Хакеры обучат население азам информационной безопасности?

Взрыва газа в жилых домах, необходимость регулярной поверки приборов учета воды и электроэнергии, грядущий капитальный ремонт дома или социальные программы помощи людям старшего возраста – это поводы для мошенников, использующих методы социальной инженерии, заработать на доверчивых гражданах.

 

И если в реальных условиях обмануть становится все сложнее, то в виртуальном пространстве способов быстрого и, главное, результативного обогащения, все больше с каждым днем. Однако никакой разъяснительной работы с экранов телевизоров или страниц газет не ведется – огромная часть населения на собственном печальном опыте учится основам информационной безопасности.

 

Ты помнишь, как все начиналось?

 

Вы помните, как начинались первые атаки мошенников на мобильные телефоны граждан? С попыток сымитировать короткое сообщение, пришедшее якобы от платежной системы, о зачислении средств на счет номера мобильного телефона. И второй смски следом – якобы от гражданина, совершившего ошибочный платеж, промахнулся цифрой, зачисляя средства на номер родственника, чаще всего, ребенка или внезапно заболевшего родственника, оказавшегося в больнице. Далее следовала просьба вернуть средства на номер другого оператора связи. Со временем операторы мобильной связи усовершенствовали сервисы оповещения, а доверчивые обладатели мобильников научились проверять баланс и не бросаются переводить якобы зачисленные им деньги на счета незнакомцев. Упростилась и процедура возврата средств, ошибочно зачисленных на чужие номера. Но до сих пор на телефон иногда приходят смски «Вам зачислено ХХХ рублей», «верните их, пожалуйста, на номер УУУ»…

 

Прогресс не стоит на месте, пока одни участники процесса думают, как заткнуть дыру в безопасности, другие уже ищут новые ходы. С развитием цифровых технологий, систем ДБО и мобильных приложений усовершенствовали свои методы и хакеры. Фишинговые ссылки на поддельные сайты банков, зараженные мобильные приложения, которые только входили в моду… Главной целью хакеров, как и прежде, являлся сбор данных и кража средств со счетов. Со временем и в этом направлении ситуация улучшилась – зараженных или поддельных приложений стало меньше, а усилий банков по защите средств вкладчиков – больше.

 

Отдельно можно выделить «нигерийские» письма с реквизитами банков в Лесото или Вьетнаме. На кого рассчитаны малограмотные письма якобы от африканских юристов и поверенных, представляющих интересы потенциальных наследников скоропостижно скончавшихся бездетных однофамильцев адресатов, или желающих вдруг поделиться частью транша Мирового банка? Ведутся ли получатели на такой развод, неизвестно. Но письма от «юристов» с просьбой указать номера банковских карт для получения причитающихся средств приходят регулярно.

 

Другой вариант, уже более опасный для клиентов банков, - уведомления о зачислении платежа из неизвестных источников. Для окончательного получения рекомендуется перейти по ссылке. Что или кто за ней скрываются – неизвестно для получателя. Это может быть как реклама некой фирмы, которая «научит» как регулярно получать такие переводы, или ссылка на вирус, который удачно загрузится на мобильное устройство и получит полный доступ к мобильному банку и средствам на счету.

 

Несколько лет назад крупные банки России выдали банковские карты многочисленной армии пенсионеров, не проведя при этом никакой разъяснительной работы по пользованию картами и мерам информационной безопасности. И старая шутка про пожар на телефонной станции, из-за которого надо накрыть мокрой тряпочкой телефонный аппарат дома, приобрела новое звучание. Резко выросло число обманутых мошенниками граждан, которые повелись на вишинг - голос некого оператора в телефоне, который сообщал, что доступ к счету клиента банка получили мошенники, и, назвав номер карты и цифры на обороте или просто переведя средства на «резервный счет» через банкомат, деньги можно спасти… Сколько пенсионеров попалось на эту удочку мошенников или просто лишились накопленных средств, испарившихся со счета в неизвестном направлении, доподлинно неизвестно. Люди бегали с заявлениями о краже денег между отделениями банков, где открывали счет, и отделениями полиции, и всюду им отказывали в помощи, отправляя в другое ведомство.

 

На одном из мероприятий, посвященных ИБ, Артем Сычев, первый заместитель директора Департамента информационной безопасности Банка России, отметил, что «раньше основной группой риска всегда были пожилые граждане – клиенты банков. Сейчас они научились распознавать мошенников и давать им достойный отпор. Но пошла другая волна, под прицелом злоумышленников оказались граждане от 28 до 40 лет. Почему? Они иначе относятся к информационным технологиям, слишком им доверяют. Фокус внимания в нашей разъяснительной работе будет смещен на эту категорию и на молодежь, которая еще больше доверяет IT, не очень понимая, как они работают».

 

Да, ценой многочисленных ошибок и финансовых потерь пенсионеры получили знания по ИБ. А новая разводка явно рассчитана на молодое поколение.

 

Зимой 2018/2019 гг. стало известно о новом мошенничестве - атакам с подменой номера подверглись клиенты банков, входящих в первую десятку финансовых организаций страны. Об этом, в частности, говорилось на Уральском форуме. Звонки с номеров, определяемых как номера горячих линий банков, знание оператором всех персональных данных клиента и, нередко, сумм на счету, звуки колл-центра на заднем плане, уверенный тон, владение профессиональной лексикой и упоминания «информационной безопасности» ввели в заблуждение многих, но не всех. Сообщения о попытках снять деньги со счета после убедительного разговора с «сотрудником банка» посыпались одно за одним в социальных сетях. Кто-то успел остановиться в последний момент, кого-то остановили родные, оказавшиеся свидетелями разговора, а кто-то остался без денег…

 

В комментариях многие винили сотрудников банков в нечистоплотности, которая привела к утечке данных клиентов. В новостной ленте появились предположения экспертов компании DeviceLock, что масштабная атака стала возможной благодаря кратковременному доступу злоумышленников к внутренней информации о клиентах финансовых организаций. Внятных объяснений ни со стороны банков, ни со стороны операторов связи на момент написания статьи никто не дал.

 

Что делать, если никто не виноват?

 

На детских телевизионных каналах несколько лет живет такой персонаж – Аркадий Паровозов. Он спешит на помощь попавшим в беду детям и рассказывает об элементарных правилах техники безопасности в быту, на улице и в природных условиях. Дальше за воспитание подрастающего поколения, берутся в школе, где детям, помимо, например, основ правил дорожного движения, дают основы безопасного поведения в интернете и. что намного реже, информационной безопасности с той стороны, как ее принято понимать в сообществе. Если в будущем школьник не пойдет учиться по направлению IT или ИБ, а на рабочем месте не проводятся занятия по информационной безопасности, то образование в этой сфере завершится, не начавшись. Пенсионерам же, на всевозможных курсах активного долголетия (если они есть в месте проживания), дают азы компьютерной грамотности, но не информационной безопасности.

 

Почему на всех телевизионных каналах наряду с роликами, где медийные персонажи рекламируют разнообразные банковские услуги, не крутятся ролики о том, как можно обезопасить свои средства на только что открытых счетах в тех самых банках? Почему в самих кредитных организациях клерки, открывая счет и выдавая пластик, предлагают оформить страховку на случай хищения средств со счета, но не выдают хотя бы брошюру с описанием простейших действий, которые можно произвести по счету с помощью простейшего кнопочного телефона? Сколько клиентов крупнейших банков знают о USDD-кодах и их возможностях для доступа к счету с мобильного телефона? Вопросов много, ответов нет – зачем тратиться на фактически социальную рекламу?

 

По данным компании Group-IB, хакерским атакам в 2018-м подвергся уже каждый третий россиянин, каждая вторая крупная компания признала, что их пытались атаковать киберпреступники. Скорость обналичивания украденных из банков крупных сумм сократилась с десятков часов до 15 минут. «Если 3 года назад вывод суммы в 200 млн руб. в среднем занимал около 25-30 часов, то в 2018 г. компания столкнулась с прецедентом, когда такая же сумма была обналичена менее чем за 15 минут единовременно в разных городах России», – говорится в исследовании экспертов Group-IB.

 

Не менее 17% компаний подверглись повторной эксплуатации ранее не устраненных уязвимостей в течение года после последнего заражения. В подавляющем большинстве случаев это стало следствием неисполнения рекомендаций по устранению последствий киберинцидента, а также халатности со стороны персонала банков.

 

По оценкам специалистов, за атакой на физических лиц – клиентов крупнейших банков – стоит мощная хакерская организация и, учитывая, что ее организаторы и участники не выявлены, стоит ожидать повторных и более изощренных атак на счета клиентов.

 

А тем временем Федеральный проект «Информационная безопасность» Национальной программы «Цифровая экономика России» ставит целью к 2024 г. повысить грамотность в сфере информационной безопасности, медиапотребления и использования интернет-сервисов 50% граждан из числа тех, кто этими сервисами пользуется. 97% постоянных пользователей интернета должны использовать средства защиты информации. До наступления 2024 г. осталось меньше пяти лет.

 

17.05.2019

Смотрите также:

CTF – источник кадров

Но как превратить играющих школьников в профессионалов ИБ?
27.06.2019

Профессионализм: по ту сторону добра и зла?

«Родину любить не обязан», ибонет такого требования к специалисту по информационной безопасности,ни в образовательных, ни в профессиональных стандартах.
21.06.2019

«В теории нет разницы между теорией и практикой. А на практике есть»

НТЦ «Вулкан» представил свою методику киберучений.
17.06.2019

В программисты я пойду, пусть меня научат

В столичных школах с сентября будут готовить ИТ-специалистов.
13.06.2019

Sexquestions

«Цифровая трансформация – это не про технологии, но про изменения», – утверждает одна из самых признанных книг Питера Уэилла и Стефани Уорнер. Соответственно «в процессе изменений бизнес становится уязвимым, и наша задача – измениться самим, чтобы адекватно и актуально поддерживать и защищать его ключевые элементы».
11.06.2019