Роль текста

Недавно знакомая, главбух серьезной компании, пыталась меня убедить, что знающий хотя бы азы финансовой грамотности никогда-никогда не попадется на уловку социальных инженеров, не назовет им код из СМС, не возьмет по указке мошенников кредит и уж совершенно точно не будет переводить деньги третьим лицам якобы на «безопасный счет».

Однако в СМИ часто выходят новости о громких случаях мошенничеств, в том числе с участием известных персон. Судя по этим сообщениям, жертвами социальных инженеров часто становятся люди, в финансовой образованности которых сомневаться точно не приходится.

Например, недавно директор департамента финполитики Минфина Иван Чебесков рассказывал, что на уловки злоумышленников попались и сотрудники министерства — «очень высокопоставленные люди, которые занимаются финансовыми рынками и разбираются в них». Стали они жертвами социальной инженерии, поскольку «всё время на бегу, заняты» и мошенники «умеют под это подстраиваться».

Как писали об этом случае в СМИ, директор административного департамента Минфина попался на стандартную уловку — мошенникам удалось убедить чиновника, что на него оформляется крупный кредит и, чтобы сохранить деньги, нужно перевести их на «безопасный счет».

На конференции по информационной безопасности замгендиректора НСПК Владимир Трояновский рассказывал, что однажды злоумышленникам удалось выманить код из СМС у члена совета директоров компании прямо во время заседания совета.

Еще один громкий случай — обман топ-менеджера ЮниКредит Банка со стажем работы в финансовой сфере в несколько десятилетий. Она добровольно переводила средства на счета физлиц, чтобы «обезопасить свои деньги», и даже купила новый мобильный телефон специально для общения со злоумышленниками.

А в 2022 году был случай, когда ведомая социальными инженерами главный эксперт Центробанка взяла кредиты на 1,6 млн рублей и перевела эти средства на счета физлиц. Были случаи, когда на уловки мошенников попадались даже российские миллиардеры из списка Forbes.

Можно ли поверить в то, что все эти люди не знают азов финансовой грамотности?

Нет.

Обычно мошенники хорошо готовятся к атакам. Используют слитые базы данных и информацию из соцсетей, чтобы повысить доверие к звонящему. Когда речь идет о высокопоставленных жертвах, то подготовка бывает особенно тщательной.

Перед звонком социального инженера в последнее время обычно бывает предварительное сообщение в мессенджерах от знакомого или даже руководства. Сотрудникам банков якобы пишут топ-менеджеры кредитной организации, сотрудникам министерств — якобы замминистра. Убрать всю информацию о человеке из интернета — очень сложно.

Есть и вторая проблема. Люди не видят, кому переводят деньги. До сих пор многие банки используют морально устаревший и небезопасный способ подтверждения транзакций — коды из СМС (или пуш-уведомлений). А в подобных сообщениях количество печатных знаков очень невелико. Поэтому банки обычно умещают лишь информацию о номере карты, с которой будет списание, и сумму транзакции, оставляя за скобками информацию, кому переводятся средства и по каким реквизитам.

В итоге может получиться так: финансово грамотный и подкованный человек уверен, что переводит свои сбережения на «безопасный счет в самом Центробанке», а реальным получателем платежа оказывается какой-то Абдуррахман ибн Хоттаб из деревни Верхняя Сычевка.

Мог бы глава департамента Минфина спутать реквизиты безопасного счета в ЦБ и карточного счета физического лица, если бы увидел их перед переводом денежных средств? А банкир с 50-летним стажем? Сотрудник Банка России? Ответ очевиден: нет.

Значит, если бы кредитные организации были чуть более клиентоориентированными и перешли бы на современные средства подтверждения транзакций, потери денег удалось бы избежать.

Например, внедрили бы мобильную электронную подпись, при использовании которой для подтверждения платежей на экран смартфона выводятся все реквизиты платежа, что дает возможность потенциальной жертве проверить, куда именно она отправляет деньги. Кроме того, при ее использовании просто нет кодов, которые можно было бы сообщить социальным инженерам.

Мало того, нормативные документы ЦБ требуют от кредитных организаций перехода на более современные средства подтверждения платежа, защищенные криптографией. За невыполнение требования предусмотрены штрафы. Но пока они ниже расходов на внедрение новых решений (а похищенные средства — целиком и полностью проблема жертв атаки), банкам было выгоднее заплатить штраф.

Возможно, недавно высказанная Минфином идея о необходимости банку разделять с клиентом потери в случае атаки изменит ситуацию. А дополнительным стимулом станет законопроект, готовящийся в Совете Федерации, об увеличении в десять раз размера штрафов за использование небезопасных средств подтверждения платежа.

Источник: https://iz.ru/1615878/denis-kalemberg/rol-teksta