Мошенники позвали роботов
Финансовые организации столкнулись с резким ростом автоатак на клиентов
Банки фиксируют всплеск мошеннических звонков клиентам, при которых с потенциальной жертвой общается робот, их доля доходит до 90%. Этот вид атак злоумышленникам обходится дешевле и позволяет существенно повысить охват, а клиентов может вводить в заблуждение то, что и сами банки все активнее используют голосовых помощников. Банкиры полагают, что для предотвращения мошенничества нужны комплексные меры, в том числе изменения в законодательстве. Но регуляторы в лице ЦБ и Минцифры говорят лишь о необходимости повышения общего уровня финансовой грамотности.
Как сообщили “Ъ” в банке из топ-5, на сегодняшний день девять из десяти атак с использованием социальной инженерии, направленных на клиентов банка — физлиц, роботизированы. В банке из топ-20 также отметили увеличение количества жалоб клиентов на мошеннические звонки с использованием роботов-помощников: судя по обращениям клиентов, примерно половина звонков — такие атаки. Кроме того, повысилась и интенсивность звонков тем лицам, кто уже попал в базу для обзвона, отмечает управляющий RTM Group Евгений Царев.
Практика атак с автоматическим обзвоном базы, по словам господина Царева, появилась около полугода назад, но тогда случаи были единичными.
Он отмечает, что распространению атак с роботизированным помощником способствовало активное внедрение самими банками (и не только ими) голосовых помощников для общения с клиентами, а также широкое информирование населения о мошеннических звонках от имени «службы безопасности банка» или «сотрудника МВД». Господин Царев отмечает, что обзвон телефонных баз при помощи робота-помощника повышает охват жертв, а также снижает стоимость кибератаки. У роботизированных атак есть еще один плюс — таким звонкам население доверяет больше.
В Тинькофф-банке сообщили “Ъ”, что использование роботов позволяет мошенникам легко заручиться доверием жертвы, так как клиентам банка кажется, что если они разговаривают с ботом, то этот звонок поступает именно из службы безопасности банка. В ВТБ пояснили, что организовать обзвон с использованием роботов легко — все чаще услуги автоинформаторов включаются в стандартный пакет услуг договоров офисной телефонии.
Реальный охват населения подобными звонками определить сложно. По словам директора департамента информационной безопасности Росбанка Михаила Иванова, далеко не все клиенты обращаются в банк по факту общения с мошенниками, если это не привело к краже денежных средств, еще реже сообщают о звонке в правоохранительные органы.
Для организации роботизированных атак мошенники записывают необходимую последовательность фраз, затем происходит автоматический обзвон.
Часто такая атака предполагает, что жертва будет общаться непосредственно с роботом и получать от него инструкции. Например, робот может попросить жертву ввести код из СМС. Встречаются и комбинированные атаки, когда робот только дозванивается до абонента. По словам директора по информационной безопасности ГПБ Алексея Плешкова, если жертва поверила роботу, то высока вероятность, что она поверит уговорам мошенника и в живом диалоге. Использование технологии подмены номера банка при подобных атаках лишь усиливает доверие.
По словам директора ДИБ банка «Открытие» Ильи Сулоева, с точки зрения мер защиты значительный вклад в борьбу могли бы внести операторы связи и регуляторы. По мнению Михаила Иванова, требуется комплексный подход и изменения в законодательстве, включая закон о связи.
Однако регуляторы пока не слишком обеспокоены проблемой всплеска роботизированных звонков.
Так, в ЦБ лишь отметили, что проводят активную работу по блокировке мошеннических номеров. Данных о количестве роботизированных атак у регулятора нет — в статистике на сайте ЦБ выделена лишь доля социальной инженерии без разбивки по типам атак. Кроме того, в ЦБ традиционно говорят о важности финансовой грамотности населения. В Минцифры ссылаются на проводимый совместно с ЦБ мониторинг по противодействию телефонным преступлениям и говорят о запускаемом в 2022 году образовательном проекте для россиян по повышению цифровой грамотности.