Фраза «Звонит вам начальник…» похожа на начало анекдота. Или, в существующих реалиях, это может быть похоже на запуск мошеннической схемы, цель которой – заставить вас расстаться с деньгами или информацией.
Эксперты по финансовой безопасности отмечают рост популярности новой преступной технологии, в которой преступники действуют под видом руководства. Это один из вариантов мошенничества с применением социальной инженерии, но рассчитанный, в первую очередь, на сотрудников различных организаций с прицелом не только на личные, но еще и на корпоративные деньги и данные.
Хотите больше узнать о защите от мошенничества и методах противостояния социальной инженерии?
Подпишитесь на наш канал в Дзене: https://dzen.ru/norvikbank
Как работает «начальник»
Обман через «звонок начальника» работает следующим образом: сотрудник получает текстовое или голосовое сообщение в мессенджере от своего руководителя, а может быть - телефонный звонок. В действительности номер контакта подделан или перехвачен, а вместо начальника разговаривает жулик, голос которого обработан ИИ-фильтрами. Задача мошенника - напугать жертву и заставить ее действовать непоследовательно и нерационально.
Типичный сюжет, которым пользуются жулики: сотруднику сообщают, что фирму поймали на нарушении закона (чаще всего это неуплата налогов или срыв госконтракта, а деньги непонятно куда потерялись) но, если успеть перекрыть недостачу и «возместить» деньги, то все обойдется. При этом подчеркивается, что в интересах фирмы и самого сотрудника нужно сохранять все в строжайшей тайне.
Конечная цель всех этих манипуляций в том, чтобы заставить жертву оформить на себя кредит (могут пообещать от лица начальника все компенсировать и даже наградить за такую самоотверженность и спасение бизнеса) и перевести полученные деньги на некий «безопасный счет». Дальше всё идет по накатанной колее: если поддаться давлению и не распознать подделку, деньги уходят злоумышленникам и шансы на их возвращение невелики, а жертва остается наедине с долгами по оформленному с подачи преступников кредиту.
Есть еще один вариант, когда аферисты действуют прицельно, атакуя конкретных людей в корпоративной иерархии, для чего жертву тщательно изучают и ищут к ней подход. Это уже высший преступный пилотаж: жулики целенаправленно звонят бухгалтерам, финансовым директорам или другим ответственным за финансы сотрудникам, и потом, под предлогом вымышленной угрозы для всей фирмы или некоего срочного и очень выгодного контракта, обманом заставляют перевести на подконтрольный преступникам счет уже не свои, а деньги компании.
При этом, поскольку на кону могут быть десятки миллионов рублей, мошенники не жалеют средств и могут работать не из одной точки входа, а разыгрывать целый спектакль. Тогда сотруднику будут звонить один за другим сразу несколько человек: «начальник», «представители государственных структур», «контрагенты», «сотрудники банка» и т.п. Итог во всех случаях одинаковый: вывод средств на некий сторонний счет, с которого их преступники потом снимают и исчезают с украденным.
С точки зрения кибербезопасности гораздо страшнее вариант той же схемы, ориентированный не на прямую кражу денег, а на кражу персональных данных или на вторжение в корпоративные системы. Обычно для этого используется «звонок начальника» или якобы от «главного системного администратора» с требованием установить на рабочий компьютер или телефон сотрудника некий новый «антивирус» или «обновление», или «рабочий пакет», «программу для удаленного администрирования» и т.п.
Если жертва попадает на эту удочку, то преступники могут получить доступ к ее персональным данным, переписке, мобильному банку, кабинету на портале «Госуслуги» и т.п. Часто непосредственную жертву используют как точку входа, отмычку: истинной конечной целью преступления могут быть не личные данные или деньги жертвы, а корпоративная переписка, какие-то чувствительные коммерческие сведения или счета организации.
Как распознать преступников и что делать
Лучшее оружие против «социальной инженерии» - знание о ее методах и характерных приемах, подкрепленные здоровой долей критичности. Человека, который не склонен верить каждому встречному и не будет действовать, не подумав, весьма сложно заставить плясать под дудку мошенников. Поэтому:
- Первое правило – не паниковать. Мошенники специально выбирают сюжеты пострашнее и нагоняют ужасов. Они рассчитывают именно на то, что жертва временно потеряет самообладание и способность думать рационально. Поэтому, какой бы критической по словам «начальника» ни была ситуация, ни в коем случае нельзя действовать впопыхах.
- Второе – не тратьте время на жуликов. При первых же подозрениях разрывайте контакт, потому что с той стороны работают неплохие психологи, которые могут разговорить вас, подобрать психологическую отмычку и все-таки убедить сделать то, что им нужно.
- Третье – присмотритесь и прислушайтесь к тому, что требует «руководство». Как только вы видите или слышите характерные конструкции типа «безопасный счет», «подозрительные операции по счетам», «никому не сообщать о звонке», «продиктовать код из SMS» и т.д., можно быть на 100% уверенным, что вас обрабатывают жулики. Они, как правило, весьма изобретательны, подстраиваясь под разные обстоятельства и выдумывая хитрые заходы, но сам по себе механизм мошенничества остается тем же и скрыть его крайне сложно.
- Четвертое – доверяйте, но проверяйте. Прежде чем бежать и выполнять «распоряжение начальника», свяжитесь с ним по обычному каналу связи (звонки часто поступают с каких-то чужих номеров или через мессенджер, потому что там легко подделать контакты) и уточните, отдавал ли он его. Чаще всего – окажется, что нет.
- Пятое правило – не забывайте о кибергигиене. Пользуйтесь надежными и разными паролями для разных ресурсов, не разбрасывайтесь информацией в онлайне, не оставляйте «образцов» своего голоса в голосовых сообщениях, не светите свои личные номера и почтовые ящики, короче говоря - не облегчайте мошенникам сбор данных. Это одинаково касается и руководителей, и их подчиненных: чем меньше у преступников будет стартовых сведений, тем больше шансов, что они допустят ошибку, а их действия можно будет легко распознать и не поддаться на обман.
Материал подготовлен командой ПАО Норвик Банк
Норвик Банк предлагает услуги физическим и юридическим лицам: кредиты под залог недвижимости, вклады, расчетно-кассовое обслуживание, обмен валюты, дебетовые и кредитные карты. Читайте наш Блог на сайте, подписывайтесь на наш Телеграм-канал и будьте в курсе актуальных новостей!
