Социальная инженерия: как киберпреступники «взламывают» человека?

Термин «социальная инженерия» появился и получил распространение в эру развития цифровых технологий.

Само по себе это понятие не предусматривает преступного умысла. Социальная инженерия представляет собой всего лишь набор психологических техник, знаний и навыков, благодаря которому тот, кто их использует, более эффективно достигает целей коммуникации. К примеру, в позитивных целях социальную инженерию используют разведчики для выведывания необходимой информации. Мошенники – с целью наживы.

Благодаря психологической уязвимости, человек всегда будет проигрывать любой компьютерной системе защиты, учитывая, что «взломать» его, надавив на слабости и эмоции, значительно проще, чем компьютерные технологии.

Человек – слабое звено

В настоящее время особенно распространены случаи мошенничества с платежными картами.

В Украине за 2017-2018 годы на долю кибер-преступлений с использованием социальной инженерии пришлось около 60-70% случаев. В то время как через терминалы, банкоматы и фишинговые сайты вместе взятых совершено около 30-40% хищений денег с банковских карт, отмечает в своем исследовании ассоциация ЕМА.

Доля социнженерии в киберпреступлениях

Мошенники, как правило, используют несколько стандартных, но вполне действенных приемов с целью несанкционированного сбора реквизитов платежных карт. Из владельцев кредиток обычно стремятся выманить такие данные:

— номер банковской карты, выгравированный на лицевой стороне (состоит из 16 цифр).

— срок действия карты (находится на лицевой стороне карты, в формате месяц/год)

— код безопасности (CVV-код, три цифры на обратной стороне карточки).

Методы выуживания информации зависят от поведения жертвы, но в их основе всегда лежит человеческая невнимательность, глупость и жадность.

Методы социальной инженерии

Достаточно часто жертвы охотно делятся конфиденциальной информацией с фальшивыми авторитетными лицами. Нередки случаи, когда владельцы карт сообщали о себе информацию позвонившему неизвестному, который представился, например, сотрудником службы безопасности банка, сотрудником полиции, налоговых органов или другим должностным лицом. Часто преступники для убедительности просят жертву подтвердить свою личность.

Случаи, когда пострадавшие диктуют злоумышленникам такие данные, как номер карты, срок ее действия, код безопасности, ИНН, номер банковского счета происходят чаще, чем кажется.

Украинская межбанковская ассоциация членов платежных систем ЕМА выделяет такие виды социальной инженерии в Украине:

Вишинг (Vishing) – телефонное мошенничество с целью выведать у держателей карт реквизиты и идентификационные данные платежных карт с целью проведения мошеннических платежных операций.

Смишинг (Smishing) – преступники отправляют SMS держателям карт с целью дальнейшей коммуникации по телефону.

В этих двух видах мошенничества мошенники рассчитывают чаще всего на рассеянность, страх и жадность жертв.

К примеру, звонят, представившись сотрудниками службы безопасности банка с «новостью» о том, что их карта по какой-либо причине будет заблокирована. Чтобы этого якобы избежать, у владельца карты «уточняются» конфиденциальные данные.

Вторая самая распространенная ловушка – уведомление о выигрыше крупной суммы средств, переводе на крупную сумму или выигрыш квартиры в лотерею. Для получения средств пострадавшему предлагают продиктовать реквизиты карты, включая срок действия и CVV-код. Жертве сообщается, что нужно подтвердить пересылку выигрыша на его карту, продиктовав банку/организатору лотерей код из SMS.

Это одна из самых распространенных схем мошенничества в P2P-переводах. Служба безопасности Platon время от времени сталкивается с подобными инцидентами. Наши специалисты прилагают все усилия для сотрудничества с банками, чтобы помочь пострадавшим вернуть средства, которых те лишились в результате общения с мошенниками. В частности, в вопросах предоставления информации о деталях мошеннических платежей и блокирования подозрительных операций.

Фиктивные продавцы – под видом реальных продавцов преступники получают предоплату на карту за несуществующие товары или еще не оказанные услуги. В частности, это может быть продажа бытовой техники, одежды, аренда жилья, услуги посредничества и пр.

Как правило, мошенникам удается уговорить покупателей на предоплату ввиду выгодной цены товара. Разумеется, после получения средств продавец больше не выходит на связь и найти его не представляется возможным.

Несанкционированное использование финансового номера – мошеннический перевыпуск SIM-карты держателя карты с целью получения паролей и кодов безопасности, которые банки отправляют владельцам карт на финансовый номер для подтверждения операций.

Этот вид мошенничества встречается достаточно редко, так как более затратный в реализации.

Ущерб от киберпреступлений

Общий доход мошенников от использования социальной инженерии в киберпреступности на территории Украины в 2018 году составил 240,9 млн гривен. Это почти в 2 раза меньше, чем годом ранее – 509,72 млн. грн.

Ущерб от киберпреступлений в Украине

Как избежать мошенничества?

Во-первых, приучить себя более внимательно относиться к вопросам, касающихся вашей карты и банковских данных. Сотрудники банка никогда не будут просить клиентов раскрыть какие-либо конфиденциальные данные. Поэтому можете быть уверены, что если звонящий просит вас назвать информацию из списка, указанного выше – вы имеете дело с мошенниками.

Стоит также помнить, что если вы не покупали никакие лотерейные билеты и не участвовали ни в каких розыгрышах – любой «внезапный» приз указывает на мошенничество. Преступники достигают успеха именно благодаря иррациональной вере людей в неожиданные подарки. Поэтому не стоит реагировать на SMS и звонки с подобными уведомлениями с тех сервисов, в которых вы не участвовали.

Сложнее противостоять обману в сфере продажи товаров и услуг. Лучше отказаться от покупки, где от вас требуют предоплату, если можно воспользоваться аналогичными услугами без предоплаты.

Тем не менее, если вы соблюдали всем меры безопасности, но данные вашей карты все равно попали в руки мошенников, помните, что вы можете минимизировать ущерб. Если мошенники завладели вашими конфиденциальными данными, вы можете:

— заблокировать свою банковскую карту, позвонив в банк

— поставить интернет-лимит «0» на вашей карте, чтобы мошенники не смогли воспользоваться ею для интернет-покупок и пересылки средств

— если с вашей карты незаконно сняты средства, обратитесь с письменным заявлением в ваш банк и полицию с просьбой помочь вернуть деньги.

— смените финансовый номер телефона (номер, который банки используют для верификации клиентов), в некоторых случаях PIN, пароли доступа в онлайн-банкинг.

И, самое главное, помните, что сохранность ваших средств напрямую зависит от вашей осторожности и взвешенности решений. Поэтому более внимательно следите за вашими гаджетами и не храните конфиденциальную информацию там, где к ней может быть доступ посторонних.