иииятиивитвиииияивиии
DOI 10.47576/2712-7516_2021_6_6_496 УДК 336
ИСТОЧНИКИ ФИНАНСОВЫХ УГРОЗ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ ЛИЧНОСТИ
Спильниченко Владимир Кириллович,
доктор экономических наук, профессор, Российский государственный гуманитарный университет, г. Москва, Россия, e-mail: [email protected]
Соколов Алексей Павлович,
доктор экономических наук, доцент, Владимирский государственный университет им. А. Г. и Н. Г. Столетовых, г. Владимир, Россия, e-mail: [email protected]
В статье рассмотрена суть понятия «финансовые угрозы информационной безопасности личности». Подробно, с приведением актуальных статистических данных рассмотрены формы проявления этих угроз и способы их локализации.
Ключевые слова: финансовые угрозы информационной безопасности личности; социальная инженерия; телефонные мошенники; фишинг; брачное мошенничество; смс-бомбинг; ложные сайты; финансовые пирамиды; фиктивные брокерские фирмы.
UDC 336
SOURCES OF FINANCIAL THREATS TO PERSONAL INFORMATION SECURITY
Spilnichenko Vladimir Kirillovich,
Doctor of Economics, Professor, Russian State University for the Humanities, Moscow, Russia, e-mail: [email protected]
Sokolov Alexey Pavlovich,
Doctor of Economics, Associate Professor, Vladimir State University. Named after A. G. and N. G. Stoletovs, Vladimir, Russia, e-mail: [email protected]
The article deals with the essence of the concept of «financial threats to the information security of an individual.» The forms of manifestation of these threats and methods of their localization are considered in detail, with the presentation of relevant statistical data.
Keywords: financial threats to personal information security; social engineering; telephone scammers; phishing; marriage fraud; SMS bombing; false sites; financial pyramids; bogus brokerage firms.
Обеспечение информационной безопасности предполагает выяснение источников угроз этой безопасности с целью их последующей нейтрализации. В информационном поле угрозы можно классифицировать по разным основаниям. И саму информационную безопасность принято рассматривать по различным сферам - от информационной безопасности государства (коалиции государств) до информационной безопасности отдельной личности.
В статье информационная безопасность не изучается в широком плане как состояние социума, при котором обеспечена надежная и всесторонняя защита личности, общества и государства от воздействия на них особого вида угроз, выступающих в форме организованных информационных потоков и направленных на деформацию общественного и индивидуального сознания [2]. Классифицируется и исследуется по источникам опасности узкая сфера финансовых угроз инфор -мационной безопасности личности, тесно связанная с информационно-психологической безопасностью человека.
Угроза информационной безопасности представляет собой события или действия, приводящие к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств [1]. Финансовые угрозы информационной безопасности личности представляют собой совокупность преступных действий мошенников, нацеленных на хищение финансовых средств человека или на отчуждение его имущественных прав, совершаемых при помощи информационно-коммуникационных технологий. Особую опасность для человека, как это подчеркивается в Стратегии национальной безопасности Российской Федерации, утвержденной указом Президента Российской Федерации от 02.07.2021 № 400, приобретает анонимность, обеспечиваемая за счет использования этих технологий, что облегчает совершение преступлений.
Финансовые угрозы информационной безопасности личности, обусловленные развитием информационно-коммуникативных сетей, можно разделить на три большие группы: угрозы социальной инженерии, технические угрозы и угрозы нелегальной
предпринимательской деятельности. Угрозы социальной инженерии связаны с психологической оценкой личностью хода общения с преступниками с использованием ими средств телекоммуникаций и Интернета. Отсутствие у пользователей полноты знаний о правилах пользования удаленными сервисами позволило мошенникам обманывать граждан путем совершения телефонных звонков или рассылки различного рода уведомлений по электронной почте, в социальных сетях (WhatsApp, Telegram и др.).
Наиболее распространенная форма обращения к гражданам для обмана - телефонные звонки, например, от имени сотрудников службы безопасности банка, правоохранительных органов, ФСБ. На них приходится 80 % всех атак мошенников. Причем подобные звонки зачастую производятся с использованием технологии подмены телефонного номера звонящего на номер банка. Потери россиян от подобных звонков огромны. Ежемесячно со счетов граждан похищается от 3,5 до 5 млрд руб.
Все звонки делятся на три типа - либо с очень выгодными предложениями, либо с очень страшными новостями о возможных финансовых потерях, блокировке счета, либо с обращением к социальной ответственности и патриотизму (например, поимка опасного преступника). Мошенники в ходе разговора выманивают у граждан данные об их счетах, а в последующем проводят операции по уже реальному несанкционированному списанию денег со счета клиента. При получении такого звонка надо иметь в виду, что сотрудники банка никогда самостоятельно не звонят и не спрашивают конкретные данные о счетах клиентов по телефону. Надо сразу прервать звонок и сообщить о нем в службу безопасности банка. Только за первые два квартала 2021 г. заблокировано 18 тыс. телефонных номеров мошенников. Из-за телефонных мошенников, как видно из данных опроса Superjob, пострадал каждый шестой россиянин. При звонках с неизвестных номеров нежелательно произносить слова, которые могут быть использованы в системе идентификации и аутентификации личности. К таким словам можно отнести «да», «хорошо», «правильно» и др. Применяются для звонков и роботы, которые после краткого вступительного разговора для при-
дания ему реальности переключают звонок на какое-либо фиктивное должностное лицо. Нельзя по телефонным звонкам участвовать и в проведении «задержаний преступников» с использованием ваших денег или недвижимости.
В последнее время телефонные мошенники стали предлагать связаться с личным страховым агентом, якобы указанным в договоре банковского счета, для исключения утраты денег и их перевода или на безопасный счет, или в агентство по страхованию вкладов. Так как договор не у всех под рукой, владельцы счета часто верят звонящему на слово и далее звонят тому, кого предложил мошенник. Последний подтверждает опасность потери денег на счете и необходимость их перевода на безопасный счет, что и делает сама жертва мошенников. Вернуть деньги практически невозможно.
Активно используются социальные сети. Популярно у мошенников использование сайтов знакомств для так называемого брачного мошенничества. Маскируясь под видом молодой и красивой девушки, в ходе переписки с жертвой злоумышленники постепенно переводят эту переписку в интимную плоскость и начинают предлагать создать семью. Затем просят прислать деньги по разным причинам (болезнь, покупка билета на поездку к жертве, приобретение более качественного мобильного телефона для общения и т. п.). После получения денег общение прекращается.
По электронной почте или WhatsApp рассылаются так называемые «нигерийские письма» о том, что гражданин является наследником многомиллионных сумм. Через некоторое время злоумышленники пишут о необходимости прислать денежные средства под различными предлогами: на оформ -ление документов, перевод средств наследнику и др. Иногда предлагается процент от хранения денег в банке пока идет оформление сделки. У жертвы выманиваются ее персональные данные о счетах, номерах платежных карт. При продолжении участия жертвы в переписке, предлагается оплатить комиссионные сборы, расходы на подкуп чиновников и т. п.
Используются и различные письма от имени государственных органов, прежде всего в части социальной помощи, налогоо-
бложения. Якобы на официальных бланках приходят уведомления о необходимости получения дополнительных выплат, возврате каких-либо платежей, например страховых накоплений, а есть проблемы с переводом и предлагается перейти на сайт оформления платежей. Для убедительности присваивают уникальный номер перевода, при возникновении трудностей с возвратом денег рекомендуют обратиться в МФЦ. Смысл в том, что переход на страницу мошенников уже совершен и данные о реквизитах счетов, номеров платежных карт скомпроментированы. Для того чтобы уберечься от таких мошенников, нельзя продолжать действия с подобными письмами и необходимо удалять их.
Нередки случаи использования любопытства человека в жизненных ситуациях для внедрения вредоносных программ. Например, на WhatsApp может прийти сообщение: «Уважаемый... нас засыпало снегом. Фотографии утонувших в снегу машин во вложении. Более подробная информация дана по ссылке. Окажите помощь дворникам в уборке снега». Человек открывает эту информацию и тем самым получает на свое устройство вредоносную программу. Нельзя открывать вложения и ссылки от неизвестных источников.
В условиях роста привлекательности криптовалют рассылаются письма с предложениями инвестировать средства в различные криптовалюты, в большинстве случаев в биткоины. Ответить на такие письма, как правило, невозможно. Можно только продолжить общение при переходе на указанную ссылку. И в этом случае происходит кража данных пользователя для последующего использования в преступных целях. Могут оформить на имя пользователя кредит, списать деньги с личных счетов. В сети появились и предложения по участию в первичном размещении новых криптовалют с обещаниями высоких доходов от участия в выпуске. Если получатель письма принял предложение и оплатил участие, то деньги вернуть нереально.
Широко применяется и фишинг - рассылка различного рода «интересных» для клиентов предложений посредством информационно-коммуникационных технологий. В последние годы стала иметь массовый характер рассылка фальшивых видеороликов о различных онлайн промоакциях по
продаже товаров по достаточно низким ценам, о разнообразных розыгрышах призов и т. п. Откликнувшиеся на подобные массовые рассылки при переходе на фишинговую страницу в ходе ответов на вопросы мошенников раскрывают свои личные данные, а иногда и пересылают им деньги в качестве предоплаты. Кроме компроментации личных данных и возможных финансовых потерь, в данном случае высок риск заражения технического средства атакованного гражданина вирусом, который в последующем будет помогать мошенникам получать несанкционированный доступ к этому средству. Лучше всего при получении таких роликов не реагировать на них в качестве ответных действий и удалять их. По сути, фишинг находится на границе социальной инженерии и технических финансовых угроз информационной безопасности личности, так как позволяет внедрять на устройства пользователей вирусы, обеспечивающие злоумышленникам кражу самых различных данных.
При использовании технических решений для мошеннических действий, нацеленных на хищение финансовых средств человека или на отчуждение его имущественных прав при помощи информационно-коммуникационных технологий применяется так называемые смс-бомберы. Используя из украденных баз данных телефон и паспортные данные жертвы, мошенники по нескольку десятков раз делают попытки регистрации номера телефона на различных ресурсах. На телефон за короткое время поступает до 200 смс с информацией о кодах регистрации. Одновременно, используя номер телефона жертвы, мошенники удаленно регистрируются на сайте микрофинансовой организации, из которой на телефон жертвы поступает смс с кодом подтверждения регистрации. После этого они устанавливают связь с жертвой с помощью WhatsApp, Telegram и убеждают ее направить в их адрес скриншот последнего экрана с смс для «уточнения ситуации с многочисленными смс». Жертва посылает скриншот, не думая о том, что дает мошенникам код для регистрации в МФО. Мошенники оформляют удаленно микрокредит, а жертва получает долг.
Другой формой смс-бомбинга являются действия по перехвату доступа к онлайн-банкингу жертвы. Получив в результате
беседы по телефону данные логина или уникального номера клиента в личном кабинете, злоумышленники запускают процесс непрерывного направления ему паролей для блокировки доступа в личный кабинет. Затем пользователя просят с использованием «робота» дать код для направления пароля с целью заблокировать доступ мошенникам. В действительности это позволяет преступникам войти в онлайн-банк жертвы и совершать там финансовые операции.
Существует опасность получения мошенниками излишней финансовой информации граждан через аккаунты в социальных сетях. Здесь возникает угроза финансовых потерь при неосторожном раскрытии различного рода личных данных, особенно фотографий билетов, платежных карт, различного рода документов.
Достаточно распространены и кражи учетных записей в Интернете. Получив их, мошенники могут начать действовать от вашего имени, совершать неавторизованные пользователем устройства операции. В случае взлома учетной записи пользователь не может зайти на аккаунт на сайте. Это главный признак взлома. Надо срочно написать об этом в поддержку соцсети для блокировки учетной записи и только затем восстанавливать аккаунт.
Активно используется мошенниками и создание ложных сайтов. Мошенники маскируют свои действия под видом сайтов банков или иных организаций, осуществляющих товарно-денежные операции. Например, только на конец июля 2021 г. Банком России было выявлено 3258 лжебанков по сравнению с 4323 лжебанками за весь 2020 г. Создаются сайты, оформляемые под конкретный банк или торговую фирму. Используются общедоступные логотипы и дизайнерские решения оформления. Затем связываются с потенциальными жертвами либо о переводе денег на счет банка, либо о приобретении товара у организации, либо по другим вопросам. Надо прекратить общение, проверить сайт банка или организации. При этом обратить особое внимание на префикс HTTPS.
В условиях пандемии и повсеместного введения либо локдауна, либо QR-кодов для посещения общественных мест резко увеличилась интернет-торговля. Каждый третий россиянин покупает продукты онлайн, при-
чем каждый четвертый - с доставкой. Одновременно резко выросли и мошеннические действия на площадках удаленной торговли. Осенью 2021 г. действовал 3221 ложный сайт, маскирующийся под онлайн-магазины, торгующие популярными брэндами. На таких сайтах гражданин не только потратит деньги и не получит товар, а также, как при фишин-ге, в конечном итоге попадет на вредоносные ресурсы, заражающие его устройство. Рекомендуется при получении информации с таких сайтов проверять ее на сайтах рекламируемых товаропроизводителей и пользоваться официальными сайтами крупных маркетплейсов, выяснять дату регистрации домена. Если сайт существует несколько недель, то высока вероятность мошенничества. При предоплате надо тщательно проверить продавца по различным источникам информации как в Интернете, так и на официальных сайтах регистрационной палаты, других государственных органов.
Особо выделяются мошенники, имитирующие портал «Госуслуги» для выдачи фальшивых QR-кодов о вакцинации и ПЦР-тестов. В настоящее время ежемесячно блокируется до 200 таких сайтов и каждые сутки появляется до двух подобных ресурсов. Здесь мало того что компрометируются данные пользователя и теряются деньги, а его технические устройства заражаются вредоносными программами, но и появляется смертельный риск потерять здоровье и понести наказание за противоправные действия.
Перед периодами праздников и отпусков растет активность кибер-мошенников в части подделывания сайтов известных турагентств, отелей, экскурсионных бюро и продажи билетов. Пользователям и здесь предлагаются очень выгодные условия. Результат тот же - в лучшем случае потеря денег, в худшем - заражение устройства вредоносными вирусами. С недавних пор мо -шенники стали использовать сервисы, предлагающие блокировку рекламы. Технология злоумышленников достаточно проста. Если пользователь откликается на предложение заблокировать рекламу или установить антивирус, VPN, то после перехода по указанной ссылке на устройство загружается вредоносная программа FakeAdBlocker, дающая доступ к данным онлайн-банкинга собственника технического устройства.
Информационно-коммуникативная среда позволила мошенникам сформировать новый тип финансовых пирамид в виде онлайн инвестиционных игр. За третий квартал 2021 г. они составили 8 % от общего числа обнаруженных финансовых пирамид. Технология действий мошенников очень проста. Участнику предлагается заработать большие суммы денег легко и просто в игровой форме. Для этого он покупает приносящих доход каких-либо персонажей игры или приносящую доход виртуальную недвижимость. Условие получения этого дохода, процентов по нему или иной формы денежного вознаграждения - привлечение к игре новых ее участников. По сути это один из электронных вариантов сетевого маркетинга, при котором операции прекращаются после остановки процесса привлечения новых игроков. Деньги, вложенные в игру, теряются. Наиболее популярны онлайн-игры, использующие технологию NFT, когда участники проекта покупают и продают за криптовалюту различные виртуальные вещи, не имеющие реальной стоимости.
Угрозы нелегальной предпринимательской деятельности также имеют самые разнообразные формы. Одна из самых активно используемых форм - нелегальное кредитование. Нелегальные кредиторы работают с признаками осуществления профессиональной деятельности по предоставлению потребительских кредитов/займов, но не имеют права на ее осуществление. Опасность состоит в том, что у нелегальных кредиторов завышенные ставки, невозможно оспорить взаимоотношения с ними в суде, так как сделки с ними зачастую заключают клиенты, не желающие афишировать свои источники доходов, а сами сделки носят противоправный характер. Договор обеспечивается завышенным по стоимости залогом. В результате гражданин получает кредит с кабальными условиями, высока вероятность дефолта и потери залога, чаще всего в форме квартиры, машины и т. д. Особенность таких сделок в том, что договор на продажу квартиры или машины залогодержателю клиент подписывает до получения кредита, что гарантирует мошенникам ликвидность залога, а клиенту - потерю имущества при дефолте.
После активизации участия граждан в операциях на фондовом рынке возросло
число сайтов фиктивных брокерских фирм. Создатели таких сайтов предлагают завышенные процентные ставки, освобождение от налогообложения, постоянный неснижа-емый доход. Фирмы не имеют лицензии на проведение подобных операций, что можно легко проверить на сайте Банка России. В результате сотрудничества с ними интернет-трейдеры теряют свои денежные средства. При выборе брокера надо обязательно проверить официальные данные о нем, изучить порядок и итоги его работы, участие в официальных публичных мероприятиях. Надо иметь дело с участниками фондового рынка, входящими в официальные реестры.
С развитием удаленного обучения появилось множество недобросовестных «учителей», предлагающих под броскими названиями различные онлайн-курсы, не дающие их покупателям никаких знаний, кроме знания того, что пользователя за его деньги ничему толковому не научили. Примеры таких курсов - «Миллион за 5 дней», «Миллион за 5 секунд», «3 способа заработать до 33 млн рублей за один день без вложений». Названия должны насторожить думающего человека. Стоит внимательно изучить отзывы о таких курсах в Интернете. Если они одинаково восторженные, это ложные отзывы и онлайн-курс не достоин вашего внимания.
Участились кражи бесконтактных карт или устройств для бесконтактной оплаты - мобильных телефонов, браслетов, смарт-часов и др. Механизм их последующего использования мошенниками основан на визуальном контакте с собственником и подсматривании или узнавании иным путем пин-кода авторизации. Иногда используют такой прием - молодая красивая девушка при общении с покупателем просит оплатить за нее мелкую покупку, очень спешит, а сама предлагает отдать наличные. Жертва соглашается, мошенники видят введение пин-кода, так как человек при таком общении теряет бдитель-
ность. Затем воруется устройство удаленной оплаты и мошенники сразу снимают деньги в ближайшем банкомате. Метод борьбы с этим - бдительность, установление лимита на расход денег, оперативное сообщение в банк о необходимости блокировки счета. При использовании для общения с банком мобильного телефона необходимо отключить Bluetooth.
Растет количество неигровых электронных финансовых пирамид. Как правило, они привлекают деньги в меньших количествах, но их число непрерывно растет. Так, в третьем квартале 2021 г. Центральный банк России выявил 278 финансовых пирамид по сравнению со 140 пирамидами в первом квартале 2020 г. По данным Банка России, обманутые граждане теряют в среднем от операций с пирамидами 50-100 тысяч рублей, но иногда потери доходят и до 100 млн рублей. При этом известны случаи, когда люди закладывают квартиры и в результате остаются и без денег, и без жилья.
Таким образом, в настоящее время в условиях взрывного роста использования человеком информационно-коммуникационных технологий существенно расширяется круг источников финансовых угроз информационной безопасности личности. Поэтому важно внимательно и осторожно подходить к взаимодействию с любыми контрагентами при проведении финансовых операций как при прямом, так и удаленном общении.
Для снижения опасности воздействия мошенников на граждан Банк России ежедневно публикует список компаний с выявленными признаками нелегальной деятельности на финансовых рынках [3]. Ассоциацией ФинТех и ОАО «ИнфоТекс» при участии Банка России разработан и летом 2021 г. введен в действие стандарт «Безопасность финансовых (банковских) операций», предусматривающий ряд технических решений для определения и препятствия мошенническим действиям [4].
Список литературы_
1. Информационная безопасность: учебное пособие / под общей редакцией В. Н. Ясенева. - Нижний Новгород: Нижегородский госуниверситет им. Н. И. Лобачевского, 2017. - С. 7.
2. Радиков, И. В. Информационная безопасность общества / И. В. Радиков. - URL: https://spbu.ru/sites/default/ files/informacionnaya_bezopasnost_obshchestva.pdf#:~:text=Информационная %20безопасность %20 (дата обращения: 02.09.2021)
3. Список компаний с выявленными признаками нелегальной деятельности на финансовом рынке. - URL: https://cbr.ru/inside/warning-list/ (дата обращения: 01.10.2021).
4. Стандарт Банка России. СТО БР ФАПИ.ПАОК-1.0-2021 «Безопасность финансовых (банковских) операций». - URL: http://cbr.ru/StaticHtml/File/117620/standart_16082021.pdf (дата обращения: 01.10.2021).
References_
1. Informacionnaya bezopasnost' uchebnoe posobie /pod obshhej redakciej. V.N. Yaseneva. Nizhnij Novgorod: Nizhegorodskij gosuniversitet im. N.I. Lobachevskogo, 2017. - S. 7.
2. Radikov I.V. Informacionnaya bezopasnost' obshhestva. URL: https://spbu.ru/sites/default/files/informacionnaya_ bezopasnost_obshchestva.pdf#:~:text=Informacionnaya %20bezopasnosf %20 (data obrashheniya: 02.09.2021)
3. Spisok kompanij s vy'yavlennymi priznakami nelegal'noj deyatel'nosti na finansovom ry'nke. URL: https://cbr.ru/ inside/warning-list/ (data obrashheniya: 01.10.2021).
4. Standart Banka Rossii. STO BR FAPI.PAOK-1.0-2021 «Bezopasnost' finansovy'x (bankovskix) operacij». URL: http://cbr.ru/StaticHtml/File/117620/standart_16082021.pdf (data obrashheniya: 01.10.2021).