3 свойства, из-за которых россияне становятся жертвами мошенников
Согласно статистике аналитического агентства НАФИ, каждый второй россиянин (57%) в 2022 году сталкивался с утечкой персональных данных, кражей денежных средств или другими серьезными проблемами при использовании цифровых финансовых сервисов. Давайте разберемся, почему так происходит, и попробуем выяснить, как можно было бы улучшить ситуацию.
Поговорим о трех человеческих факторах, которые, по моему мнению, чаще всего приводят к утечкам персональных данных и финансовым потерям как граждан, так и бизнеса: невнимательность, торопливость, жажда сэкономить или получить бесплатно.
Невнимательность. Человеку приходит смс от банка с информацией о блокировке карты и номером, куда позвонить в 8 утра. Не разобравшись, не вчитавшись, не проснувшись, он звонит и диктует по просьбе незнакомца свои приватные данные. Это не выдумка, а реальная история, которая произошла летом 2018 года. Или возьмем более свежий пример – в 2023 году было зафиксировано массовое скачивание «липовых» банковских приложений из магазинов мобильных приложений на фоне санкций и политической ситуации, когда официальные уже отключили, а ссылку на замену банк еще не прислал. Тогда тоже немало конфиденциальных данных утекло на сторону. Эта ситуация примечательна тем, что мошенникам даже не нужно самим проявлять активность, – они лишь закидывают «невод» и ждут.
По данным Стингрей, при самостоятельных поисках пользователи нередко попадаются на поддельные агрегаторы банковских продуктов, якобы позволяющих зайти в любой банк. В 2023 году Google Play даже добавил один из таких в рекомендованные и поместил в топ-100 скачиваемых. А ведь магазины приложений их практически не проверяют – подробнее об этом можно почитать здесь.
Интересна здесь история с приложением Club House. Оно было разработано только для операционной системы iOS, а мошенники сделали его копию под Android, причем смогли получить доступ к публичному API приложения, повторили его и собрали данные аутентификации, чтобы любой, не только новый, но и существующий пользователь мог авторизоваться. Кстати, они еще и массовую рекламу запустили. После активации приложение начинало собирать данные пользователя, отправляя введенную информацию на сервера злоумышленников. Они, в свою очередь, с помощью данных аутентификации пытались зайти и в другие сервисы, зная, что люди любят использовать везде одни и те же логины и пароли.
В общем, всегда стоит быть внимательными и проверять данные разработчика, когда скачиваете приложение.
А теперь свежий пример из классической социальной инженерии. Нашего эксперта по безопасности буквально на днях попытались «просоциалить» в надежде подловить «сапожника без сапог». Вечером после мероприятия для энтузиастов в сфере кибербезопасности он получил в Телеграм сообщение с просьбой от якобы-коллеги (отправитель имел имя, фотку и даже крайне похожий логин) перевести деньги. К счастью, наш эксперт быстро сориентировался и позвонил коллеге, уточнив, на какую карту нужен перевод. Тут и выяснилось, что реальный знакомый ничего не просил. Также наш эксперт позвонил в службу безопасности банка с предупреждением и передал номер карты злоумышленника. Афера не удалась, а мошенник был идентифицирован. Однако, эта история могла бы иметь другой финал с «обычным» человеком. От социальной инженерии крайне сложно защищаться, потому что мошенник чаще всего имеет о жертве представление и знает, кем притвориться, что, как и когда написать. Эти ребята неплохо разбираются в психологии.
Торопливость. Мы все делаем «на бегу». В том числе – решаем финансовые вопросы. Немало инцидентов, связанных с QR-кодами, которые стали очень популярны после отмены различных pay-ев (Apple Pay, Samsung Pay…) , принесли нам 2022-2023 годы.
Пример. Вы приятно провели ланч в кафе или ужин в ресторане и вам принесли чек и QR-код на отдельной бумажке – для чаевых или полной оплаты. Не ожидая подвоха, отвлекаясь и торопясь уйти, вы включаете камеру на телефоне и быстро сканируете код, не разбираясь. И тут же попадаете на фишинговый сайт – полную копию того, что вы должны бы были увидеть. И там вы вводите данные карты и – до свидания, зарплата! И если среди официантов мошенничество такого плана было редко замечено, то приклеенные коды на электросамокатах произвели фурор. А что мешает мошенникам разместить QR-код где-угодно?
Жажда «урвать». К несчастью, большую часть граждан РФ с трудом можно назвать средним классом. И поиск более дешевых, а лучше бесплатных опций уже давно стал нашей народной забавой. Сколько рекламы в Телеграм с предложением подписаться на каналы-разборы, инсайдерские сливы и прочую ерунду с прямыми ссылками для заказа товаров? Кладезь для фишинга. Особнячком стоят приложения для любителей платных игр на смартфоне. Согласно опросам, мобильные игроманы ненавидит баннерную рекламу в таких приложениях, а также падки на всевозможные «читы» в виде неограниченных патронов, к примеру. И были примеры со скачиванием приложений, позволяющим и эту рекламу отключить, и патроны получить. Вот только из noname-источника. И вместе с патронами геймер получал алгоритмы, которые в фоновом режиме без и уведомления пользователя отправляли запросы к другим приложениям на телефоне с целью собрать сохраненные данные для аутентификации. Или даже пытались намайнить криптовалюту. Можно вновь и вновь повторять пословицу про бесплатный сыр, однако, всегда находятся те, кто решает рискнуть.
Исследование НАФИ показало, среди тех, кто заявляет о столкновении с проблемами, в 1,5 раза больше россиян, имеющих высокий уровень финансовой грамотности – это две трети населения (68%) . Поскольку именно они пользуются продвинутыми сервисами. В то же время доля «пострадавших» среди людей с низким уровнем финансовой грамотности не превышает и половины (47%) . Понятное дело, людей с низкой финансовой грамотностью в России намного больше.
Также в нашей стране на один паспорт можно купить бесконечное число сим-карт и телефонов, а для каждой симки создать несколько учетных записей, завести различные банковские карты и виртуальные кошельки. Есть и те, что не требуют привязки к персональным данным, в разы усложняя задачу деанонимизации мошенника. Эту ситуацию важно исправить, и эффективнее всего будет подключить для этого государство.
Дело осложняет, конечно, и сильнейшая нехватка кадров среди специалистов по кибербезопасности, как в правовых органах, так среди специалистов, занимающихся созданием и проверкой защищенности цифровых продуктов и сервисов. Некому защищать от мошенников – для этого требуются большие ресурсы, либо подвижки в сторону предупреждения возможных утечек. Потому и так нужна известная в среде парадигма shift everywhere – чтобы, когда нет возможности оперативно разрешать поток киберпреступлений, предупреждать их появление.
Вредные советы для вашей кибер-безопасности
- Никогда не создавайте разные пароли для учетных записей. Лучше всего используйте один и тот же логин и дату рождения для пароля. Если у вас что-то украдут, еще заработаете
- Решайте финансовые вопросы, когда ваше внимание рассредоточено: спросонья, под алкоголем, в стрессе, на эмоциях и пр. Ведь именно так приумножают капитал миллиардеры
- Если у вас кто-то в мессенджере попросил денег, то никогда не перезванивайте и не встречайтесь вживую. Все важные денежные вопросы можно решить строчкой в мессенджере
- Не заводите виртуальную карту для виртуальных покупок, через которую не проходит зарплата, только специально выделенный под эти покупки бюджет. Нет, лучше оформите кредитку и светите ее в интернете всем. Еще можно фотку с CVC в социальные сети выложить, чтобы наверняка не попасться мошенникам
- Скачивайте как можно больше приложений на телефон. Даже если никогда в них не зайдете. И не надо проверенных источников – там вечно какие-то заморочки с паролем, а ваш новый знакомый Савелий лучше знает, откуда скачивать
- Никогда не интересуйтесь вопросами кибербезопасности и новыми трендами мошенников – пустое, только голова разболится. Не предупреждайте родных и близких. А если уж вас взломали, ни в коем случае никому об этом не сообщайте. А то бедные «черные шляпы» не смогут обновить гардероб к зиме
Шутки-шутками, но иногда кажется, что именно таким списком руководствуется большинство жертв киберпреступлений. А если делать наоборот, защищенность повысится на порядок.
Очень хочется, чтобы не только каждый из нас персонально вносил вклад в дело повышения защищенности, но также считали бы это важным создатели компаний, которые думают о клиентоориентированном, ответственном и сознательном бизнесе. В деловой среде существует не меньше трех уровней поддержки безопасности:
- Административная. В случае реализации мошенничества по прямой вине бизнеса, он несет ответственность за потери клиента согласно закону 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма». Кстати, в этом году на рассмотрение внесли проект об усилении ответственности бизнеса за проведение подозрительных сделок по ряду критериев, в результате которых клиент получил материальный ущерб.
- Профессиональная. Компании внедряют ряд мер по обеспечению процессов безопасной разработки цифровых продуктов и сервисов, используя лучшие практики. Некоторые даже создают Центры компетенций по вопросам кибербезопасности, что позволяет говорить о развитии культуры.
- Образовательная. Пока примеров немного, но отдельные компании уже занимаются развитием финансовой и кибер-грамотности своих клиентов: делают обучающие рассылки, вебинары, шлют смс и собирают обратную связь с клиентов по подозрительным действиям и лицам.
Существование всех этих уровней говорит о том, что именно бизнес готов и уже предпринимает действия для того, чтобы защитить своих клиентов. И мне, как сотруднику компании, которая занимается вопросами анализа защищенности, и как простому человеку, который планирует бюджет чуть больше, чем до конца месяца, это нравится.
Всегда подозревал, что Club House это гуано.
В аэропорту в Калининграде на столе в кафе приклеен qr для чаевых с фишинга)
Жесть. Соберу в мою копилочку.
Отсутствие наказания организаторов главная причина мошенничества.
Некоторые люди, которым навязывали кредит МФО, писали, что оставляли этот номер телефона и личные данные только на госуслугах. Ещё номера и паспортные данные есть у банков и мобильных операторов. Пользоваться номером телефона уже становится обременительно из-за звонков мошенников, инфоцыган и спама.
Да, "утечки" гремят в новостях чуть ли не каждый месяц. И это только крупные. Не говоря уже о том, что в сети в принципе несложно найти старые базы ГИБДД. В пользу государства говорит 152-ФЗ с кучей условий по обработке и хранению персональных данных пользователей. Он вступил в силу относительно недавно, посмотрим, как это отразится на статистике по инцидентам.
На тему qr кодов, что за ушлые такие мошенники, которые способны разместить код на чеке с проведённой оплатой за ужин?
Что за городские страшилки?
Ещё скажите, что когда в магазине мне дает qr-код продавец лично надо отказаться ведь мошенники могут его подменить!
Мошенники по определению ушлые ребята:)
Соглашусь, рестораны - явление не частое, но не мифическое.
Вот статья, написанная по мотивам поста "Новостей Москвы" по самокатам - https://habr.com/ru/news/733602/
Вот, в целом, краткое описание части афер с QR-кодами: https://dzen.ru/a/ZCbRpYkntDjTgysr
Вот советы по защите от Microsoft Security Trusted Advisor - https://www.itweek.ru/security/article/detail.php?ID=173621
Касательно непосредственной продажи в магазинах - такую статистику не видела, вероятно, этого еще не было.