Клиенты банков всё чаще становятся жертвами мошенников и теряют деньги. Во многих случаях это происходит с использованием методов социальной инженерии — под видом звонков «из банка».
От чего страдает бизнес
С мобильным мошенничеством в том или ином виде сталкиваются все организации: от банков до служб доставки еды, что приводит к финансовым и репутационным рискам, а также к потере клиентов. Вопрос противодействия мошенничеству с использованием услуг связи актуален для онлайн-сервисов: служб такси, каршеринга, доставки еды и многих других.
Бизнес заинтересован в борьбе с фродом, но внедрение решений кибербезопасности обосновано, когда риски превышают стоимость услуг противодействия мошенникам.
Мошеннические вызовы
Откуда берут номера
Первый этап — получение мошенниками мобильных номеров клиентов и реквизитов банковских карт. В интернете есть ресурсы, торгующие скомпрометированными персональными данными, утечками информации из баз финансовых организаций, магазинов или страховых компаний, данными, собранными на фишинговых ресурсах.
Мобильные номера потенциальных жертв могут выбираться случайным образом, из открытых источников или методом перебора определенного пула. Ресурс с нелегальной информацией может быть заблокирован по решению суда, однако эти данные могут оставаться на зеркалах сайтов и в даркнете.
Как мошенники подставляют номер
Второй этап — организация звонков. Злоумышленники пользуются IP-телефонией, применяя один из протоколов: например, SIP. Для звонков необходим компьютер и специальное программное обеспечение. Используя сети Wi-Fi или 3G/4G, с помощью специального ПО можно звонить с любого номера, в том числе с номеров, идентичных номерам банка, чтобы звонок выглядел максимально правдоподобным.
Также злоумышленники могут использовать номер, похожий на номер банка, например, в коде «8 800» — эти и другие номера злоумышленники могут брать в кратковременную аренду. Некоторые мошенники используют ботов в мессенджерах, которые предоставляют свои АТС для использования за небольшую плату.
Клиенты верят, что разговаривают с сотрудником банка, сообщают мошенникам всю необходимую информацию, а затем преступники похищают деньги со счета. Иногда жертвы не являются клиентами банка, от имени которого совершается поддельный звонок, поэтому мошенники используют различные уловки: например, уточняют, является ли жертва клиентом другого крупного банка и «передают» звонок в их «службу безопасности».
В некоторых случаях мошенники сами притворяются обманутыми клиентами банка при звонках в контактный центр, пытаясь пройти процедуру идентификации и получить информацию о счетах реального клиента.
Как крадут деньги?
Злоумышленники сообщают по телефону о «подозрительной транзакции» под видом службы безопасности банка и просят назвать реквизиты банковской карты. После этого они просят назвать код подтверждения из сообщения и входят с его помощью в онлайн-приложение банка. Теперь у них есть доступ к переводам и возможность оформить кредит онлайн. Также мошенники могут токенизировать карту на свой мобильный номер, внести отпечаток пальца в смартфон и подтверждать дальнейшие операции.
Службы безопасности банков стараются отслеживать подозрительные транзакции и подтверждать их с помощью звонка клиенту. Но если злоумышленники, используя социальную инженерию, смогли установить переадресацию вызовов, то вместо клиента операцию банку подтвердит мошенник. В каждой ситуации банку приходится разбираться отдельно, поэтому к борьбе с фродом подключаются операторы связи.
Почему нельзя просто заблокировать мошенников
По закону «О связи» оператор самостоятельно не может заблокировать подозрительные звонки, но может уведомлять о подозрительных действиях своих клиентов — компании, приобретающие услуги кибербезопасности. МегаФон обладает необходимой информационно-аналитической базой и экспертизой для выявления потенциальных мошенников и готов информировать банки о возможных мошеннических действиях в отношении их клиентов.
Как защитить себя
Внимательно относитесь к звонкам и SMS, поступающих от имени банков. Помните, что сотрудники банка не будут просить вас назвать пароли, коды авторизации и полные реквизиты карты. Возьмите за привычку перезванивать в банк при совершении любых операций по телефону.
