Ущерб от киберпреступлений с начала 2024 года превысил 116 млрд рублей. Такие цифры назвал глава МВД Владимир Колокольцев в конце сентября. По его словам, за пять лет число преступлений в киберпространстве увеличилось более чем вдвое и составило около 40% от общего количества преступлений.
Статистика ЦБ по киберпреступлениям в отношении клиентов банков также не внушает оптимизма. По данным регулятора, только за II квартал у граждан похитили 4,6 млрд рублей. Год назад эта цифра была меньше в полтора раза.
При этом четко виден тренд, что растут хищения через систему быстрых платежей (СБП) и каналы дистанционного банковского обслуживания, в то время как объем операций по картам без согласия клиентов уже который квартал держится в районе 2 млрд рублей. Почему так происходит?
Потому что с картами крайне сложно придумать что-то новое — там всегда нужен ее номер, CVV и код подтверждения. А вот при выводе денег через СБП и банковские приложения есть громадная вариативность сценариев и скриптов.
Граждан беспокоят не только представители «службы безопасности банков», но и «операторы сотовой связи» с необходимостью перезаключить договор оказания услуг, поступают предложения пройти флюорографию, звонки сотрудников «Мосэнергосбыта» с рассказом о необходимости проверить счетчики.
Всё чаще стали встречаться сценарии-многоходовки. На первом этапе злоумышленник выманивает код из SMS для доступа к «Госуслугам», интернет-банку, личному кабинету оператора. А второй звонок уже идет якобы из «правоохранительных органов», «Росфинмониторинга» или «банка» с сообщением, что кто-то выводит средства со счетов человека и единственное спасение — срочно самому перечислить их на «безопасный счет».
Знаю кейс, когда многоходовая схема с такими звонками от разных ведомств шла 36 часов без перерыва даже на сон. В итоге жертва сняла все деньги с вклада, с кредитки, продала машину и всё перевела злоумышленникам.
Параллельно растут и более дешевые с точки зрения затрат злоумышленников (но не менее эффективные): «холодные прозвоны» мошенники заменяют на фишинговые рассылки о том, что кто-то вошел в «Госуслуги» или банк под именем человека с нового устройства и из другого региона. «Если это были не вы — срочно перезвоните по телефону из SMS или в письме на электронной почте». Любой перезванивающий — уже «горячая жертва».
Вероятно, станет больше в ближайшем будущем и доля атак, где тесно переплетены социальная инженерия и технологии. Например, в сентябре распространялась схема, при которой смартфон потенциальной жертвы через фишинговую рассылку заражался трояном, имитирующим отправку push-сообщений от банков о списании денежных средств. Далее уже поступал звонок от «службы безопасности», и перепуганная жертва готова была и коды из SMS сообщить, и деньги перевести на любой счет.
Злоумышленники каждый раз успешно подстраивались под новостную повестку. Вспомнить только недавний скрипт якобы от службы поддержки Telegram с переносом личных данных на «безопасный ресурс» после информации о его блокировке.
И, кажется, что защититься от таких схем мошенничества невозможно — злоумышленники могут быть очень убедительны и всегда придумают что-то новое. Но это не так. Комплексные меры защиты банковских клиентов помогут если не полностью победить проблему, то хотя бы снизить количество хищений.
В подавляющем большинстве случаев всё в итоге сводится к перечислению денег на счет дроппера, чтобы затем обналичить их в банкоматах. Вступивший в силу этим летом закон, обязывающий кредитные организации перепроверять сомнительные переводы на счета мошенников (данные о которых есть в специальных списках ЦБ), уже позволяет отсечь часть рисковых операций.
Глава департамента информационной безопасности Центробанка Вадим Уваров на днях сообщил, что ежесуточно банки останавливают порядка 20 тыс. подозрительных переводов. И есть надежда, что эффективность этой меры мы увидим уже в обзоре регулятора по итогам III квартала.
Кроме того, сейчас большинство атак сводится либо к простоте самого первого шага — аутентификации на различных ресурсах, либо к «слепому» переводу денежных средств. И в том и в другом случае сейчас чаще всего используется код из SMS, который очень просто добыть как методами социальной инженерии, так и с помощью технологий.
Переход на современные и безопасные способы подтверждения трансакций — еще одна важная ступень в защите. ЦБ активно над этим работает, обязывая кредитные организации внедрять криптографические средства защиты трансакций. К сожалению, это требование банки только начинают выполнять.
Но самое главное — это бдительность граждан. Когда разговор с опытными злоумышленниками длится десятки часов, то затуманенный разум может думать и что безопасный счет существует, и что можно абсолютно спокойно назвать требуемый код. Но как бы ни было страшно, как бы ни хотелось быстрее решить проблему и защитить деньги, разговаривая со злоумышленником, лучше положить трубку и самому перезвонить по официальному телефону организации.
Автор — коммерческий директор компании SafeTech.
Позиция редакции может не совпадать с мнением автора.
