В последние дни международная компания Group-IB, специализирующаяся на предотвращении кибератак, обнаружила почти 250 интернет-ресурсов с фейковой курьерской доставкой товаров из интернет-магазинов. Также и Сбербанк и другие организации, если верить пересказам СМИ, смогли разоблачить ложные кадровые онлайн-агентства, предлагающие работу на удалённом режиме. Вам нужно всего-то заполнить анкету, далее последует ответное письмо о том, что вас приняли на новую работу: переводите средства за необходимое для исполнения трудовых обязанностей оборудование и вуаля: старо как мир...
Те схемы, которые сегодня используют злоумышленники, не являются принципиально новыми, объясняет руководитель аналитического центра Zecurion Владимир Ульянов. Те же «кадровые агентства» действуют уже несколько лет. Однако в связи с карантином схемы снова становятся актуальными и их эффективность повышается. К тому же мошенники чутко чувствуют информационную повестку и быстро на неё реагируют. Если в начале года ходили по подъездам с предложением поверки водосчётчиков, сейчас предлагают санобработку помещений, перчатки, маски и тесты на вирус. Аналогично по телефону и через Интернет теперь предлагают оформить льготы и субсидии, реструктурировать долги и т. д.
При этом люди знают о мошенниках, но всё равно попадаются на их удочку, и тому немало причин. Самое главное — злоумышленники добиваются высокого уровня доверия. Они апеллируют к фактам и событиям, которые не вызывают сомнений, например, «по телевизору обещали...». Мошенники используют психологические приёмы, которые помогают правильно выстроить обращение, пишут специальные тексты-скрипты, как убедить того или иного человека. Наконец, часто мошенники располагают информацией о своей жертве.
Когда вам звонят, обращаются по имени-отчеству, знают, в каком банке есть счёт и сколько денег на этом счету, сложно поверить, что звонит мошенник, мы полагаем, что только банковские служащие могут располагать такой информацией. Но утечки информации, которые в связи с режимом удалённой работы всё чаще происходят из коммерческих организаций и госструктур, дают в руки злоумышленников все необходимые инструменты.
По статистике организаций, занимающихся информбезопасностью, именно внутренние угрозы со стороны собственных сотрудников являются самой большой проблемой, а отнюдь не хакеры. И, конечно, когда люди работают из дома, имеют доступ к конфиденциальной информации, но при этом режим безопасности облегчён без контроля со стороны коллег, в отсутствие службы безопасности и камер наблюдения, всё это создаёт благодатную почву для увеличения числа утечек. Плюс банальный человеческий фактор, халатность — и вот результат.
Основная проблема во всех подобных случаях заключается в человеческой невнимательности и доверчивости, говорит начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности компании «Инфосистемы Джет» Алексей Сизов. Заполняя формы на поддельных ресурсах или общаясь с мошенниками по телефону, люди сами раскрывают свои платёжные данные, тем самым позволяя злоумышленникам вывести деньги с их банковских счетов. Конечно, государство и частный бизнес ведут активную борьбу с мошенническими ресурсами, и если лет десять назад поддельные сайты блокировались неделями, то сейчас на это уходят часы.
И всё же, чтобы не попасться на удочку мошенников, пользователям следует соблюдать базовые правила безопасности, советуют эксперты. Например, обращать внимание на адрес отправителя письма, заходить на официальный ресурс через поисковую систему, проверять информацию о сайте, куда предлагается перейти, на портале регистратора доменных имён. И, конечно, ни в коем случае не называть кому бы то ни было пин-код от банковской карты или код подтверждения операции из СМС от банка.
Описанные схемы мошенничества, как и многие другие, направленные на хакинг людей (их потребностей, слабостей, страхов), — это всё разновидности социальной инженерии, уточняет директор Центра противодействия мошенничеству АО НИП «Информзащита» Игорь Шульга. И с переходом значительного числа сервисов и услуг в дистанционные каналы рост данного вида мошенничества и потерь от него «буквально вертикальный». Мошенникам проще анонимизироваться, больше различного инструментария (как подмены номеров телефонов, клоны сайтов, фишинг и пр.) для воздействия на человека, сложнее правоохранительное преследование и сбор доказательной базы.
Безусловно, проблемы безопасности широко обсуждаются в профессиональных сферах с регуляторами, правоохранительными органами и даже стали ключевыми среди докладов на различных форумах. Есть и несколько национальных программ по цифровой и финансовой грамотности населения, порталы социальной направленности, которые в доступной визуальной форме поясняют, как определить подобное мошенничество.
Сказать, что ничего не делается в плане профилактики и предупреждения подобного мошенничества, нельзя. Но это нужно делать более массовым и доступным для людей, использовать простые и ясные баннеры в метро и другом транспорте, то есть в местах массового потока людей, а не только на специализированных сайтах, о которых, возможно, мало кто и знает. Социальная инженерия действует на основные механизмы психики человека, и чтобы ей противостоять, нужно закрепить эти знания на уровне рефлексов.
Увы, но государственное регулирование и эволюция технических средств защиты не всегда успевают за развитием киберугроз и мошеннических схем, отмечает руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. Злоумышленники очень изобретательны, и некоторые из них когда-то стояли даже по другую сторону «баррикад». Порой государство и разработчики систем интернет-безопасности объективно не могут действовать превентивно и реагируют лишь на уже проявившиеся угрозы. При этом даже самое выверенное законодательство и совершенные средства безопасности оказываются бессильны там, где в ход идёт эксплуатация мошенниками человеческих слабостей — невнимательности, беспечности, жажды лёгких денег и т. д. Мошенники используют одни и те же психологические механизмы, но меняют наполнение.
Вероятно, предупреждает Арсентьев, мошенники с усугублением кризиса продолжат реализацию своих схем на сайтах объявлений, по-прежнему будут предлагать работу, действовать от имени государственных органов, обещая различные выплаты, возврат налогов, льготные кредиты и т. д. По мере постепенного оживления туристической отрасли мошеннические схемы будут развиваться и в этом направлении (обман с путёвками, билетами, экскурсиями и т. д.).
Ухищрения и мошеннические схемы были всегда. Поэтому людям необходимо думать, прежде всего, самостоятельно и оценивать поступающие заманчивые предложения. Важно помнить об этом, быть более бдительными и никогда не вестись на сверхвыгодные искушения.
В заключение, наверное стоит отметить, что самым эффективным инструментом борьбы с успехами мошенничества является повышение грамотности населения. Люди попадаются на всевозможные уловки в силу своей низкой киберграмотности и осведомлённости, подчёркивает заместитель генерального директора по технологиям и развитию группы компаний Angara Дмитрий Пудов.
Эксперты в голос призывают: государству стоит серьёзным образом задуматься над более фокусной работой в этом направлении, ведь сейчас эта «борьба» лежит грузом на плечах бизнеса и профессионального сообщества.
