Group-IB, международная компания, специализирующаяся на предотвращении кибератак, сообщила о новой волне мошенничества, направленного на пользователей приложений для мобильного банкинга. В новой схеме используется легальная программа для делегирования доступа TeamViewer, которая позволяет подключиться постороннему лицу к смартфону. В течение полугода ежемесячно системой Secure Bank, в среднем, фиксируется более 1000 попыток вывода денежных средств со счетов физических лиц с помощью схемы, в которой используются программы для удаленного доступа.
Согласно данным Group-IB Secure Bank, основной пик мошенничества с использованием мобильного приложения и программы TeamViewer для удаленного управления пришелся на весну: в апреле и мае в Group-IB начали поступать массовые запросы от банков. Активность мошенников с небольшим спадом продолжилась летом, второй пик пришелся на июль. Сложность обнаружения подозрительных действий состояла в том, что пользователь мобильного приложения банка сам соглашался установить программу делегирования доступа к своему смартфону, после чего отличить его действия от действий мошенника, выдающего себя за реального клиента банка, было достаточно сложно: для этого необходимы системы поведенческого анализа, позволяющие в режиме реального времени выявлять мошенническую активность в мобильном канале.
Только в одном из банков Group-IB удалось предотвратить ущерб по схеме с удаленным доступом на сумму 16 млн рублей за 2 месяца. Среднемесячная сумма ущерба по данному типу мошенничества для крупного банка может составлять от 6 до 10 млн. рублей.
С незначительными отличиями мошеннический сценарий с использованием TeamViewer выглядит так: злоумышленник звонит от имени банка и традиционно сообщает клиенту, что зафиксирована попытка взлома его личного кабинета или же вывода средств с его счета.
Службе безопасности банка якобы требуется помощь клиента: нужно решить техническую проблему для противодействия мошенничеству. Для этого необходимо срочно установить программу удаленного управления смартфоном, чтобы получить доступ к устройству и обезопасить пользователя. После установки такой программы, мошенник имеет возможность действовать от имени пользователя и, получив доступ к приложению для мобильному банкинга, он выводит средства со счета.
В одном из разговоров с мошенниками, специалисты Group-IB уточнили, что видят свой счет и деньги не списаны. На это мошенник, чаще всего являющийся опытным психологом ответил, что средства списываются не сразу: банк уже видит транзакцию, а пользователь еще нет, поэтому необходимы превентивные меры. Еще один сценарий: на телефон «жертвы» отправляется фейковая СМС якобы от банка о списании средств. Зачастую такая СМС предваряет факт звонка мошенника. Далее звонит «сотрудник банка», говорит, что зафиксировал попытку вывода денежных средств и тут же уточняет: получал ли пользователь оповещение? Жертва отвечает «Да» и мошенник тут же сообщает, что на его смартфоне обнаружена вредоносная активность, чтобы ее удалить нужно установить все ту же программу удаленного доступа.
Транзакционный анализ, повсеместно используемый в банках для блокировки несанкционированных списаний, в данном случае, не поможет. Злоумышленник действует от имени и фактически «рукой» легального пользователя. В свою очередь, именно пользователь «наделил» злоумышленника такими правами, по доброй воле установив на свой смартфон программу для удаленного доступа. При этом сама установка TeamViewer не может являться доказательством реализации мошеннической схемы.
«Единственный вариант обнаружить данную схему — фиксировать установку программы для удаленного управления на смартфоне и осуществлять поведенческий анализ на протяжении всей пользовательской сессии, — прокомментировал Павел Крылов, руководитель направления по развитию продукта Group-IB SecureBank. — „Умные“ технологии защиты клиента в каналах ДБО умеют создавать его профиль, основанный на поведенческих характеристиках. Сам факт появления нового ПО для удаленного доступа на устройстве, особенно если раньше оно клиентом не использовалось, уже является фактором риска. Мы отслеживаем такие действия, а анализ дальнейшей работы пользователя позволяет понять — совпадает ли его поведение с обычным поведением его профиля. И если нет — такая активность считается подозрительной и действия мошенника, орудующего в личном кабинете ничего не подозревающего пользователя, блокируются банком».
В ходе звонка мошенники пытаются за короткое время создать максимально доверительные отношения с «жертвой». Ситуацию осложняет то, что мошенники могут звонить с банковских номеров, используя IP-телефонию, подменяя номер телефона через специальные программы, что работает как дополнительный фактор доверия. Могут сообщить историю транзакций, полную информацию о клиенте, например, где проживает (базы с такой информацией продаются на форумах в даркнете).
Рекомендации для пользователей прежние: если вам звонит «сотрудник» банка и сообщает о несанкционированном списании с вашего счета — кладите трубку, независимо от того, с какого номера поступил звонок. Для проверки информации — перезвоните в свой банк самостоятельно по телефону, указанному на вашей карте.