Социальная инженерия за последние годы вытеснила все остальные виды кибермошенничества. В один лишь Сбербанк в этом году поступило 2,5 млн жалоб на телефонное мошенничество — звонки под видом службы безопасности банка.
По сравнению с 2017 годом рост был в 15 раз, причем про многие случаи просто неизвестно, поскольку клиенты не сообщали о них банку. Мошенники уже обзавелись персональными консультантами, которые анализируют методы встречного реагирования банков.
О росте доли мошенничества с использованием социальной инженерии рассказал 5 декабря управляющий директор—начальник управления противодействия кибермошенничеству Сбербанка Сергей Велигодский. По его словам, за три года социальная инженерия «фактически выдавила традиционные схемы киберворовства — скимминг и вредоносное программное обеспечение».
Особое внимание он обратил на тренд, зародившийся в 2017 году,— звонки мошенников клиентам банка под видом службы безопасности кредитной организации. «Жалоб на такие звонки у нас в 2017 году было всего 160 тыс.,— уточнил господин Велигодский.— А в 2019 году мы зафиксировали уже почти 2,5 млн обращений».
Причем, подчеркнул топ-менеджер, это лишь клиенты, которые пожаловались банку. Кроме них есть «значительная доля» граждан, которые в банк не обратились.
Сергей Велигодский также отметил изменения в технологии мошенничеств. Так, если до 2018 года у клиента пытались выведать данные, чтобы самостоятельно провести незаконную операцию, то теперь мошенники предпочитают использовать для совершения денежного перевода жертву. Это снижает эффективность систем банка для противодействия хищению клиентских средств. В том же 2018 году мошенники освоили технологию подмены телефонного номера, чтобы жертва видела входящий звонок с номера телефона, которым пользуется банк. Особенно такой подход стал популярен в конце 2019 года. Также в 2019 году у мошенников появляются профессиональные консультанты, которые анализируют сценарии борьбы банка с социальной инженерией, что позволяет им быстро менять схемы.
Сбербанк в 2019 году подсчитал и число уникальных номеров, с которых звонят злоумышленники,— их оказалось 170 тыс.
Городские номера, как правило, Московского региона, а мобильные номера на протяжении нескольких лет преимущественно обслуживает «Билайн». В 2017 году самым популярным способом вывода украденных средств было пополнение мобильного телефона. В 2019 году наиболее популярный канал — интернет-сервисы (P2P-операции через 3-D Secure). На втором месте — карта стороннего банка.
Основатель DeviceLock Ашот Оганесян считает, что столь резкий рост атак с использованием социальной инженерии связан с быстрой ликвидацией технических уязвимостей в банковских системах. «Можно вспомнить, например, как быстро развивались, а потом так же быстро сошли на нет атаки на интернет-банки в телефонах на Android,— рассуждает господин Оганесян.— С человеком же всегда есть индивидуальный шанс обмануть, напугать или запутать».
Если для взлома информационной системы требуются очень дорогие узкие специалисты, для «взлома человека» вполне хватает знания психологии на уровне бывшего наперсточника.
С точки зрения технологий в пользу мошенников играет также сегодняшний уровень развития телефонии, которая «зависла между XX и XXI веком», поскольку, по словам эксперта, протоколы голосовой связи пришли из 1970-х и не предоставляют адекватной возможности аутентификации звонящих.
Утечки баз данных позволяют злоумышленникам делать адресные звонки и проще входить в доверие к потенциальным жертвам, добавляет гендиректор Zecurion Алексей Раевский. Еще одна проблема заключается в слишком хорошей осведомленности преступников о внутренних процедурах банка — знакомство с процедурами антифрода дает возможность придумывать варианты их обхода. В-третьих, для вывода похищенных денег используются также банковские счета, открытые на подставных лиц, а это означает, что практика «знай своего клиента», ставшая стандартом в Европе, в России «применяется формально».
Для борьбы с социальной инженерией сейчас остается лишь работа по осведомлению населения о потенциальной угрозе, отмечает председатель совета директоров «СёрчИнформ» Лев Матвеев. Но, подчеркивает он, необходимо усилить наказание для организаций, допустивших утечку клиентских данных.