- Миф № 1. Если сотрудник банка звонит через мессенджер, ему можно доверять
- Миф № 2. Нельзя говорить «да», когда звонят и предлагают услуги или запугивают
- Миф № 3. Существует безопасный счет, на который банки переводят деньги клиентов в случае опасности
- Миф № 4. Если звонят с номера банка, значит, точно не мошенники
- Миф № 5. С мошенниками можно разговаривать, если знаешь, как это делать
- Как защититься от приемов социальной инженерии
- Как банки и интернет-магазины помогают клиентам защититься от мошенничества
- Как работают антифрод-технологии
Банки и финансовые организации – традиционно привлекательная цель для кибермошенников. В последние годы финсектор ответственно подходит к информационной безопасности: компании внедряют защиту на всех уровнях, постоянно работают над ее улучшением и поиском потенциальных уязвимостей. В связи с этим злоумышленники атакуют клиентов банков с помощью скама, фишинга и социальной инженерии. Вместе с компанией Kaspersky развенчиваем основные мифы о мошенниках и рассказываем, как не попасться на их уловки.
Согласно глобальному исследованию Kaspersky только в 2021 году каждая вторая компания сталкивалась с атаками мошенников на аккаунты клиентов посредством фишинга или социальной инженерии. Злоумышленники активно используют эти методы, общаясь с людьми под видом финансовых и других организаций. С подобными угрозами приходится бороться компаниям по всему миру, в том числе в Беларуси.
Так, количество мошеннических звонков белорусским пользователям Kaspersky Who Calls выросло в первом полугодии 2022 года по сравнению с аналогичным периодом 2021 года. При этом в 2022 году почти каждый второй абонент из Беларуси сталкивался с мошенничеством или обманом, в результате которого злоумышленники пытались выманить деньги, данные банковской карты, данные от входа в интернет-банкинг.
Чтобы противостоять современным методам социальной инженерии и фишинга, важно защищаться не только технологически, но и активно развивать цифровую грамотность – изучать основы кибербезопасности, распространять информацию о киберугрозах и методах злоумышленников. Разберем пять популярных мифов о телефонном мошенничестве и расскажем, почему не стоит в них верить.
Миф № 1. Если сотрудник банка звонит через мессенджер, ему можно доверять
На самом деле: нужно быть бдительными при любых звонках из банков
Последние несколько лет банки Беларуси ведут официальную коммуникацию через мессенджеры: WhatsApp, Viber, Telegram. Стало нормой, что банк может написать клиенту, например, в Viber. Этим сразу стали пользоваться и злоумышленники, которые постоянно встраивают свои схемы в актуальную повестку, чтобы не вызывать подозрений пользователей.
Если звонит якобы представитель банка и говорит, что деньги в опасности, то это мошенники. Можно смело класть трубку. Также имеет смысл перезвонить в соответствующую организацию по официальному номеру и уточнить детали.
Миф № 2. Нельзя говорить «да», когда звонят и предлагают услуги или запугивают
На самом деле: это не важно
Иногда роботы говорят, что счет заблокирован или что кто-то пытался сделать перевод с вашего счета. Или просто предлагают услуги и спрашивают, интересны ли они абоненту.
Если пользователь не доверяет тому, что говорят по телефону роботы, он говорит «нет». Голос автоматически распознается, и потенциальную жертву соединяют с колл-центром мошенников. Если ответить «да», звонок прервется, но потом человеку могут перезвонить. Поэтому лучше ничего не отвечать.
Но что бы вы ни ответили роботу – это не повлияет на какие-либо переводы. В крупных банках используется система распознавания речи, но только для того, чтобы проверить баланс. Для финансовых действий такая технология не применяется.
Миф № 3. Существует безопасный счет, на который банки переводят деньги клиентов в случае опасности
На самом деле: таких счетов не существует
Миф, вытекающий из второго. Иногда мошенники, например, под видом представителей банка, предлагают жертвам перевести их деньги на специальный счет, где деньги якобы будут защищены от потенциальных злоумышленников. Однако на деле ни один реальный сотрудник банка никогда не попросит переводить деньги на какие-либо «безопасные» счета, даже пусть это будет не сотрудник банка, а сотрудник органов правопорядка.
Нужно понимать, что сотрудники банка никогда не звонят по таким делам. Банку легче приостановить операцию. В этом случае клиенту придется самостоятельно звонить в банк и узнавать, почему так произошло. Никто просто так не будет звонить и спрашивать: «Вы ли провели транзакцию?»
Миф № 4. Если звонят с номера банка, значит, точно не мошенники
На самом деле: номер легко можно подменить за небольшую плату
Такая уловка называется спуфингом. При этом номер может быть не только финансовой организации: подставить могут, например, номер правоохранительного учреждения. Совет тот же: сохранять бдительность при любых звонках, во время которых собеседник сообщает о том, что он якобы представляет какую-либо известную организацию. Даже если он называет вас по имени и звучит убедительно.
Миф № 5. С мошенниками можно разговаривать, если знаешь, как это делать
На самом деле: не следует заигрывать со злоумышленниками
Статистика показывает, что на изощренные мошеннические схемы периодически попадаются даже подготовленные люди. Кроме того, в 2022 году эксперты Kaspersky обнаружили, что телефонные мошенники стали мстить тем, кого не смогли обмануть. Номера людей, сумевших вычислить или как-то рассердить злоумышленников, начали использовать для обзвона новых жертв.
Например, злоумышленники звонят под видом банковских сотрудников или правоохранителей, а у потенциальной жертвы отображается номер того абонента, которому атакующие хотят отомстить. В результате, если схема срабатывает, уже после кражи жертва находит этот номер во входящих и требует у ничего не подозревающего человека вернуть деньги.
Другой сценарий, который могут развить обиженные мошенники, – DDoS-атаки с помощью SMS: в этом случае жертве приходят множественные сообщения с разных сервисов с одноразовыми кодами.
Если вам поступил подозрительный звонок, лучше положить трубку и не вступать в диалог.
Как защититься от приемов социальной инженерии
- Повышайте свою осведомленность о базовых принципах кибербезопасности и финансовой грамотности – читайте статьи на эти темы, обращайте внимание на предупреждения и инструкции от банков и компаний в области кибербезопасности.
- Не сообщайте коды подтверждения операций по телефону и перезванивайте в банк самостоятельно при возникновении малейших подозрений. Если возможно, сделайте это с другого телефона.
- Обращайте внимание на попытки психологического воздействия и старайтесь не включаться эмоционально. Мошенники во всех сценариях так или иначе пытаются максимально втереться в доверие к пользователю, а уже потом сыграть на страхе или жадности, вызывая оцепенение или эйфорию. Сотрудники банка никогда не будут оказывать на вас психологическое воздействие во время звонков, такое как нагнетание беспокойства, ощущения, что вас постоянно торопят и ждут немедленного решения.
- Если у вас запрашивают информацию – уточните имя и номер звонящего или его непосредственного руководителя. Затем просто проверьте эту информацию в интернете или справочнике, прежде чем сообщать какие-либо персональные данные. Если вы не знаете человека, который запрашивает информацию и все еще сомневаетесь – скажите, что уточните у кого-нибудь и потом перезвоните.
- Будьте особенно осторожны, если вам говорят, что ситуация неотложная. Это стандартный способ злоумышленников помешать потенциальной жертве все обдумать. Если чувствуете давление – постарайтесь притормозить процесс. Скажите, что вам нужно время, чтобы добыть информацию, нужно спросить своего начальника, у вас сейчас нет необходимых данных, – что угодно, чтобы дать себе время на осмысление.
- Проанализируйте ваше присутствие в Сети. Если вы публикуете много личной информации в интернете (например, в социальных сетях), ею могут воспользоваться злоумышленники. Например, в качестве проверочного слова многие сервисы предлагают использовать кличку вашего первого питомца. Делились ли вы этими сведениями в соцсетях? Кроме того, некоторые социальные инженеры входят в доверие, упоминая недавние события, которыми человек поделился в социальных сетях.
Как банки и интернет-магазины помогают клиентам защититься от мошенничества
Сегодня существуют технологии, которые позволяют финансовым организациям беречь и деньги клиентов, и собственную репутацию. В интересах банков и онлайн-магазинов бороться с мошенниками. Трудность здесь заключается в том, что им приходится одновременно обеспечивать безопасность и своих компьютеров, и устройств клиентов. Люди не всегда обновляют браузер и другие компоненты системы, пользуются неэффективной защитой или вовсе ее игнорируют. Вот почему они становятся удобной мишенью для хакеров, которые ищут способы проводить платежи в свою пользу.
Уже давно придуманы системы одноразовых паролей, токенов, защитных кодов CVC/CVV. Но этих мер сегодня недостаточно. Мошенники легко обходят их с помощью вредоносных программ и социальной инженерии.
Более эффективны продвинутые инструменты, которые используют методы машинного обучения. Они позволяют выяснить, кто пытается совершить транзакцию – легитимный пользователь или мошенник. Один из таких инструментов – Kaspersky Fraud Prevention. Он обеспечивает безопасность не только компьютеров PC и Mac, но и планшетов и смартфонов на iOS и Android.
Как работают антифрод-технологии
Их задача – определять подозрительные транзакции. Для этого решения анализируют признаки пользовательской сессии и устройства: аномальное поведение, расположение, тип устройства, внесение изменений, время работы, наличие роботизированных инструментов, подозрительный порядок управления счетом, включая автоматизированные действия при формировании платежа на стороне клиента.
«Поведенческий анализ позволяет исследовать, что пользователь нажимает, как он ведет себя во время входа в личный кабинет и всей сессии, а также выявлять типичные элементы навигации, временные показатели, действия и клики в учетной записи», – отмечаетКирилл Кулаков, технический консультант Kaspersky.
В результате формируется профиль нормального, легитимного поведения и на ранней стадии выявляется любая аномальная или подозрительная активность.
Работает это так: когда клиент вводит данные, необходимые для проведения онлайн-транзакции, система сопоставляет его действия и используемое устройство с уникальным цифровым профилем, чтобы удостовериться в том, что имеет дело с настоящим владельцем. В зависимости от того, совпадают ли данные, транзакцию одобряют или отправляют на дальнейший анализ.
«Платформа Kaspersky Fraud Prevention проводит масштабную работу. Она отслеживает попытки компрометации аккаунтов, а также проверяет, не запущено ли одновременно банковское приложение и средство удаленного доступа, и отслеживает, когда открывается банковская сессия, не в тот ли момент, пока человек разговаривает по телефону», – объясняет Дмитрий Кудревич, представитель Kaspersky в Беларуси.
Антифрод-системы не могут гарантировать стопроцентную защиту, но значительно снижают вероятность столкновения с мошенниками. Банки, платежные системы и интернет-магазины прикладывают максимум усилий, чтобы защитить своих клиентов, но и самим клиентам всегда нужно оставаться бдительными.
*Это партнерский материал. Подготовлен совместно с ООО «Лаборатория Касперского БЛР», УНП: 193371227