Тема социнженерии обширна и многогранна. В этой статье поговорим о мошеннических звонках от «службы безопасности банка». Начальник отдела ИБ «СёрчИнформ» Алексей Дрозд расскажет, какие техники используют социнженеры и как их распознать, а также что предпринимают банки и почему победить злоумышленников пока не получается. 

– Для начала приведу два свежих примера, которые подчеркнут актуальность проблемы:

Двух усольчанок (23 и 46 лет) «банковские работники» обманули на 200 тыс. рублей.  Обе потерпевшие, как и большинство граждан в подобных случаях, говорят о том, что знали о таких способах мошенничества, сами не раз призывали знакомых не верить неизвестным, но это не помешало им в точности повторить действия других жертв аферистов.

Жительнице Барнаула (26 лет) позвонил якобы сотрудник известного банка. Он сказал, что произошла утечка информации, была попытка списания денег. Назвал ее анкетные данные и предложил обезопасить счет. Девушка стала выполнять действия по предотвращению данной операции и продиктовала личные данные счета. Вскоре ей пришло сообщение о списании 260 тыс. рублей. 

Как работает схема

Шаг 1. Все начинается со сбора данных из открытых источников. Чем больше у злоумышленника информации на вас, тем убедительнее он будет говорить. Лучше всего для мошенника, когда к нему в руки попала эксклюзивная (которую продали только в одни руки) база банка. Но это скорее исключение, помноженное на дикое везение. Чаще отрабатываются сборные солянки. Информация в них – результат парсинга сайтов. Скрипты/программы/роботы собирают информацию, которую вы сами оставили в открытом доступе. Она может лежать и в соцсетях, и в объявлениях на условном «Авито», и в вывешенном резюме. 

Шаг 2. Прозвон. Им, как правило, занимаются новички. Их задача – найти лидов, методично прозванивая базу. Темы скриптов стандартны.

Подозрительная активность на счёте. Перед звонком может прийти СМС с текстом о списании или попытке списания средств. Весь спектакль ради того, чтобы звонок от «службы безопасности» выглядел достоверно. 

«Кто-то пытается взять на вас кредит». Поэтому нужно совершить определённые действия по недопущению этого. Например, «срочно оформить кредит (который вы сможете тут же вернуть). Звучит странно, но это сработает. Ведь банк не одобрит вам 2 кредита подряд. Поэтому очень важно оформить кредит быстрее мошенников. Итак, слушайте, что нужно сделать…».

Спецпредложения. Этот скрипт отрабатывают, если в базе можно сделать выборку по людям. Например, по пенсионерам. Пожилым людям предлагают обеспечить себе прибавку к пенсии за счет торговли ценными бумагами. Псевдоброкеры получают удаленный доступ к гаджетам пенсионеров и выводят средства с их счетов. А если особых сбережений нет – оформляют на них кредиты и тоже выводят деньги.

Если лид попался на крючок, его передают более опытному «специалисту». Во-первых, так история выглядит правдивее для жертвы (серьёзные люди из банка хотят помочь и даже переключают между отделами). Во-вторых, на этом этапе мошеннику надо проявлять больше изобретательности. Могут это не все. Поэтому и прибегают к разделению труда, когда «открывают сделки» 10 человек, а «закрывают» 2.

Шаг 3. Дожим. Самое важное в схеме, потому что здесь начинается вывод денег, и очень важно, чтобы жертва не соскочила. Как и в случае с прозвоном есть несколько стандартных ходов.

«Повторяйте за мной». Мошенник постоянно висит на линии и пошагово объясняет жертве, что надо сделать: открыть сайт/загрузить приложение/сказать код из СМС/дойти до банкомата и т.д.

«Мы сами всё сделаем». В этом случае главное убедить жертву что-то скачать/установить/открыть/дать. «На вашем смартфоне вирусы. Сейчас я вам пришлю ссылку на скачивание нашего антивирусника. Ваш придётся удалить, он, очевидно, не справился». Или «дайте доступ по TiemViewer, чтобы наш специалист смог убедиться, что у вас…». 

Финал для жертвы закономерен – потерянные деньги. Обратите внимание, деньги можно потерять не только свои, но и кредитные. Поэтому не спешите радоваться, если у вас на карточках пусто. Банки с удовольствием оформят вам кредит онлайн.

Какие техники используют мошенники 

Кви про кво – это когда человек выдаёт себя за другого. В приведённых примерах мошенники выдавали себя за специалистов банка (специалист по прозвону и специалист по дожиму). 

Вишинг как частный случай фишинга (от voice phishing). То есть фишинг, совершённый голосом. Фишинг, в свою очередь, является техникой, с помощью которой мошенники побуждают жертву совершить какое-то действие. В приведённых примерах вишинг работал на шаге 2 и 3. Шаг 2 – вброс информации, которая заставит жертву что-то делать (звонок из банка «ай-яй-яй, всё пропало, давайте срочно что-то делать»). Шаг 3 – само действие (установите программу, скажите код из СМС).

Почему банки ничего не делают

Вообще-то делают. Но проблему нельзя решить раз и навсегда. Сейчас объясню почему. 

Во-первых, не так давно Сбербанк представил сервис, на котором можно проверить, является ли сайт или номер телефона мошенническим. Это, конечно, лучше, чем ничего. Но не панацея. Эффективное время жизни фишингового сайта порядка 2-3 дней. Увы, в базу Сбера они иногда попадают позже. 

Что же касается телефонов, то здесь с эффективностью ещё сложнее. Для ясности надо рассказать, что такое Caller ID. Когда один человек звонит другому, у последнего на экране смартфона появляется номер, с которого звонят. Это и есть Caller ID. Его можно менять. И хотя сделать это непросто, подменять номер звонящего реально – проверил лично. Подмена на случайный мобильный номер отработала без проблем. Подмена на номер «900» не сработала, однако сервис сказал, что причина в тарифе. Мол, купите «Премиум» и всё заработает. 

Лично для меня наличие или отсутствие номера в базе Сбера не несёт полезной информации. Номер может быть мошенническим, а может быть и нет (потому что подмена Caller ID). Тем не менее считаю сервис полезным, т.к. в случае со звонками из «банка» лучше перестраховаться.

Во-вторых, ряд банков и операторов связи в феврале заявляли, что нашли способ борьбы с подменой номеров. Но если почитать внимательно и поискать дополнительную информацию, становится понятно, что сделали «костыль».

Банки и операторы сотовой связи в едином порыве синхронизируют информацию о звонках. Банки отдали операторам списки своих номеров. Теперь при звонке «жертве» с номера из списка оператор в режиме реального времени сверяет эту информацию с банком. «Банк, ты сейчас звонишь Иванову? – Да. – Ок, спасибо». А если «Нет», то уведомление о мошенническом звонке получает…банк! Заметьте, не жертва. Вот такая ирония.

В-третьих, несмотря на то, что банки теоретически должны вернуть всё жертве мошенников чуть ли не по первому требованию, в жизни чудес не бывает. Никто вам деньги не вернёт, потому что банки не могут различить действия клиентов и мошенничество: для этого суд должен установить виновных, а полиция не в состоянии их найти. 

Так что не стоит надеяться, что добрые банки и операторы связи защитят вас от мошенников. Только вы сами можете им противодействовать. Для этого помните простое правило: банк звонит для информирования, а не для действий. Если же вас просят что-то установить/скачать/ввести, не стоит этого делать. И ещё, если уж очень беспокоитесь сами перезвоните в банк.