BIS Journal №1(44)/2022

31 марта, 2022

Ограбь меня! Как защитить обычных людей от кражи денег по телефону

Вряд ли сейчас можно найти человека, который не слышал о телефонных мошенниках, опустошающих банковские счета физических лиц. Кажется, что их приёмы рассмотрены и объяснены во всех вариантах, поэтому не должны срабатывать. Однако статистика говорит о другом. По данным следственного департамента МВД России, ущерб от телефонного мошенничества в России за 11 месяцев 2021 года составил 45 млрд рублей. Половина потерпевших добровольно передавали преступникам секретные данные, пароли и коды.

Попробуем разобраться, откуда взялось это противоречие, какие меры предлагает регулятор и помогут ли они защитить граждан.

 

ИСТОРИЯ ОБМАНА

Рассмотрим мошенническую многоходовку с несколькими участниками.

Всё начинается со звонка от «сотрудника» службы безопасности банка. «Сотрудник» в довольно грубой манере сообщает, что проводит проверку личности клиентов банка и для подтверждения жертва должна назвать ему свои полные паспортные данные и реквизиты всех карт банка. Когда возмущённая жертва отказывается сообщить конфиденциальную информацию, собеседник говорит что-то оскорбительное и вешает трубку. Главная задача этого разговора — вызвать негативные эмоции у жертвы.

Через несколько дней жертва получает ещё один звонок. На этот раз с ней разговаривает «сотрудник внутренней безопасности Банка России», который спрашивает, звонили ли жертве из банка со странными вопросами, а затем сообщает, что проводится расследование деятельности недобросовестных сотрудников банка, и просит оказать содействие следствию.

Вскоре поступает ещё один звонок от «представителя Следственного комитета РФ», «майора отдела ФСБ по расследованию банковских преступлений» или какого-то другого представителя силовых ведомств со звучной должностью. Его служба расследует мошеннические инциденты с участием сотрудников банка, в частности прозвоны клиентов с требованием подтвердить паспортные данные. Чтобы поймать и наказать преступников, нужна помощь жертвы.

Помощь может быть самой разной. Например, жертве предлагают перевести деньги со своих счетов на «помеченный» защищённый счёт или передать наличные «надёжному человеку», который положит их в «спецхранилище». Встречаются и варианты с оформлением кредита и передачей всей суммы «агенту ФСБ под прикрытием» или даже с продажей квартиры и размещением денег на «спецсчёте в ЦБ РФ». Во всех случаях мошенники обещают жертвам достойное вознаграждение после поимки преступников.

В обязательном порядке от жертв требуют соблюдения секретности, объясняя его тайной следствия, а иногда и угрожая ответственностью за разглашение.

 

КТО ПОД УДАРОМ?

Довольно распространено мнение, что мошенники обманывают только совсем наивных или неграмотных людей, далёких от реалий сегодняшнего дня. Но на самом деле всё гораздо серьёзнее.

  • В ноябре 2020 года бывший замначальника Следственного департамента МВД Дмитрий Какошин попался на уловку аферистов и предоставил им доступ к банковским картам. С его счетов списали 613 тысяч рублей. Генерал сообщил коллегам, что «находился под убеждением и психологическим воздействием».
  • В 2020 году женщина 54 лет отдала мошенникам 400 млн рублей. «Спасая» свои сбережения, она в течение месяца снимала деньги со счетов и переводила их мошенникам.
  • В мае 2021 года руководитель отделения психического и поведенческого расстройства НИИ им. Сербского, который проводит экспертизы убийц и маньяков, сняла со своих счетов 60 тысяч долларов США, 90 тысяч евро, 25 тысяч рублей, потом ещё 45 530 евро и 14 431 доллар США, а затем передала «специальному человеку» в кафе.

Генерал МВД или профессор психиатрии просто в силу своих профессиональных знаний не должны были поддаться обману. Они совершенно точно знали о мошенниках и имели представление о сценариях, которые те используют. Однако, когда они сами стали участниками «спектакля», не смогли включить рациональное мышление и выпутаться из ситуации без потерь.

 

ПОЧЕМУ ЛЮДИ ВЕРЯТ АФЕРИСТАМ

Мошенники строят свои сценарии с учётом особенностей человеческой психики. Они знают, что сильные эмоции выводят человека из равновесия и отключают критическое мышление. Поэтому первое действие во всех сценариях — удар по базовым эмоциям — страху, гневу, радости, любопытству и т. п.

В описанном выше мошенническом сценарии первый удар по эмоциям наносит фальшивый сотрудник банка, вызывая у жертвы гнев и негодование.

Появившийся на втором этапе «сотрудник ЦБ РФ» снова атакует эти эмоции, заставляя жертву вспомнить о неприятном эпизоде. И сразу же даёт надежду на то, что преступников могут поймать и наказать, нужно всего лишь помочь следствию.

Для реализации этой надежды в дело вступает «следователь», который выполняет дальнейшую обработку жертвы. Он продолжает стимулировать сильные эмоции, усиливая их воздействие авторитетом. Для этого упоминаются ФСБ, Следственный комитет и Центральный банк РФ, а также «солидная» должность звонящего.

Ещё один фактор, который используют мошенники для повышения эффективности воздействия, — изоляция жертвы от родственников, друзей и знакомых. Они добиваются этого с помощью «режима секретности», запрещая сообщать кому-либо об участии в «расследовании». Не имея возможности посоветоваться с другими людьми, жертва остаётся под «очарованием» мошенников и выполняет нужные им действия.

Примечательно, что преступники уже вовсю используют борьбу с самими собой как дополнительную мотивацию для жертв: «Вы же слышали о телефонных мошенниках? Вы можете помочь поймать одну такую банду и получить вознаграждение! Вот что от вас требуется…» Желание помочь и жажда вознаграждения часто оказываются решающими факторами в деле убеждения жертвы.

Таким образом, практически все мошеннические кампании построены примерно по одной схеме: удар по базовым эмоциям → отключение рационального мышления жертвы → повышение интенсивности воздействия с помощью эмоциональных усилителей → доверие жертвы → профит.

К сожалению, практически все люди в большей или меньшей степени уязвимы для таких атак. Даже если в отдельных случаях они успешно распознавали звонки мошенников, другие сценарии всё ещё могут сработать.

 

КАК ПЫТАЮТСЯ ЗАЩИТИТЬ ГРАЖДАН

Огромные суммы хищений со счетов граждан не остались без внимания банковского сообщества, регулятора и правительства. Чтобы защитить владельцев счетов от мошенников, предлагают:

  • дополнительную верификацию при денежных переводах и выдаче займов. Она должна предотвратить оформление кредитов и займов на человека без его ведома и стать препятствием для телефонных мошенников;
  • обязательное двухфакторное подтверждение на портале госуслуг при идентификации заёмщика. Предполагается, что в этом случае злоумышленникам сложнее будет получить заём под чужим именем, поскольку, кроме логина и пароля от «Госуслуг», потребуется код из SMS;
  • дать гражданам возможность самим решать, нужно ли им подключение дистанционных каналов доступа к банковскому счёту;
  • дать возможность пользователям мобильного банка и других цифровых банковских услуг скрывать счета, вклады или карты в мобильном приложении и устанавливать ограничения по параметрам операций;
  • сервис «второй руки» — возможность назначить другого клиента этого же банка своим помощником. Такой помощник будет получать уведомления о планируемых операциях с использованием цифровых каналов и сможет подтверждать или отклонять их, если заметит необычную активность. Инициировать подключение сервиса может только сам клиент, а при получении запроса на отключение такой услуги банкам рекомендуется проверять просьбу на предмет потенциального мошенничества.

 

БУДУТ ЛИ РАБОТАТЬ ЭТИ МЕРЫ ЗАЩИТЫ?

Фундаментальная проблема всех перечисленных мер состоит в том, что они не принимают в расчёт то, что практически во всех эпизодах с мошенниками люди действовали ДОБРОВОЛЬНО. Они ЗНАЛИ, что нельзя никому сообщать CVV-код банковской карты или SMS-код подтверждения операции. И уж точно они ПОНИМАЛИ, что, передавая деньги лично в руки незнакомым людям, рискуют лишиться их. Но это знание их не остановило. Мошенники сумели привлечь их к участию в спектакле и убедить добровольно расстаться с деньгами.

Предположим, что банки ввели обязательную дополнительную верификацию для перевода средств. Пусть, например, кроме SMS-кода, требуется принять звонок от робота и сказать: «Подтверждаю перевод». Как поступит человек, который выполняет перевод денег, считая, что спасает их от преступников? Скорее всего, он подтвердит перевод точно так же, как буквально минуту назад добровольно сообщил код подтверждения мошенникам.

Аналогичная ситуация и с другими защитными мерами. Клиент банка должен иметь возможность управлять своими счетами. А значит, даже обязательный визит в офис банка не станет препятствием для мошенников, ведь они вполне могут убедить жертву, что сотрудники банка пытаются её ограбить.

Чтобы защититься от мошенников, клиенты должны не только знать о них, но и уметь действовать безопасно

 

КАК ВСЁ-ТАКИ ЗАЩИТИТЬ ЛЮДЕЙ?

Телефонные мошенники грабят клиентов банков, не применяя сложных технических средств. Они используют в качестве оружия социальную инженерию, эксплуатируют слабости людей, которые сформировались за годы эволюции. В результате жертвы самостоятельно обходят все системы защиты банков, считая, что действуют себе во благо.

Чтобы остановить мошенников, нужно в первую очередь работать с потенциальными жертвами — клиентами банков. Как показывает практика, даже широчайшего информирования недостаточно, чтобы люди перестали верить аферистам. А как показывают описанные выше инциденты, даже те, кто знает и вроде бы не должен верить, всё-таки становятся жертвами. Причина в том, что, кроме знания, необходимы навыки безопасного поведения в различных ситуациях.

Многие банки используют оповещение клиентов — физических лиц о мошеннических угрозах, но, как и любое информирование, само по себе оно малоэффективно. Чтобы помочь банкам защитить своих клиентов и снизить операционные и репутационные риски, компания «Антифишинг» разработала решение «Антифрод», которое гибко встраивается в бизнес-процессы кредитной организации.

 

ОБ АНТИФРОДЕ

Рисунок 1. Схема работы решения «Антифрод» от «Антифишинга»

 

Система построена на технологиях «Антифишинга», показавших свою эффективность в выработке навыков безопасного поведения сотрудников компаний, но адаптирована к особенностям целевой аудитории — физических лиц — клиентов финансовых организаций (рис. 1).

Рисунок 2. Цикл обучения и тренировки навыков в системе «Антифрод»

 

В «Антифроде» реализован цикл обучения и тренировки навыков, который позволяет сформировать высокий уровень осведомлённости клиентов финансовых организаций и научить их безопасному поведению в различных ситуациях (рис. 2).

Рисунок 3. Пример теста из интерактивного тренажёра в составе «Антифрода»

 

В «Антифроде» имеется функциональность для обучения и тренировки навыков внешних пользователей в виде электронных обучающих курсов и диалоговых тестов, а также интерактивный тренажёр по безопасности и буклеты по безопасной работе в системе онлайн-банкинга, социальных сетях, мессенджерах и электронной почте (рис. 3).

Система «Антифрод» позволяет проводить имитированные атаки через СМС и по электронной почте с вложениями и фишинговыми сайтами. Решение может быть интегрировано с антифрод-системами и другими внутренними системами банков.

Рисунок 4. Дополнительные метрики для антифрода по каждому клиенту

 

Таким образом, после внедрения «Антифрода» банк получит:

  • улучшенную точность выявления мошеннических операций внутренними антифрод-системами благодаря сбору дополнительной информации о поведении клиентов;
  • вместо множества клиентов-жертв — киберчемпионов, которые не только знают, как безопасно работать в цифровой среде, но иумеют защищать себя и свои деньги от мошенников (рис. 4). 

 

ИТОГИ

  1. Жертвами мошенников могут стать даже информированные люди, которые не только слышали про эту угрозу, но и занимаются борьбой с ней.
  2. Больше половины жертв мошенников добровольно выполняли их указания, в том числе обходили меры защиты или даже снимали наличные средства и передавали их преступникам лично.
  3. Эффективность мошенников объясняется эксплуатацией особенностей человеческой психики — воздействием на базовые эмоции (страх, гнев, любопытство) и использованием эмоциональных усилителей в виде срочности и авторитета.
  4. Чтобы защитить клиентов, нужно выработать у них навыки безопасного поведения в сложных ситуациях.
  5. Добиться такого результата позволит сочетание информирования и систематической тренировки навыков с помощью имитированных атак.
  6. Система «Антифрод» на технологиях «Антифишинга» позволяет реализовать все необходимые шаги для обучения, тренировки и контроля навыков клиентов и гибко интегрировать эти задачи в бизнес-процессы кредитной организации.
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

06.10.2022
Главный тренд ИБ — проекты по внедрению российских решений
06.10.2022
«Белые шляпы» почистят «Госуслуги» от уязвимостей
06.10.2022
Центробанк предупреждает о новой волне мошенничества
06.10.2022
ЦБ РФ до конца года не будет наказывать банки за отсутствие идентификации через ЕБС
06.10.2022
Евросоюз запрещает обслуживание криптокошельков граждан РФ
06.10.2022
ФБР и CISA — о том, насколько успешными бывают атаки на электоральную систему
05.10.2022
Финляндия ожидает начало вредоносной киберактивности со стороны России
05.10.2022
Главный риск, что компании останутся на зарубежных продуктах
05.10.2022
Открытие киберполигона МТУСИ на базе решений ГК «ИнфоТеКС»
05.10.2022
Турция предложит россиянам карты своей платёжной системы. Вместо «Мира»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных