«Мамонт» и не только. Какие схемы используют мошенники в финансовой сфере

Схем, с помощью которых мошенники пытаются похитить деньги с банковских карт людей или со счетов компаний, становится все больше. Например, угон телеграм-аккаунтов: российские эксперты менее чем за год обнаружили 1,8 млн таких аккаунтов, которые позже использовались для рассылок с фишинговыми ссылками. Здесь же фейковые опросы от имени банков, инвестиционные и партнерские предложения, в результате которых утекают банковские данные. В последние годы все чаще говорят и о схеме «Мамонт», когда деньги похищают с помощью фейковых сайтов популярных курьерских служб и маркетплейсов: человеку присылают ссылку под видом оплаты покупки, а затем такую же схему проворачивают с возвратом денег.

Дмитрий Бондарь, представитель белорусского Альфа Банка, рассказал, что компания получает около 50 фишинговых писем в неделю. Примерно 15% таких атак таргетированные: чаще всего мошенники выдают себя за контрагентов, представителей регуляторов, руководство организации, акционеров.

Особенности таргетированного фишинга

Как показывает практика, нетаргетированный фишинг менее успешен: злоумышленники просто рассылают письма, а жертва при переходе по ссылке видит рандомную форму для ввода реквизитов доступа. Иногда там уже может быть введен адрес, на который отправлено письмо. К счастью, такая схема срабатывает нечасто.

В свою очередь таргетированный фишинг куда более опасный, так как злоумышленники готовятся, изучают структуру организации. При переходе по такой ссылке жертва попадает на брендированную копию корпоративного портала, где предлагается ввести реквизиты доступа. Отдельный вид — таргетированный фишинг с предварительной разведкой, когда мошенники узнали заранее о каком-то мероприятии в банке и сделали соответствующую рассылку его сотрудникам, предлагая якобы зарегистрироваться для участия.

В последнее время все чаще встречается фишинг с элементами вишинга. Например, злоумышленники позвонили, представились службой техподдержки и предупредили, что придет письмо, в котором по ссылке нужно установить обновление. Так как звонят в региональный отдел, ссылаются, что есть проблемы со связью с головным офисом, поэтому нужно, чтобы пользователь установил обновление самостоятельно. К слову, при переходе по ссылке оказывается брендированная страница, которая очень похожа на реальную, разве что переставлены буквы в доменном имени.

Почему это срабатывает

Основными проблемами в кибербезопасности финансовой сферы эксперты называют высокое качество визуала фишинговых страниц, а также то, что информацию для подготовки атаки порой легко найти в открытом доступе, в том числе в соцсетях. Сами атаки становятся многоступенчатыми, скажем, мошенники пишут главному бухгалтеру переслать какую-то информацию в финансовый департамент, а там уже отнесутся к такому письму с большим доверием, чем следовало бы.

Еще одна новая сложность — использование QR-кодов для выхода из защитного периода. По-прежнему работает и социальная инженерия, когда мошенники, позвонив от имени госоргана или руководства компании, под угрозой увольнения требуют предоставить какую-то информацию. И, конечно же, низкий уровень осведомленности пользователей, поэтому, уверены специалисты, помимо технических средств защиты, важно также периодически напоминать сотрудникам правила безопасности.

К слову, Банк России провел опрос и составил портрет типичной жертвы кибермошенников. Ей оказалась работающая женщина со средним уровнем дохода и средним образованием. Примечательно, что обычно это горожанка в возрасте от 25 до 44 лет.

В то же время Петр Зарецкий, начальник управления цифровизации предварительного следствия Следственного комитета Беларуси, уверяет, что сегодня фишинговые ресурсы оперативно блокируют не только на территории страны, но и обращаются напрямую к регистраторам. И это намного эффективнее, так как условный мошеннический инвестпроект, ориентированный на русскоязычных пользователей, после блокировки только в Беларуси мог бы продолжить работать в России или Казахстане.