Ее, например, используют сисадмины, чтобы дистанционно установить ПО на компьютерах пользователей. А злоумышленник звонит от имени банка, сообщает, что со счетов клиента кто-то пытается вывести деньги (перед этим даже может прийти фейковое сообщение о снятии). Якобы от службы безопасности банка пользователя просят помочь решить техническую проблему, чтобы помешать мошенникам, - и срочно поставить TeamViewer. Если владелец смартфона послушается, мошенник сможет действовать от его имени и вывести деньги через мобильный банк.
Вот уже полгода ежемесячно система Secure Bank в среднем фиксирует более 1000 попыток вывода средств со счетов физлиц с помощью программ удаленного доступа, сообщили в Group-IB. Пик пришелся на весну 2019 года: в апреле и мае в компанию начали поступать массовые запросы от банков. Активность с небольшим спадом продолжилась летом, второй пик был в июле. Фиксировать подозрительные действия оказалось трудно, поскольку пользователь мобильного приложения банка сам соглашается установить программу делегирования доступа к смартфону, а потом отличить его действия от действий мошенника достаточно сложно. Однако только в одном банке удалось предотвратить ущерб на сумму 16 миллионов рублей за 2 месяца. Среднемесячная сумма ущерба с использованием программ удаленного доступа для крупного банка может составлять от 6 до 10 миллионов рублей.
- Единственный вариант обнаружить эту схему - фиксировать установку программы для удаленного управления на смартфоне и осуществлять поведенческий анализ на протяжении всей пользовательской сессии, - отмечает руководитель направления по развитию продукта Group-IB SecureBank Павел Крылов. - "Умные" технологии защиты клиента в каналах дистанционного банковского обслуживания умеют создавать его профиль, основанный на поведенческих характеристиках. Сам факт появления ПО для удаленного доступа, особенно если раньше оно клиентом не использовалось, уже фактор риска. Мы отслеживаем такие действия, а анализ дальнейшей работы пользователя позволяет понять, совпадает ли его поведение с обычным поведением его профиля. Если нет, активность считается подозрительной и действия мошенника блокируются банком.
"Мы практически не фиксируем подобных атак на наших клиентов в последние месяцы", - уточнили "РГ" в банке ВТБ. Вице-президент и директор по безопасности Почта Банка Станислав Павлунин также отмечает, что в банке сталкивались с единичными случаями такого мошенничества.
- Многоуровневая антифрод-система банка успешно противодействует таким атакам, но важно, чтобы сами потребители были бдительными и не позволяли устанавливать на смартфон или компьютер сомнительные программы, - указал Станислав Павлунин.
Директор департамента информационной безопасности Московского кредитного банка Вячеслав Касимов рассказал, что мошенники постоянно совершенствуют подходы и сценарии: установка TeamViewer и подобных программ, звонки "аналитиков банка", переписка в соцсетях с "банком".
Каждую неделю банк видит новые схемы, но все их можно разделить на три типа. Первый тип - целенаправленная социальная инженерия, когда у мошенников есть как минимум контактные данные клиента, и они адресно выманивают данные для входа в интернет-банк у самого же клиента, представляясь, например, работником службы безопасности банка. Применяется и широковещательная социальная инженерия - прозвон базы номеров или отправка сообщений о проблемах с картой и требование перезвонить.
- Как правило, звонки от банка - это предложение продуктов и услуг. Банки не просят данные, которые у них и так есть: номер карты, счета, срок действия карты и так далее. Пин-код вообще никто никогда не запрашивает - это конфиденциальная информация, - подчеркнул Касимов. - Банки не звонят, чтобы провести операцию или отменить ее или чтобы сказать, что со счетами клиента происходит что-то подозрительное. Единственное исключение: когда клиент совершил транзакцию, ему может позвонить специалист банка, который знает все об этой операции.
Универсальный способ защиты от телефонных мошенников, убеждающих клиента установить программу удаленного доступа, сообщить одноразовый пароль или просто что-то выведать, - при любом звонке из банка положить трубку и перезвонить самостоятельно по банковскому телефону, указанному на карте.
Еще одна распространенная схема - заражение устройства клиента или побуждение его к установке приложения, похожего на мобильный банк. Здесь все куда более технологично: вирус может как подменять страницы входа и оплаты, так и модифицировать платежи, отправляя их через серверы мошенников в банки. Приложения настроены так, что деньги нельзя перевести никуда, кроме счета злоумышленника. Чтобы избежать этого, нужно своевременно обновлять операционную систему на всех устройствах.
Еще один сценарий - мошенничество через фишинговые сайты или приложения. Нелегитимные ресурсы похожи на оригинальные. При вводе данных карты в интернете следует внимательно проверять ссылку в адресной строке браузера, стараться использовать проверенные интернет-магазины и сервисы и не устанавливать подозрительных приложений.