С начала года все большую популярность получают атаки на граждан, при которых злоумышленники звонят с реальных телефонов банка, подменяя номер. Введенная в заблуждение жертва сама рассказывает мошенникам сведения, позволяющие похитить деньги с ее карт и счетов. Злоумышленники применяют столь искусные техники социальной инженерии, что жертвами становятся даже дипломированные психологи и сотрудники банков.
Фото: Коммерсантъ / Александр Коряков / купить фото
Фото: Коммерсантъ / Евгений Павленко / купить фото
«Для подмены входящего номера используется IP-телефония, когда при помощи технических манипуляций в рамках настройки АТС мошенник звонит с любого номера, который у клиента на телефоне будет определяться как номер банка N»,— рассказывает вице-президент, директор по безопасности Почта-банка Станислав Павлунин. При этом технических решений, которые позволяют совершить подобный звонок, по его словам, множество — от весьма бюджетных приложений на мобильный телефон до весьма дорогостоящих решений. Конечная цель атаки всегда одна — получить доступ к вашим деньгам.
«Ковровые бомбардировки»
Для того чтобы при звонке от имени банка потенциальная жертва поверила в звонок от кредитной организации, мошенникам нужна информация о потенциальной жертве.
При массовой атаке, то есть когда злоумышленники действуют по принципу максимального охвата аудитории, злоумышленники берут сведения из различных баз данных, которые утекли в сеть. Из свежих актуальных утечек, отмечают в компании DeviceLock, база плательщиков штрафов ГИБДД и иных через предназначенные для выявления санкций интернет-ресурсы. В базе сотни тысяч персональных данных, включая ФИО автовладельца, номер автомобиля, номер исполнительного производства, первые и последние цифры банковских карт. Лука Сафонов из «Инфосистемы Джет» вспомнил выявленную в сети базу данных по покупке новых автомобилей по Москве и Московской области, где были данные паспортов, телефоны, марки и модели автомобилей 12 тыс. человек.
«Иногда источником данных для мошенников могут быть сведения, которые люди по неосторожности оставили в интернете, указывая в открытых источниках место работы и номера телефонов, предупреждает Станислав Павлунин.— Например, человек оставляет отзыв на сайте фитнес-клуба, и если у него в профайле есть мобильный телефон, то ему могут позвонить под видом менеджера фитнес-клуба и под предлогом оформления скидок, бонусов и подарков выведать паспортные данные, домашний адрес и другую информацию».
Небольшой объем информации из открытых баз дополняется сведениями, полученными от автоинформатора банка. Вычислить банк, в котором у человека открыт счет, достаточно просто. «В 90% случаев мошеннических звонков, о которых мне известно, злоумышленники представлялись сотрудниками службы безопасности Сбербанка,— рассказывает собеседник "Денег" в крупном банке.— Вероятность, что у человека счет в Сбербанке, очень велика, если ж не угадывали, то сообщали о поступлении средств на человека в Сбербанк и спрашивали, в какой кредитной организации у него счет, чтоб передать информацию». Весьма странная уловка, но она обычно срабатывает, люди не видят ничего зазорного в том, чтобы сообщить службе безопасности другого банка, где у него открыт счет, отметил он.
Охота на крупного зверя
Чудеса изобретательности (и информированности) злоумышленники демонстрируют тогда, когда идет охота на крупного зверя, то есть на премиальных клиентов. Информацию по ним они собирают разными способами. «Например, по той же базе покупателей машин можно выявить свежеиспеченных владельцев Porsche и Jaguar, которые вряд ли будут из числа бедных,— рассуждает Лука Сафонов.— Кроме того, любители освещать свою жизнь в соцсетях дают злоумышленникам немало информации для планирования атак». Эксперт приводит пример любителей фотографироваться на фоне своих авто, в то время как по номеру автомобиля можно получить достаточно много информации. «Или же рассказываете вы в соцсетях, что только-только вернулись из отпуска в Таиланде,— рассуждает он.— И если вам позвонят якобы из банка и сообщат о подозрительном расчете вашей картой при оплате счета на $400 в этой стране, то велик шанс — вы поверите». По премиальным клиентам автоинформатор выдает данные далеко не во всех банках, поэтому при целевых атаках на премиальных клиентов могут быть использованы иные каналы получения той же информации об остатках. «Сейчас в Telegram существуют десятки каналов, где продаются данные по клиентам разных банков, причем продают сами же недобросовестные сотрудники кредитных организаций,— сетует собеседник "Денег" в правоохранительных органах.— И если речь идет именно о целевой атаке, то злоумышленники могут приобрести информацию у таких посредников».
По словам источников «Денег», расценки у торгующих информацией небольшие. Например, при пробивке клиентов Сбербанка злоумышленники по номеру телефона предлагают узнать наличие счета в банке за 99 руб., за 2,5 тыс. руб.— полный номер банковской карты, за 2 тыс. руб.— выписку операций за один месяц, за 8–10 тыс. руб.— кодовое слово, за 5–6 тыс. руб.— паспортные данные владельца, включая прописку и т. д.
Повод для звонка
Поводы для звонка у представителя банка могут быть самые разные. Самый популярный, но далеко не единственный — это мошенническая операция по счету. Однако во всех случаях злоумышленник обязательно постарается выяснить номер карты, дату ее выпуска, код подлинности cvv2/cvc2, паспортные данные владельца карты, коды верификации.
«Есть мнение — если забить в телефон номер банка, то при звонке с подменой номера вы всегда отличите банк от мошенников. Это не так,— утверждает Лука Сафонов.— Если вы забили номер кредитной организации как "Мой банк", то при мошенническом звонке "Мой банк" и высветится».
Впрочем, нередко мошенники звонят и с похожих номеров. Например, мошеннический звонок с 8-800 часто определяется как звонок из Бангладеш. Порой даже номера телефонов подменяются на номера частных лиц, которые случайно оказались похожи на телефон того или иного банка.
По словам Луки Сафонова, в большинстве случаев мошенники используют «скрипты» обзвона, основанные на реальном скрипте банка, используя ловушки и приемы скрытой манипуляции. «Например, всем известно, что не надо сообщать девичью фамилию матери,— рассказывает Лука Сафонов.— Но легко сообщают фамилию дедушки по материнской линии, а это и есть искомый вопрос». Впрочем, бывают и уникальные, но в то же время эффективно работающие скрипты. Чаще всего, отмечает Лука Сафонов, во время разговора слышен характерный шум колл-центра, что также направлено на повышение доверия граждан. «Это может быть как запись реального колл-центра, так и колл-центр мошенников»,— отметил эксперт. При реальном звонке колл-центра звук колл-центра не слышен из-за специального шумопоглощающего оборудования.
Наряду с мошенническими звонками с подменой номера злоумышленники активно используют и СМС. Весьма распространенный вариант — жертва получает сообщение якобы от банка о том, что его карта заблокирована. При этом мошенническое СМС может прийти с номера, похожего до степени смешения на телефон банка. Например, от имени Сбербанка мошенники посылали СМС не с 900, а с 9ОО. Или не от Tinkoff, а от Tinkofff. Однако главное отличие мошеннического СМС от реального — переписка с «банком» будет начата в новом диалоговом окне.
Кто все рассказывает
Стандартное заблуждение граждан — «уж я-то точно не попадусь на звонок мошенника», уверяют эксперты. Если судить по сообщениям жертв социальной инженерии, чаще всего они называли данные своих карт в несколько измененном состоянии — либо чрезвычайно расслабленном, либо взвинченном. Например, призналась одна дама, ей позвонили в день рождения, когда была куча гостей, праздник, и она все назвала лишь потому, чтобы «быстрее решить проблему». Еще одна жертва получила звонок из банка сразу после того, как в ее машину у нее на глазах въехало и скрылось в неизвестном направлении чужое авто. Разбитая коленка сына, сборы в театр с риском опоздать — все это может сработать.
Кто-то не поверит в заблокированную карту, но поверит в набирающий в последнее время популярность у мошенников скрипт про «ваши данные оказались в открытом доступе, готовы ли вы дать проверочную информацию: место работы, должность…», а то и в легенду о продлении страховки. Читая публичные истории лишившихся денег по воле социальных инженеров, среди жертв можно обнаружить представителей пресс-служб крупных компаний, психологов и даже сотрудников банков.
Еще одно заблуждение: мне нечего терять, у меня на счете три копейки. Есть реальные кейсы, когда, получив доступ к онлайн-банку жертвы, мошенники быстро оформили на нее кредит и тут же вывели средства. И вместо потери в каких-то 312 руб. с дебетовой карты жертва теперь должна 500 тыс. банку.
Как спасают банки
Банки часто отмечают, что именно операторы должны блокировать все звонки с подменой их номера. Однако, по словам операторов связи, ситуация не столь однозначна. Например, часто мошенники звонят с номеров 8-800. Как отметил в своем публичном выступлении руководитель направления департамента гарантирования доходов «Ростелекома» Федор Куц, подобные звонки запрещены по закону о связи, этот номер лишь для приема входящих звонов. В то же время сами банки порой договариваются с операторами связи о том, чтобы звонить с указанных на банковских картах номерах на 8-800 для повышения доверия, отметил эксперт. Закон требует, чтобы операторы наземной и сотовой связи передавали номер в неизменном виде (то есть подмены не было), в то же время к IP-телефонии это требование закона не относится. По словам Федора Куца, для решения проблемы необходимы поправки к законодательству, должны быть введены жесткие санкции как против операторов, занимающихся подменой номеров, так и против операторов, не занимающихся этим, но допускающих звонки с номеров, не предназначенных для исходящих вызовов (например, 8-800). «Мы также выступаем за совершенствование правоприменительной практики, за ужесточение контроля со стороны надзорных органов, за увеличение штрафов до существенных размеров»,— отметил он.
Пока нет поправок, операторы связи разрабатывают для банков свои решения, которые защитят их от подмены номера. Чтобы защита была, каждому банку потребуется подписать соответствующее соглашение со всеми операторами связи.
Ваш двойник
У атак с подменой номера есть еще один аспект — совершенно спокойно могут подменить и ваш номер. И не только для звонка от вашего имени в банк, но и для атак на других граждан. На сегодняшний день готового решения, как защитить вас от подобных подмен, нет. Единственный вариант — некоторые банки уже сейчас предоставляют возможность для клиента отключить «узнавание», чтобы при звонке с подменой номера мошенник не мог получить информацию по счету будущей жертвы.
Если в схеме хищения не был задействован банк, то и защищать вас от таких атак никто не будет. В интернете есть пример жалобы абонента в телекоммуникационную компанию о том, что с номера конкретного человека от имени банка звонят мошенники, представляются кредитной организацией, выманивают данные карт и похищают деньги. Человек требовал от своего оператора защитить его от подмен, поскольку сам человек в данной ситуации не может ни на что повлиять, а ему звонят с претензией потерпевшие, жаждут пообщаться правоохранители. Оператор направил своего абонента решать проблему с банком, работниками которого представляются мошенники.
По словам господина Куца, при внесении поправок в законодательство и эта проблема будет решена.