Социальная инженерия в банковской сфере. Как защитить информацию от несанкционированного доступа
Что такое социальная инженерия
Социальная инженерия — это способ получения доступа к информации или системам хранения информации (например ваш интернет банк) без использования технических средств.
В работе банков социальная инженерия – это ситуация, при которой вы, как клиент банка самостоятельно проводит операцию, будучи введен в заблуждение третьим лицом (мошенником). То есть, человек в момент проведения операции не осознает, что переводит деньги мошенникам. Клиент сам подтверждает операцию.
Примеры несанкционированного доступа:
- Подставной сайт с низкими ценами на товары/услуги (например, авиабилеты, билеты в кино / театр, телефоны, телевизоры и т.д.);
- Подставной сайт переводов с карты на карту, с карты на Электронный кошелек (перевод осуществляется на другую карту, а не на ту, которую вбивает клиент);
- Продажа товаров на Авито, Юле и т.д. (клиента просят совершить тестовый перевод на небольшую сумму);
- Письма со взломанных аккаунтов ваших знакомых VK, Facebook, Skype, WhatsApp и т.д.;
- СМС о выигрышах, призах с целью выманить средства на выплату НДС, доставку приза и т.д.;
- СМС о заблокированной карте или о блокировке средств на счете, якобы от Банка, где указано о необходимости позвонить по номеру для разблокировки;
- Любые другие виды мошенничества со стороны третьих лиц, при которых клиента вводят в заблуждение для совершения им операции.
Кто чаще всего становится жертвой мошенников?
Вам может показаться, что чаще всего на крючок попадаются пенсионеры и доверчивые граждане, которые никогда не сталкивались с мошенничеством, да и вообще не имеют крупных сбережений на счетах? Но вот что говорит сотрудник службы клиентской поддержки Сбербанк Анна, 28 лет. Стаж работы 5 лет.
В 90% случаев жертвами мошенников становятся состоятельные люди возрастом от 35 до 50 лет. В 19 из 20 обращениях по несанкционированным операциям способ обмана — «звонок от службы безопасности Сбербанка». По словам клиентов, мошенники говорят и действуют настолько убедительно, что даже не возникает сомнений в подлинности их слов. Добавьте сюда еще ощущение срочности и давление со стороны «сотрудника службы безопасности», который действует, якобы, в ваших интересах — и вот вы уже собственноручно, находясь в трезвом уме и здравой памяти, перевели деньги на счет мошенников.
Мошеннические операции с картами — самый распространенный случай
Как было сказано выше, наиболее частым случаем для «развода на деньги» является звонок из службы безопасности сбербанка. Как это происходит:
Вам поступает звонок с незнакомого номера или короткого номера 900. Человек представляется сотрудником Сбербанка и твердым уверенным голосом сообщает вам, что по вашей карте мошенники пытаются провести подозрительную операцию на сумму … рублей. При этом, как рассказывают пострадавшие, у них на заднем плане могут быть слышны шумы и разговоры очень похожие на рабочую обстановку в офисе банка.
Дальше, для отмены операции, вас просят продиктовать номер карты. После того, как злоумышленники получили данные карты, вас просят сообщить код, который пришел вам по смс для отмены операции. При этом вас торопят и говорят, что назвать его надо как можно скорее, пока деньги еще не списаны.
И вот в такой ситуации, когда вы переживаете за свои деньги, вас торопят и вообще вы плохо понимаете что происходит, а ваш единственный проводник через этот кошмар — уверенный голос сотрудника службы безопасности на том конце телефонной линии, который отчаянно и самоотверженно пытается спасти ваши деньги — вы слепо следуете инструкциям и называете код из смс, даже не прочитав текст самого смс. А написано, так как правило:
Внимание, не сообщайте никому этот код! Для подтверждения перевода с вашей карты *xxxx на карту *уууу суммы … рублей введите код ****
Вы сообщили мошенникам код, деньги списались. С вами попрощались. И вы даже не сразу поняли, что на самом деле произошло, пока не зашли в свой интернет банк и не увидели уменьшенный баланс карты.
Это наиболее частая схема. Может быть и немного другой сценарий, когда у вас нет карты сбера и этот же «сотрудник» выясняет в каком именно банке у вас карта и якобы переключает на службу безопасности этого банка. Или у вас могут спросить логин и пароль от интернет банка (фишинг). А бывали случаи, когда люди переводили деньги через банкомат на чужую карту, искренне веря, что вводят код отмены операции. Все это кажется смешным и нелепым, пока жертвой не станете вы или кто то из ваших родственников.
В чем опасность таких операций
Проблема заключается в том, что переводы с карты на карту происходят моментально. Их нельзя «заблокировать, пока деньги еще не списаны» (как, например, в случае с торговыми точками). А тот факт, что операция была подтверждена кодом из смс, практически не оставляет шансов доказать, что это было мошенничество. Ведь по договору с банком вы обязуетесь хранить в тайне данные карты, логины, пароли, и не сообщать никому коды подтверждения.
Плюсом к этому, по закону нельзя просто вернуть перевод с карты на карту без согласия получателя средств. А он, как вы наверное могли догадаться, возвращать их не намерен. Единственный шанс, это доказать, что вы подверглись действиям со стороны мошенников. Но пока вы подадите заявление в правоохранительные органы, пока оно будет рассмотрено и так далее… за это время злоумышленники сменят все свои счета, карты и номера телефонов.
Как предотвратить несанкционированную операцию
Первое и самое важное — НИКОГДА И НИКОМУ НЕ СООБЩАЙТЕ ДАННЫЕ КАРТЫ, КОДЫ ПОДТВЕРЖДЕНИЯ и ПАРОЛИ.
Сотрудники банка и так видят в программе данные ваших счетов и карт, и коды для блокировки карты, счета или суммы им не нужны.
Если вам позвонили из банка, не бойтесь перестраховаться. Прервите разговор и перезвоните по контактным данным на карте или официальном сайте.
Что делать если вы сообщили свои данные мошенникам или попались на уловки и провели операцию
В связи с тем, что 99% подобных операций являются переводами с карты на карту, или с карты на кошелек, вам необходимо в кратчайшие сроки связаться со специалистом клиентской службы банка и сообщить информацию о подобных операциях.
Внимание! Связывайтесь только по официальным контактным данным банка. Они должны быть указаны на официальном сайте, в Интернет банке или на банковской карте.
ИНСТРУКЦИЯ НА СЛУЧАЙ МОШЕННИЧЕСКИХ ОПЕРАЦИЙ:
- В случае, если у вас прошла мошенническая операция или вы сообщили свои данные или данные карты постороннему лицу, Вам необходимо:
- Связаться с вашим банком как можно скорее.
- Рассказать, что произошло как можно подробнее. Обязательно уточнить название сайта, если он фигурировал в мошеннической схеме, номера телефонов мошенников.
- Обязательно сверить по выписке с сотрудником банка, о каких операциях идет речь: дата, сумма, торговая точка;
Будьте готовы к тому, что сотрудник может заблокировать карту (исключением может быть собственноручно сделанные переводы с карты на карту в своем ИБ, когда номер карты не скомпрометирован (не передан третьим лицам)). Не стоит сопротивляться и спорить — это делается ради безопасности ваших же денежных средств. Лучше не храните все свои средства на одном счете или держите 2 активные карты к одному счету.
5. Сотрудник банка подробно проинструктирует вас что делать дальше. Как правило рекомендуют:
- подать заявление на опротестование операции по карте в Интернет Банке или в офисе Банка. При этом необходимо обратить внимание, что в случае подтверждения операции по карте кодом доступа шансы вернуть денежные средства по итогу расследования минимальны;
- обратиться в правоохранительные органы по факту мошенничества;