Наш подписчик группы ВКонтакте высказал мысль, что главное, что принесёт в нашу жизнь цифровой рубль — это исчезновение опасности «со стороны сетевого мошенничества от слов совсем и навсегда».
По его мнению, «никакой взлом в блокчейн невозможен даже теоретически, так уж он придуман и сконструирован».
Предлагаем вам согласиться или опровергнуть его мнение здесь.
Т.к. мы являемся специалистами в других вопросах, то не стали спорить на темы блокчейна и токенизации, но всё же —не вызывает ли у вас сомнение такое утверждение? Это мы насчёт «совсем и навсегда».
Глядя на происходящее вокруг, трудно согласиться, что мошенники не смогут придумать, как отобрать у населения цифровые рубли, и исчезнут навсегда «от слов совсем и навсегда».
Нет, мы, конечно, только порадуемся, если так случиться в действительности, однако пока тенденция идёт ровно в обратную сторону.
В прошлом году, согласно исследованию BrandMonitor, кибермошенники получили с граждан страны около 150 млрд. рублей, из них:
- около 66 млрд. по звонкам из псевдо служб безопасности банков — за один раз снимали с карт обманутых россиян 27 тыс. рублей, либо около 15 тыс. через банкоматы;
- 18,6 млрд. принесли фишинговые сайты, в т.ч. интернет-магазины;
- остальное, 46,5 млрд., заработали фиктивные медицинские работники.
Сбер сообщает, что произошёл рост кибермошенничества по сравнению с 2017 годом в 30 раз, а по сравнению с 2019 — в 2 раза. Только за первые полгода 2020 зафиксировал 9,7 млн. мошеннических номеров, что в 4 раза больше, чем в аналогичный период прошлого года. За год получил более 3 мил. жалоб от клиентов на звонки мошенников и попытки снятия средств со счетов.
В целом, примерно каждый 11-12 звонок любому гражданину России является спамным или мошенническим, в т.ч. звонят с подменой номера.
По словам зампреда правления Сбербанка Станислава Кузнецова, «такого разгула кибермошенничества и киберпреступности не было никогда».
Естественно, большое влияние оказало распространение коронавируса, и связанные с этим самоизоляция и перевод всех действий и отношений в онлайн.
Да и, к тому же, основные способы, которыми мошенники завладевают деньгами, в основном заключаются в приёмах социальной инженерии, а тут никакие, даже самые надёжные и современные технологии, не способны помочь.
Редко увидишь предупреждения из СМИ вроде предупреждения от компании DeviceLock, которая занимается борьбой с утечками данных. Сообщается, что банковские счета россиян могут в ближайшее время подвергнуться атаке хакеров из-за того, что в даркнете продали доступ к коммутатору одного из операторов сотовой связи.
В сообщении говорится, что атаковать будут, скорее всего в майские праздники, когда клиента банков не так активно следят за своими финансами. Атаке могут подвергнуться несколько сотен владельцев счетов с наибольшими остатками и подключённым онлайн-банкингом, данные о которых уже собраны или будут получены путём «пробива».
Если у вас на счетах остатки не очень большие, всё равно будьте аккуратнее и держите под контролем свои деньги, пароли к онлайн-банкам и т.д.
Но вернёмся к нашей теме. Такие сообщения не настолько часты, как предупреждения о приёмах социальной инженерии, которые позволяют лишить вас ваших финансовых активов. Они все сводятся к одному — узнать реквизиты банковских карт, паспортные данные, пароли из смс, или заставить человека самостоятельно перевести деньги на чужой счёт.
Давайте вспомним некоторые
Привлекательные предложения
Например, по телефону или e-mail вам предлагают оформить вклад под высокий процент и присылают ссылку на поддельную страницу онлайн-банка, где нужно ввести реальные логин и пароль.
Вы можете не увидеть, что это фишинговый, поддельный сайт банка или другой известной вам организации, часто адреса отличаются только на одну букву или цифру. И вас привлечёт выгодное предложение, но данные в итоге попадут в руки мошенникам.
Это не говоря уже о том, сколько всяких сомнительных предложений по инвестициям, псевдоброкеров с подозрительными финансовыми услугами и нелегальных кредиторов.
Отпускникам
В начале весны, перед отпусками, активизировались поддельные сайты по покупке авиа и ж/д билетов — зафиксирован рост в 2 раза до почти 700 ресурсов. И они даже не «подделываются«» под известные бренды, а продвигаются под видом совершенно нового сервиса, в т.ч. и посредством контекстной рекламы. Но также являются фишинговыми, собирающими паспортные и платёжные данные, а также присваивающие средства за билеты, и не оказывающие услуги.
Социальная поддержка от государства (и не только)
А на фоне всех этих событий прошлого года, большой популярностью пользуется схема «получи социальную помощь от государства». От чьего только имени её не предлагают, из последнего — от имени Банка России, всё оформлено с символикой ЦБ и подписями высшего руководства. Нужно только вести данные карты для получения, после чего сами понимаете что происходит. Центробанк, кстати, выплатами не занимается, чтобы вы знали.
Есть обещания и от имени правительства, и от имени других государственных органов, на которые ведут рекламные объявления в YouTube и Google с изображениями первых лиц государства. Они, как вы понимаете, тоже фейк.
Свои подходы используются к пенсионерам, ипотечным заёмщикам и другим слоям населения, везде «индивидуальный подход». Обещается крупное вознаграждение за прохождение опросов, различного рода лотереи и др. Также хорошо работают фиктивные долги за жилищно-коммунальные услуги, да всего не перечислить.
Поддельные сотрудники правоохранительных органов
Часто стали раздаваться звонки от якобы сотрудников МВД или других правоохранительных органов, которые сообщают, что в отношении гражданина заведено уголовное дело и они обязаны сообщить персональные данные, данные платёжных карт, сведения о совершенных по карте операциях и др.
Сотрудники правоохранительных органов не интересуются данными карт и счетов, не требуют перевода денег на резервные счета ил ещё куда-либо. При необходимости гражданина вызываются в отдел полиции повесткой.
И, на всякий случай, — Центробанк не подает в правоохранительные органы заявления в отношении каких-либо операций, это происходит только с согласия клиентов кредитных организаций.
Ошибочные переводы
Или, например, другая мошенническая схема — злоумышленники перечисляют гражданину деньги якобы по ошибке, а затем просят вернуть их по другим реквизитам. Перевод на самом деле оказывается «закрепительным платежом» для привязки карты к специальному сервису в интернете, который после таких подтверждений может свободно списывать любые суммы с карты без дополнительных верификаций.
Либо перечисление может окажется «авансом» за покупку на сервисе объявлений. Злоумышленники размещают объявление о продажи чего-либо, а откликнувшихся покупателей просят переводить деньги на реквизиты третьих лиц. Затем обращаются к этим лицам и просят вернуть «случайно не туда переведённые» деньги. В итоге покупатели оказываются без своей покупки, и требуют возврата денег у третьих лиц, а последние — без своих денег.
Покупки товаров б/у
А вот ещё случай, связанный с покупками. На доске объявлений в интернете продаётся товар и продавец предлагает покупателю провести оплату с виртуальной карты электронного кошелька, за что можно получить кешбэк до 10%. Есть вполне легальный оператор электронных кошельков, который даёт такую скидку.
Покупатель, естественно, соглашается, особенно ,если сумма покупки внушительная. Он заходит на настоящий сайт, регистрируется заводит вполне настоящий электронный кошелёк. Всё это при поддержке продавца, который выразил желание помочь зарегистрироваться.
В итоге покупатель получает смс с подтверждением открытого кошелька и сразу второе смс с номером виртуальной карты, куда нужно перевести деньги. В самом же деле вторая смс ненастоящая, в ней номер карты мошенников.
И это не говоря о прямых фишинговых ссылках на оплату товара, отправленных в обход официальных ресурсов.
Высокие технологии
Есть мошенники, которые разбираются в IT-технологиях, они умеют через режим отладки мобильного приложения банков анализировать порядок и структуру вызовов API (программный интерфейс приложения) дистанционного банковского обслуживания. А затем атаковать счета граждан со всем известной целью. Обычно такие атаки готовятся специалистами высокого класса, разбирающимися в технологии ДБО на уровне разработчиков, а также в особенностях обработки банком платежей и работе антифрод-систем.
Но, как мы говорили, это скорее исключение, нежели правило, вернёмся к социальной инженерии.
Для предпринимателей
Есть мошенничество, рассчитанное на предпринимателей. Недавно был случай, когда мошенники воспользовались несовершенным регламентом обслуживания клиентов в банках.
Когда одна компания отправляет деньги другой, то при суммах до 10 млн. банк сверяет получателя только по двум критериям — номеру расчетного счета и наименованию. Ни ИНН, никакие другие показатели их не интересуют.
Что же сделали мошенники — зарегистрировали компанию с названием, как у одной известной фирмы. Зачем известная фирма — потому что налоговая, суды и банки обязывают бизнес проверять своих контрагентов. И партнёры мошенников проверяли — на сайте реальной компании.
Но договоры заключали с мошенниками — а в них все реквизиты настоящей компании кроме расчётного счёта, на который мошенники получили оплату и, естественно, сразу «растворились в тумане». А партнёры, оставшиеся без оплаченного товара, стали предъявлять претензии настоящее компании.
Сейчас в деле разбираются правоохранительные органы.
Электронные подписи
Да что тут говорить, электронные подписи умудряются выпускать на компании и с их помощью лишать фирму не только денежных средств, но и имущества. А всё та же причина — недобросовестность работников Удостоверяющих центров, которые пренебрегают полной проверкой того, кто к ним пришёл выпускать подпись, и на чьё имя.
Новое мошенничество с POS-терминалами
Есть мошенничество с POS-терминалами — звонят вам якобы от банка или компании, которая обслуживает терминалы, и сообщают, что требуется перенастройка. Затем либо приходят специалисты, либо по телефону под диктовку проводятся с терминалом определённые действия.
Таким образом терминал могут привязать к другому юрлицу, которое, соответственно, получит выручку за вас. Либо терминал будет просто выводить чек с подтверждением оплаты, вне зависимости произведена она или нет. Т.е. злоумышленники потом приходят в магазин и покупают товары, фактически их не оплачивая. Или случится ещё что-нибудь не менее «интересное».
«Любимый» 115-ФЗ
Предпринимателям, кстати, часто угрожают от имени Росфинмониторинга. Звонят или пишут по e-mail, требуют конфиденциальные документы, а иначе обещают блокировку счета. Чтобы вы знали, это ведомство не уполномочено напрямую контактировать с юридическими или физическими лицами, и не имеет прав блокировать деньги на счете. Все запросы оно осуществляет через банки или иные подведомственные организации, и насчёт блокировки Росфинмониторинг также сам не принимает решений, а только аккумулирует данные иных ведомств.
Старые добрые емейл-рассылки
Ну, и старые добрые емейл-письма с вирусами никто не отменял. Для компаний свои важные темы письма — «Повестка в суд», «Заявка на возврат», «Закрывающие документы», «Копии документов за прошлый месяц» и др. Письма с такими темами вряд ли останутся не открытыми, а в итоге злоумышленники получают доступ к удалённому управлению компьютером и бухгалтерским программам, с помощью чего предпринимают попытки перевести деньги, либо блокировать работу компьютера, чтобы затем получить выкуп за разблокировку.
Человеческая фантазия и доверчивость настолько велики, что их трудно «победить» даже с помощью самых серьёзных и современных технологий. Выскажете ваше мнение в любой нашей социальной сети.
Как отмечал в своих выступлениях президент, технологии быстро развиваются и будущее за интернет-возможностями. Однако и поле для преступлений тоже увеличивается. По его словам, важно информировать граждан о способах защиты от мошенников, повышать профессиональную подготовку и техническое оснащение органов внутренних дел.
Накануне президент подписал закон, который позволит оперативно блокировать мобильные номера, используемые заключенными в местах лишения свободы для противоправных звонков. Ни для кого не секрет ,что в тюрьмах у нас самые большие колл-центры. В будущем обещают создать целую специальную киберполицию.
Конечно, и банки, как основные держатели средств граждан, борются за наше спокойствие. Например, Сбербанк и Тинькофф банк совместно с мобильными операторами запускают сервис по выявлению телефонного мошенничества в реальном времени, который не имеет аналогов в мире.
Но и на свои силы тоже надо рассчитывать. Помните правила техники безопасности:
- под каким бы предлогом кто бы ни пытался узнать ваши персональные данные или ваших финансовых активов, а также коды подтверждения из смс и push-уведомлений, никогда никому ничего не говорите (даже информация о нескольких последних операциях и номер телефона позволят мошенникам пройти верификацию в банке);
- и сколько бы ни было звонящих — ведь чтобы сбить с толку, могут начать переключать от одного сотрудника к другому, или даже предупреждать о звонках из других банков;
- даже если звонят с официальных номеров банков, положите трубку и перезвоните по номеру, написанному на вашей карте, т.к. сейчас совсем несложно подменить номер, с которого звонишь;
- не реагируйте на запросы по e-mail и смс даже от органов власти или портала «Госуслуг», они не запрашивают СНИЛСы или платёжные реквизиты;
- если переходите по QR-кодам, внимательно проверяйте ссылку, т.к. по одному виду QR-кода нельзя оценить его легитимность и тем более вводить что-то не предложенных страницах.
На сайтах Сбербанка и Тикофф банка есть специальные сервисы, куда можно пожаловаться на подозрительные сайты или номера телефонов, или проверить их на действительность.