Что такое социальная инженерия: методы социального хакинга и как с ними бороться

Социальная инженерия: как аферисты выманивают личные данные и как этому противостоять

Социальная инженерия: как аферисты выманивают личные данные и как этому противостоять

В 2021 году аферисты похитили у россиян 45 миллиардов рублей. Примерно половина этого объема приходится на мошенничество с использованием методов социальной инженерии. Как правило, такие мошенники сильнее активизируются во время кризисов и ЧП, когда люди подвержены панике. Рассказываем, как понять, что вас пытаются обмануть, и что делать, если у вас выманили конфиденциальные данные.

Какие приемы социальной инженерии обычно используют мошенники

Просто так похитить банковские данные практически невозможно: их надежно охраняют системы безопасности банков. Поэтому мошенники пытаются выманить нужную информацию напрямую у человека. В этом им помогают методы социальной инженерии.

Социальная инженерия ― это психологические манипуляции с целью заставить человека добровольно сообщить ценную информацию: логины, пароли, номера банковских карт и счетов, — чтобы с ее помощью похитить деньги или нанести другой ущерб.

Два самых распространенных приема социальной инженерии ― телефонное мошенничество и фишинг.

Телефонное мошенничество

Злоумышленник связывается с жертвой по телефону и пытается получить нужную ему информацию, используя сценарий, в котором расставлены психологические ловушки.

Например, мошенник связывается с человеком, представляется сотрудником банка и убеждает сообщить ему персональные данные (номер карты, CVC-код, коды из СМС) в целях идентификации, отмены подозрительной операции или обещая бонус.

В таком сценарии мошенники также могут задействовать телефонных ботов или серии звонков от различных служб: полиции, налоговой, Центрального банка.

Фишинг

Жертва ловится на удочку, заранее заброшенную мошенниками. Это может быть письмо, ссылка в СМС или мессенджере, поисковая выдача.

Например, человек получает письмо, в котором обещают денежный приз, льготные условия обслуживания или другие бонусы. Чтобы их получить, нужно скачать программу или перейти по ссылке. Если человек сделает это, на его компьютер попадает вредоносное ПО, которое похищает конфиденциальную информацию.

Другой вариант ― когда злоумышленник размещает в сети вредоносные программы или ссылки, которые переводят пользователей на поддельные банковские сайты. Жертвы, не заметив подмены, оставляют на них личные данные.

Как это работает

Подобные приемы строятся на манипулировании и вызывании эмоций: любопытства, страха, тревоги за близких и на других. Именно поэтому они могут сбить с толку даже тех, кто привык действовать спокойно и рационально. Даже если вы знаете, что никому нельзя сообщать пароль, в ситуации растерянности или угрозы всё может пойти не по плану.

Раньше аферисты часто использовали СМС якобы от имени родственников, которые попали в беду, например устроили ДТП и причинили вред другим людям. Чтобы «замять дело», требовалось откупиться деньгами. Люди лично отдавали свои средства, думая, что на самом деле помогают близкому человеку.

Сейчас злоумышленники применяют похожую схему, взламывая аккаунты в социальных сетях и рассылая сообщения с просьбами о помощи по списку контактов. Также распространен сценарий, когда человеку звонят и убеждают, что его финансы в опасности: якобы банк зафиксировал подозрительную активность по счету или на его имя пытались оформить кредит.

Примерная схема действий выглядит так:

  1. Спровоцировать у человека сильные эмоции, например страх, что третьи лица получили доступ к его личным финансам. Мошенники рассчитывают, что под влиянием эмоций жертва не сможет критически оценить ситуацию.
  2. Вызвать доверие. Для этого мошенники могут представиться сотрудниками службы безопасности банка, Федеральной налоговой службы, Центрального банка. Иногда жертве звонят сразу несколько мошенников, представляясь сотрудниками нескольких учреждений. Например, после звонка из «службы безопасности банка» с сообщением о попытке перевода денег со счета следует звонок от якобы сотрудника Центрального банка, который должен оформить заморозку средств на едином депозите.
  3. Убедить человека, что время для решения проблемы ограничено. Как правило, аферисты утверждают, что для защиты средств нужно сообщить данные карты или оформить перевод в течение нескольких минут. При этом злоумышленники стараются оставаться с человеком на связи, чтобы у него не было времени спокойно обдумать ситуацию.

Если схема проходит гладко, то с большой вероятностью аферисты получат деньги своей жертвы: половина из тех, кто сталкивался с телефонными мошенниками, добровольно передавали личную информацию — данные карты, пароли, логины и другие сведения. Например, таким способом мошенники подтверждают дистанционную заявку на кредит, условия которого банки заранее рассчитывают для клиента, ― и за считанные минуты похищают заемные средства.

Что делать, чтобы не попасться на уловки мошенников

Есть несколько правил, при соблюдении которых шансы обмануть вас снижаются:

  1. Не сообщайте никому ― даже представителю банка ― номера карт и счетов, логины и пароли, коды из СМС. При этом внимательно читайте текст сообщений от банка. Обычно они описывают действия, которые вы совершаете. Если СМС сообщают не о том, что вы запросили или сделали, не передавайте коды.
  2. Не совершайте никаких операций по счету ― платежей или переводов ― по просьбе сотрудников банка. Аферисты будут убеждать, что это нужно, чтобы «предотвратить мошеннические действия» и обезопасить ваши средства. Но помните: служба безопасности банка в случае необходимости самостоятельно предпримет меры, чтобы сохранить деньги клиента.
  3. Не доверяйте собеседнику, если он не может ответить на простые вопросы: по какому именно счету или карте какого банка «зафиксирована подозрительная активность». При этом злоумышленники могут обращаться по имени-отчеству, называть дату рождения и другую информацию о вас. Всё это ни в коем случае не указывает на то, что с вами общается представитель банка. Личные данные вы могли оставить в интернете: на досках бесплатных объявлений, при заполнении различных анкет и в других местах.
  4. Не помогайте мошенникам узнать о вас больше: если вам позвонили якобы из банка, в котором у вас нет счетов, не говорите об этом и не сообщайте, услугами каких банков пользуетесь.
  5. Если засомневались, прервите разговор и перезвоните в свой банк, чтобы уточнить информацию. Номера контакт-центра указаны на банковской карте или официальном сайте. Перескажите оператору ваш разговор с человеком, который представился сотрудником банка. Если от вашего имени была попытка сделать денежный перевод или оформить кредит, это обязательно отразится в информационной системе банка.
  6. Прежде чем что-то предпринять, сообщите о случившемся близким. Они помогут более спокойно оценить ситуацию и, возможно, укажут на признаки мошенничества, которые вы из-за стресса могли упустить.

Что делать, если вас обманули

Если вы сообщили мошенникам данные или перевели им деньги, необходимо как можно быстрее сделать следующие шаги:

  1. Обратиться в полицию. Сообщите все детали произошедшего: как представился звонивший, с какого номера был звонок, на какие реквизиты вас убедили перевести деньги.
  2. Обратиться в свой банк. Заблокируйте онлайн-банк и все карты, данные о которых сообщили мошенникам, чтобы избежать повторных попыток похищения.
  3. Обратиться в банк, на счет в котором аферисты убедили вас перевести деньги. Есть шанс, что банк успеет заблокировать деньги до того, как мошенники обналичат их.

Есть случаи, когда даже срочные меры вряд ли помогут. Если аферисты убедили вас оформить кредит на свое имя, то отменить его не получится: формально вы сами совершали и подтверждали все операции в банке.

Главное

  1. Социальная инженерия ― вид мошенничества, когда жертву путем обмана вынуждают самостоятельно передать конфиденциальную информацию.
  2. Есть множество приемов социальной инженерии, с помощью которых похищают банковские данные. Чаще всего злоумышленники звонят жертве и в процессе разговора пытаются выманить личные данные.
  3. Мошенники играют на человеческих эмоциях, представляются сотрудниками банков или государственных структур, пытаются убедить человека в необходимости скорейшего решения «проблемы». Всё это делается для того, чтобы человек не мог спокойно и рационально оценить ситуацию.
  4. Не доверяйте собеседнику на слово, обратитесь в свой банк для уточнения информации. Ни в коем случае не сообщайте логины, пароли от личного кабинета, CVC-коды и другие данные.
  5. Если у вас всё же выманили информацию и деньги, как можно скорее обратитесь в полицию и банки, чтобы был шанс заблокировать транзакции.

logo
(8 оценок, среднее: 5,00 из 5)
Загрузка...
12
Роман Стрункин
Юрист
Александр Мотичев
Начальник отдела противодействия кибермошенничеству, Райффайзен Банк, Консультировал автора
Комментарии (0)
Подписаться
Уведомить о
0 Комментарий
Межтекстовые Отзывы
Посмотреть все комментарии
guest
Роман Стрункин
Юрист
Александр Мотичев
Начальник отдела противодействия кибермошенничеству, Райффайзен Банк, Консультировал автора
Поиск...
Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages