Несмотря на усилия кредитных союзов, мошенники продолжают застигать людей врасплох

Мошенничество – хищение чужого имущества путем обмана – старо как мир. Однако оно становится всё более изощренным. 

«В то время как фишинг остается типичной мошеннической техникой в онлайн-мире, где мошенники собирают конфиденциальную информацию, завлекая людей на сайты, выдающие себя за официальные банки и кредитные союзы, с каждым днём усовершенствуются другие техники», - говорит Джим Фентон, старший сотрудник по безопасности OneID, поставщика стратегических услуг Национальной Ассоциации кредитных союзов. «Во-первых, мошенники стали более умело составлять личные сообщения. Раньше их было легко определить по ошибкам в синтаксисе и грамматике. Сейчас это не так».

«Другие формы атаки, - продолжает он, - включают вредоносный код «человек в браузере», когда пользователю предлагается установить расширение для браузера, затем расширение незаметно перехватывает или модифицирует данные, перенаправляя средства на хакерский счет. Пользователи этого не замечают и не осознают, пока не становится слишком поздно».

Технологии стали настолько хороши, что мошенники стали применять в своём деле глубокое понимание человеческой натуры.

«Основная вещь, которую продолжают делать мошенники – это застигать людей врасплох», - говорит Джим Стикли, главный директор по технологиям в TraceSecurity, поставщика стратегических услуг Национальной Ассоциации кредитных союзов. «Они обманывают людей до того, как очнется их здравый смысл. Людям необходимо остановиться и  очень хорошо подумать, перед тем, как раскрывать конфиденциальную информацию».

Стикли вспомнил момент шоу «Today», в котором он снимался и демонстрировал пайщикам кредитного союза Washington, как просто обманывать людей.

«Я купил 800 различных номеров в интернете – это довольно дешево – и сделал переадресацию на свой телефон», - объясняет он. «Потом я звонил пайщикам и оставлял сообщения с 800 номеров. Затем стали поступать ответные звонки. Я говорил о том, что произошло повреждение данных, и кредитному союзу необходимо обновить информацию. В целях безопасности мне также были необходимы паспортные данные и номер банковского счета».

Когда кредитные союзы узнали о хитрости Стикли, то поразились, как легко пайщики раскрывали важную информацию.

Стикли считает, что люди мыслят о преступниках стереотипами, считая их неряшливыми, подозрительными личностями, а не «вежливыми парнями вроде меня, шутившего в телефонную трубку в попытке ослабить бдительность пайщиков». «Он выглядел таким милым», - одна из наиболее распространенных фраз от тех, кого только что обманули.

В чем уязвимость кредитного союза

"Мошенничество вредит не только пайщикам", - говорит Стикли. Он ссылается на исследование, показавшее, что каждая пятая жертва мошенничества меняет финансовую организацию, даже если та не несет ответственности за воровство.

«Но даже если Вы удержите пайщика, подвергнувшегося мошенничеству», - говорит он, - «вы понесете расходы в виде потери времени персонала, выпускающего новые карты и обновляющего информацию по счетам, а порой и готовясь к юридической защите, если пайщик посчитает, что вы имеете отношение к мошенническим действиям».

Кредитные союзы должны понимать, что, несмотря на то, что мошенники привыкли целиться только в пайщиков, они всё больше смотрят в сторону кредитных союзов.

«Вирусные программы в последнее время сильно усовершенствовались. Они способны обходить многочисленные этапы проверки подлинности, которые кредитные союзы установили для защиты себя и пайщиков», - говорит Стикли.

Сообщите о рисках: покажите, а не расскажите

«У каждого человека Youtube-мировоззрение», - говорит Джим Стикли, это идея, которая привела его к созданию компании «Stickly on Security», производящей обучающие видео-ролики о том, как избежать мошенничества. Эти ролики можно вставлять на сайты кредитных союзов.

«У типичного кредитного союза на сайте есть страница, посвященная безопасности, и она наполнена текстом», - говорит он. «Никто, особенно пожилые пайщики, которым сложно читать, не изучит этот текст. Кредитные союзы не понимают главного: не нужно сражать пайщиков наповал текстом, проиллюстрируйте свои уроки картинками. Покажите, а не расскажите».

На видео Стикли разыгрывает ситуации, в которые могут попасть пайщики при встрече с обманщиками. Например, мошенники посылают пайщикам фальшивые счета, сообщая, что те были оштрафованы за проезд на красный свет, что зафиксировано на камере. 

Жертвы вбивают информацию своих кредитных карт, снимают деньги со счёта, чтобы оплатить штраф, объясняет он. «Преступники зависят от желания людей поверить штрафу и избежать дальнейших разбирательств. Прогоните их прочь!».

«Мошенники могут написать вредоносные коды поэтому теперь опасность заключается в том, что они подвергнут атаке компьютерные сети, используя троян для перенаправления данных на другой сайт», - продолжает он.  «Например, троян может завуалировать это так, что будет казаться, что это оператор проводит поиск данных, тем самым отведя подозрения».

Легкость, с которой внимание кредитного союза может быть обмануто, происходит в результате того, что Стикли называет «устаревшим реакционным подходом к безопасности, при котором финансовые учреждения выполняют минимальные условия для соответствия нормативным требованиям, но не делают защиту постоянным своевременным процессом».

Он советует постоянно оценивать политику безопасности. «Если каждый из ваших сотрудников может свободно гулять по интернету, трояны могут легко проникнуть с вредоносных страниц, которые с виду кажутся абсолютно нормальными»,  - предупреждает Стикли.

Секрет заключается в том, чтобы «уменьшить количество сотрудников, имеющих доступ в интернет и ограничить число тех, кто имеет доступ к информации в системе обработки данных. Если вы видите, что оператор считывает 50 000 единиц информации, это должно быть серьезным сигналом тревоги».

Новые подходы к безопасности

OneID предлагает подход к онлайн-безопасности, который дает пользователям средства для подтверждения легитимности транзакций.

Технология использует «репозитории», хранилища данных, получающие зашифрованные данные с мобильных устройств потребителей, которые не могут быть подделаны без использования этих устройств.

Когда требуется независимое подтверждение, репозитории перенаправляют описание транзакций на мобильные устройства пользователей, получая подтверждение о том, что транзакция осуществляется согласно намерениям пользователя. 

OneID использует открытый/личный ключ для создания подписей. Непосредственно после подтверждения пользователем, подписи из браузера пользователя, репозитория и (при необходимости) мобильного устройства пользователя, высылается ответная информация. Они могут пройти независимую проверку кредитным союзом. 

В репозиториях OneID не хранится какая-либо информация о транзакции, которую можно использовать в корыстных целях, например, номера счетов или персональные финансовые данные.

Вот как это работает:

Браузер пользователя отображает домашнюю страницу кредитного союза.

Пользователь нажимает кнопку, на которой написано «Войти в OneID». В зависимости от требований безопасности пользователя и кредитного союза, мобильное приложение OneID может запросить подтверждение этого запроса. Такое «внеполосное» подтверждение усложняет деятельность мошенников.

Пользователь выполняет желаемые действия. В зависимости от типа операции мобильное приложение OneID может попросить пользователя подтвердить действие. После подтверждения происходит операция. 

«Обычные клавиатуры мобильных устройств усложняют введение пароля или кода, особенно если он сложный», - говорит Фентон.

Поскольку OneID зависит прежде всего от сохраненной информации, единственный способ идентификации, который возможно запросить - это персональный идентификационный номер (PIN).

PIN сочетается с набором информации в мобильном устройстве пользователя перед переходом в репозиторий для верификации, репозиторий ограничивает количество попыток введения пароля в день. Пользователи могут включить и отключить браузеры от мобильных устройств для дополнительной защиты.

«Большинство кредитных союзов начинают использовать OneID вместе с привычными режимами проверки личности пользователя, именем и паролем», - объясняет Фентон. «Они будут делать это до тех пор, пока большинство пользователей не убедятся, что OneID – это наиболее удобный и безопасный способ вести бизнес».

Украдите мою жизнь… пожалуйста

10 способов преподнести свою личность на блюдечке с голубой каемочкой

Моя жена потащила меня на фильм «Поймай толстуху, если сможешь». Оглядываясь назад, могу сказать, что это был неплохой фильм.

Но после первых 20 минут я думал о том, чтобы сделать противоположное своей подростковой привычке и потихоньку улизнуть ИЗ кинотеатра. Я отверг этот план как слишком рискованный; моя жена все еще помнила о моем двухчасовом посещении уборной во время просмотра оперы.

Поскольку фильм тянулся невыносимо долго, мой разум начал блуждать. Что если и мои идентификационные данные были бы похищены? Что бы я думал по этому поводу? Был бы я расстроен или непомерно зол? Или мое поведение осталось бы таким же благожелательным и пресным, как шутки в этом фильме?

Пока я размышлял, сахар в моем огромном стакане газировки смешивался с запахом имитатора масла из ведерка с попкорном, и в голове зародился странный (но не невозможный) план.

Что действительно преподало бы урок таким подлецам, так это не присвоение моей карты Visa, а всей моей личности. Если бы им пришлось иметь дело с тремя детьми в колледже, домом, требующим новую крышу, коллекцией питомцев, которой позавидует даже Национальный зоопарк, они бы пересмотрели свои намерения.

В итоге, я придумал 10 идей для ускорения процесса:

1. Я решил использовать свою кредитку только онлайн, с продавцами из Facebook и почтовой рассылки.

2. Я изменю настройки безопасности своего браузера со среднего до низкого уровня, пока они не отключатся совсем.

3. Я установлю простые и банальные пароли. Например, под требование установить пароль с буквами высокого и низкого регистра, а также цифрой прекрасно подойдет пароль: «Password1».

4. Просматривая свою электронную почту, я пойму, что кто-то действительно жаждет встречи со мной, некоторые таблетки сделают меня счастливее, а меньшие платежи по кредиту – именно то, что доктор прописал. 

5. Я опубликую свой адрес, телефон и прочую информацию в социальных сетях вместе со статусом: «Я на три недели в отпуске. Надеюсь, нас никто не взломает. Система безопасности не работает!».

6. Я предупрежу свой кредитный союз, что буду путешествовать по экзотическим местам весь следующий год, чтобы они беспокоились, если транзакции будут казаться подозрительными.

7. Я осознаю, что требовать от меня запоминания цифр бессмысленно, поэтому напишу свой ПИН-код на обратной стороне карты.

8. Я отменю электронные выписки и переведу их обратно в бумажный вариант. Так проще выкинуть их в урну возле банкомата.

9. Я понимаю, что получение свободного кредитового баланса также удобно, как посещение сайта финансового учреждения, но я так занят компьютерными играми, что не успеваю проверить его.

10. И наконец, каждый раз, когда моя антивирусная программа предупреждает меня, что онлайн-игра «несет потенциальную угрозу», я буду отключать антивирусную защиту. Если бы я хотел, чтобы мне постоянно указывали, что делать, я бы активировал голосовую озвучку GPS.

Несмотря на то, что НЕ соблюдение этих шагов выглядит просто здравым смыслом, здравый смысл для многих пайщиков столь же редкое явление, как визит банкира на лекцию по философии.

Возможно, вместо того, чтобы говорить пайщикам, что им НЕ следует делать, нужно собрать самых непонятливых и сказать им противоположное тому, что им нужно делать. Этот подход, например, работает с подростками.

Именно поэтому я сказал своей жене: «Не могу дождаться, когда ты позовешь меня на очередной фильм!».

Защитите ваших пайщиков

Для успеха всей финансовой системы крайне важным остаётся повышение финансовой грамотности среди пайщиков до такого уровня, чтобы они смогли бы защитить себя сами от мошенничества и воровства. Наличие просветительской программы крайне важно для устойчивого развития организации, т.к. надёжность системы от мошеннических действий третьих лиц повышает доверие населения к финансовым организациям.

Банк России предложил следующие способы защиты:

• установить на устройство мобильной связи антивирусное программное обеспечение с регулярно обновляемыми базами;

• не переходить по ссылкам, приходящим из недостоверных источников, в том числе на известные сайты;

• своевременно уведомлять кредитную организацию о смене номера телефона мобильной связи, который клиент предоставил кредитной организации для получения услуги «мобильный банкинг», в том числе, на который происходит информирование об операциях по счету клиента;

• не скачивать на устройство мобильной связи приложения из непроверенных источников;

• не передавать устройство мобильной связи и платежную карту для использования третьим лицам, в том числе родственникам;

• не сообщать третьим лицам, в том числе сотрудникам кредитной организации, ПИН-код платежной карты и контрольный код, указанный на оборотной стороне платежной карты (СVV/CVC-код для оплаты в интернете), пароли от «Клиент-банка», одноразовые коды подтверждения;

• при наличии подозрения, что такие данные стали известны третьему лицу, необходимо сообщить об этом кредитной организации по контактным данным, указанным на ее официальном сайте;

• в случае обнаружения списания денежных средств необходимо немедленно обратиться в кредитную организацию или к оператору связи (если произошло списание денежных средств, предоставленных оператору связи в качестве оплаты услуг связи, в том числе перечисление денежных средств на «короткие номера»).

В целом, можно посоветовать пользователям просто быть осторожней. Для расчетов и покупок в Интернете лучше завести отдельную карту, которая никак не будет связана с основными счетами. А пароли необходимо менять как можно чаще.

Кроме того, можно обратиться к своему мобильному оператору и попросить запретить использование коротких номеров со своего номера. Это позволит избежать самого распространенного вида мошенничества.