Пожалуй, Россия может претендовать на звание чемпиона мира по фальшивым сайтам, маскирующимся под сайты банков. По данным компании BI.ZONE, специализирующейся на проблемах кибербезопасности и входящей в систему Сбербанка, только за первые три месяца нынешнего года в нашей стране зафиксировано 1529 фейковых «банков», прячущихся под сайтами, напоминающими реальные сайты реальных кредитно-финансовых учреждений. Это на 20 процентов больше, чем в первом квартале прошлого года, а всего за 2020 год в Сети появилось около 6,5 тысяч липовых доменов с зарегистрированными на них фальшивыми сайтами. Мошенники пытаются посредством подобного фишинга выудить из пользователей персональные данные, в том числе логины и пароли для входа в личный кабинет на банковских аккаунтах, есть и случаи, когда людей уговаривают заплатить комиссию за «льготный кредит».
По мнению экспертов по кибербезопасности, этот способ отъема денег у граждан остается в числе часто используемых и сегодня. Он получил особую популярность на фоне прошлогоднего весеннего локдауна и карантина, и все чаще используется аферистами по мере роста числа онлайн-кредитов с дистанционным рассмотрением заявки. Сыграло свою роль и то, что сейчас банки, мягко говоря, неохотно выдают крупные кредиты гражданам. Аферисты выставляют на сайт, работающий от двух до четырех недель, юридическое название, которое может отличаться от названия реального банка на одну букву, при этом фирменные цвета и логотипы фальшивого банка – почти точная копия цвета и логотипа настоящего банка. Разумеется, банки, не желающие терпеть убытки еще и из-за репутационных рисков, пытаются блокировать маскирующиеся под них лже-ресурсы. Например, Центробанк в прошлом году заблокировал 1034 лже-сайта «банков» и 45 сайтов «страховых компаний». А Роскомнадзор только в первом квартале 2021 года заблокировал 180 фальшивых сайтов (для сравнения – за весь прошлый год было заблокировано чуть более 350 таких сайтов).
Однако число фейковых сайтов продолжает неуклонно расти, а количество краж с личных банковских счетов выросло за год на 60 процентов, и в прошлом году мошенники сумели такими образом вытянуть из россиян почти 3 миллиарда рублей. По данным некоторых экспертов, на каждую тысячу зашедших на сайт приходится до десяти случаев обмана, и чаще всего на «удочку» электронных воров попадаются люди старше пятидесяти лет.
Главная цель кибераферисттов – банковские карты, вернее, данные банковских карт. Все начинается с обзвона граждан, которым предлагают взять кредит под сказочно низкий процент, либо предлагается помощь в реструктуризации уже взятого кредита. Реже мошенники выставляют «объявления о работе в банке», и публикуют несложное тестовое задание. Выполнившим задание сообщают, что они трудоустроены, и просят лишь оплатить выпуск фирменной карты. Но основной доход аферистам приносят деньги, выуженные из клиентов банков под видом выплаты «комиссии» и «страховки», которые клиент должен выплатить якобы перед получением льготного кредита. Как правило, при этом жулики выдают себя либо за настоящий крупный банк, либо за «партнера» реального банка. Получив доступ в личный кабинет клиента, мошенники входят в банковский аккаунт, и для этого им даже не нужен секретный код.
Как распознать фальшивый «банковский» сайт? Для начала, надо знать, что на сайте Центрального банка России есть список сайтов банков, работающих в стране. Так что, если у вас возникли сомнения, - не поленитесь, и сверьте данные подозрительного сайта с реквизитами настоящего сайта реального банка. Кроме того, настоящий банк никогда не станет предлагать клиентам перевести деньги на карту, а тем более – провернуть такую операцию через другой банк.
Впрочем, дело не только в фальшивых банках или слабой хакерской подготовке их клиентов. Сегодня можно быть хоть семи пядей во лбу, и все-таки оказаться жертвой мошенников, поскольку эта трудолюбивая публика постоянно находится в поиске новых способов относительно безопасного отъема денег у населения. Мобильный банкинг, как и уязвимости банковских приложений, - просто находка для жуликов, давно освоивших методы фишинга и приемы социальной инженерии.
Начнем со «слабостей» в электронной защите банков. Назвать слабой эту защиту нельзя, но и лазеек тут хватает. Взять хотя бы отсутствие проверки на получение прав привилегированного пользователя (root-прав) на самом устройстве, а также слабое шифрование данных при их передаче между сервером и устройством. Это – раздолье для мошенников, специализирующихся на MitM-атаках. Опытному хакеру не составит особого труда тайно ретранслировать и изменять связь между двумя сторонами, уверенными, что они общаются друг с другом.
Но есть куда более простой способ кражи персональных данных, - использование их «утечек». Здесь злоумышленникам помогает то, что аутентификационные данные в открытом виде хранятся в коде приложения. Так, технология Deep-links позволяет определить, как открывать ссылку, - в браузере или приложении, производить не предусмотренные приложением запросы и проникать в его защищенный контур.
Еще одна слабость в банковской защите - отсутствие строгой валидации запросов от мобильного приложения к серверам банка. Это позволяет жуликам устанавливать на устройство клиента банка фейковый сертификат, после чего уже несложно подделать в запросе счет получателя перевода и получить полный доступ к банковскому счету. Банк расценит это как обычный запрос с клиентского приложения, и отправит деньги на указанный мошенниками счет.
Наконец, есть пробелы и в системе аутентификации пользователя при входе в мобильные банковские приложения в открытых операционных системах Android. При незащищенной операционной системе и отсутствии отдельного ПИН-кода для запуска (или двухфакторной аутентификации), хакер может внести изменения в мобильное приложение либо перехватить его соединение с банком вредоносным программным обеспечением. В таком случае платежи, как и отправка подтверждающих СМС, пойдут через зараженное приложение. При этом СМС приходит на тот же телефон, на котором стоит взламываемое банковское приложение. Способ борьбы с этой проблемой есть: это двухфакторная аутентификация с использованием разных устройств, когда мобильное приложение устанавливается на телефон или планшет, а подтверждение об операции приходит на другое устройство.
Увы, пока большая часть мошеннических действий становится успешной благодаря даже не уязвимостям в банковских системах, а по нашей с вами наивности. Мы же сами даем наши защитные коды и пароли поднаторевшим в социальной инженерии аферистам, ловко прикидывающимся то «сотрудниками банков», то «сотрудниками полиции». В прошлом году доля операций, так или иначе связанных с социальной инженерией, составила почти 65 процентов от общего числа случаев кибермошенничества, при этом воры в каждом случае стали «зарабатывать» в среднем на тысячу рублей больше, и средний чек жуликов с одной «операции» достиг уже почти 9 тысяч рублей. И можно сколько угодно повторять прописные истины, – ставьте сложные пароли; не сообщайте кому попало персональные данные; а при подозрительных звонках связывайтесь со своим банком, - но число обманутых граждан от этого меньше не становится.
