником банка, страховой компании, государственной структуры или иной организации. Исходя из предположения, что указанные данные могут быть известны только им, жертва поддается на обман, сообщая в конечном итоге контрольные слова, коды подтверждений и другую информацию, предоставляющую мошенникам возможность вывести с подконтрольных клиенту счетов денежные средства. Все новостные ленты, радио- и телевизионные программы пестрят сообщениями об очередных успешных попытках злоумышленников получить данные пользователей, представившись «сотрудниками банков».
В качестве рекомендаций для защиты систем ДБО экспертами ФинЦЕРТ Банка России названы «…комплексные кросс-канальные решения, позволяющие… отслеживать и предупреждать атаки на стороне пользователей еще на этапе подготовки – за счет функций идентификации устройства, поведенческого анализа и выявления вредоносного ПО». Для решения же проблемы социальной инженерии наряду с административными мерами регулятора, извечными рекомендациями «повышения киберграмотности населения» и «информационными кампаниями» может стать использование таких механизмов подтверждения платежей, которые исключают возможность их проведения иначе чем самими клиентами на своих мобильных устройствах. Это означает безусловный отказ от любых кодов подтверждения, пересланных в сообщениях SMS или PUSH, переход к использованию полноценной мобильной электронной подписи.
Как раз для решения этих задач и был создан «коктейль безопасности» – решение на основе Secure Bank и PayControl.
Универсальная защита: от «сотрудников банка» и от вредоносного ПО
В чем суть комплексного решения? Фактически предложен новый подход к защите финансовых операций в системах ДБО, который основан на оценке риска пользовательской сессии в режиме реального времени. Объединение продуктов SafeTech PayControl и Group-IB Secure Bank обеспечивает адаптивную аутентификацию пользователя, подтверждение транзакций только лишь электронной подписью, а также скоринг устройств клиента в целях обнаружения признаков финансового мошенничества и немедленного реагирования на подозрительное событие.
Рисунок. Схема работы комплексного решения PayControl и Secure Bank
Таким образом, решение обеспечивает всестороннюю и непрерывную защиту клиентов систем ДБО. Интеграция системы проактивного обнаружения банковского мошенничества на устройствах клиента Secure Bank и платформы мобильной аутентификации и электронной подписи PayControl позволяет предотвратить весь комплекс потенциальных проблем, связанных с мошенничеством в системах ДБО, и одновременно сделать дистанционные каналы обслуживания более удобными.
Адаптивная аутентификация: чем выше риск – тем больше факторов проверки
Что подразумевается под адаптивной аутентификацией? Group-IB Secure Bank проводит скоринг смартфона, планшета или любого другого устройства, с которого пользователь заходит в мобильное банковское приложение или в личный кабинет на сайте банка. В режиме реального времени устройство «сканируется» для выявления на нем признаков социотехнических атак, кросс-канального платежного мошенничества, подозрительного поведения пользователя, попыток кражи, нелегального использования учетных данных, заражения банковскими троянами или наличия web-инъекций.
По оценкам Group-IB, системы транзакционного анализа используют как минимум 70 % банков из топ-100, у остальных они присутствуют фрагментарно, например, только на процессинге. Однако, несмотря на широкое распространение «транзакционки», для противодействия мошенничеству с использованием социальной инженерии недостаточно просто уметь анализировать транзакцию, опираясь исключительно на нетипичность платежа, поскольку таких нетипичных платежей может быть много. В результате, банк попросту не сможет это все обрабатывать. Здесь нужны дополнительные данные, которые предоставляют системы поведенческого анализа работы пользователя с банком через различные системы ДБО – мобильный банкинг, интернет-банкинг и др. При этом подход к анализу сессии и дальнейшей аутентификации пользователя должен быть гибким.
Нестандартные транзакции – с большими суммами, на неизвестные счета, с нетипичных устройств – нуждаются в дополнительном скоринге, оценке риска операции и подтверждении электронной подписью. Таким образом, для каждой операции требуется свой набор факторов для контроля, позволяющих ей пройти проверку. В процессе подписания конкретной финансовой транзакции PayControl получает от системы ДБО данные операции, а от Secure Bank – результат скоринга, то есть оценку уровня риска сессий создания и подписания операции. На основании этих данных PayControl «принимает решение», какое количество факторов доступа к ключу подписи запросить у пользователя, и только после их ввода подписывает операцию электронной подписью, позволяющей гарантировать авторство и неизменность платежного документа.
Если финансовая операция вызывает подозрения на уровне сессионного анализа (Secure Bank) или транзакционного анализа (антифродсистема), PayControl обязательно запросит дополнительный фактор для электронной подписи, например, биометрическое подтверждение или ввод PIN-кода. Исполнение транзакции будет невозможно, если устройство не прошло скоринг и выявлены явные признаки мошенничества.
Эти возможности основаны на автоматической оценке уровня риска пользовательских сессий, контроле состояния клиентского устройства и мобильной электронной подписи, контролирующей целостность и авторство подтверждаемого документа (см. рисунок).
Что это дает пользователям систем ДБО? В процессе создания комплексного решения ставилась задача обеспечить максимально возможный уровень безопасности при совершении любых операций в цифровых каналах, не снижая при этом мобильности и удобства работы пользователей. Интеграция как раз и позволила достигнуть сочетания этих требований. Теперь клиентам банков для подписи транзакции потребуется либо ввести пароль, либо предъявить Touch ID или Face ID, либо электронная подпись под доверенной операцией сформируется вообще без каких-либо действий со стороны пользователя.
Комплексное решение – в чем польза для банков?
Разработчики интегрированного решения сделали ставку на простоту внедрения: банк получает готовый инструмент для оценки рисков и электронной подписи конкретных финансовых сессий пользователей. Не менее важным является снижение нагрузки на антифрод-системы за счет отсутствия необходимости сопоставления разрозненных данных о транзакции пользователя из системы ДБО и данных об устройстве пользователя и событиях, связанных с осуществлением платежа.
К плюсам адаптивного подтверждения платежей также относится прямое снижение затрат на услуги операторов связи (расходы на SMS), экономию за счет уже реализованной интеграции систем друг с другом, на их техническую поддержку и эксплуатацию.
Технологически комплексное решение Group-IB и SafeTech позволяет предложить банкам готовое решение не только для выявления мошенничества в совершенных операциях, но и для реагирования в процессе подписания документа. Это расширяет возможности применения системы проактивного обнаружения банковского мошенничества, так как скоринг идет в режиме реального времени во всех каналах коммуникации клиента с банком. Например, если платеж был инициирован через удаленное управление на мобильном устройстве, то подписание транзакции будет отклонено по признаку проведения социотехнической атаки. Таким образом, сколько бы не было осуществлено попыток мошенничества с использованием методов социальной инженерии в отношении конкретного пользователя, даже если он поверил подставному «сотруднику чего бы то ни было», технологически такая операция будет остановлена банком.
[3] Анализ средств и методов социальной инженерии, выполненный ФинЦЕРТ Банка России, свидетельствует, что основными объективными факторами, способствующими распространению социальной инженерии, являются неправомерный доступ к следующим персональным данным физических лиц: фамилии, имени и отчеству, а также номеру телефона.
