На связи диджитал-банкир Никита Чугунов.
Помните, я начал серию постов о кибермошенниках и обещал делиться с вами полезной информацией, а, главное, дать советы, как защитить себя?
Многие ошибочно полагают, что кибермошенники покупают какие-то специально подготовленные базы клиентов банков с номерами телефонов и банковских карт в даркнете или еще где-то — это не так, все гораздо проще. Списки контактов для обзвона готовятся на основе метода перебора. Работает это так — злоумышленник заходит в свой личный кабинет (любого банка), далее в раздел «Переводы по номеру телефона» и начинает методом перебора по рандомным номерам узнавать, кто является клиентом, а кто нет — все очень даже просто, ведь в большинстве банков этот функционал именно так и реализован. А еще через переводы СБП (Система быстрых платежей) по номеру телефона можно узнать ФИО клиентов других банков. Вот вам и готовый список потенциальных жертв социальной инженерии для обзвона с доступной информацией: номер телефона, имя и отчество, последние цифры карты или счета.
После мошенник начинает звонить потенциальной жертве, чтобы выманить у нее:
1) логин от онлайн-банка (как правило, это либо ID клиента, либо номер банковской карты);
2) одну смс для регистрации и первого входа в онлайн-банк.
Так как же получается, что люди попадаются на такие уловки?
Ведь большинство и так знают из телевизоров, что телефонное мошенничество — сейчас один из самых популярных видов мошенничества. Все дело в том, что мошенники не действуют топорно, а работают тонко, создавая эффект искаженной реальности — эдакий «цифровой гипноз», как у фокусников.
Теперь скажите, кто из вас не попадался на фокусы и трюки, которые вам показывали?
В цифровом мошенничестве это работает аналогично — в момент, когда жертва выдает свои данные (логин и пароль), она просто находится под влиянием искаженной реальности. Так как же создается тот самый иллюзорный мир, в котором люди впадают в «цифровой гипноз» и верят в то, что им реально звонит банк?
Чтобы создать у потенциальной жертвы искаженное восприятие и поверить в реальность звонка от имени банка, мошенники используют несколько трюков:
1. «Городские ”красивые” номера». Для исходящих звонков мошенники используют в основном городские номера — никаких тебе непонятных мобильных номеров, а более продвинутые мошенники используют так называемые красивые номера с одинаковыми или повторяющимися цифрами.
Откуда они их берут, а еще и постоянно меняют?
Все очень просто! Есть такой сервис — виртуальная АТС за вполне себе приемлемую цену. В ней есть функция «Коллтрекинг», которая позволяет осуществлять подмену номера: звонишь с мобильного, а человек видит городской номер. Ничего плохого в виртуальных АТС нет, так как в большинстве своем они используются честными компаниями для ведения коммерческой деятельности, но вот мошенники нашли такую лазейку и решили ей воспользоваться. Благонадежные операторы, предоставляющие виртуальные АТС, конечно, быстро вычисляют мошенников и блокируют их, но есть и нечестные на руку ребята, которые оставляют такую возможность и ей успешно пользуются воришки.
2. «Аудиоэффект». Для реалистичности в момент звонка мошенники создают аудиальный эффект контактного центра. Здесь в ход идет роботизированный дозвонщик IVR от имени службы безопасности банка, который красивым дикторским голосом приветствует потенциальную жертву по имени и отчеству (см. выше, откуда берутся данные) и далее быстро соединяет с «сотрудником», который уже «обрабатывает» человека. На заднем фоне при этом слышен шум голосов других якобы звонящих «сотрудников банка».
3. «Владение персональными данными». Здесь мошенники создают эффект знания персональных и банковских данных жертвы, которыми может владеть и знать только банк. Обращаются по имени и фамилии, называют последние 4 цифры номера карты или счета, отправляют жертве смску на номер мобильного телефона от имени банка. Но это и вправду лишь созданный эффект, так как все данные, которые озвучивают мошенники, и так известны (читай выше про переборы), а смска от имени банка отправляется с абсолютно левого номера. Но в этот момент жертва уже находится в иллюзии обмана.
И вот результат достигнут — создан эффект реального звонка из банка и остается лишь без лишнего подозрения со стороны жертвы выманить банковские данные: логин и пароль. Но об этом я расскажу в следующей серии.
Кто дочитал до конца, тот будет защищен на все 100%.
Напишите честно, кто дочитал до конца?
#осторожномошенники #телефонныемошенники #осторожномошенники
#безопасность
#телефонныемошенники #фишинг #службабезопасностибанка
#правилабезопасности