Про социальную инженерию

Дата: 20.10.2019. Автор: Валерий Естехин. Категории: Блоги экспертов по информационной безопасности
Про социальную инженерию

У меня зазвонил телефон.
— Кто говорит?
— Вован. Интерпол.
-Что вам надо?
— Хотим спасти ваши вклады.
— От чего и от кого?
— От всего, но сначала от взлома.
-Гудбай, Вова!

Хочется поделиться вот этим материалом – назовём его — исследованием. Чем больше будет таких статей, тем меньше будет случаев кражи денег у населения.
О чём речь? Не секрет, что нас в последнее время настойчиво атакуют телефонные мошенники. Если вас сейчас никто не атакует, значит, атакуют других и пока до вас не дошла “очередь”. У атакующих налажены эффективно действующие дистанционные каналы одурачивания клиентов банков и всегда под рукой ваш телефон и, возможно, кое-какие ваши персональные данные.
Наша задача лучше разобраться в том, что происходит и как-то справиться с этим злом и что-то ему противопоставить. Ситуация более серьёзна, чем кажется и все мы должны быть заинтересованы в пресечении подобной противоправной деятельности.
На примере материала, на который дана ссылка выше можно сделать следующие выводы.
Фантазия мошенников безгранична. Связавшись с вами по телефону, они для начала проведут для вас ликбез о защите ваших данных. Например, расскажут о том, что нельзя предоставлять “никому и ни в коем случае”: паспортные данные, срок действия вашей банковской карты (“шестнадцать публичных цифр”), “цвв” (cvv). А также о том, что надо с подозрением относиться к банкоматам в торговых точках, чтобы не попасться на крючок “скиммерам”. Расскажут о том, что нельзя устанавливать на мобильное устройство всякие там приложения удалённого доступа, типа TeamViewer. Мошенники, “заботясь о вашей безопасности”, также проинформируют вас что “нельзя пользоваться общедоступными wi-fi сетями и входить в платёжное приложение с чужих мобильных устройств”, а ещё любой “банкомат должен быть в опрятном состоянии и вести себя корректно”. Не поленятся рассказать вам и о том, что сейчас у всех на слуху — об утечках персональных данных клиентов из банков.
Наглядно видно, насколько мошенники всегда готовы быстро перефокусироваться. Произошли у мобильных пользователей банковских услуг хищения с использованием мошенниками программы удалённого доступа TeamViewer и вот уже их “коллеги” просят у граждан этого не делать. Мошенники читают СМИ, смотрят ТВ и с целью втереться в доверия жертвы, тупо проговаривают, чем пользуются их “коллеги” для одурачивания населения.
Банк России констатирует — 2019 стал годом расцвета мошенничества с использованием социальной инженерии, “которая в условиях разнообразия типов скомпрометированных данных (клиентов банков – курсив мой) обеспечивает рост видов “заходов” и схем обмана граждан. В связи с этим одновременно с борьбой с утечками необходимо вести профилактическую работу с клиентами банков”.
Действуя неординарно, мошенники подготавливают жертву к совершению нужных им действий. Для этого они имитируют фон, якобы, работающего колл-центра банка. В телефонном разговоре с клиентом — минимум пауз и невероятное нагромождение слов: “Для обезопасивания ваших счетов необходимо использовать двухфакторную защиту, только она является дополнительной безопасностью высшей меры”. При этом атакующие создают видимость бурной деятельности в банке по “вашему случаю”. Мошенники планомерно и поэтапно “передают” вас от младших менеджеров старшим, не оставляют вам время на то, чтобы самостоятельно обратиться в банк для прояснения ситуации и даже готовы искать на яндекс-картах ближайший к вам банкомат нужного им банка, чтобы жертва как можно скорее произвела самостоятельно списание денежных средств с целью застраховать денежный баланс на банковской ячейке, на вашем новом лицевом счете (несут полную ахинею с вкраплением банковских терминов).
Мошенники даже пообещают вам моральную компенсацию (3%) за то, что вас, якобы, пытались обокрасть другие мошенники (а по факту надо бы за то, что вам кто-то готов c целью наживы бесконечно морочить голову). Атакующие готовы пообещать вам то, чего вообще не может быть. Например, прислать на мобильный “смс с документацией”. “Вложить деньги на новые реквизиты” — прямо создаётся ощущение физического движения денежных средств по реквизитам клиента банка. Из нового в мире банковских операций, возможно, прозвучит для вас из уст атакующих проведение операции “обезналичивания денежных средств”.
Хочется надеяться, что всё сказанное и так известно читателю и что в подобных случаях никто (кроме профессионалов) вообще не будет вступать в переговоры с мошенниками.

Источник — Блог Валерия Естехина «ИБ. Взгляд снизу. Путеводитель по миру корпоративных тревог безопасника по ИБ (16+)».

Валерий Естехин

Об авторе Валерий Естехин

Персональный блог содержит информацию, которая отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения. Если вы ссылаетесь на материалы блога, то хорошей практикой будет согласование такого упоминания с автором (для СМИ это должно быть нормой). В любом случае при ссылке на информацию из этого блога не стоит указывать мою должность и моего работодателя - это личный блог автора.
Читать все записи автора Валерий Естехин

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *