Алан Байтенов
Электронная система может быть защищена по последнему слову криптографии, однако она беззащитна перед действиями человека, который имеет к ней доступ. Поэтому современные мошенники предпочитают “взламывать” именно человека. Это, оказывается, сделать гораздо проще. В основном подобные методы применяют в сфере банковского “кидалова” - жертва сама передает ключи от своего электронного кошелька. Так, на прошлой неделе атаке подверглись клиенты одного из самых крупных банков СНГ.
Психологи даже вывели относительно новое понятие. Методика, с помощью которой можно взломать любого зазевавшегося, теперь называется “социальной инженерией” (метод получения необходимого доступа к информации, основанный на особенностях психологии людей)

“Киберпреступники чаще взламывают не IТ-систему, а человека, поэтому людям необходимо знать правила кибербезопасности и следовать им на уровне привычки”, - приводят российские коллеги слова Станислава Кузнецова, заместителя председателя правления Сбербанка. “86 процентов из всех случаев социальной инженерии составили “самопереводы” денежных средств под влиянием мошенников”, - продолжается разговор на тему в официальном отчете упомянутого банка. К этому мы еще вернемся.
Все эти слова - реакция на серию действий преступников, мошенники в конце января 2019 года целенаправленно атаковали клиентов этого банка в России. Почему это интересно нам? Потому что рано или поздно эти “гастролеры” доберутся и до Казахстана.
Схема была настолько проста, что попасться на нее мог почти каждый. Итак, на телефон жертвы поступает звонок. Как правило, это делается в не самое удобное время - предположим, в час пик, когда человек вполне может управлять автомобилем. Однако на настойчивый звонок он все же может ответить. Подняв трубку, он слышит имитацию работы колл-центра. Оттуда вещает голос - мол, вы такой-то, ваша карта такая-то? Получив утвердительный ответ, мошенники предупреждают жертву о якобы сейчас совершающейся подозрительной транзакции. Человек, понимая, что он ничего подобного в этот момент не делает, начинает думать, что кто-то собирается его ограбить. Однако ограбление еще только готовится. Так вот, он уверенно говорит, что ничего никому сейчас не собирался переводить, и, бывали случаи, сам просит остановить денежную операцию.

Все, полдела уже сделано - человек на крючке. Как позже рассказывали потенциальные жертвы мошенников, с того конца провода им сообщают паспортные данные, номер счета и прочую, казалось бы, закрытую информацию, которой может обладать банк. “Пассажир”, естественно, подтверждает соответствие названной информации и тем самым сильнее начинает верить в то, что с ним разговаривает настоящий менеджер банка, который хочет помочь ему сохранить его деньги. Естественно, внимание жертвы притупляется, и она готова назвать в трубку все, что от нее требуют. Мошенники просят назвать кодовое слово, код безопасности (CVC, CVV2), код подтверждения транзакции, который придет по СМС. Кстати, код подтверждения представят именно как код “отмены подозрительной операции”.
Так вот, ничего из перечисленного сообщать кому-либо нельзя ни в коем случае.
Как правило, в разговоре, и это также является частью программы социальной инженерии, делают акцент на слове “безопасность” и на всем, что связано с сохранностью ваших денег на вашем счете. “Звучат фразы “мы действуем в целях вашей безопасности”, “мы как банк обязаны обеспечить вашу безопасность” и прочие обороты со словом “безопасность”. Вас спрашивают, не забывали ли вы где-то карту, не теряли ли, не оставляли ли в банкомате, не привязывали ли к онлайн-банку дополнительные номера телефонов. Далее якобы находят номер телефона, привязанный к вашему онлайн-банку пару дней назад. Вы, разумеется, отрицаете. Вам сообщают, что проблема обнаружена. Вам называют остаток средств на карте вплоть до копейки, чтобы удостовериться, что спохватились вовремя и никто ничего не украл. Далее вам сообщают и разъясняют, что ваши средства, карта и онлайн-банк будут заблокированы на сутки. Вас несколько раз предупреждают, что теперь вам будет звонить сотрудник банка каждый раз, когда сумма вашего перевода будет превышать определенную сумму”, - пишет одна из клиенток банка, которой пришлось столкнуться с мошенниками.
И главное, почему это работает - мошенники очень точно называли вам якобы закрытые персональные данные - номер паспорта, индивидуальные номера налогоплательщика, номер карты, счета. Однако, если вы хотя бы раз совершали покупки в Сети, то эта информация уже более не является закрытой. И мошенники с легкостью могут ее получить. “Самый типичный случай “самопереводов” - обман на сайтах бесплатных объявлений. Клиент размещает объявление на сайте, от потенциального “покупателя” совершается звонок, в ходе которого клиент сам сообщает ему реквизиты своей банковской карты, зачастую даже предоставляя SMS-пароли для того, чтобы злоумышленник мог совершить все операции от имени клиента”, - цитирует портал РБК отчет Сбербанка. К слову, в ход идет также и номер, с которого поступает звонок - встречается, что его подделывают.
Как видно из сообщений специалистов, сложнейшие системы защиты ваших денег буквально ничто перед вашей беспечностью и доверчивостью. На это и опирается так называемая социальная инженерия. Здесь присутствуют ноты гипноза и обычное забалтывание человека. По похожему принципу раньше действовали цыгане на вокзалах и рынках. Не исключено, что сегодня это также их рук дело - времена меняются, и мошенничество становится все сложнее и изощреннее. Вполне возможно, что помогают в этом также и утечки из баз данных финансовых организаций. И мы все понимаем, что это тот факт, который не принято придавать огласке.
Так все же - как защититься от всяческих проявлений так называемой “социальной инженерии”, если кто-то попытается вас развести? Советуют профессионалы - никогда не верьте странным звонкам. А лучше - бросайте трубку и перезванивайте в банк сами, чтобы удостовериться в том, что они действительно вас набирали. Вы удивитесь, но скорее всего никто не в курсе этого. Хотя бы потому, что банк в любой непонятной ситуации сначала блокирует счета, а потом уже разбирается. Кстати, мошенники могут прикинуться представителями Единой финансовой службы безопасности - по крайней мере, так обманывали в России. Но такой и похожих организаций, говорят эксперты, не существует.