3 свойства, из-за которых россияне становятся жертвами мошенников

Согласно статистике аналитического агентства НАФИ, каждый второй россиянин (57%) в 2022 году сталкивался с утечкой персональных данных, кражей денежных средств или другими серьезными проблемами при использовании цифровых финансовых сервисов. Давайте разберемся, почему так происходит, и попробуем выяснить, как можно было бы улучшить ситуацию.

Поговорим о трех человеческих факторах, которые, по моему мнению, чаще всего приводят к утечкам персональных данных и финансовым потерям как граждан, так и бизнеса: невнимательность, торопливость, жажда сэкономить или получить бесплатно.

Невнимательность. Человеку приходит смс от банка с информацией о блокировке карты и номером, куда позвонить в 8 утра. Не разобравшись, не вчитавшись, не проснувшись, он звонит и диктует по просьбе незнакомца свои приватные данные. Это не выдумка, а реальная история, которая произошла летом 2018 года. Или возьмем более свежий пример – в 2023 году было зафиксировано массовое скачивание «липовых» банковских приложений из магазинов мобильных приложений на фоне санкций и политической ситуации, когда официальные уже отключили, а ссылку на замену банк еще не прислал. Тогда тоже немало конфиденциальных данных утекло на сторону. Эта ситуация примечательна тем, что мошенникам даже не нужно самим проявлять активность, – они лишь закидывают «невод» и ждут.

По данным Стингрей, при самостоятельных поисках пользователи нередко попадаются на поддельные агрегаторы банковских продуктов, якобы позволяющих зайти в любой банк. В 2023 году Google Play даже добавил один из таких в рекомендованные и поместил в топ-100 скачиваемых. А ведь магазины приложений их практически не проверяют – подробнее об этом можно почитать здесь.

Интересна здесь история с приложением Club House. Оно было разработано только для операционной системы iOS, а мошенники сделали его копию под Android, причем смогли получить доступ к публичному API приложения, повторили его и собрали данные аутентификации, чтобы любой, не только новый, но и существующий пользователь мог авторизоваться. Кстати, они еще и массовую рекламу запустили. После активации приложение начинало собирать данные пользователя, отправляя введенную информацию на сервера злоумышленников. Они, в свою очередь, с помощью данных аутентификации пытались зайти и в другие сервисы, зная, что люди любят использовать везде одни и те же логины и пароли.

В общем, всегда стоит быть внимательными и проверять данные разработчика, когда скачиваете приложение.

А теперь свежий пример из классической социальной инженерии. Нашего эксперта по безопасности буквально на днях попытались «просоциалить» в надежде подловить «сапожника без сапог». Вечером после мероприятия для энтузиастов в сфере кибербезопасности он получил в Телеграм сообщение с просьбой от якобы-коллеги (отправитель имел имя, фотку и даже крайне похожий логин) перевести деньги. К счастью, наш эксперт быстро сориентировался и позвонил коллеге, уточнив, на какую карту нужен перевод. Тут и выяснилось, что реальный знакомый ничего не просил. Также наш эксперт позвонил в службу безопасности банка с предупреждением и передал номер карты злоумышленника. Афера не удалась, а мошенник был идентифицирован. Однако, эта история могла бы иметь другой финал с «обычным» человеком. От социальной инженерии крайне сложно защищаться, потому что мошенник чаще всего имеет о жертве представление и знает, кем притвориться, что, как и когда написать. Эти ребята неплохо разбираются в психологии.

Торопливость. Мы все делаем «на бегу». В том числе – решаем финансовые вопросы. Немало инцидентов, связанных с QR-кодами, которые стали очень популярны после отмены различных pay-ев (Apple Pay, Samsung Pay…) , принесли нам 2022-2023 годы.

Пример. Вы приятно провели ланч в кафе или ужин в ресторане и вам принесли чек и QR-код на отдельной бумажке – для чаевых или полной оплаты. Не ожидая подвоха, отвлекаясь и торопясь уйти, вы включаете камеру на телефоне и быстро сканируете код, не разбираясь. И тут же попадаете на фишинговый сайт – полную копию того, что вы должны бы были увидеть. И там вы вводите данные карты и – до свидания, зарплата! И если среди официантов мошенничество такого плана было редко замечено, то приклеенные коды на электросамокатах произвели фурор. А что мешает мошенникам разместить QR-код где-угодно?

Жажда «урвать». К несчастью, большую часть граждан РФ с трудом можно назвать средним классом. И поиск более дешевых, а лучше бесплатных опций уже давно стал нашей народной забавой. Сколько рекламы в Телеграм с предложением подписаться на каналы-разборы, инсайдерские сливы и прочую ерунду с прямыми ссылками для заказа товаров? Кладезь для фишинга. Особнячком стоят приложения для любителей платных игр на смартфоне. Согласно опросам, мобильные игроманы ненавидит баннерную рекламу в таких приложениях, а также падки на всевозможные «читы» в виде неограниченных патронов, к примеру. И были примеры со скачиванием приложений, позволяющим и эту рекламу отключить, и патроны получить. Вот только из noname-источника. И вместе с патронами геймер получал алгоритмы, которые в фоновом режиме без и уведомления пользователя отправляли запросы к другим приложениям на телефоне с целью собрать сохраненные данные для аутентификации. Или даже пытались намайнить криптовалюту. Можно вновь и вновь повторять пословицу про бесплатный сыр, однако, всегда находятся те, кто решает рискнуть.

Исследование НАФИ показало, среди тех, кто заявляет о столкновении с проблемами, в 1,5 раза больше россиян, имеющих высокий уровень финансовой грамотности – это две трети населения (68%) . Поскольку именно они пользуются продвинутыми сервисами. В то же время доля «пострадавших» среди людей с низким уровнем финансовой грамотности не превышает и половины (47%) . Понятное дело, людей с низкой финансовой грамотностью в России намного больше.

Также в нашей стране на один паспорт можно купить бесконечное число сим-карт и телефонов, а для каждой симки создать несколько учетных записей, завести различные банковские карты и виртуальные кошельки. Есть и те, что не требуют привязки к персональным данным, в разы усложняя задачу деанонимизации мошенника. Эту ситуацию важно исправить, и эффективнее всего будет подключить для этого государство.

Дело осложняет, конечно, и сильнейшая нехватка кадров среди специалистов по кибербезопасности, как в правовых органах, так среди специалистов, занимающихся созданием и проверкой защищенности цифровых продуктов и сервисов. Некому защищать от мошенников – для этого требуются большие ресурсы, либо подвижки в сторону предупреждения возможных утечек. Потому и так нужна известная в среде парадигма shift everywhere – чтобы, когда нет возможности оперативно разрешать поток киберпреступлений, предупреждать их появление.

Вредные советы для вашей кибер-безопасности

Шутки-шутками, но иногда кажется, что именно таким списком руководствуется большинство жертв киберпреступлений. А если делать наоборот, защищенность повысится на порядок.

Очень хочется, чтобы не только каждый из нас персонально вносил вклад в дело повышения защищенности, но также считали бы это важным создатели компаний, которые думают о клиентоориентированном, ответственном и сознательном бизнесе. В деловой среде существует не меньше трех уровней поддержки безопасности:

Существование всех этих уровней говорит о том, что именно бизнес готов и уже предпринимает действия для того, чтобы защитить своих клиентов. И мне, как сотруднику компании, которая занимается вопросами анализа защищенности, и как простому человеку, который планирует бюджет чуть больше, чем до конца месяца, это нравится.