Социальная инженерия в России эффективнее, чем в других странах

    Центробанк обеспокоен ростом киберпреступлений на основе методов социальной инженерии в России. Свои выводы ЦБ представил на Международном финансовом конгрессе в Санкт-Петербурге, пишут «Известия».

    В России методы социальной инженерии получили куда большее распространение, чем в других странах, и эта проблема «нарастает со взрывной скоростью», отмечают специалисты. Исходя из доклада ЦБ и комментариев компаний в сфере ИБ можно вывести две причины, почему именно в России процветает обман по телефону:

    1. низкая киберграмотность граждан;
    2. утечки баз данных из госструктур и коммерческих организаций.

    1. Низкая киберграмотность


    ЦБ отметил три главных риска, с которыми люди сталкиваются при использовании мобильных устройств: низкая осведомлённость и неосторожность пользователей заняла первое место с показателем 29%, далее следуют потеря гаджета (27%) и кража (11%). Это довольно уникальная картина, которая выделяет Россию среди других стран, где «разводы» по телефону не так распространены: «Цифра 29% говорит, к сожалению, о том, что наши граждане иногда недооценивают риски, которые они должны учитывать при работе с цифровыми инструментами, — сказала первый заместитель председателя Центробанка Ольга Скоробогатова. — Эта неосведомлённость или неосторожность приводит к тому, что у нас очень часто происходит утечка информации именно по этой причине. Иногда люди передают свои пароли, не понимая, что они тем самым передают данные о себе и доступ к своему счёту».

    Почти в каждом третьем случае граждане лишаются средств на счетах из-за собственной беспечности, заявили в Центробанке. Преступники с успехом используют именно способы психологического воздействия.

    Типичная схема


    Мошенники звонят жертвам и представляются сотрудниками банка, которые предлагают услуги, или представителями службы безопасности, которые обнаружили подозрительную активность. Затем злоумышленники получают от клиентов их личные данные и коды доступа — и выводят все средства со счетов.

    По данным специализированных компаний, до 80% преступлений в этой сфере совершается именно с помощью социальной инженерии. Это подтверждает и статистика. Например, за одну неделю июля только в Москве правоохранительные органы зарегистрировали 17 обращений граждан по таким мошенничествам. Как показывает практика, это лишь вершина айсберга, потому что не все граждане обращаются в полицию. Это происходит в случае значительных потерь. По зарегистрированным случаям предварительная оценка ущерба — около 6 млн руб. Другими словами, средний «улов» мошенников по тем жертвам, которые обратились в полицию, — 352 941 руб. с человека (хотя среднее медианное может оказаться на порядок ниже).

    Эксперты считают, что в России следует более активно развивать программы по киберграмотности, иначе положение будет ухудшаться. Представитель Digital Security Александр Круглов высказался за введение кибербезопасности в виде отдельного предмета в школах, иначе хищения средств будут расти. Такого же мнения придерживается и совладелец компании Group-IB Илья Сачков. Он предлагает преподавать дисциплину на уроках ОБЖ.

    «Социальная инженерия в нашей стране приобрела особое распространение, какого нет в других странах», — добавил зампред правления Сбербанка Станислав Кузнецов. По его словам, использование этого метода для хищения средств граждан демонстрирует «взрывной» рост: «Тенденция плохая, каждый месяц фиксируем всё больше и больше случаев».

    В России доля несанкционированных списаний с карт при помощи психологических приёмов может доходить до 60%. А согласно данным антифрод-подразделения Group-IB, более 80% хищений денежных средств у клиентов банков в России производится с использованием методов социальной инженерии.

    2. Утечки баз данных


    В Центробанке назвали вторую важную причину, почему в России настолько эффективна социальная инженерия: «В большинстве случаев злоумышленники используют информацию, собранную из открытых источников, а также благодаря утечкам баз данных из госструктур и коммерческих организаций», — рассказал руководитель аналитического центра Zecurion Владимир Ульянов.

    По данным презентации Центробанка, главный источник утечек — банки и другие финансовые организации (25%). На втором месте — государственные и силовые структуры (18,8%).

    Сегодня персональные данные активно продаются на ряде форумов, где есть продавцы, покупатели и даже целые системы арбитража, призванные разрешать возможные споры между оными. Мошенники умудрились построить очень мощную криминальную инфраструктуру: форумы живут жизнью, темы имеют много комментариев и отзывов, есть баны за «кидки» и системы рейтинга для «проверенных».

    Из баз данных государственных и силовых структур наибольшей популярностью пользуется услуга выгрузки из баз Магистраль, Сирена, Граница, Мигрант, Кронос, Спарк, Поток, комплексных баз ИБДР-ИБДФ. Но для социальной инженерии ещё важнее базы из банков. У мошенников есть БД из многих банков, а на форуме можно заказать детализацию по счёту любого физического лица практически в любом банке.

    «Если мы посмотрим на ближайшие два года, как эксперты оценивают технологии, которые, с точки зрения информационной безопасности, наиболее будут подвержены атакам или попытке атак на них, то это большие данные (Big Data) — 70%, — сказала Ольга Скоробогатова. — Данные — это новая нефть, данные — фактически новая бизнес-модель, новая возможность создавать продукты и услуги. Обладая большими данными, мы имеем уязвимость, если базы данных не защищены».
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 17

      +11
      Тема очень болезненная. Что мне совсем не нравится, у нас в стране народ учат только верить, но не критически думать. С региональными СМИ, особенно в национальных республиках вообще полный мрак, они фантастически далеки от реальности и изо дня в день учат только тупо верить, верить и верить, но не думать. Почему затрагиваю тему традиционных СМИ типа ТВ, радио и печатной прессы — они в особенности влиятельны для пожилых, как наиболее уязвимых перед мошенничеством. Ну и молодежь не отстаёт. Человека, который верит, что «козерог» и «водолей» что-то значат, можно водить вокруг носа сколько угодно и подвоха он не заметит до самого последнего момента, когда точка невозврата уже будет пройдена.
        +1
        Почему затрагиваю тему традиционных СМИ типа ТВ, радио и печатной прессы — они в особенности влиятельны для пожилых, как наиболее уязвимых перед мошенничеством.
        и там периодически крутят соц.ролики про мошенников, в госучреждениях (поликлиники) вечные листовки про мошенников, но как-то не помогает, видимо что-то с влиянием СМИ всё таки не так.
          +5
          Потому что вся эта информация представляется не так красочно и радужно, как гороскоп или хвальба кого-нибудь там очередного.
          • НЛО прилетело и опубликовало эту надпись здесь
          +2
          Текущая операционка содержит костыли которые эксплуатируют данную уязвимость. Как я слышал, админы патч накатывать не будут, у них модуль премий завязан на этом. Так что это не баг, а фича.
            +1
            Подпишусь под каждым словом. Как будто специально так делают.
            –4
            В нас живет ещё советская традиция — верить людям. Мошенники этим пользуются.
              +2
              Не совсем понятна отсылка к Big Data: мошенникам нужна выжимка самых важных даннных, вроде анкеты, транзакций, балансу счетов, а не те терабайты неструктурированных данных, которые содержат все тапы в мобильном приложении или как юзер мышкой по сайту водил и ссылки кликал.
                0
                с помощью «терабайтов неструктурированных данных» можно как более таргетированную рекламу показывать, так и более качественные разводы организовывать
                +4
                А ведь можно вместо агрессивной пропаганды и религиозного оболванивания крутить по ТВ социальные ролики закрывающие пробелы в кибер-грамотности. Рассказать что такое скам/фишинг и т.п., и как его распознать можно в небольших видео-роликах. в новостной ленте или в рекламном блоке.
                  0

                  У меня в семье один попался, передал мошенниками 200₽ через ВК (увы).
                  Сходили в полицию, написали заявление, в итоге — отказ в возбуждении дела.

                    0
                    А чем обосновывался отказ?
                      0
                      Ждём ответа по онлайну, нет желания ходить в отдел.
                      Ибо посещение отделов — ещё то приключение для заявителя: досмотр, выжидание в очереди, выжидание следака/архивариуса…
                    +4
                    По законодательству провайдеров обязывают записывать весь месячный голосовой и IP трафик. Любые безналичные финансовые транзакции можно проследить и откатить. Протечки баз данных — уголовное преступление.
                    Почему я должен повышать какую то сферическую киберграмотность в вакууме, почему мне следует относиться к людям с недоверием априори?
                    Почему бы специальным службам, с дорогим техническим оснащением и киберграмотными сотрудниками не сконцентрировать усилия на борьбе с мошенничеством?
                      +4
                      Почему бы специальным службам, с дорогим техническим оснащением и киберграмотными сотрудниками не сконцентрировать усилия на борьбе с мошенничеством?

                      Подождите, это вы им, что, работать предлагаете?
                        0
                        Почему я должен повышать какую то сферическую киберграмотность в вакууме, почему мне следует относиться к людям с недоверием априори?


                        [sarcasm]А почему я должен закрывать свою квартиру на замок, обращать внимание на подозрительных лиц, посторонних в подъезде, закрывать машину, не оставлять ценные вещи без присмотра? Где полиция!? [/sarcasm]

                        Ну вы ведь понимаете что все начинается с нас самих: безопасность, добропорядочность, законопослушность. (Ровно как и срач, произвол, разруха, коррупция и т.п.)
                        0
                        По сообщениям на социальную инженерию ловятся даже сотрудники банков. Это раз. Аналогично про НЛП — ты про него знаешь, но оно все равно работает против тебя. Это два.
                        Когда Мавроди дают всего 7 лет, а его аналогу в США более 100 лет, понимаешь, что надо что-то подправить в нашем правовом государстве. Опять-таки сроки давности позволяют уйти от ответственности. Можно ли побороть мошенничество без провокационных методов? На Западе их используют, а мы все никак не введем.
                        (помню в позднем этапе социализма ездили на сезонные сельскохозяйственные работы, выражаясь современным языком. так работа заключалась в охране собранного урожая по ночам, так как местные никто друг другу не доверяли)
                        Вот и как бороться, или, как всегда спасение утопающих…

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое