Привет, Хабр! В недавно выпущенном Центробанком «Портрете пострадавшего» видно, что телефонное мошенничество до сих пор является лидером антирейтинга кибератак. Мы, Big Data T2, долго думали, как бы нам написать такую статью, которая оказалось бы полезной и интересной не только умным айтишникам (которых невозможно довольно сложно обмануть), но и простым людям, любимым абонентам, о которых мы всячески заботимся. А потому решили написать лонгрид, где будет минимум злых зверей ROC-AUC’ов - о которых мы с удовольствием поговорим в комментах - но будет максимум, как мы надеемся, актуальной, интересной и полезной для каждого из нас информации. Ведь разве есть тут такие, у кого за последний год не заканчивался срок действия SIM-карты или не было необходимости продлить полис ОМС?
В эфире Андрей Тузлуков и Максим Пластинин@Mplastinin – почётные BA и DS из команды Антифрода. А ниже – некоторое количество собак, которых нам удалось съесть на этом деле за последний год.
Всё начинается с данных
Цифровая гигиена – известное понятие. Но если раньше оно ограничивалось фразами типа «не используйте простые/одинаковые пароли», «не вводите данные банковских карт на подозрительных сайтах» и подобным, то в последние несколько лет всё стало куда интереснее.
Внешность и голос, то есть те вещи, которые ещё недавно служили бы доказательством того, что перевести денег до зарплаты просит именно ваша лучшая подруга, больше не являются гарантом её аутентичности. Угнав аккаунт с массой голосовых сообщений, а то и просто взяв десяток-другой фотографий и видео с её открытой странички в соцсети, мошенник без труда сможет с помощью ИИ сгенерировать убедительный кружок в Telegram, которому вы просто не сможете не поверить.
И если несколько лет назад использование технологии deepfake считалось делом сложным и встречалось разве что в крупных аферах корпоративного масштаба, то сегодня это стало трендом – Open AI уже год назад хвастались, что им достаточно записи всего в 15 секунд, чтобы качественно клонировать голос, а всё тот же ЦБ недавно выпустил предостережение о том, что жертвой дипфейка сегодня может стать каждый из нас.
На прошедшем в декабре форуме «Антифрод 2024» этой теме было уделено огромное количество внимания: взрывное развитие ИИ очевидно приведёт к росту нового класса мошенничества. Но, если говорить про сегодняшний день, сколько людей из вашего окружения за прошедший год сталкивались с дипфейками? А сколько человек сталкивались с истекающим сроком действия номера? Пока что куда вероятнее, что Ваш сын получит входящий от замдиректора школы, который для регистрации в новой учебной системе попросит лишь назвать код из СМС.
Вбейте прямо сейчас свой номер телефона в поисковую строку браузера. Что получилось? А если электронную почту? Однажды автор этой статьи нашёл подобным образом в открытом доступе все данные о его транспортных средствах, начиная с купленного в 2007 году первого мотоцикла. Поэтому даже если вы никогда, заходя в интернет, не снимали шапочку из фольги, будьте уверены – ваши данные уже утекли.
Полученная из разных источников, информация о вас, покупается на профильных форумах, консолидируется, и вот уже помимо ФИО и номера телефона в мошеннической базе появляются домашний адрес (от курьерской службы), место работы с именами коллег (из давно забытого резюме или с актуальной странички на LinkedIn), а то и полные паспортные данные (из заявки на кредит в каком-нибудь банке). Фотографии из отпуска и список друзей в соцсетях – вишенка на торте из данных, который мы сами и приготовили.
А дальше специально обученные люди начинают с этим работать.
Просто бизнес
В конце 2022 года Сбер выпустил потрясающе красивый отчёт о деятельности одного из мошеннических колл-центров. Если раньше существовало мнение, что все эти звонки идут преимущественно из тюрем (сейчас схемы выглядят иначе), то сегодня мы видим, что подобным занимаются из обычных офисов, порой расположенных прямо в столице – буквально в декабре сотрудники ФСБ как раз накрыли такой.
И организовано все внутри таких колл-центров как в полноценной большой компании: и HR, и IT-отдел (который поможет жертве установить нужное для заработка на трейдинге ПО), и, конечно, подразделения, которые занимаются непосредственно общением с клиентами. Аналитика, базы данных и лучшие психологические практики – всё, чтобы Вы поверили, что вложиться в крипту, переведя деньги на вот этот счёт – лучшее решение в вашей жизни.
Но если это целые организации с огромным штатом сотрудников, то почему они могут спокойно функционировать годами? Если обратить внимание на отчёты и новости о таких колл-центрах, то видно, что их деятельность обычно направлена за пределы государства, в котором они физически располагаются. А в остальном – при соблюдении базовых правил конфиденциальности, вы никогда не узнаете, что прямо сейчас из соседнего офиса кто-то уговаривает вашу маму заложить квартиру, чтобы взять кредит и сделать 300% годовых на инвестициях.
И вот в очередной свой рабочий день сотрудник такого колл-центра просто придёт на работу, сядет за стол и через удобное приложение на компьютере найдёт в базе ваши данные. А дальше его звонок проделает достаточно тернистый путь, прежде чем вы увидите входящий на своём телефоне.
Найду тебя по IP
До запуска системы «Антифрод» мошенники вполне могли позвонить вам с небезызвестного номера 900 или +7800***, указанного на сайте вашего банка. Сейчас же, благодаря ей, подобные ситуации на 99% исключены. То есть сейчас входящий номер на экране вашего телефона прямо реальный и настоящий, чаще всего существующий на физической SIM-карте, вставленной в устройство. Особенно, если это номер российского формата (+7***).
Но, погодите, если мы знаем, что симка физическая и находится в телефоне, почему бы оператору просто не передать местонахождение устройства кому следует? Ведь тогда уже через десять минут этот колл-центр накроют вежливые люди в масках!
Откуда оператор знает, где я нахожусь?
Если вы не знали эту страшную тайну (это не про хабровчан, но вдруг!), то раскрываем её: операторы узнают ваше местоположение не по GPS, установленному в телефоне, а по вышкам сотовой связи, к которым ваше устройство подключается.
Поэтому, сюрприз-сюрприз, купив Nokia 3310 вы не перестанете получать СМС «С приездом во Владимирскую область!» сразу после пересечения её административной границы. Современные технологии и законы физики позволяют получать местоположение абонента с точностью до нескольких десятков метров без использования GPS.
Дело в том, что, приехав на место, сотрудники спецслужб скорее всего найдут не офис, а коробочку небольшого размера, в которую воткнуто несколько десятков SIM-карт и сетевой кабель.
SIM-боксы, они же SIM-фермы/SIM-банки/gsm-шлюзы – один из самых популярных способов доставить мошеннический звонок до вашего телефона. Это похожие между собой устройства, которые помимо прочего позволяют «перенаправлять» голосовой трафик, приходящий по интернету, в сотовую сеть.
Безусловно, функционал этих устройств не ограничен фрод-телефонией. Они могут использоваться и для каких-то более легальных дел:
Накручивание трафика и продвижение товаров/услуг в сети
Спам-активности
Полезные обзвоны / SMS-рассылки (в локальных службах такси, например)
Мини-АТС в небольших компаниях
Маршрутизация трафика, прокси
Одноразовый номер для регистрации аккаунта на каких-то ресурсах
Десятки других опций
Однако, подмена IMEI (уникальный международный идентификатор мобильного оборудования) и различные возможности маскировки под простые мобильные телефоны как бы намекают нам, что часто с этими устройствами не всё чисто. Законодатели тоже это понимают и активно разрабатывают меры по регулированию этой области и введению ответственности за их использование без лицензии, о чём также много говорили на «Антифроде» в декабре.
По данным мониторинга обратной связи мы видим, что мошенники звонят не только с номеров «большой четвёрки», но также c небольших и виртуальных – так называемых MVNO – операторов. Иногда преступники через подставных лиц используют сервисы маленьких локальных телекомов, предоставляющих услуги виртуальных АТС. Часто информационная безопасность здесь оставляет желать лучшего – нам известен случай, когда мошенники заполучили доступ к номерам телефонов одной микрофинансовой организации, и начали звонить со своими предложениями с совершенно легальных номеров этой компании, открыто размещённых на её сайте. А сотрудники МФО наблюдали за этим и никак не могли дозвониться до своего провайдера.
Не всякий мошеннический звонок долетит до середины Днепра вашего телефона – специалисты по антифроду активно работают над этим – но тот, что долетит, может стать очень интересным.
У Вас входящий
Мошеннических схем, которыми будут вас обрабатывать, десятки, если не сотни. Самая популярная в этом году у наших абонентов - «сотовый оператор», когда вам звонят и сообщают, что заканчивается срок действия договора, а для его продления придётся назвать код из SMS. Описывать все схемы бесполезно: за время написания этой статьи наверняка появилась пара новых, поэтому укажем лишь очевидные красные флаги:
Срочность: «ваш номер телефона будет заблокирован завтра, если мы его сейчас не продлим»
Давление на эмоции: «вы не боитесь ответственности, которая наступит, если вы сейчас не назовёте код»
Ограничение общения: «ситуация очень серьёзная, поэтому никому не говорите об этом разговоре, чтобы не подвергать их опасности»
Использование непонятной терминологии: «ваши действия попадают под 115 ФЗ Центробанка, ограничивающий спред на кредитном плече вашего торгового счёта»
Манипуляции боязнью упустить выгоду: «вы же согласны, что 10 000 рублей для инвестиций, которые вы уже перевели – это мало, серьёзные люди инвестируют от 100 000»
Переход в мессенджеры: «для того, чтобы нас не могли прослушивать, нужно перейти в безопасный мессенджер. Вы же пользуетесь вотсапом?»
Фамильярное, небрежное обращение: «ну мы же с вами взрослые люди, давайте не будем заниматься фигнёй и перейдём к трейдингу»
Используя упомянутый выше стиль общения, в ходе разговора вас будут ненавязчиво просить:
Назвать код из SMS / push-уведомления: как бы банально это не звучало, но если кто-то у вас его спрашивает по телефону – это мошенник!
Ввести USSD-команду: может включить переадресацию с вашего номера на номер мошенника, и он сможет читать ваши SMS уже без вашего участия
Сообщить конфиденциальные данные: номер паспорта, СНИЛС, адрес регистрации и названия банков, которыми вы пользуетесь, номера банковских карт. С их помощью на вас легче будет оформить кредит или обмануть в будущем. Никому их не называйте, даже если вам пообещали за их уточнение проиндексировать пенсию.
Перейти по ссылке: куда угодно, там вы скорее всего подцепите что-то плохое или введёте какой-нибудь пароль
Установить приложение: смотрите предыдущий пункт
Показать экран / транслировать экран: схема «собеседование», где вы транслируете будущему работодателю экран, показывая своё умение работать в google-документах, а он в это время читает всплывающие СМС / пуш-уведмоления
Перевести деньги: ведь чтобы вывести заработанные на трейдинге 100 000, нужно оплатить 5000 за регистрацию аккаунта
Если Вы распознали мошенника – положите трубку. У некоторых есть развлечение «кто дольше продержит фродера на линии», но это на любителя. После звонка сообщите о случившемся в банк и своему мобильному оператору. Мы в Т2 запустили отдельную линию поддержки, где работает выделенная команда, которая занимается только помощью абонентам, атакованным мошенниками. Поэтому если Вы с ним столкнулись – независимо от того, перевели деньги или нет – обязательно сообщите нам (и в свой банк, конечно). Коллеги из дистанционного сервиса примут у вас информацию, подскажут, что делать дальше и – самое главное – передадут её для анализа и минимизации рисков. Между операторами, банками и госорганами в этой сфере установлено очень тесное взаимодействие, в котором обратная связь от жертв и потенциальных жертв играет огромную роль. Жалуйтесь! Мы очень просим.
Если Вы, или Ваш родственник не распознали мошенника, перевели деньги или сделали ещё какое-то действие из списка выше: опять же сообщите об этом в банк и своему оператору, чем быстрее – тем лучше. Для популярной схемы с Госуслугами рекомендуют как можно быстрее обратиться в МФЦ, если восстановить доступ стандартным способом не удаётся. Обращайтесь в полицию, даже если у вас похитили всего 3-5-10 тысяч рублей: заявления позволяют блокировать счета дропов и привлекать их к ответственности, но об этом позже.
Помните, что человека, обманутого однажды, могут обмануть ещё не раз. Автор этой статьи лично знаком с ситуацией, когда жертва, отдавшая мошенникам несколько миллионов кредитных рублей, через год эту историю повторила. Кроме того, человек, находящийся под влиянием мошенников, будет убеждать близких, банк, и кого угодно ещё, что всё в порядке и её никто не обманывает – на наших отраслевых мероприятиях коллеги постоянно рассказывают о таких случаях.
Cоциальная инженерия
В упомянутом выше отчёте ЦБ типичной жертвой телефонных мошенников является проживающая в городе женщина среднего возраста, со средним доходом и средним образованием – в среднем, это всё тот же портрет жертвы от 2023 года. А ещё это портрет среднестатистического россиянина – у нас преобладает и городское население, и прекрасный пол, и люди со средним образованием.
Если раньше самой «рисковой» категорией считались пенсионеры, то сейчас мы видим смещение вектора атаки на молодёжь и детей. Первые в поисках своего начального заработка могут заинтересоваться арбитражом крипты, оставить свои данные где не следует и попасть на одну обманную схему, а вторые, попав на другую, столкнуться с мошенничеством в чатах видеоигр и переведут крупную сумму другу-геймеру. Откуда у ребёнка большие деньги? А у вас в качестве пароля на телефоне точно не стоит его год рождения? А паспорт и банковская карта точно лежат в недоступном для ребёнка месте? Вот и друг-геймер это понимает.
Но обмануть можно всех – наверняка и у вас найдутся истории как про доверчивых пенсионеров, так и про образованных бизнес-аналитиков, которых полковник ФСБ или генеральный директор компании убедил в реальности заведённого уголовного дела. Среднестатистическая жертва в 2025 году вряд ли будет обманута через дипфейк, а вот состоятельный директор или бухгалтер крупной фирмы, имеющий проблемы с цифровой гигиеной, вполне себе может с этим столкнуться.
Видя назревший в обществе запрос, в прошлом году мы разработали несколько ИИ-моделей, направленных на борьбу с социальной инженерией. Почему несколько? Лучше всегда работают модели, обученные на конкретных кейсах. В качестве примера можно привести кредитную модель – мошенники заставляют людей брать кредиты, а мы с ROC-AUC > 0,7 можем отличить обычного заёмщика от находящегося под влиянием. Сотрудничество банков и телекомов действительно стало одним из трендов последнего года, и мы продолжаем развиваться в этом направлении.
В начале статьи говорилось, что здесь будет минимум технической информации, а потому добавим историю из жизни, наделавшую много шума у нас в Big Data совсем недавно. Проведя уйму тестов, мы поняли, что наша быстрая модель социнженерии работает и отправились проводить пилот с одним из самых крупных в России банков. На очередной неделе теста к нам приходит коллега, занятый в этом проекте, и рассказывает, что член его семьи прошлым вечером чуть не перевёл деньги мошенникам, но банк вовремя заблокировал транзакцию. И главной причиной этой блокировки послужил именно ответ нашей модели. Одно дело получать недельную статистику, видя, что количество «спасённых» людей переваливает за первую тысячу, а совсем другое – понимать, что один из этих людей – вот он, совсем рядом, буквально в соседнем кабинете. Гордость, которую мы испытали тогда за команду, трудно описать.
Но давайте представим, что Вас всё-таки обманули и вы твёрдо решили, что все свои деньги нужно перевести на безопасный счёт. Что происходит дальше? В игру вступают дропы.
Хорошего человека дропом не назовут
Деньги, которые удалось похитить, теперь действительно нужно перевести на безопасный (для мошенника) счёт. Жертвы всё чаще стали обращаться в полицию, а потому очевидно, что перевод по СБП на свой номер телефона злоумышленник просить не будет.
Существует множество схем вывода денег, и на текущий момент большинство из них проходит через дропа — так называют соучастника различного рода мошенничеств с использованием банковских счетов, который, по сути, позволяет пользоваться своим ресурсом (мобильным телефоном, банковскими счетами) для осуществления преступной деятельности. По сути – это низшее звено в пищевой цепочке мошенников. Информации об этом в сети много, но давайте разберём ситуацию на грубом примере. Сразу заметим, что история выдуманная и все упомянутые люди – актёры.
Вы – студент, у которого не так много денег и не так много времени, чтобы их заработать, но тут от кого-то из однокурсников узнаете, что можно подняться, оформляя на себя симки, а на эти симки – банковские карты. За комплект симка + дебетовая карта хороший знакомый вашего однокурсника платит 5 тысяч рублей. Симка стоит 200 рублей, а банковская карта оформляется бесплатно, выгода очевидна. Обойдя несколько салонов связи и отделений банков, Вы зарабатываете первые 50 тысяч, теряя контроль над свежекупленными симками и оформленными на них банковскими картами. Вы становитесь дропом.
Ваш однокурсник, недавно купивший новый айфон, уже рассказывает о том, как он поднялся на трейдинге и p2p-арбитраже. Вы ищите профильные сообщества и анонимные каналы в Telegram, где вам на пальцах объясняют, как легко перекидывать деньги с одной крипто-биржи на другую, прогонять их через свои банковские карты, оставляя себе небольшой процент с каждой транзакции. Заработок растёт не по дням, а по часам, вы даже пытаетесь брать кредиты под свой трейдинговый бизнес, но почему-то банки, в которых Вы оформляли карты в первом абзаце, всё чаще вам отказывают. И теперь на Ваши деньги почти всегда прилетает блокировка по 115-ФЗ и Вы с большим трудом их размораживаете.
И вот уже вы начинаете пользоваться чужими картами, а иногда и оформляете на друзей дроперские комплекты симок и карт. Но вот однажды на счёт друга, куда пришла крупная сумма после удачной связки, прилетает блокировка, его вызывают в полицию, а он показывает на Вас.
Оказывается, что его счёт оказался «безопасным» для чьей-то мамы, которую вчера служба безопасности банка попросила перевести деньги, чтобы спасти их от мошенников. А ещё всплывает информация, что вас разыскивают и как владельца SIM-карты, с которой этой маме звонили – помните первый абзац истории?
Что ж, вы много заработали: помимо денег – отрицательную репутацию в банках, судимость и проблемы с трудоустройством в будущем. Стоило оно того?
Часто за какими-то на первый взгляд безобидными операциями скрываются мошеннические действия. Если вам рассказывают, насколько тот или иной арбитраж прост, легален и безопасен, но при этом параллельно объясняют, как прогревать карту, чтобы её не заблокировали – нужно строить причинно-следственные связи.
Некоторые дропы понимают, на что идут, некоторых используют «в тёмную». В любом случае, если вас просят дать реквизиты карты или перегнать через неё какую-то сумму, так как «у меня закончился лимит на бесплатные переводы» - лучше подумать.
Иногда случаются ситуации, когда мошенник, используя обменники криптовалюты, делает операции «без дропа»:
Вы хотите продать честно полученные за работу в стартапе биткойны и размещаете предложение на интернет площадке «продам BTC на 500 000 RUR на карту Х-Банка»
Мошенник объясняет жертве, что ей нужно будет перевести свои накопления в размере 500 000 на безопасный счёт в некий банк (Ваш!)
Жертва переводит деньги, вы их получаете, подтверждаете перевод BTC
Мошенник получает биткойны, прогоняет их через несколько кошельков, и они растворяются
Жертва через неделю идёт в полицию, где пишет в заявлении, что под влиянием мошенника перевела деньги Вам! Дальше, думаю, можно не объяснять.
Схем вывода похищенных средств очень много, всех не перечесть. Законопроект о криминализации дроперства находится в разработке, но уже сейчас за это можно получить тяжкую (в зависимости от суммы) статью, а то и участие в преступном сообществе.
Отметим, что в рамках взаимодействия с банками нами была разработана модель выявления дропа, которая по обезличенным признаком с ROC-AUC > 0,8 позволяет по поведению абонента понимать, что он планирует заниматься / занимается дроперской деятельностью. Но об этом мы как-нибудь расскажем отдельно.
Будущее мошенничества
В ближайшие годы развитие ИИ-технологий кардинально изменит ландшафт киберугроз. Почти наверняка дипфейки станут для нас чем-то вроде сегодняшних «звонков из службы безопасности», а каждый пятиклассник будет знать, как совершить безопасную p2p-транзакцию своими цифровыми рублями. И что не стоит называть никому цифры из SMS на отцовском телефоне. А мошеннические коммуникации целиком переедут из телекома в соцсети и мессенджеры.
А пока мы попробуем предположить, о чём следует позаботиться сейчас, чтобы эффективно противостоять киберугрозам будущего.
Запретите звонки / сообщения от людей не из списка контактов в мессенджерах
Если кто-то из знакомых совершил нетипичное действие – просит «проголосовать за ребёнка по ссылке» или «перевести 5000 до зарплаты» – сразу перезвоните ему
Придумайте кодовые слова для близких, которые вы не использовали прежде нигде: в случае подозрений на дипфейк под видом близкого человека, просто спрашивайте их. Ну или спросите что-то такое, о чём знаете только Вы с этим человеком – чем я рисовал на стенах квартиры, когда мне было два года?
Ограничивайте публикацию информации о себе в интернете – сегодня на ваших голосовых и кружочках из Telegram можно сделать кривоватый дипфейк, а через год – 4k HDR видео, а если ещё и LLM на переписках обучить…
Используйте сложные пароли, двухфакторную аутентификацию, и не переходите по подозрительным ссылкам ;-)
…и, конечно, держите руку на пульсе, читая наши материалы и делясь ими с близкими! Будем рады узнать что-то новое от вас и поделиться чем-то полезным в комментариях. До новых встреч!