Мошенники научились обходить СМС-подтверждение операций

Гости
Алексей Дрозд
начальник отдела информационной безопасности компании «SearchInform»

Иван Князев: Мошенники нашли новый способ украсть у нас деньги. На этот раз они научились обходить смс-подтверждение операции. Казалось бы, последний рубеж обороны, да, двухфакторная идентификация, к ней-то долго привыкали. Вроде бы уже защищены максимально, смс от банка приходят. Но это может оказаться «липой». Вот тогда вопрос: что нас вообще защитит в этом случае?

Марианна Ожерельева: Сейчас по такой схеме работают, например, при продлении полиса ОСАГО. Как это все выглядит технически, что можно делать, а что нельзя? Какие данные куда вводить? На какие смс реагировать, на какие – нет? Подробно о новой схеме попросим прямо сейчас рассказать наших экспертов.

На связи со студией Алексей Валерьевич Дрозд, начальник отдела информационной безопасности «СёрчИнформ». Здравствуйте!

Иван Князев: Здравствуйте! Алексей, смотрите, вот мы буквально сейчас перед эфиром с коллегами обсуждали вот эту новую схему. И уже есть случаи, хотя заявлено…

Марианна Ожерельева: Пострадавшие.

Иван Князев: Да, есть пострадавшие, хотя, ну, не совсем пострадавшие, но схема уже, попытались ее опробовать на одной из наших коллег. Хотя заверялось, что таких случаев пока еще немного.

Расскажите вот нам поподробнее, как это выглядит. Особенно вот при ОСАГО, чтобы мы понимали. Что куда нажимать?

Алексей Дрозд: На самом деле, все новое – хорошо забытое старое. Принципиально, для тех, кто постоянно «варится» в теме кибербезопасности и мошенничества, ничего нового здесь не было. Здесь просто скрестили одну схему и вторую. Первая – это классический фишинг, и основана она на обмане пользователя. Второй – то, что называют скамом, либо data scam.

То есть, грубо говоря, это схема довольно редкая, потому что использовался сначала ручной труд. То есть, мошенник сидел где-то посередине и перенаправлял чуть ли не вручную эти запросы. Сейчас ее автоматизировали, и можно бить по площадям.

На самом деле схема представляет собой что? Берется, создается поддельный сайт. Так как, зная человеческие привычки, что многие страховку продлевают, там, в декабре, в январе, как-то так получалось, в это время активизируются мошенники. Создают сайты и создают рассылки по этим сайтам. Чтобы привлечь жертву.

Дальше, когда человек вводит на сайте все необходимые данные, имитируют платеж. Но на самом деле, в это же самое время автоматически генерируется просто фальшивый платеж на какой-то другой ресурс. На какой-нибудь интернет магазин, или перевод на какую-нибудь другую карту.

Смысл в чем? Расчет на то, что, когда банк пришлет подтверждение на эту же сумму, на сумму страховки, человек впопыхах не прочитает в смс-ке предназначение. А там написано, как правило. То есть, человек, банально, видя, что платеж уходит в какую-то третью сторону, просто не придаст этому значения. Он подумает: ну, наверное, так и надо.

Иван Князев: Это оно и есть.

Алексей Дрозд: Да.

Марианна Ожерельева: Как себя обезопасить? Вот что должно быть триггером к тому, чтобы не продолжать дальше с этой системой взаимодействовать? Может быть, запрос каких-то документов? И ты вспоминаешь, что ты всегда, там, прошлые, позапрошлые годы этого не делал. Что должно остановить? Красный знак, он какой?

Алексей Дрозд: Красный знак – это включение мозгов. Ну, на самом деле, инициатором общения всегда должен быть человек. Первое. То есть, не когда ему извне приходит такое письмо, и он на него отвечает. Хорошо, у меня есть машина, у меня есть страховка. Мне пришло это письмо, я принял к сведению. Сам пошел, не по ссылке, а сам пошел на сайт страховой и ввел, соответственно, свои данные и оплатил.

Либо же, если я настолько не уверен в себе, в том, что могу распознать мошенников или легитимных представителей страховой, пошел в офис, и вызвал агента, и оплатил там. То есть, в любом случае не отвечать на подобные письма. Воспринимать их исключительно как информационные. А дальше действовать самостоятельно.

Иван Князев: Ни по каким ссылкам не переходить. Ну, вы понимаете, мы-то ведь, на самом деле, уже немножко разучились ходить ногами в офис и оплачивать там. Потому что все уже привыкли, действительно, напоминалки стоят, приходят эти смс, там «не хотите ли продлить страховку». А как они вообще узнают, что у меня, например, страховка вот в этой компании? Или я там, ну, в ней там зарегистрирован, мои данные, я уже там из года в год покупаю?

Алексей Дрозд: На самом деле, утечки данных как из МВД, так и из страховых, то есть, много было новостей, и даже в этом году, когда утекали данные именно об автовладельцах. То есть, если взять цепочку, где эти данные могут оседать, то есть, вот, в любом из узлов могла случиться такая утечка. Соответственно, просто пытаются бить по площадям.

А еще не секрет, что мы, памятуя там 1990-е, 2000-е, помним, что могут страховые бороться между собой, эти базы могут перетекать друг к другу вместе с менеджером по продажам. И не удивляемся, когда мы зарегистрированы в одной компании, а вдруг нам приходит напоминалка, либо прямо звонили раньше люди из совершенно другой компании.

То есть, именно за счет того, что у нас история так повернулась, мы не удивляемся этому. Хотя, на самом деле, стоило бы.

Марианна Ожерельева: Алексей, а вот в случае, если все-таки это случилось, и ты совершила транзакцию, деньги ушли. Можно ли вернуть? Есть ли какой-то сегодня механизм в правовом поле, когда ты доказываешь, что это было мошенничество, и тебе возвращают деньги?

Алексей Дрозд: Механизм есть, но вернуть не получится. Потому что, в данном случае, это не подпадает под категорию «операции без согласия». Все-таки, все было по любви и почти добровольно. Пусть и с легкой примесью обмана. И из-за этого можно…

Марианна Ожерельева: Как же? Если этот случай есть? Значит, если он попадается, почему не вводится правило некое?

Алексей Дрозд: А правила есть. Просто они не совершенны. И тот же Центробанк в своих отчетах констатировал, что в 2021-м году было снижение даже по операциям без согласия возврата до 7, до 8%. То есть, даже если человека обманули, и то, далеко не всегда. Дело в том, что банки, например, четко прописывают, что нельзя эти смс-ки, коды вводить, нельзя добровольно передавать свои данные. Формально, в данном случае, жертва виновата, что она не распознала фишинговый сайт. Вот такой, казалось бы, парадокс, но…

Иван Князев: Даже если дело уголовное заведут, возбудят, то толку все равно не будет, деньги там очень сложно вернуть. Послушаем телезрителей.

Марианна Ожерельева: Здравствуйте!

Иван Князев: Татьяна у нас на связи.

Зритель: Здравствуйте! Это Ставрополь. Меня зовут Татьяна.

Иван Князев: Слушаем вас!

Зритель: Я хотела, знаете, вот недавно совсем, я прямо на днях столкнулась, такой дивный вид мошенничества. При бронировании жилья, слава богу, это было в нашем регионе, но, если бы за рубежом, я не смогла бы это сравнить. Бронируешь жилье, смотришь, вроде, недавно добавленный, такой нарядный домик, так все чудесненько, а какая-то маленькая цена.

Но мы понимаем, что, наверное, они только раскручиваются. Я общаюсь только через сайт-агрегатор, я не общаюсь напрямую. И вдруг мне приходит сообщение: «Дайте ваш телефон, потому что ваша карта, я не могу, короче, с нее снять деньги, а дайте мне ваш телефон». Я пишу, что я не буду общаться с вами напрямую, буду только через агрегатор общаться. Я говорю: «У вас на карте не отображается номер дома, пожалуйста, сообщите мне. Вот у меня в этом поселке есть знакомая, она сейчас туда сходит».

И дальше мне сказали: «Ты очень душная. Значит, твое место у параши, бронировать мы для тебя ничего не будем, селить тебя не будем».

Иван Князев: Кошмар.

Зритель: Я обратилась на сайт-агрегатор. Они их мгновенно заблокировали. Объяснили, что, ну я-то понимаю, что, если жилье очень дешевое. Я пробиваю картинки, забиваю на, тоже на определенном сайте, а это жилье их, это Румыния, там, жилье на продажу, там, Чехия, Санкт-Петербург какие-то гостиницы. Они просто ляпают какие-то картиночки, ставят дешевую цену, понимая, что сейчас, под Новый год, народ просто очень сильно ищет.

Мой совет: не может быть дом 140 метров за 10 тысяч рублей. Это точно. И общайтесь только через агрегаторы.

Марианна Ожерельева: Какая вы ответственная!

Иван Князев: Да, Татьяна, маленький вопрос. То есть, вы все-таки бронировать пытались вот этот вот дом именно через сайт-агрегатор, не через какой-то другой?

Зритель: Я через сайт-агрегатор. Но когда я увидела, что очень дешевое жилье, я решила его просто проверить.

Иван Князев: Да, понятно. Хорошо, спасибо! Спасибо вам большое.

Алексей Валерьевич, как тут прокомментировать? Это, получается, какая-то сторонняя, ну я не знаю, компания, не компания, зарегистрировалась на агрегаторе, выставила там какое-то мошенническое объявление? Или что? Я просто не очень понял, как они параллельно-то это все провернули?

Алексей Дрозд: Да, все верно. Регистрируются на подобных сайтах те, у кого в реальности нет ни жилья, ничего. Ведь этого и не требуется, какого-то подтверждения.

Марианна Ожерельева: А эти сайты потом как-то наказывают? За то, что они допускают вот таких участников?

Иван Князев: Или отслеживают они, может быть?

Алексей Дрозд: Сайт транснациональный. Здесь, теоретически, да, можно им определить. Но должен быть пострадавший. А пострадавший, в первую очередь, это тот, кого обманули. Вопрос: есть ли у него воля и желание копаться в этом без гарантированного результата, что ему вернут компенсацию либо деньги.

Марианна Ожерельева: Так вы же ранее сказали, что механизм есть, но не работает?

Алексей Дрозд: Да. Как правило, вряд ли механизм…

Иван Князев: Подождите секундочку! Секундочку, я уточню. То есть, если я на Букинге вижу там объявление, там, гостиница, да, какая-то, я забронировал ее, оплатил, ну, зачастую, бывает не обязательно, что ты на месте платишь, а заранее просят оплатить. И это оказались мошенники, Букинг за это никакой ответственности не понесет, мои деньги не вернутся никогда уже?

Алексей Дрозд: Вот обратите внимание, в данном случае всячески мошенники старались выманить за пределы экосистемы. То есть, «а давайте не будем кормить условный «Букинг» процентами. Давайте, вы мне лично…».

Иван Князев: Все, все, все, да, понятно, понятно. То есть, они предлагают выйти за пределы вот этой там честной схемы, потому что там же у них эти финансовые операции под защищенными всякими системами проходят.

Хорошо, еще один вопрос к вам, немножко помучаю вас. Как отличить, как понять эти фишинговые сайты, не фишинговые? Потому что объявлений очень много приходит. Мы сейчас дистанционно покупки делаем. Иногда просто не поймешь, куда ты…

Марианна Ожерельева: Не отличить даже, сайты не отличить.

Иван Князев: Да. Как зайти-то на нормальный?

Алексей Дрозд: В данном случае все начинается с вешалки, а именно, с адреса в браузере. То есть, банально, человек ловится на невнимательности. Приписывают в адреса различные символы. Буквально, одна буква. Либо пишут «www» в имени сайта, потому что многие вроде бы привыкли. Пишут «https», пишут «3-D S», как будто элемент системы. И все это относится только к невнимательности жертвы. Что она не понимает, сколько букв должно быть в условном названии сайта.

То есть, банально, если я скажу, что есть площадка, там, Букинг, которую мы уже вспоминали. Как она правильно пишется? Сколько там букв? Есть там вообще буква «О», либо пишется все через «У», «Ю» или прочие крокозябры. Многие мыслят не посимвольно, а образами. Они много раз видели название этого бренда, и автоматически пропускают его, как заранее верифицированный, не всматриваясь в буквы.

Этого делать не надо. То есть, каждый раз, когда дело касается финансов, надо быть начеку. Потому что, в противном случае, вряд ли получится деньги вернуть, если вы их добровольно, по сути, перевели.

Иван Князев: Ну, вот что нам пишут. Ярославская область: «Основная масса жителей в компьютере понимает не больше, чем школьник в алфавите. Да тут еще плюс постоянные утечки данных». Подпись «Пенсионер», из Ярославской области. «Грабят нас не только аферисты, но и самые честные конторы».

Я так понимаю, что лучше всего просто позвонить, например, да, в страховую компанию, если тебе нужно продлить ОСАГО, либо в банк, если тебе что-то, либо, вплоть до того, даже в магазин, если ты собираешься сделать покупку где-нибудь там на стороннем сервисе?

Алексей Дрозд: На самом деле, надо лишь знать, как это работает. То есть, и не надеяться, что подумали все за тебя. Я, кстати, вспомнил, вот недавно отчет читал по Госуслугам. Мы упоминали здесь двухфакторную аутентификацию, что у всех есть, все привыкли. Это замечательное искажение. По отчетам тех же Госуслуг, у десятков миллионов людей, которые пользуются, только у 10% включена эта самая аутентификация. Всего лишь, на самом-то деле. Поэтому ее с 2022-го года хотят сделать обязательной, чтобы, ну, причинять добро.

Иван Князев: Это все время нужно вспоминать этот же пароль там, который дополнительно тебе придет. А вдруг ты телефонный номер поменял и симку выкинул. Беда с этой…

Марианна Ожерельева: Быть начеку всегда.

Иван Князев: двухфакторной аутентификацией.

Алексей Дрозд: А здесь наши известные качели. Либо удобно, либо безопасно. Безопаснее всего, когда человек сидит в клетке, ничего не делает, у него нет выхода в интернет. Тогда у него интернет-мошенники деньги не украдут. Вот только существовать так плохо.

Иван Князев: Давайте еще один телефонный звоночек выслушаем. Аркадий из Ханты-Мансийского автономного округа у нас на связи. Здравствуйте!

Марианна Ожерельева: Здравствуйте!

Зритель: Добрый день! Вот такая ситуация. Хотел свои сбережения перевести на сберегательный вклад в личном кабинете Сбербанка. Открыл. И вход для открытия счета в личном кабинете…

Иван Князев: Слушаем, да, продолжайте.

Зритель: Да. Тут же пришло, пришел договор, якобы от Сбербанка. Я начал читать. Ну, я работал с договорами, поэтому я начал читать этот договор. Регистрация этой, подпись Сбербанка, внизу телефоны Сбербанка, а место регистрации – деревня Пантелеево. У меня вызвало сомнения, я перестал дальше все продолжать операции, поехал в ближайшее отделение Сбербанка.

Обратился к менеджеру, сказал, показал. Да, они нашли этот, что пришел мне договор. Говорят: «Ну да, это мошенники, все». Я говорю: «Свяжите меня со службами Сбербанка, со службой безопасности». Они говорят: «Мы передадим». Ну, прошло день-два, нет. Я зашел в личный кабинет, хотел дозвониться до службы безопасности. Связи прямой нет. Переводят на всякую там «подождите, цифра 1, цифра 2». Я написал в личном кабинете обращение к службам Сбербанка. Вот прошло уже 5 дней, реакции никакой.

Иван Князев: Да, спасибо, спасибо вам за эту историю. Алексей!

Марианна Ожерельева: Видите, как бывает, да.

Иван Князев: А как они параллельно-то смогли увидеть, что человек делает какие-то операции, сразу же к нему подключились?

Алексей Дрозд: Несколько точек есть. Ну, первое, на самом компьютере что-то может уже сидеть, а человек просто не знает. Другой вариант. Так как цепочка взаимодействия включает в себя там телефоны и прочее, могут утекать различные данные, которые передаются партнерам. То есть, банально, человек что-то там хочет открыть. И его для смс-ки номер передается в шлюз специальный, который будет рассылать эти смс-ки. Но там есть уязвимость, и оттуда данные утекают.

Может быть, параллельно, организация рассылает какие-то запросы финтехкомпаниям для того, чтобы оценить платежеспособность человека. Может быть, не все компании хорошо защищены, и оттуда утекает. То есть, здесь, не зная конкретной полностью цепочки, кто с кем взаимодействует и куда данные при процессе таком, при заключении договора, отправляются, можно лишь гадать, откуда подтекло. Но явно, здесь где-то пробой в логике этого бизнес-процесса. То есть, что-то недопатчено…

Иван Князев: Где-то есть дырки, в общем.

Марианна Ожерельева: Алексей, и последнее. Есть какой-то черный список? Вот с кем работать нельзя, где представлены какие-то фотографии, некие сайты, что, вот, пожалуйста, с этим не работайте! Коротко.

Алексей Дрозд: Коротко, подобные списки есть. Но нет глобального такого списка. Например, есть, банально, биткоин-кошельки. Вот. И есть адрес в интернете, где можно посмотреть, этот биткоин-кошелек участвует в каких-нибудь мошеннических аферах или нет. Там люди добровольно присылают отчеты: какие угрозы им приходили, либо же нет. И можно перед переводом, например, проверить репутацию такого кошелька. Ну и точно так же по различным сайтам, по различным телефонам и прочее.

Марианна Ожерельева: Спасибо!

Иван Князев: Ну, в общем, все остается на нашей бдительности. Спасибо вам большое! Алексей Дрозд, начальник отдела информационной безопасности «СёрчИнформ», был с нами на связи. Идем дальше.

Авторизуйтесь, чтобы быстро и удобно комментировать
Авторизуйтесь, чтобы быстро и удобно комментировать

Ваш комментарий будет опубликован после проверки модератором

Комментарии (0)