Мошенники, представившиеся сотрудниками одной из крупных российских компаний сотовой связи, убедили жертву настроить 5G, отправив вредоносные файлы через один из популярных чат-каналов, однако банковский антифрод и незадачливость мошенников с украинским говором предотвратил вывод средств в Таджикистан и в регионы РФ. Все подробности — в материале aif.ru.
Когда звонок кажется «настоящим»
Звонок по мобильному прозвучал вроде бы вовремя: абонент как раз ожидал решения своего вопроса от службы поддержки. На том конце провода уверенно представились сотрудниками одной из крупных компаний сотовой связи и предложили оперативно настроить интернет и сеть 5G, внушительно мастерски ссылаясь на недавнее обращение жертвы. Для передачи «служебных» утилит с безобидными названиями «Настройка сети j5.apk» и «- j3.apk» аферисты использовали один из самых популярных чат-каналов. Пока пользователь выполнял инструкции, экран его смартфона почти полностью погас — верный признак того, что устройство перешло под скрытый контроль. Впрочем, мошенники продолжали уверенно вести диалог, демонстрируя глубокую осведомленность в технических нюансах и не давая жертве усомниться в происходящем.
Получив полный доступ ко всем банковским приложениям, злоумышленники тут же попытались полностью обнулить все счета, инициировав перевод всех средств с дебетовых и кредитных карт (где есть такая опция) как по России, так и за рубеж — в Таджикистан. Однако их планам не суждено было сбыться: банковские системы безопасности сработали молниеносно. Антифрод-операторы распознали нетипичную активность и заблокировали транзакции, предотвратив хищение сбережений. Да и сами горе-мошенники с украинским говором все-таки не смогли правильно подобрать пароли и пин-коды.
Недавний инцидент, о котором эксклюзивно рассказали редакции aif.ru пострадавшие, иллюстрирует рост многоступенчатого фишинга. ИТ-директор РДТЕХ Максим Лапшев называет этот принцип «позитивной хак-атакой»: хакеры звонят сразу после того, как жертва сама обратилась в техподдержку или думает, что обратилась, или же ждет звонка от сотрудников компании мобильной связи. Название мошеннического приложения выглядит правдоподобно, потому что технически неподкованный пользователь не отличает системный процесс от вредоносного apk-файла.
Проджект-менеджер ГК Softline (MD Audit) Кирилл Левкин отмечает, что главная опасность таких схем — в глубине компрометации: получив доступ к СМС и уведомлениям, атакующие обходят двухфакторную аутентификацию и масштабируют атаку на людей. При этом аналитик компьютерных инцидентов из UserGate uFactor Иван Князев добавляет, что злоумышленники часто мимикрируют под удаленные из официальных «сторов» приложения, подбирая естественные для определенной среды названия. Наблюдается, что в комментариях групп, связанных, допустим, с играми, название файлов будет соответствующее: Minecraft_mod.apk, Roblox_free.apk или для сервисов ИИ — chatgpt.apk. Людей ловят на их привычках.
Мессенджеры — любимое место мошенников
Статистика телеком-рынка показывает: если операторы связи успешно блокируют исполняемые APK-файлы в SMS-рассылках, то мессенджеры остаются слепой зоной. Отправить файл с расширением apk по SMS сегодня почти невозможно — операторы блокируют ссылки на установку софта, а в мессенджере, поскольку он не контролируемый, исполняемые файлы не фильтруются. Другое дело — чат-каналы.
Руководитель департамента противодействия мошенничеству «Инфосистемы Джет» Алексей Сизов констатирует: из-за успешной борьбы с сим-боксами и подменой номеров в классической связи, мессенджеры стали для злоумышленников чуть ли не единственным каналом. Большинство крупных компаний и госорганов полностью отказались от звонков в мессенджерах, поэтому любой звонок в чате — это либо частное общение, либо повод задуматься и быть осторожнее.
Советник по технологиям информационной безопасности компании iTPROTECT Максим Головлев указывает, что главная «лазейка» здесь человеческая — доверие. Большая часть современной коммуникации проходит в мессенджерах, людям пишут знакомые, коллеги, сервисы, поэтому источник сообщения не всегда проверяется внимательно. В таких атаках первый шаг — социальная инженерия: разговор и убеждение, далее пользователю отправляют ссылку или файл. После установки он сам выдает разрешения, и атака развивается через доступ к устройству.
Когда появится защита от новых афер
Законодатели уже отреагировали на смену вектора атак: Госдума приняла второй пакет мер в рамках проекта «Антифрод». Теперь банки обязаны учитывать данные о вредоносных программах на устройствах клиентов — проще говоря, внедрять встроенные антивирусы в свои мобильные приложения. У некоторых крупных банков такие решения уже работают.
Для своевременного выявления атак под влиянием мошенников необходимо обрабатывать огромный объем телеметрии. Иван Князев приводит пример: сейчас популярна схема со сдачей аккаунта в мессенджере в аренду. Если антифрод-система видит такой аккаунт, она должна мгновенно передать сигнал другим игрокам, ведь аренда аккаунта часто означает и аренду SIM-карты. Рынок уже движется в этом направлении — примером служит та же платформа «Телецерт», объединяющая ключевых участников для быстрого анализа угроз.
Эксперты уверены, что единой страховки от атак в любом случае не появится. Будет развиваться модель разделенной ответственности: поведенческий анализ банков сочетается с лимитами и подтверждениями через независимые каналы. ИТ-эксперт Максим Лапшев отмечает, что скоро повсеместно заработают системы анализа поведения пользователей, и переводы, показавшиеся аномальными, будут подвергаться дополнительной проверке, например, подтверждению по Face ID.
Три правила, которые спасут деньги
Технический анализ методов настройки сетей показывает: легитимные команды оператора передаются через USSD-запросы (например, *111#) или по воздуху по технологии OTA (технология беспроводной доставки и установки программного обеспечения на электронные устройства. — Ред.), но никогда через APK-файлы. Если просят установить софт — это повод немедленно завершить разговор.
Научный сотрудник факультета безопасности информационных технологий университета ИТМО Николай Еритенко формулирует три простых бытовых привычки. Первое — брать паузу вместо действия. Любая срочность — красный флаг: «Срочно настройте интернет, иначе заблокируют сим-карту» — это уловка. Полиция или банк никогда не торопят. Второе — проверять канал связи. Если позвонили и представились сотрудником, нужно попросить данные о подразделении, самому найти официальный номер на сайте и перезвонить. Третье — если чувствуются сильные эмоции, остановиться. Мошенники давят на страх, жадность или желание помочь близким, потому что в таком состоянии критическое мышление отключается.
Зампред Совета по развитию цифровой экономики при Совете Федерации, сенатор Артем Шейкин напоминает правило разделения связи (звонки и пр.) и финансов. Если разговор касается интернета, тарифа или настройки сети, в нем не должно быть никаких действий с банковскими приложениями. Как только звучат намеки на карты, кредиты или коды из СМС — это однозначная мошенническая схема. Эксперт Максим Головлев рекомендует разделять цифровую жизнь по уровню критичности: банки и важные аккаунты — на отдельный номер или устройство, повседневное общение — в другой контур.
Подписывайтесь на АиФ в  MAX
|
