Эксперты рассказали, как СМС-мошенники воруют деньги у россиян

Эксперты рассказали, как СМС-мошенники воруют деньги у россиян

2 Июня 2020
Эксперты рассказали, как СМС-мошенники воруют деньги у россиян

Мошенничество с перехватом СМС-сообщений от банка появилось практически сразу после того, как этот способ подтверждения денежных переводов стал одним из основных. Популярно ли в России такое мошенничество, кто подвергается таким атакам и какие меры безопасности принимают банки, рассказали эксперты в области информационной безопасности.

Смотрят сейчас

Чтобы перехватить СМС-сообщения от банка для подтверждения операций, злоумышленники перевыпускают SIM-карту. На языке кибербезопасности этот вид атак называется SIM-свопинг, рассказывает начальник отдела информационной безопасности "СёрчИнформ" Алексей Дрозд.

По его словам, SIM-свопинг в России – не массовый вид мошенничества, так как злоумышленнику приходится совершить довольно много действий, например, обратиться с заявлением на замену SIM с поддельной доверенностью или искать сообщников внутри телеком-оператора или салона связи.

"Все это трудоемко, затратно и рискованно. Поэтому такие атаки чаще всего целевые, с большим ущербом для жертвы, когда мошенник уверен, что трудозатраты будут оправданы", - пояснил Дрозд.

При этом в "СёрчИнформ" не видят прямой связи пандемии коронавируса с таким видом мошенничества. "Можно говорить о косвенном влиянии кризиса, так как инсайдеры, находясь в стесненных финансовых условиях, охотнее преступают моральные ограничения. По нашим данным, преступлений, связанных с корпоративным мошенничеством, стало на 10% больше", - прокомментировал эксперт.

Как банки пытаются защитить клиентов

По словам начальника отдела по противодействию мошенничеству Центра прикладных систем безопасности компании "Инфосистемы Джет" Алексея Сизова, банки давно начали бороться с такими действиями злоумышленников.

Как отмечают в Новикомбанке, механизмов защиты на рынке сейчас достаточно много. При этом некоторые банки, чтобы избежать перехвата СМС-кодов, отказываются от них и используют методы проверки операций на самом устройстве: проверка imsi, создание локальной электронной подписи на смартфоне, аутентификация по биометрии.

По словам руководителя направления департамента розничного бизнеса Новикомбанка Евгения Гладилина, банк работает над реализацией различных функций для повышения безопасности в дополнение к существующему механизму подтверждения операций при помощи СМС/Push уведомлений.

В банке "Дом.РФ" также отметили, что внимательно изучают различные возможности подтверждения операций, но при этом поддерживают использование СМС или Push в соответствии с требованиями и рекомендациями платежных систем.

Тем временем в Промсвязьбанке в ближайшее время реализуют решение для малого и среднего бизнеса, которое позволит подписывать документы в мобильном банке с помощью face ID и touch ID. "Эта технология обеспечивает более высокий уровень безопасности - мошенники не смогут провести транзакцию, перехватив или выманив у клиента СМС-код. Кроме того, это удобно - у клиентов нет необходимости вбивать вручную СМС-коды", - рассказали в пресс-службе банка.

Что думают эксперты

Эксперты оценили технологию проверки операций на самом устройстве без СМС-кодов.

По словам руководителя группы исследований безопасности банковских систем Positive Technologies Ярослава Бабина, такой способ подтверждения транзакций может быть безопаснее, если банк предусмотрел защитные меры. Во-первых, это надежная система антифрода, которая выявляет большую часть мошеннических операций; во-вторых, отсутствие уязвимостей в процессе заверения банковских операций электронной подписью.

При этом многие банковские приложения содержат уязвимости, которыми могут воспользоваться мошенники, предупреждает Дрозд. По статистике Positive Technologies за 2019 год, в серверной части мобильных банков было обнаружено в среднем 23 уязвимости.

Руководитель аналитического центра Zecurion Владимир Ульянов приветствует инициативу отказаться от СМС-кодов, однако указывает, что хранить электронную подпись на самом устройстве, с которого выполняется операция, небезопасно.

"Да, часть проблем, связанных с перехватом СМС или перевыпуском SIM-карт с помощью поддельных документов или сообщников в сотовых салонах, удастся решить. Но еще острее станет проблема кражи и несанкционированного использования чужого смартфона", - предупреждает эксперт.

Отмена СМС-кодов - не панацея

Все опрошенные эксперты и представители банков отмечают, что технология подтверждения транзакций без СМС не исключает мошенничества с помощью социальной инженерии. Такой способ по-прежнему остается основным при краже денег со счетов клиентов банков - это "проще и эффективнее", указывают эксперты.

При подтверждении транзакций без СМС-кодов у мошенников изменится только "скрипт": они будут убеждать жертву не ввести код, а поставить подпись, говорит Дрозд. Поэтому очень важно, как банки подойдут к вопросу информирования, насколько убедительным будут уведомления о том, что клиент проводит перевод.

"Если происходит так называемое "зомбирование или очарование", и клиент сам совершает переводы денег на заведомо странные реквизиты, подтверждая их и через СМС, и со своего устройства, и со своей биометрией, и подписывая всеми возможными электронными цифровыми подписями, то потери не миновать", - согласен Гладилин из Новикомбанка.

По его словам, "социальным инженерам" могут противостоять только системы антифрода, которые останавливают подозрительные или нестандартные операции.

В банке "Дом.РФ" заявили, что внедряют решения, которые анализируют типичность и логичность клиентских транзакций, чтобы минимизировать риск мошенничества со счетами клиентов. "Такие системы в случае необходимости ограничивают или не позволяют совершить "странную" операцию, оставаясь при этом "невидимыми" для клиентов и не доставляя им неудобств", - рассказал директор розничных продуктов банка Евгений Шитиков.

TOP

ads 1
ads2
ads 3