Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Ущерб от мошенничества через удаленный доступ может стоить банкам до 10 млн руб ежемесячно

14/08/19

hack bank4-5Group-IB, международная компания, специализирующаяся на предотвращении кибератак, сегодня сообщила о новой волне мошенничества, направленного на пользователей приложений для мобильного банкинга. В новой схеме используется легальная программа для делегирования доступа TeamViewer, которая позволяет подключиться постороннему лицу к смартфону. В течение полугода ежемесячно системой Secure Bank, в среднем, фиксируется более 1000 попыток вывода денежных средств со счетов физических лиц с помощью схемы, в которой используются программы для удаленного доступа.

Согласно данным Group-IB Secure Bank, основной пик мошенничества с использованием мобильного приложения и программы TeamViewer для удаленного управления пришелся на весну: в апреле и мае в Group-IB начали поступать массовые запросы от банков. Активность мошенников с небольшим спадом продолжилась летом, второй пик пришелся на июль. Сложность обнаружения подозрительных действий состояла в том, что пользователь мобильного приложения банка сам соглашался установить программу делегирования доступа к своему смартфону, после чего отличить его действия от действий мошенника, выдающего себя за реального клиента банка, было достаточно сложно: для этого необходимы системы поведенческого анализа, позволяющие в режиме реального времени выявлять мошенническую активность в мобильном канале.

Только в одном из банков Group-IB удалось предотвратить ущерб по схеме с удаленным доступом на сумму 16 млн рублей за 2 месяца. Среднемесячная сумма ущерба по данному типу мошенничества для крупного банка может составлять от 6 до 10 млн. рублей. 

С незначительными отличиями мошеннический сценарий с использованием TeamViewer выглядит так: злоумышленник звонит от имени банка и традиционно сообщает клиенту, что зафиксирована попытка взлома его личного кабинета или же вывода средств с его счета.

Службе безопасности банка якобы требуется помощь клиента: нужно решить техническую проблему для противодействия мошенничеству. Для этого необходимо срочно установить программу удаленного управления смартфоном, чтобы получить доступ к устройству и обезопасить пользователя. После установки такой программы, мошенник имеет возможность действовать от имени пользователя и, получив доступ к приложению для мобильному банкинга, он выводит средства со счета.

В одном из разговоров с мошенниками, специалисты Group-IB уточнили, что видят свой счет и деньги не списаны. На это мошенник, чаще всего являющийся опытным психологом ответил, что

средства списываются не сразу: банк уже видит транзакцию, а пользователь еще нет, поэтому необходимы превентивные меры. Еще один сценарий: на телефон «жертвы» отправляется фейковая СМС якобы от банка о списании средств. Зачастую такая СМС предваряет факт звонка мошенника. Далее звонит “сотрудник банка”, говорит, что зафиксировал попытку вывода денежных средств и тут же уточняет: получал ли пользователь оповещение? Жертва отвечает “Да” и мошенник тут же сообщает, что на его смартфоне обнаружена вредоносная активность, чтобы ее удалить нужно установить все ту же программу удаленного доступа.

 

Транзакционный анализ, повсеместно используемый в банках для блокировки несанкционированных списаний, в данном случае, не поможет. Злоумышленник действует от имени и фактически «рукой» легального пользователя. В свою очередь, именно пользователь «наделил» злоумышленника такими правами, по доброй воле установив на свой смартфон программу для удаленного доступа. При этом сама установка TeamViewer не может являться доказательством реализации мошеннической схемы. 

«Единственный вариант обнаружить данную схему – фиксировать установку программы для удаленного управления на смартфоне и осуществлять поведенческий анализ на протяжении всей пользовательской сессии, – комментирует Павел Крылов, руководитель направления по развитию продукта Group-IB SecureBank. – «Умные» технологии защиты клиента в каналах ДБО умеют создавать его профиль, основанный на поведенческих характеристиках.  Сам факт появления нового ПО для удаленного доступа на устройстве, особенно если раньше оно клиентом не использовалось, уже является фактором риска. Мы отслеживаем такие действия, а анализ дальнейшей работы пользователя позволяет понять – совпадает ли его поведение с обычным поведением его профиля. И если нет –  такая активность считается подозрительной и действия мошенника, орудующего в личном кабинете ничего не подозревающего пользователя, блокируются банком».

В ходе звонка мошенники пытаются за короткое время создать максимально доверительные отношения с «жертвой». Ситуацию осложняет то, что мошенники могут звонить с банковских номеров, используя IP-телефонию, подменяя номер телефона через специальные программы, что работает как дополнительный фактор доверия. Могут сообщить историю транзакций, полную информацию о клиенте, например, где проживает (базы с такой информацией продаются на форумах в даркнете).

Рекомендации для пользователей прежние: если вам звонит «сотрудник» банка и сообщает о несанкционированном списании с вашего счета – кладите трубку, независимо от того, с какого номера поступил звонок. Для проверки информации – перезвоните в свой банк самостоятельно по телефону, указанному на вашей карте.

Темы:приложенияБанки и финансыУгрозыGroup-IBМошенничество
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • Как соответствовать требованиям ЦБ РФ при защите мобильных приложений
    Юрий Шабалин, Ведущий архитектор Swordfish Security
    Профиль защиты прикладного программного обеспечения – это методический документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • Топ-8 ошибок соответствия ГОСТ 57580.1
    Константин Чмиль, консультант по ИБ RTM Group
    Регулятор вводит все новые положения, которые собраны в ГОСТ 57580.1 и ужесточаются год от года. Если постоянно проходить проверку на соответствие требованиям этого документа, то вероятность возникновения инцидентов можно свести к минимуму.
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • КиберНЕустойчивость и как с ней бороться
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Определение показателей операционной надежности для технологических процессов

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...