По голосу и подобию: в России появился новый вид мошенничества
В России набирает обороты новый вид мошенничества с использованием социальной инженерии и технологии подделки голоса. О такой тенденции «Известиям» рассказали в компаниях в области информационной безопасности. Мошенник может позвонить и попросить оплатить счет под видом коллеги или друга, а технология deepfake сымитирует голос знакомого. Ранее ее считали научной фантастикой, но сейчас технология стала работоспособной и становится всё дешевле, говорят эксперты. В 2021 году специалисты ожидают роста числа преступлений с использованием социальной инженерии до 30%. Получат распространение и фейковые рассылки о госкомпенсациях, штрафах, вакцинах, а также обман граждан с появлением цифрового рубля, предполагают эксперты.
Свежие угрозы
В число новшеств мошенников при использовании социальной инженерии вошли звонки якобы из правоохранительных органов. «Сотрудник службы безопасности банка» говорит абоненту, что тесно сотрудничает с полицией, и предупреждает о звонке из органов в ближайшее время. Вызов действительно происходит, но с подменного номера (он определяется как настоящий). Якобы полицейские действуют по старой схеме: запрашивают данные карточки, CVV и коды из SMS. Такое мошенничество было зафиксировано в Норильске, рассказал «Известиям» начальник отдела информационной безопасности «СёрчИнформ» Алексей Дрозд со ссылкой на данные МВД по региону.
Еще один случай, по его словам, был зафиксирован в Югре. Женщине позвонил неизвестный и представился сотрудником службы безопасности крупного банка. Заявительница сразу поняла, что ее пытаются обмануть, и прекратила разговор с злоумышленниками. После этого мошенники перезвонили югорчанке повторно с подставного номера дежурной части УМВД России по ХМАО-Югре и представились сотрудниками полиции. Они сообщили, что ведут разработку мошенников, которые ей звонили, и попросили следовать инструкциям мошенников, чтобы не сорвать операцию. Жительница согласилась оказать содействие правоохранительным органам, в результате преступники получили доступ к личному кабинету потерпевшей и похитили около 150 тыс. рублей.
В ВТБ знают о таких способах мошенничества, сказали «Известиям» в пресс-службе банка. В компании рекомендуют прекратить разговор, если поведение звонящего вызывает подозрение, и перезвонить в банк по официальному номеру.
«Известия» также направили запросы в Сбербанк, Альфабанк, Райффайзенбанк, «Открытие», «Почта Банк» и «МТС Банк».
Среди новых приемов мошенников — использование технологий deepfake, приводят пример в «СёрчИнформе». Несколько лет назад правдоподобную подделку голоса в режиме реального времени можно было назвать научной фантастикой, а сейчас это работоспособная технология, сказали специалисты. Она становится дешевле, и ее массовое применение — вопрос времени. Есть уже первый случай мошенничества, когда бизнесмену позвонил его якобы коллега и попросил оплатить счет.
Вероятно, в следующем году злоумышленники также будут использовать схемы с магазинами, якобы продающими вакцину от COVID-19, или с сервисами по записи на платную вакцинацию, предрекла руководитель исследовательской группы отдела аналитики информационной безопасности Positive Technologies Екатерина Килюшева.
Число мошеннических действий с использованием методов социальной инженерии в 2021 году вырастет на 10–15% в сравнении с 2020-м, прогнозирует руководитель вирусной лаборатории «Доктор Веб» Игорь Здобнов. Руководитель направления «Информационная безопасность» КРОК Андрей Заикин закладывает рост в 15–20% с учетом степени развития онлайн-сервисов и услуг. А руководитель отдела экспертного пресейла Solar JSOC компании «Ростелеком» Алексей Павлов ожидает увеличения числа подобных атак на 20–30%.
Проверенные схемы
Пик звонков якобы из банков пока не пройден, полагает Алексей Дрозд. Клиенты финансовых организаций по-прежнему составляют для мошенников главный интерес, а жертв, которые могут купиться на их уловки, достаточно. Более того, мошенники будут чаще бить «точечно» — например, уже клиентов менее крупных банков, потому что жертвы еще не привыкли получать звонки от «служб безопасности» этих организаций. «Топливом» для таких атак будут служить данные пробивов и сливы информации из самих кредитных организаций, говорит он.
Кибераферисты также притворяются и хорошо известными сервисами доставки, обратил внимание технический директор ESET Юрай Малко. Они отправляют жертвам поддельные ссылки якобы для отслеживания отправлений. Оформление таких сообщений может быть схоже по цветовой гамме и стилю с реально существующими сервисами. На уведомление «вам посылка» человек кликает, после чего загружается вредоносное ПО. Чтобы избежать мошенничества с доставкой, нужно внимательно следить за адресами отправителей и проверять статус доставки по трек-номеру на официальных сайтах служб, советуют специалисты.
Часто встречаются ситуации, когда пользователю предлагают перейти из официального приложения сайта объявлений в мессенджер, а дальше отправляют ссылку для оплаты доставки, которая ведет на фишинговую страницу, похожую на реальную страницу оплаты, привела пример Екатерина Килюшева.
Фрод будет по-прежнему распространен и в будущем году, говорит Андрей Заикин. Мошенники будут обещать выплаты, помощь, денежное вознаграждение или приз, но прежде попросят оплатить «комиссию». Люди стали уязвимы для психологических приемов: это рассылки с «госкомпенсацией», фейковые письма о вакцине, штрафах, эксплуатация уязвимостей сервисов видео-конференц-связи, перечислил он.
Береженого бот бережет
Пользователям нужно соблюдать базовые принципы информационной безопасности (ИБ) при работе с электронной почтой и другими ресурсами в Сети, посоветовал руководитель центра мониторинга Angara Professional Assistance Максим Павлунин. Не открывать вложения из недостоверных источников, а при получении подозрительных писем обращаться в службу ИБ для анализа. Кроме того, лучше взаимодействовать со службой технической поддержки для установки необходимого софта для работы.
При этом выбранные средства защиты не должны усложнять доступ сотрудников к бизнес-приложениям и не тормозить их работу, говорит эксперт управления информационной безопасности Softline Денис Чигин. При рациональном подходе к решению этой задачи можно сделать удаленную работу удобной и безопасной почти настолько же, что и работу офлайн.
Для одноразового входа и получения писем с подтверждением регистрации на интернет-сервисах лучше воспользоваться отдельным e-mail, рекомендует ИТ-директор ESET в России Руслан Сулейманов. Особенно осторожными нужно быть с сервисами госуслуг и банков. Здесь нельзя использовать придуманные данные, но стоит серьезно отнестись к защите доступа: установить надежный пароль, регулярно менять его, включить двухфакторную аутентификацию.
По словам Алексея Павлова, ближайшие два года пройдут под эгидой массового внедрения и использования таких цифровых активов, как Bitcoin, Ethereum, цифровой юань, цифровой рубль. Это потребует не только повышения цифровой грамотности населения, но и углубления в базовые правила информационной безопасности.