ЦБ РФ: свыше 97% хищений со счетов физических лиц совершено с помощью социальной инженерии
Банк России обнародовал отчет о деятельности Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) по предотвращению кибермошенничества и краж персональных данных россиян. Основные выводы отчета – резкий всплеск активности мошенников в Интернете, широкое распространение методов социальной инженерии и высокий спрос на услуги сбора персональных данных.
Согласно данным отчета, размещенного на официальном сайте ЦБ РФ, в мошеннической среде масштабы распространения методов социальной инженерии огромны. Так, в 2018 году с использованием таких приемов было совершено более 97% хищений со счетов физических лиц и 39% - со счетов юридических лиц. Как пишут эксперты ФинЦЕРТ, основными факторами, способствующими распространению социальной инженерии, являются неправомерный доступ и обработка персональных данных (ПДн) физических лиц. Для того, чтобы совершить хищение, мошенникам достаточно знать лишь полное имя и номер телефона потенциальной жертвы, а данные, относящиеся к банковской тайне, совсем необязательны и могут служить лишь дополнением.
За период с 1 сентября 2018 года по 31 августа 2019 года эксперты Центра выявили 12 903 публикации с предложениями о покупке/продаже различных баз данных, 12% из которых относились к базам данных кредитно-финансовых организаций. Основными источниками утечек ПДн являлись многочисленные операторы обработки персональных данных.
TOП-3 таких утечек составили несанкционированный доступ к базам данных интернет-магазинов, где пользователи оставляют номера своих банковских карт и персональную информацию, получение данных в результате наблюдения за массовыми торговыми площадками и ведение разведки в отношении конкретных участников таких ресурсов, а также получение ПДН в телеграмм-ботах за определенную плату.
Противодействие подобным преступлениям - прекращение работы мошеннических call-центров, блокировка SMS-рассылок, обнаружение сайтов с вредоносным ПО и разделегирование фишинговых сайтов – ФинЦЕРТ назвал одним из целевых направлений своей работы. Так, за отчетный период количество мошеннических сайтов (лжеопросы, лжекомпенсации, лжевыигрыши и так далее) – продемонстрировало практически взрывной рост - почти в 7 раз. Эксперты Центра инициировали снятие с делегирования 9778 фишинговых доменов — это на 486% больше, чем годом ранее. Свыше 60% из них приходится на зарубежные ресурсы.
Выявлено около 780 тыс. сайтов с вредоносным ПО, внедрение которого остается одним из основных инструментов киберпреступников: для атак на финансовые организации и их клиентов активно используются рассылки писем с «зараженными» файлами или ссылками на сайты с ВПО.
Относительно новый способ обмана жертв из числа банковских клиентов – подмена телефонных номеров на идентичные номера банковских call-центров – позволяет мошенникам успешно выдавать себя за сотрудников служб безопасности банков, и совершать хищения под видом блокировки подозрительных транзакций. К примеру, в конце февраля 2019 года в России был зафиксирован резкий всплеск мошеннических звонков с использованием технологий подмены номера, совершаемых от имени кредитно-финансовых институтов. Активным атакам мошенников подверглись клиенты Сбербанка РФ, ВТБ, банка «Санкт-Петербург», Райффайзенбанка и ряда других.
Обладая персональными данными, указывают авторы документа, злоумышленники с легкостью имитируют диалог с сотрудником банка, страховой компании, госструктуры или иной организации. Жертва поддается на обман, сообщая в конечном итоге контрольные слова, коды подтверждений из SMS и другую информацию, дающую мошенникам возможность вывести денежные средства с подконтрольных клиенту счетов. За год специалисты ФинЦЕРТ отправили на блокировку почти 5 тыс. таких телефонных номеров, что в 39 раз выше показателей предыдущего отчетного года.
Главным фактором, определяющим успех мошенников, является низкий уровень «компьютерной гигиены» самой жертвы. Получить логин и пароль от личного кабинета банка или первичные данные по банковской карте мошенник может, когда жертва совершает переход на зараженные сайты по ссылкам из непроверенных источников, скачивает «кастомизированные» приложения и бесплатные программы на мобильные телефоны, игнорирует установку антивируса. Однако для того, чтобы завершить платеж, мошенникам необходимо получить CVC/CVV-код банковской карты жертвы и одноразовый пароль из SMS для подтверждения операции. Убедить человека выдать эту информацию либо принудить его совершить платеж самостоятельно (например, через банкомат), преступник может только при личном контакте с жертвой – во время звонка по телефону. И в этом случае фактором, который не позволит выдать мошенникам необходимую информацию, остается уровень критичности мышления потенциальной жертвы и ее киберграмотность.
Выводы и прогнозы авторов отчета неутешительны: спрос на личные данные банковских клиентов и число покушений на хищение платежных и ПДн клиентов банков продолжат расти, а базовым элементом атак останется социальная инженерия. При этом, как отмечают эксперты Центра, на фоне снижения числа целевых атак на организации кредитно-финансового сектора первостепенное значение приобретают защита персональных и платежных данных их клиентов. Результативность и масштаб последствий мошеннических атак будут зависеть от того, насколько добросовестно организации кредитно-финансового сектора будут соблюдать законодательство и нормативные требования Банка России, в том числе регулирующие порядок доступа, использования и передачи данных, а также правила их размещения в облачных хранилищах.
Опубликовано 15.10.2019