Социальная инженерия

В настоящее время уровень надежности технологий вырос настолько, что самым слабым звеном системы защиты стал человек – держатель карты. Если раньше мошенники атаковали технологии, пытаясь взломать системы и устройства, сегодня для достижения результата им пришлось научиться «взламывать» людей. Такой подход называется «социальная инженерия».

По словам экспертов, самыми популярными способами применения социальной инженерии являются выманивание у клиентов данных по банковскому счету/карте.

Часто мошенники узнают нужные им данные, представляясь сотрудниками банка либо просто пользуясь низкой финансовой грамотностью и доверчивостью клиентов. Например, они могут рассылать СМС с уведомлением о якобы произведенной блокировке карты и необходимостью позвонить по указанному номеру: «Ваша карта заблокирована, подробности по телефону xхx-xx-xx».

Проявлением социальной инженерии является звонок клиенту от «сотрудников безопасности банков» якобы с целью отмены подозрительных списаний, которые ошибочно совершаются сейчас по счету клиента. В ходе телефонного разговора мошенники стараются или вынудить сообщить информацию о паспортных данных и платежных реквизитах, или вынудить самостоятельно совершить перевод денег злоумышленникам. В этом случае злоумышленники выманивают у клиентов одноразовые пароли из СМС и данные по счету/карте клиента.

Также мошенники могут искать клиентов, оставивших объявления о продаже на OLX и других открытых досках объявлений. Далее они представляются покупателями и выманивают данные по банковскому счету/карте и одноразовые коды подтверждения операций из поступающих клиенту СМС якобы для того, чтобы перевести оплату за продаваемый товар.

Либо, наоборот, мошенники представляются продавцами неких товаров или услуг, привлекая жертву низкой ценой. Они могут отправлять ссылки на поддельные сайты курьерских служб, якобы для оплаты доставки товара. На самом деле при введении платежных реквизитов по такой ссылке мошенники могут получить доступ к счету и опустошить его.

В связи с этим очень важно понимать, что любая публично доступная информация, появляющаяся в соцсетях («ВКонтакте», Instagram, Facebook, и так далее), может помочь преступникам понять, где вы находитесь, либо узнать некоторые персональные сведения. Даже виш-листы в крупных интернет-магазинах типа Wildberries, Aliexpress и тому подобных могут стать хорошим подспорьем при использовании тщательно отобранных трюков из арсенала социнженеров.

Даже самые современные и высокотехнологичные банковские системы безопасности не спасут клиента, если он самостоятельно сообщает личные данные или собственноручно переводят деньги мошенникам. Правоохранительные органы в таких ситуациях тоже бессильны. Иногда не повредит быть немного недоверчивее, немного бдительнее. Нет ничего плохого в том, чтобы быть скептиком.

Итак, если вам позвонил «сотрудник банка», что должно вас насторожить и на что стоит обратить внимание:

1)    Расплывчатое название, что-то вроде «Служба безопасности государственной банковской ассоциации» или «Отдел проверки переводов службы безопасности». Как правило, мошенники не знают, клиентом какого банка вы являетесь, отсюда и непонятные нагромождения названий с вкраплением слов «безопасность», «банк», «переводы» и тому подобное. Настоящий сотрудник банка сразу после своего имени назовет полное название банка.

2)    Попытка «сверить» конфиденциальные данные: номер карты, срок действия, CVV2 код (три цифры на обратной стороне карты), номер счета, паспортные данные, ИИН и тому подобное. Настоящий сотрудник банка никогда не будет просить клиента сообщить ему по телефону такие данные. В отдельных случаях сотрудники банка действительно могут позвонить для подтверждения прошедших по вашей карте подозрительных транзакций, но в таком случае сотрудник самостоятельно вам назовет время транзакции и название торговой точки, откуда данная транзакция совершалась, вам останется только подтвердить или опровергнуть ее совершение. Даже если вы не подтвердите транзакцию – вас попросят прийти в банк и написать заявление. Ваши идентификационные данные или номера банковских карт у вас не будут спрашивать.

3)    Попытка вынудить абонента сообщить ему «код из СМС» или установить незнакомое приложение на смартфон. Специалисты банка ни при каких обстоятельствах не станут просить клиента поставить на устройство средство удаленного управления. Ведь у них и так есть все необходимые ресурсы и инструменты для блокировки несанкционированного доступа.

4)    Попытка вынудить абонента перейти на отправленную ему ссылку, где необходимо ввести платежные данные карты (номер карты, срок действия, CVV2). Ни при каких обстоятельствах не вводите эти данные в формы, которые открываются по ссылкам, присланным вам незнакомыми людьми, даже если они представляются сотрудниками служб безопасности различных организаций.

 

Если у вас возникли малейшие сомнения в том, что вы общаетесь с сотрудником банка, просто прервите разговор и перезвоните по номеру телефона, указанному на обратной стороне вашей карточки.