Сергей Голованов: «Киберпреступники прекрасно понимают, что в цепочке информационной безопасности самое слабое звено – человек»
В России ежедневно осуществляются тысячи мошеннических телефонных звонков, во время которых злоумышленники представляются сотрудниками государственных структур, органов правопорядка, а также финансовых регуляторов, к примеру, Центрального банка. По сравнению с минувшей зимой количество таких вызовов выросло в четыре раза. Согласно статистике Kaspersky Who Calls, в первом квартале 2021 года доля спам-звонков в Сибирском федеральном округе среди всех входящих с неизвестных номеров составила 73,2% (в 2020 году – 70,7%), а доля звонков с подозрением на мошенничество — 6,2% (в 2020-м — 4,8). Почему во время пандемии и самоизоляции мошенники активизировались и на какие новые «удочки» они ловят россиян, «Пресс-лайн» спросил у главного эксперта «Лаборатории Касперского» Сергея Голованова.
— Пандемия сильно изменила многие привычки обычных людей. Изменили ли свои привычки и кибермошенники, исходя из этого?
— Мошенники постоянно меняют алгоритмы работы и ищут новые подходы. Они следят за повесткой. Например, как только появляется новость о каких-либо новых мерах поддержки, даже когда еще нет подзаконных актов, не выработан механизм оказания помощи и до конца не понятна целевая аудитория, кто сможет получить то или иное пособие, злоумышленники уже берут эту информацию, создают скрипт для общения и начинают телефонные обзвоны, рассылку в мессенджерах, соцсетях, на электронную почту. Это такой постоянный перебор схем в поисках наиболее эффективной, действенной. Скажу больше: тактика мошенников меняется от региона к региону. Если жители одной территории уже выработали иммунитет к одного рода звонкам, то в другом – впервые о таком «заходе» слышат.
Взять ту же легенду, что вам звонят якобы сотрудники службы безопасности банка. Многие уже привыкли к таким уловкам и просто сбрасывают звонок. Сейчас злоумышленники чаще представляются сотрудниками органов власти, отделов полиции, прокуратуры, секретарями суда. Представляются, указывают должности и звания. Моему другу звонил сам генерал! Выбирают для разговора серьезный тон, ссылаются на букву закона, напоминают об ответственности за отказ в сотрудничестве. Людей это обезоруживает. В общем, действуют агрессивно и напористо, особенно с теми, кто начинает включать разум, выказывает недоверие звонящему. Их задача — застать врасплох, поймать на удочку и убедить оперативно, здесь и сейчас, решить вопрос. Причем звонящий просит, чтобы все происходило втайне. Как вы понимаете, цель у лже-сотрудника одна — сделать все возможное, чтобы человек, следуя диктуемым рекомендациям, расстался со своими деньгами.
— Какие простые способы защиты от таких «служителей правопорядка» есть?
— Я не скажу ничего нового и повторю давно известную истину: нельзя принимать решения поспешно, на эмоциях. Как бы убедительно не говорил звонящий, нужно разобраться в ситуации. Выдержите паузу, возьмите себя в руки. Поинтересуйтесь ещё раз, кто и откуда звонит. Запишите фио, должность, место работы. И … повесьте трубку. Следующим шагом найдите официальный телефон ведомства, из которого вам якобы звонили, наберите его и через приемную или дежурного попробуйте выяснить, с чем связан интерес данного ведомства к вам. Это нормально — перезвонить в банк, полицию, прокуратуру, суд. Если окажется, что сотрудника, вам позвонившего, не существует, то собственно и поводов для дальнейшего разговора нет. Многие же используют в своем обычном арсенале общения такие фразы, как «Я сейчас занят. Перезвоните попозже» или «Занят. Перезвоню позже». Таr вот: эти же инструменты применимы и в данной ситуации.
— Прошлый год прошел под знаком самоизоляции. Многие вынужденно перешли на дистанционные формы общения, что злоумышленники не преминули использовать в своих целях. Как изменились в связи с этим тренды в мире киберпреступлений?
— Раньше злоумышленникам было необходимо обладать техническими знаниями, многие учились на инженера, программиста: иначе вредоносную программу не создать. Но сейчас ситуация поменялась. Зачем создавать вирус, когда можно сделать на коленке фальшивый сайт, давать на него ссылку и получать деньги от невнимательных пользователей? Например, в прошлом году людям приходили якобы штрафы за отсутствие пропуска при выходе на улицу. Злоумышленники постоянно атакуют человека: предлагают получить якобы причитающиеся от государства выплаты, пытаются под видом программы Zoom распространять в сети программное обеспечение, нарушающее нормальную работу устройства, либо позволяющее совершать вредоносные действия втайне от пользователя. И перечень таких ходов можно продолжать. Этот вал атак рассчитан на то, что рано или поздно бдительность пользователя даст сбой, а далее любого неосторожного клика по ссылке из поступившего на почту или через мессенджер сообщения достаточно, чтобы запустить негативный сценарий. Фишинг и социальная инженерия по-прежнему остаются одними из самых распространённых видов атак. Преступники прекрасно понимают, что в цепочке информационной безопасности самое слабое звено – человек. К сожалению, даже самый искушенный пользователь в вале писем и сообщений, доверившись письму от знакомого, может нарваться на вредоносные вложения или перейти на подозрительный ресурс. От этого никто не застрахован. Только одной бдительности недостаточно. Но тут на помощь пользователю приходят технологии.
В интернет люди выходят все больше с мобильных устройств, нежели со стационарных компьютеров. И если на ПК люди научились ставить антивирусные программы, которые автоматически блокируют подозрительные ссылки, то в отношении смартфонов такой привычки еще не выработалось. Да, каждое мобильное устройство снабжено встроенными защитными решениями, но установка антивируса только усилит безопасность. И еще один важный нюанс. Не откладывайте обновления устройств, когда приходят уведомления. Как показывают исследования, больше половины россиян при появлении сообщения на экране кликают «Напомнить позже». Из них 41% обычно запускает обновления в конце дня, 24% — в течение нескольких дней, 17% — в течение нескольких часов. Каждый десятый хотя бы раз откладывал процесс обновлений на несколько месяцев. Игнорирование этой простой процедуры чревато дополнительными рисками. И дело не только в новых опциях и фишках, разработчики устройств, программ и приложений, постоянно тестируют свой продукт в поисках уязвимостей. Обновления как раз и призваны закрыть всевозможные лазейки, которыми могут воспользоваться хакеры.
— Какие виды мошенничества, помимо звонков от якобы госструктур и органов правопорядка, стали применяться во время пандемии?
— Злоумышленники стали активно подделывать сайты различных служб доставок. Соответственно, у невнимательного клиента, который решил оплатить заказ не во время получения, а заблаговременно, есть риск перечислить деньги злоумышленникам.
Также кратно выросли риски для тех, кто пользуется различными торговыми площадками, где можно выставить на продажу свои бывшие в употреблении вещи или приобрести чужие. Тут злоумышленники применяют такую схему. Выходят на продавца, предлагают выгодную цену, демонстрируют готовность оперативной покупки. И далее (это ключевой фактор, который должен насторожить!) предлагают перевести общение с официальной площадки в мессенджер, социальную сеть или какой-то другой сайт. После этого злоумышленники просят написать номер карты для перевода, сообщить одноразовый пароль, или самостоятельно указать все эти данные якобы на специальном сайте для получения платежа, а на самом деле, чтобы они просто могли украсть ваши деньги.
— Сообщения от служб доставки с указанием номеров и пинов также нужно держать в секрете?
— Вообще любую личную информацию нужно беречь. Я всегда удивляюсь людям, которые спокойно публикуют в соцсетях фото своих посадочных талонов, или выкладывают снимки, где они позируют с новым паспортом в руках. Имея такую фотографию, можно неслабый займ оформить через интернет. Есть случаи, когда, получив копии документов человека, злоумышленники регистрировались в сервисах каршеринга. Отдельная история, когда человек распространяет снимки фрагментов банковской карты, и указывает там, где не стоит, ее данные.
— Но, чтобы воспользоваться чужой картой в интернет-магазине, нужно знать, как минимум, четыре вещи: сам номер карты, дату окончания срока действия, держателя и CVV-код. Ну и SMS от банка, в зависимости от платформы, где расчет производится. Разве не так?
— Совершенно верно. Но надо отдавать себе отчет в том, что по одному параметру можно вычислить другой. Приведу пример. Почему, как правило, злоумышленник, который звонит и представляется сотрудником службы безопасности банка, угадывает с наименованием финансовой организации? Сейчас есть система быстрых платежей, и когда ты вбиваешь номер телефона человека, кому хочешь перевести деньги, можно найти наименования банков, в которых у данного абонента есть карты. Это вообще отдельное направление, когда злоумышленник как конструктор, собирает по крупицам данные, которые уже есть в открытом доступе. А потом дособирает недостающие элементы. Через ту же систему быстрых платежей можно узнать имя и отчество, первую букву фамилии. Потом, к примеру, через соцсети найти фамилию. Да, CVV изначально секретен, его только сам человек сообщить может. Но, в этом коде всего три цифры, его перебрать можно. Всего 999 вариантов комбинаций (для этого перебора есть специальные скрипты). Только один потребует SMS-ку. А ее можно получить с помощью специальных вредоносных программ для хищения информации с мобильного телефона. Либо злоумышленник может попробовать по доверенности выпустить дубликат сим-карты. Такие случаи бывают. Также возможно, что преступники попытаются взломать личный кабинет на сайте сотового оператора, что тоже может дать доступ к SMS.
Конечно, схемы эти очень трудозатратные. К ним прибегают только в том случае, если можно сорвать серьезный куш. А поводом для такой целенаправленной атаки может послужить информация, что у такого-то клиента на карте хранится определенная сумма.
— А как не хранить данные о карте, если вроде и ставишь галочку «не запоминать», когда покупаешь что-то через сайт, а при следующем заходе в магазин видишь, что сведения сохранились?
— Что касается сохранения карт на сайте, то юридически компании должны эту информацию удалять. Но есть еще и такая история как «кукисы», которые хранятся на устройстве, через которое совершена покупка. Как быть в таком случае? Первым делом надо почистить кэш. А при следующих заходах на сайт пользоваться функцией приватного просмотра в браузере. После этого, если вы галочку «не сохранять» использовали, то никаких данных остаться не должно. Если и после этого сведения присутствуют, то тут уже речь идет о нарушении магазином пользовательских условий. Можно смело обращаться с жалобой, идти в суд, и, как показывает опыт некоторых стран, получить хорошую компенсацию за причиненный моральный вред.
— А в России?
— Такие кейсы мне, увы, не знакомы. Скажу более, если магазин солидный и работает давно, то он и не будет заниматься этой ерундой. Себе дороже. Важна репутация, да и чтобы хранить данные, нужно вложиться в мощности. Зачем?
— Несколько лет назад нашу страну, как и другие государства, накрыла волна мошенничеств с использованием банкоматов. Актуальна ли эта угроза сейчас?
— Нет. Последний раз по обращению одного из банков мы анализировали скиммер года три назад. Да и это логично. В прошлом году из-за самоизоляции на улицу выйти не могли не только обычные люди, но и мошенники (смеется)…
— То есть банкоматы стали безопаснее?
— А зачем вообще сейчас банкомат? Тотальная мобилизация населения. Для перевода телефон использовать можно, система быстрых платежей работает. Злоумышленники переориентировались на эти направления.
— Как закон защищает человека, который стал жертвой мошенников и лишился своих средств?
— Всё зависит от ситуации. Вот, к примеру, потерпевший нарвался на скиммер, тут все просто. Устройство есть, банк недоглядел, деньги потерпевшему возвращались без вопросов. Так работает и в других случаях, когда проблема со стороны банка была. Человек априори невиновен. Конечно, бывают случаи, когда финансовая организация не признает своих ошибок, тогда можно обратиться в центробанк, в платежную систему, в полицию, прокуратуру, суд. Совсем другая история, когда банк ни при чём. Тогда свои права придется защищать с привлечением органов правопорядка.
А ведь есть еще такой нюанс, что человек, доверившись звонящему, добровольно снял деньги и перевел их якобы на безопасный счет. Как быть банкам в такой ситуации? Нет оснований для того, чтобы один банк отказал в закрытии счета и выдаче средств. А другой – в приеме денег и последующем их переводе. Ведь владелец финансов сам решает, как распоряжаться своим имуществом. После отказа придет ЦБ и применит санкции. Есть среди экспертов такая позиция: мол, пусть один банк дает снять деньги, а другой принимает, но вводит временный мораторий на движение. Да, вроде хорошо, благие цели. Защищаем клиента. Но опять же, а какие основания у банка законные есть на заморозку операций? Это предмет для дискуссий и совершенствования действующего законодательства. Главный вопрос. Кто виноват? Явно это не банк, который выполнил волю клиента. Не полиция, она дело завела. Не человек, он стал жертвой мошенников. Его ввели в заблуждение. Виноват злоумышленник. Надо его найти и наказать.
— Насколько реально найти преступника и призвать его к ответственности? Тем более, что зачастую он находится за пределами России. Есть ли специалисты, кому эта задача по силам?
— Специалисты есть. Меня, моих коллег, часто привлекают к расследованию киберпреступлений. Мифом является и утверждение, что международное сотрудничество не помогает. Есть такая замечательная организация – Интерпол, есть соглашения различные между странами и, я уверяю вас, всё это работает.
Проблема только одна – время. Сколько его потребуется для поиска злоумышленника, привлечения его к ответственности, взыскания похищенных средств. К примеру, я участвую в делах, которые длятся уже несколько лет и еще не завершены. Да, система порой работает медленно, но есть один большой плюс: если колесо завертелось, его не остановить. Жалоба есть, необходим результат, за «недвижение» процесса есть санкции.
Другой момент. Если человек стал жертвой киберзлоумышленников, надо обязательно обращаться в правоохранительные органы. Позиция «мол, эти несколько тысяч я заново заработаю» играет злую шутку со всеми. Преступники чувствуют безнаказанность. Да и есть такая вещь, как приоритеты. Ими можно спокойно управлять. Если нет заявлений, фактов, что проблема носит массовый характер, то и никто ничего делать не будет, чтобы ситуацию изменить. И да, надо рассказывать про финансовое мошенничество активно со всех трибун и площадок.
— Про бдительность и опасность киберпреступников говорят все, и СМИ, и полиция, и финансовые организации. Куда уж чаще? При этом всё равно есть случаи, когда один человек попадается дважды-трижды на удочку злоумышленников.
— Такие случаи и я знаю. Но это не означает, что информировать и предупреждать людей не надо. Есть такое понятие, как нормальное распределение, про Гаусса слышали? Суть такая: тратишь 20% усилий, чтобы получить 80% эффективности. Поэтому мы рассказываем вам, журналистам, об этом и надеемся, что люди о различных схемах прочитают. И если хотя бы у одного процента читателей чуйка сработает, когда ему кто-то будет звонить по рассказанной в публикации мошеннической схеме, то уже не зря всё. Круто же? Круто. В карме зачтется? Зачтется.
— Эксперты, аналитики плотно работают с киберугрозами. Реально ли работать на перспективу, заранее предугадывать, куда пойдет мысль мошенников?
— Конечно пальма первенства тут у киберпреступников. Куда они двинутся, туда и мы идем. Но есть и так называемая проактивная защита. Ее результативность условно 50 на 50: можно угадать, а можно нет. Из успешных решений — Kaspersky Fraud Prevention. Разные пользователи ведут себя за компьютером по-разному. Существуют математические модели, которые по движению мышки, изменению координат, угловой скорости и другим параметрам, могут сказать, кто сейчас за компьютером сидит, мужчина или женщина, левша или правша. Очень удобно, когда злоумышленник завладевает твоим устройством, пытается там какие-то операции проводить. А система говорит, мол, ничего не получится, так как «это не ты», она по поведению вычислила, что за клавиатуру сел другой человек и блокировала его действия. И таких решений, я уверен, будет со временем только больше.
Основные правила кибербезопасности
Не переходите по сомнительным ссылкам из писем и сообщений в мессенджерах;
Если вы узнали о той или иной выгодной потребительской акции и хотите принять в ней участие, проверьте, действительно ли эта компания или бренд её проводят, на официальном сайте или в официальных аккаунтах в социальных сетях;
Помните: если предложение по телефону или в интернете звучит слишком заманчиво, чтобы быть правдой, то, скорее всего, это фейк;
Никогда не сообщайте третьим лицам конфиденциальную информацию, в том числе одноразовый код из СМС или push-уведомления;
Используйте для всех своих аккаунтов разные надёжные пароли (от 12 символов с буквами в разном регистре, цифрами и спецсимволами);
По возможности включите двухфакторную аутентификацию;
Убедитесь, что устройства, программное обеспечение, приложения и сервисы регулярно обновляются;
Скачивайте программы только из официальных магазинов приложений и на сайтах разработчиков;
Установите надёжное защитное решение, в том числе на мобильных устройствах.
Андрей Мужщинский