Кибербезопасность: телефонные мошенники
В последнее время изрядно возросла активность тех, кто пытается обобрать граждан, имеющих банковские карты. С чем это связано и как защититься от таких недоброжелателей, автор этих строк расспросила Наталью Леонтьеву, управляющего Отделением по Ростовской области Южного ГУ Банка России.
Про фишинг
— Так все-таки с чем вы связываете активность мошенников, которые собирают данные банковских карт граждан?
— Дело в том, что мошенники сегодня имеют доступ к интернету, мобильной связи, IP-телефонии и сочетают эти современные технологии с методами социальной инженерии. По сути, это способ получения информации обманным путем. Ее приемы и техники действуют в обход разума и работают на уровне эмоций.
Они рассылают СМС-сообщения, письма на электронную почту от имени банка с предложением пройти опрос за вознаграждение или сообщением о неожиданной лотерее, где вам, чтобы получить выигрыш, следует «доплатить», «внести залог» или еще каким-либо образом перечислить денежную сумму. Зачастую подобные сообщения содержат гиперссылку, переходя по которой пользователь либо попадает на фальшивый сайт, внешне практически полностью копирующий подлинный, либо активирует вирус, который ворует пароли доступа к банковским картам. Такой прием социальной инженерии называется фишинг (англ. phishing, от fishing — рыбная ловля, выуживание).
Представляясь сотрудниками финансовых учреждений, злоумышленники, звоня по телефону, пугают человека несанкционированным списанием средств или блокировкой карты и пытаются выведать платежные реквизиты, персональные данные, коды и пароли — все, что может быть использовано для проведения операции без согласия клиента.
— Как определить, звонят гражданину из банка на самом деле или это мошенники?
— Телефонных мошенников просто распознать по манере общения. Как правило, они требуют сообщить данные карты, ПИН-код или одноразовый пароль из СМС-сообщения, запугивают клиента и уверяют, что в противном случае случится нечто непоправимое. При этом преступники создают максимально приближённую к реальности атмосферу. Но это еще не все. Злоумышленники обращаются к своим жертвам по имени-отчеству, знают последние цифры карты, паспортные данные.
Откуда взяли данные
— Как мошенники могут узнать номер карты гражданина, если он его никому не сообщал, но пользуется ею активно?
— Охотники за чужими деньгами используют, к примеру, социальные сети, где люди в открытом доступе публикуют свои личные данные. Используется и фишинг, поэтому Банк России призывает граждан не открывать подозрительные электронные письма, даже если в письме указан известный надежный банк, не переходить по ссылке, указанной в письме, не загружать приложенные файлы, иначе вместо обещанного денежного вознаграждения можно получить дыру в своем «электронном кошельке». Располагая даже минимальной информацией о потенциальной жертве, злоумышленники обрабатывают ее, зная, как общаться в случае того или иного ответа.
— Что должен сделать человек, если он понимает, что ему звонит мошенник?
— Если человек на том конце провода начал требовать персональные данные, прежде всего, уточните его фамилию, имя и отчество, название подразделения. Получив эти сведения, завершите разговор и перезвоните в банк. Но ни в коем случае нельзя это делать автонабором — сработает переадресация, и вы снова попадёте к мошенникам. Лучше всего набрать номер вручную и попросить соединить с тем сотрудником, данные которого вы узнали несколькими минутами ранее. Телефон «горячей линии», напомню, обозначен на обратной стороне банковской карты и на официальном сайте банка.
Если у работников банка возникает подозрение, что действует злоумышленник, они приостановят подозрительную операцию на срок до двух суток. За это время вы можете либо подтвердить действие, либо отменить его. Но принять решение нужно в течение 48 часов, иначе банк автоматически снимет блокировку, и операция будет совершена.
— Есть возможность вернуть обманом снятые с карты деньги?
— Если вы вовремя обратились в банк, позвонив по «горячей линии» и заблокировав карту, и соблюдали меры безопасности, скажем, не хранили ПИН-код вместе с картой и никому не сообщали ее данные, то велик шанс вернуть украденные деньги. Но если вы сами сообщили злоумышленникам CVC/CVV-код на обратной стороне карты или пароль из СМС, необходимый для подтверждения платежей и переводов, к сожалению, банк деньги вам не вернет.
— Можно ли надежно оградить банковскую карту от мошенников?
— Подключение услуги СМС-информирования по своим активным картам даст возможность знать о каждой операции по карте. Не перезванивайте и не отправляйте СМС на незнакомые номера. Звонить следует только по официальным контактам банка, самостоятельно набирая номер. Перепроверяйте любую информацию о блокировке карты, отказе в проведении операции или других проблемах с картой. Называть кодовое слово, которое вы придумали при оформлении карты, можно, только если вы сами звоните на «горячую линию» банка.
А что сам Банк?
— Какие мероприятия по противодействию киберприступности проводит сам Банк России?
— Банк России создал автоматическую систему обмена информацией между банками — АСОИ, позволяющую им оперативно сообщать регулятору о киберугрозах и своевременно получать от него рекомендации, как на них реагировать и снижать ущерб.
Кроме того, 26 сентября прошлого года в силу вступил закон, разработанный при участии и по инициативе Банка России (Федеральный закон № 167-ФЗ от 27.06.2018). Цель закона — противодействовать кибермошенничеству.
Кредитные организации должны сообщать в Банк России об экономических параметрах хакерских атак. Это касается всех типов атак как на физических, так и на юридических лиц. Банки должны сообщать, на какую сумму покушались злоумышленники, какую сумму удалось похитить, какую удалось сохранить и главное — какую сумму в итоге удалось вернуть клиенту. Ведь закон обязывает банки возвращать клиенту деньги, похищенные в результате несанкционированного списания, если клиент сам не сообщал мошенникам свои персональные данные, необходимые для хищения. Также закон № 167-ФЗ определяет внесудебный порядок возврата похищенных денег для компаний, в том числе — для малого и среднего бизнеса. Банк России следит за тем, насколько добросовестно банки исполняют этот закон.