Биометрия на службе мошенников
Активная пропаганда сдачи биометрических данных привела к тому, что мошенники решили воспользоваться всеобщим ажиотажем для своих целей. Так, на днях клиенты СДМ-банка были атакованы злоумышленниками под видом сбора биометрических данных. Гражданам звонила служба безопасности СДМ-банка, говорила о сборе голосовых биометрических данных, просила для их идентификации назвать три цифры на обороте карты. Далее для снятия голосовой биометрии требовалось медленно и четко называть цифры из приходящих СМС. По окончании снятия биометрии «служба безопасности» прощалась с клиентом, поздравляя его с успешной сдачей биометрических данных.
Сведений, которые сообщали граждане в ходе сбора биометрии, вполне достаточно для хищения средств у клиента. Эксперты отмечают, что в данном случае для успешной атаки мошенники могут играть именно на укоренившихся благодаря многочисленным публикациям стереотипах о том, что для сдачи биометрического слепка голоса необходимо зачитывать какие-то цифры. И в данном случае цифры из СМС их не смутили.
По словам заместителя председателя правления СДМ-банка Олега Илюхина, в СДМ-банке действует специальная служба, задача которой обнаружение мошеннической активности и принятие мер противодействия. «Жертвой может стать клиент любого банка, в том числе и нашего,— отметил он.— Мы анализируем опыт коллег, рекомендации ЦБ, постоянно мониторим ситуацию и в случае необходимости предупреждаем клиентов о типовых и потенциальных схемах атак. Банк делает СМС-рассылку и/или размещает информацию с предупреждением на сайте».
Эксперты по информационной безопасности, опрошенные «Деньгами», подтвердили, что в данном случае банк, чьи клиенты были атакованы, не столь важен. В первую очередь имеет значение скрипт, который использовали злоумышленники. Потому клиентам всех кредитных организаций следует более чем пристально реагировать на звонки по сбору биометрии.
В диалоге с клиентом
В последнее время мы наблюдаем всплеск активности мошенников, которые для повышения доверия со стороны клиента используют уловки в виде копирования тона и скрипта разговора клиентского менеджера, подмены телефонного номера, который будет определяться в смартфоне как номер банка.
Банки обязаны информировать своих клиентов о правилах безопасности и возможных угрозах, атаках и прочих инцидентах, которые потенциально могут нанести финансовый ущерб. Предупрежден — значит вооружен.
Но информирование важно не только для клиентов. Во-первых, повышение осведомленности клиентов о правилах безопасного использования электронных средств платежа понижает шансы мошенников на успех, что, в свою очередь, повышает доверие и лояльность к банку. Во-вторых, вооружая клиентов инструкцией к действию, банк создает условия, при которых может максимально быстро получать сигналы о таких угрозах, локализовать их и принимать меры.
Сообщения клиентов о звонке, даже если мошенникам не удалось осуществить задуманное, помогают банку незамедлительно информировать оператора связи о соответствующих попытках мошенничества и предпринимать дальнейшие совместные действия по блокировке. То же касается фишинговых рассылок — если клиент сообщает, что получил ее, банк незамедлительно реагирует, разбирается и принимает меры для блокировки отправителя.
Помимо информирования в предотвращении инцидентов большую роль может играть оперативное взаимодействие банков и операторов связи. Первые обязаны информировать клиентов об угрозах, оперативно выявлять и расследовать инциденты. На стороне вторых — техническая возможность и выбор методов блокировки мошеннических звонков и СМС.
У меня зазвонил телефон…
Лука Сафонов, руководитель лаборатории практического анализа защищенности компании «Инфосистемы Джет»:
Около полудня раздался звонок с прямого московского номера, мне сообщили мое ФИО и год рождения, заявили, что в данный момент с моей карты пытаются снять деньги. Для того чтобы эта операция не была произведена и все мои карты не заблокировали на 14 дней, мошенник просил подтвердить мои данные и что карта находится у меня. На фоне был шум, имитирующий колл-центр.
М.— Вам необходимо привязать двухфакторную авторизацию на ваш телефон.
Я.— Она у меня активирована.
М.— Да, я вижу, но произошла попытка списать с вашей карты 15 тыс. руб. неким Николаем Алексеевичем, последние цифры номера телефона 2186. Иначе все ваши карты будут заблокированы на 14 дней.
Я.— Ок. Что нужно делать?
М.— Давайте пройдем идентификацию — по номеру счета, через онлайн-помощника или по номеру карты. Да, 28.12.18 вам должно было приходить СМС с номера 900 о том, что скоро будет необходимо обновить двухфакторную авторизацию.
Далее были попытки перевести меня на «робота» якобы для подтверждения блокировки мошеннической операции — «специалист» «переключил» меня на голосового помощника, который механическим голосом попросил ввести номер моего счета (на минуточку, это более десяти цифр, и на память такое мало кто помнит) — естественно, этот тест я с треском «провалил». После этого меня «переключило» на специалиста, и он предложил «ручную верификацию».
В такой схеме может быть два варианта — у мошенника есть напарник, который параллельно звонит в банк со всеми вашими данными и назовет кодовое слово, которое выманит первый мошенник, либо эти данные будут использованы для других схем. Также может использоваться «проверка» посредством «СМС», когда вы, не кладя трубку, сообщите мошеннику содержимое СМС, что позволит ему совершить денежный перевод с вашего счета или карты или вообще даст возможность доступа ко всем средствам через мобильный банк или приложение.
В моем случае злоумышленник хотел узнать реквизиты карты для совершения с ней мошеннических действий (даже если у вас настроено СМС-подтверждение, это не всегда убережет от списания — в интернете полно сервисов без 3D-Seсure, достаточно просто знать реквизиты вашей карты).
Действие и противодействие
Станислав Павлунин, вице-президент, директор по безопасности «Почта-банка»:
Часто во время атаки на клиента банка злоумышленниками, в том числе и с подменой номера, банк выявляет сомнительную операцию со счета клиенты и старается ее остановить. Однако, увы, не всегда успешно. Разговор потенциальной жертвы с мошенником может длиться довольно долго — до получаса и более. Именно в этот момент происходит перевод денег с мобильного банка, клиенту приходит код с подтверждением операции, но поскольку мошенники находятся с ним на связи, его убеждают назвать и этот код как часть двойной проверки.
Кроме того, злоумышленники часто используют еще одну уловку: в процессе разговора они предупреждают, что сейчас ему могут звонить мошенники, и настоятельно рекомендуют ничего им не сообщать.
Поэтому, когда в банке срабатывает антифрод-система при подозрительной операции (а таких критериев тысяч) и сотрудник банка дозванивается клиенту, чтобы проверить или подтвердить операцию, то разубедить его бывает очень сложно. Сотрудник задает целый ряд уточняющих вопросов, от простых до сложных, ответы на которые знает только клиент. Если убеждается, что в данный момент действительно действуют мошенники, то говорит ему об этом прямо и советует приостановить все операции. Однако в этот момент клиент уже настолько обработан психологически, что подтверждает перевод средств, несмотря на неоднократные предупреждения. В этом случае банку ничего не остается, кроме как исполнить распоряжение клиента и осуществить перевод денег. Хотя в данной ситуации самым правильным решением для человека будет прервать все разговоры и самому позвонить в банк по номеру, указанному на сайте или банковской карте. Только так вы будете на 100% уверены в том, что общаетесь с сотрудником банка. В подавляющем числе случаев банку удается переубедить клиента, и он обрывает разговор с мошенниками. Но если, несмотря на все доводы, он все-таки подтверждает денежный перевод, то его средства уже нельзя вернуть.
Если у клиента все же украли деньги, необходимо срочно обратиться на горячую линию контактного центра банка, заблокировать карты и сервисы дистанционного банковского обслуживания, а затем написать заявление в отделении банка и одновременно заявление в полицию.
Сложная схема
Совсем свежая, оттого не менее опасная история, когда клиент сначала получает заведомо мошеннический звонок, а затем якобы звонок от банка. Руководитель департамента крупного банка (по ее просьбе банк и ФИО не раскрываются) рассказала, что на днях ей поступил звонок с левого номера 495, якобы от службы безопасности Сбербанка.
«Я сразу поняла, что это мошенники — представились Сбербанком, сообщили о том, что был вход в мой личный кабинет в онлайн-банке с компьютера в Воронеже и совершена попытка списания 4230 руб. с карточного счета. Расследование они проводят якобы по поручению Ассоциации банков России (крупнейшая банковская ассоциация.— "Деньги"), сообщил мой собеседник.
Я, естественно, не купилась, сообщила мошенникам, что счетов в Сбербанке у меня нет, личного кабинета нет. На вопрос, в каком банке у меня счет, я им сообщила, что только там, где я работаю. Собеседник меня вежливо поблагодарил, мы расстались.
Я сообщила о подозрительном звонке в колл-центр банка. Буквально через десять минут мне позвонил "безопасник" нашего банка с телефона нашей кредитной организации. Собеседник представился, предупредил, что разговор записывается. Сообщил, что в курсе мошеннического звонка мне, стал спрашивать, сколько у меня карт, передавала ли я пароли от личного кабинета третьим лицам или данные по картам, какие сейчас остатки, есть ли депозиты… Он был настолько убедителен, что я почти поверила.
Спасло то, что я находилась на рабочем месте возле компьютера, где у меня сохранен актуальный перечень всех сотрудников нашей кредитной организации. Отсутствие его в телефонном справочнике меня насторожило. Я заверила, что никому ничего не сообщала и сообщать не буду, и мы распрощались».
Впрочем, не всем так везет. В социальных сетях есть история сотрудницы крупного банка, которая поверила повторному звонку коллеги. Итог — минус 840 тыс. на ее счете в банке.
Защищенный канал
Эльдар Бикмаев, вице-президент холдинга «Русский стандарт», отмечает, что самым надежным каналом общения с банком является чат в приложении «Мобильный банк»:
Вводя на смартфоне свой логин и пароль, клиент гарантированно попадает в «Мобильный банк» и осуществляет прямое общение с сотрудником банка. Все риски, связанные с утечкой личной информации в чате «Мобильного банка» сведены к нулю. В первую очередь потому, что при общении через чат клиент уже полностью идентифицирован системой банка как его клиент, поскольку в приложение он зашел под своим логином и паролем, а до этого момента ввел пароль для того, чтобы разблокировать сам смартфон.
Сегодня привычная картина общения клиента с банком меняется, отметили в «Русском стандарте». Все больше людей переходят с телефонного общения на чаты в приложении. Так статистика банка показывает, что в 2018 году общее число звонков в колл-центр уменьшилось на 5% по сравнению с 2017 годом. Количество же обращений через чаты интернет- и мобильного банков выросло почти на 6%. По данным банка, женщины предпочитают звонить в колл-центр, а мужчины выбирают онлайн-общение. Так, например, через чаты интернет- и мобильного банков общались 60% мужчин и 40% женщин, а количество «женских» звонков в разы превысило «мужские».
Отличаются и вопросы, по которым клиенты предпочитают общаться с банком. В колл-центр чаще звонили, чтобы узнать о состоянии счета карты, потребительского кредита, получить информацию по неактивным продуктам (погашен ли кредит, отключена ли неактуальная для клиента опция и пр.), тогда как через чаты в мобильном банке и интернет-банке граждане предпочитают узнавать о состоянии платежей, задолженности, программах лояльности.
В диалоге с клиентом
Денис Камзеев, начальник отдела информационной безопасности «Райффайзенбанка»:
В последнее время мы наблюдаем всплеск активности мошенников, которые для повышения доверия со стороны клиента используют уловки в виде копирования тона и скрипта разговора клиентского менеджера, подмены телефонного номера, который будет определяться в смартфоне как номер банка.
Банки обязаны информировать своих клиентов о правилах безопасности и возможных угрозах, атаках и прочих инцидентах, которые потенциально могут нанести финансовый ущерб. Предупрежден — значит вооружен.
Но информирование важно не только для клиентов. Во-первых, повышение осведомленности клиентов о правилах безопасного использования электронных средств платежа понижает шансы мошенников на успех, что, в свою очередь, повышает доверие и лояльность к банку. Во-вторых, вооружая клиентов инструкцией к действию, банк создает условия, при которых может максимально быстро получать сигналы о таких угрозах, локализовать их и принимать меры.
Сообщения клиентов о звонке, даже если мошенникам не удалось осуществить задуманное, помогают банку незамедлительно информировать оператора связи о соответствующих попытках мошенничества и предпринимать дальнейшие совместные действия по блокировке. То же касается фишинговых рассылок — если клиент сообщает, что получил ее, банк незамедлительно реагирует, разбирается и принимает меры для блокировки отправителя.
Помимо информирования в предотвращении инцидентов большую роль может играть оперативное взаимодействие банков и операторов связи. Первые обязаны информировать клиентов об угрозах, оперативно выявлять и расследовать инциденты. На стороне вторых — техническая возможность и выбор методов блокировки мошеннических звонков и СМС.