Деньги с банковских карт россиян теперь воруют роботы
Приветствуем вас на страницах блога iCover. По всей вероятности мы становимся свидетелями зарождения нового тренда в индустрии электронного мошенничества. Кражу денег с банковских карт пользователей за рубежом, а теперь и в России злоумышленники все чаще доверяют роботам. В соответствии с поставленной задачей дозвон владельцу карты осуществляет не мнимый операционист банка, а голосовой роботизированный оператор IVR, запрограммированный на простейший монолог. Предлагаем вам ознакомиться с некоторыми любопытными данными за минувший год и мнением экспертов о возможном развитии ситуации в ближайшем будущем.
В соответствии с данными профессионального исследования, проведенного столичным агентством по информационной безопасности дистанционного банковского обслуживания и защите от утечки данных (DLP) «Zecurion (Серебряный партнёр компании Samsung Electronics в рамках программы Samsung Enterprise Alliance Program в области разработки мобильных корпоративных решений), за время с апреля 2015 по апрель 2016 год используя схему IVR (Сервис интерактивных голосовых ответов) с карт россиян было похищено порядка 6 млн. рублей. В масштабах страны и проанализированного временного интервала такая цифра выглядит достаточно скромно, но с учетом динамики роста «популярности» нового способа мошенничества не может не вызвать справедливые опасения.
Традиционно, IVR программируются на входящие вызовы и настраиваются для приветствия абонента — напр.: «Спасибо, что вы дозвонились в нашу компанию. Если вам знаком внутренний номер сотрудника, вы можете набрать его прямо сейчас …» и т. д. С недавнего времени мошенники расширили возможности IVR, распространив их и на исходящие звонки с целью кражи данных карт пользователей. Как правило, дозвонившийся робот ссылается на необходимость уточнения информации или сбой в системе, после чего просит продублировать данные карт, логины-пароли для входа в кабинет онлайн-банкинга, PIN и CVV-коды. С учетом динамики последних месяцев специалисты Zecurion предупреждают: число попыток и вероятные объемы краж карточных средств россиян в текущем 2016 году вырастут на 40–50%.
Чаще всего роботизированные программные алгоритмы запускаются мошенниками в облачных дата-центрах, что существенно усложняет их оперативную идентификацию. Для того, чтобы окончательно запутать почти поверившего металлическому голосу пользователя, робот может перенаправить последнего к вполне реальному собеседнику, исполняющему роль работника банка. Психологически такая схема выглядит безупречно и с учетом фактора внезапности иногда вводит в заблуждение даже достаточно предусмотрительных и аккуратных пользователей. В отсутствии достаточного объема разъясняющей информации со стороны банков ставка мошенников на то, что электронный ассистент будет вызывать безусловное доверие рядовых пользователей чаще всего срабатывает.
«Новая мошенническая схема достаточно специфична, но эффективна, — комментирует руководитель аналитического центра Zecurion Владимир Ульянов. — Жертвы мало знают о том, что роботы могут звонить. Сталкиваясь с нестандартной ситуацией, банковские клиенты теряются — это первое, что нужно злоумышленникам, дальше обрабатывать человека гораздо легче. Во-вторых, автоответчик вызывает доверие: в представлении людей подобные системы используют крупные компании. Также, по мнению потерпевших, робот не обладает интеллектом, достаточным для того, чтобы обмануть. Но при этом граждане, которые становятся мишенью мошенников, забывают, что настройку системы производят живые люди».
По словам руководителя отдела безопасности бизнеса «Бинбанка» Дмитрия Каштанова: схема с «обработкой» клиента голосовым роботом чаще всего запускается на этапе, когда мошенники уже располагают логинами и паролями для входа в интернет-банк. Именно на этапе ввода одноразового пароля для подтверждения операции момент доверия приобретает особую ценность. Еще совсем недавно, чтобы выудить одноразовый пароль, приходящий в SMS мошенники дозванивались персонально. Теперь у нас появились все шансы пообщаться с «роботом». Для того, чтобы мотивировать звонок робот часто ссылается на ошибочную транзакцию, произошедшую по причине сбоя системы. Для ее отмены робот просит сообщить одноразовый пароль, доставленный клиенту в SMS.
Вместе с тем, как считает руководитель направления по борьбе с мошенничеством центра ИБ «Инфосистемы Джет» Алексей Сизов, автоматизация мошеннической схемы лишает ее гибкости, поскольку живой собеседник всегда сохраняет за собой преимущество оперативно отреагировать на эмоциональное состояние жертвы. Но, с другой стороны, соглашается Сизов, по статистике выходит, что автодозвоны дадут злоумышленникам больше, если «качество» атаки (в сравнении с традиционным способом, когда звонит человек) понизится втрое, но число дозвонов возрастет впятеро. Здесь, уточняет он, многое зависит от уровня профессионализма и изобретательности настройщиков робота.
В случае дозвона автоматического информатора эксперты советуют сбросить звонок, перезвонить по контактному номеру, указанному на сайте банка или своему личному менеджеру и уточнить, насколько обоснованы требования, которые вам предъявил электронный ассистент. Подобный совет работает и в случае, если к вам обратился по телефону реальный человек.
Со своей стороны мы надеемся, что вовремя полученная информация позволит нашим читателям избежать проблем, описанных выше.
Уважаемые читатели, мы всегда с удовольствием встречаем и ждем вас на страницах нашего блога. Мы готовы и дальше делиться с вами актуальными новостями, обзорными материалами и другими публикациями, и постараемся сделать все возможное для того, чтобы проведенное с нами время было для вас полезным. И, конечно, не забывайте подписываться на наши рубрики.
Другие наши статьи и события