Наши деньги не в безопасности: как работают цифровые мошенники

В социальных сетях часто курсируют видео с разговорами людей, которые всячески пытаются завладеть средствами на банковских счетах и карточках. Сегодня этот контент стал развлекательным, люди давно знают об их существовании и не ведутся на россказни о взломах. Однако на деле все не так весело: только за первую половину прошлого года с клиентских счетов было украдено порядка 4 миллиардов рублей, из этой суммы получилось вернуть только 12%. Как мошенники умудряются брать вверх и как себя обезопасить, пытается выяснить Royal Cheese.

Почему мы с ними говорим?

Не достаточно позвонить от имени банка, назвать вымышленное имя и попросить CVV-код. Необходимо обладать навыками социальной инженерии, то есть уметь воздействовать на людей и манипулировать ими. Большая часть средств были украдены именно с помощью звонков.

По сути, это криминальная группа людей, которые, под видом «службы безопасности банка» или «финансового мониторинга», сообщают о подозрительных действиях и манипуляциях с конкретной картой. Их речь деловита и настолько быстрая, что человек сразу теряется в потоке слов и верит всему, что ему говорят. Времени на длительные раздумья практически нет, на кону деньги. Уверенный «работник» уверяет, что единственный способ спасти средства, накопленные тяжелым трудом — в одну секунду предоставить все данные и действовать так, как говорит доверенное лицо. Весь диалог выстраивается таким образом, что клиент банка, который ранее не знал о подобных неправомерных действиях, даже не подозревает, что разговаривает с преступником.

Для еще большей убедительности некоторые группы звонят с подменных телефонных номеров банков, с них же присылают СМС с кодами доступа к учетной записи. Когда человек поддался на их магию, они начинают действовать согласно нескольким сценариям.

Здравствуйте, это банк

Используя все свое очарование, лжебанкиры заставляют «делиться» данными платежных карт. Им нужен непосредственно сам номер из 16 цифр, имя и фамилия владельца, срок действия карты, CVV-код и, наконец, код из личной СМС-ки. Иногда этого недостаточно, тогда мошенники требуют предоставить логин и пароль от входа в личный кабинет. Далее действия вполне предсказуемы: деньги переводятся на неизвестный счет.

Иногда в процессе беседы, звонящие просят установить специальное приложение, которое якобы помогает отбить атаку и защитить средства. На самом деле, это программа, которая предоставляет удаленный доступ. Используя его, они также помогают оформить долгожданный кредит. Естественно, средства, которые были предоставлены уже настоящим банком, магическим образом исчезнут, оставив человека в еще более плачевном положении.

Убеждая клиента в том, что кто-то хочет совершить подозрительные действия с картой, мошенники настаивают на переводе всех средств на некий «резервный» счет, который любезно предоставляется «банком» на случай непредвиденных ситуаций. Конечно, в последнее время этот способ все чаще вызывает сомнения, поэтому криминальные группы придумали еще один вариант: представиться сотрудником не банка, а правоохранительных органов, к которым, по их мнению, должен быть более высокий уровень доверия. Также в ход идут «бюро кредитных историй» и другие организации. Все они пытаются убедить тебя в одном: деньги необходимо уберечь, а по факту отдать, любой ценой.

Существует несколько причин эффективности и популярности звонков от лжебанков. Прежде всего, это совершенно не затратно для самой организации такой преступной схемы, во-вторых, легкий доступ ко всем необходимым сведениям потенциальной жертвы. Как утверждает замдиректора департамента по информационной безопасности Банка России Артем Сычев, звонящий порой не всегда знает, в каком именно банке обслуживается его собеседник. В первую очередь им необходимо знать фамилию, имя и отечество, а всю остальную информацию человек расскажет сам под правильным воздействием. Последний фактор — доверчивость, которая применима ко всем видам и схемам мошенничества по телефону, в Интернете или реальной жизни. Дело в том, что нарушители закона прежде всего давят на чувство страха или желание человека получить легкие деньги, например, в лотерее или конкурсе.

В прошлом году «Лаборатория Касперского» провела исследования и выяснила, что за последнее время число махинаций по списанию средств по телефону значительно увеличилось: в период с января по конец ноября 2020 года было совершено порядка 86 тысяч звонков, 62 тысячи из них — успешно заблокированы. В том случае, если бы их не отклонили, потери достигли бы более 13 миллиардов рублей. По всей России доля спама составила 63%, а подозрения на мошенничество — 5,9%. Данная статистика не удивительна, поскольку большую часть времени люди проводят с телефоном в руках и, соответственно, берут трубку даже с незнакомых номеров, а времени принять осознанное решение практически нет из-за эффекта неожиданности и доверчивости. Мошенники настолько быстро производят манипуляции, что человек порой не успевает опомниться, как большая часть его средств, а иногда и все средства, уже отправлены другим лицам. На этом их фантазия не заканчивается.

Не только сотрудники банка

Большинство людей старается уберечь себя от звонков «банков», однако злоумышленники не всегда контактируют с жертвой напрямую. Массовое использование Интернета практически во всех сферах значительно упростило жизнь киберпреступникам. По данным, предоставленным РБК, в первом полугодии прошлого года мошенники похитили более 2 миллиардов рублей через сеть, что составляет 50% от всех украденных средств за этот период. На самом деле, крайне сложно перечислить все виды мошенничества онлайн, поскольку каждая новая функция дает им дополнительные возможности. Например, злоумышленники сегодня активно используют популярные QR-коды. Первый канал в своем сюжете рассказал о женщине, которая стала жертвой такой схемы. В почтовый ящик ей положили листовку, в которой утверждалось, что, отсканировав указанный QR-код, она получит скидку на следующую покупку в магазине. Все показалось достаточно убедительным, чтобы незамедлительно выполнить инструкцию. Итог: с банковского счета были списаны все имеющиеся средства. Кроме того, иногда мошенники прибегают к более сложным методам обмана: создают фальшивые сайты онлайн-магазинов, которые с первого взгляда невозможно отличить от оригинала. Речь идет о кинотеатрах, магазинах одежды, туристических бюро и других услугах.

Такие «продавцы» имеют много общего с теми, кого называют «инфоцыганами». Под термином понимаются люди, предоставляющие несуществующие информационные услуги, например, курсы, тренинги, цель которых — улучшить уровень жизни и самоощущения в обществе. Коучи и бизнес-тренеры убеждают потенциальных жертв в том, что вместе с услугами они приобретут мгновенный успех и финансовую обеспеченность. После того, как покупатель вводит данные карты на сайте в процессе совершения покупки, киберпреступники получают всю необходимую информацию для вывода средств. Для этого им не требуется никаких навыков социальной инженерии, сила убеждения или поиск и отбор контактов потенциальных «клиентов».

Откуда у них мой номер?

В обществе широко распространен стереотип, суть которого заключается в том, что жертвами мошенников чаще являются пенсионеры, ведь им крайне трудно воспринимать сложную информацию и ориентироваться в современном онлайн пространстве. Это не так: студенты, мужчины и женщины средних лет в равной степени подвергаются влиянию мошенников. Однако есть один вопрос, который не дает покоя тем, кто так или иначе сталкивался с подобными манипуляциями: откуда у них мой номер?

Ежедневно каждый пользователь Интернета оставляет достаточно большое количество базовой информации о себе: в социальных сетях, онлайн-магазинах, при заполнении анкет на получение подарочных или скидочных карт в оффлайн-магазинах. Приличная доля этой информации так или иначе попадает в общий доступ через фишинговые сайты.

Нельзя отрицать, что утечка информации и обеспечение безопасности в любой сфере, тем более банковской — непостоянная величина, которая часто дает трещину под воздействием опытных программистов. Например, еще в 2019 году «Коммерсантъ» представил материал о том, что секретные данные порядка 60 кредитных карт Сбербанка как действующих, так и уже закрытых, попали на черный рынок. Было подтверждено, что данные не «утекли», а были выгружены одним из сотрудников. Такие случаи не являются редкостью и касаются не только банков. В январе 2021 года произошла крупная утечка базы данных клиентов Hyundai, которая впоследствии была выставлена на продажу на различных теневых форумах. В ней содержались не только фамилии, имена, отчества, домашние адреса и номера личных телефонов покупателей, но и информация о приобретенных автомобилях и запчастях к ним. Эксперты уверены, что все это можно использовать не только для пополнения контактов черных call-центров, но и для угона машин.

Следовательно, мошенники часто покупают уже готовый список контактов, а не собирают их самостоятельно. Их можно приобрести не только в даркнете, но и в легальных «магазинах», которые продают списки центрам для «холодных звонков». Такие продавцы, как правило, не разбираются в том, кто именно покупает файл и для каких целей. Так, потенциальной жертвой может стать каждый из тех, кто хотя бы один раз заполнял графу «номер телефона» на сайтах или в магазинах. Именно поэтому необходимо знать, как обезопасить себя и не «пожертвовать» накопления неизвестно кому.

Я не хочу стать жертвой. Что нужно делать?

«Лаборатория Касперского» в прошлом году составила список основных правил безопасности, соблюдение которых поможет людям обезопасить себя от хищения средств. Самый верный способ — бросить трубку в том случае, если поступает запрос предоставить информацию о себе и счетах, или вовсе не брать телефон с незнакомых номеров. На самом деле, настоящие банки, при обнаружении сомнительных операций, никогда не будут звонить с подобными требованиями и не пришлют сообщения с непонятными ссылками и кодами. Нельзя сообщать третьим лицам пароли, данные и коды из СМС.

Следующий шаг — установка и использование антивирусных программ, определителей номера. Ни в коем случае не стоит переходить по непроверенным ссылкам в сообщениях или в письмах, которые приходят на электронную почту. В процессе оплаты покупки обращай внимание на страницу платежной системы, поскольку есть вероятность, что это фейк.

В том случае, если ты все же стал жертвой или появилось желание проверить достоверность сообщения о странных манипуляциях с картой, следует незамедлительно позвонить своему банку и уточнить ситуацию, или как можно быстрее заблокировать все счета и обратиться в полицию. Вернуть списанные средства невероятно трудно, поскольку все данные предоставляются добровольно.

Эти меры могут уберечь людей от действий мошенников, однако, что действительно важно — всеобщее информирование о схемах и принципах работы черных call-центров, сайтов и фейковых QR-кодов. На территории страны были организованы проекты, которые успешно справляются с задачей распространения информации. Лига безопасного интернета во всей России проводит акцию под названием «Месяц безопасного интернета» для школьников и взрослых. Спикеры проводят не только лекции, но и уроки о том, как вести себя в онлайн, как родителям следует разговаривать со своими детьми и правильно контролировать их действия в Интернете. Также крупные компании, например, «Яндекс» и Mail.ru Group часто организовывают «Урок цифры», в ходе которого любой желающий, в частности дети, узнают все необходимое о кибербезопасности. Не только учащиеся нуждаются в помощи близких, но и пожилые люди, которые обладают не очень высоким уровнем цифровой грамотности. Сложно сказать, можно ли полностью искоренить феномен мошенничества по телефону и в сети, однако базовое соблюдение безопасности и понимание проблемы могут значительно сократить статистику воровства.